一、认识科摩多防火墙中的Defense+功能
(一)Defense+ ,是一个本机入侵防御系统,他不断的监视获得进程的工作。当Defense+ 功能开启时,用户随时可以获知未知进程尝试启动
(.exe, .dll, .sys, .bat etc) 。而实际上,只有您对未知进程授权后,才能真正启动运行。
(二)Defense+ 功能对于防止窃密也是有效的,亦可防止由多种缓冲区溢出攻击造成的计算机崩溃或系统损坏。
(三)Defense+
功能运行在一个很高的安全级别上,因此可以洞察任何可能存在的内核级后门,内存注入,键盘记录等。它能在病毒和木马产生破坏前阻止其运行,可保护注册表和系统文件不会被任意修改。
二、Defense+设置
(一)“Defense+设置”中的“一般设置”:
在一般设置中可以设置“Defense+安全级别”,Defense+ 安全级别分为:禁用、学习模式、干净PC模式、安全模式、疯狂模式。Defense+
安全级别的默认设置是安全模式。
(二)“Defense+ 设置”中的“可执行控制设置”
在可执行控制设置中,启用“可执行镜像控控制级别”,可以在可执行文件未经许可的情况下,加载到内存前进行拦截。对于“无法识别的文件”的运行可以进行部分限制、低权限级别、限制性级别、不信任级别、阻止.
(三)Defense+ 设置中的“Sandbox设置”。
可以把无法识别应用程序文件放在Sandbox中运行.
(四)Defense+ 设置中的“监视设置”
监视设置中包含有行为监控、对象修改监控、直接访问对象监控三个方面:
(01)行为监控:
行为监控分为:进程间内存访问;进程终止;窗口或者事件钩子;窗口消息;设备设备驱动程序安装;DNS/RPC客户端服务。
(02)对象修改监控:
对象修改监控包含有:受保护的COM端口;受保护的注册表键;受保护的文件/目录。
(03)直接访问对象监控:
包含有内存、屏幕监视器;底层访问磁盘;键盘。
三、计算机安全规则设置:
计算机安全规则设置:包含有“Defense+
规则”,预定义规则、总是SANDBOX;被拦截的文件、受保护的注册表键、受保护的注册表键、受保护的COM接口、信任软件供应商,共计八个方面的相关设置。
(一)Defense+预定义规则设置:
预定义规则是科摩多防火墙程序的Defense+ 设置中预先定义应用程序安全访问控制规则:可以分为可信程序的Defense+预定义规则;WINDOWS
系统应用程序的Defense+预定义规则;被隔离的程序的Defense+预定义规则;被限制的应用程序的Defense+预定义规则。
(01)属于可信任程序的预定义规则的相关设置:
可信程序的预定义规则,可以通过“编缉”按扭来展开;单击编辑按扭,弹出“输入预定义规则”名称的设置窗口,单击其下的“自定义”按扭,就可以打开属于可信程序范畴的Defense+预定义规则详细设置的操作界面。
Defense+预定义规则详细设置:分为访问权限和保护设置两部分;“访问权限”决定了该应用程序能对其它进程进行哪些操作,而“保护设置”定义其它进程能对它进行什么操作。
访问权限界面允许您定义在自定义规则中的应用程序能执行哪些行为,这些行为被称为“访问名称”
(02)WINDOWS
系统应用程序的Defense+预定义规则设置方法的原理同上。
(03)被隔离的程序的Defense+预定义规则设置方法的原理同上。
(04)被限制的应用程序Defense+预定义规则设置方法的原理同上。
(二)应用程序添加Defense+自定义规则设置:
应用程序添加Defense+自定义规则的步骤和方法如下图所示:
(三)无法识别的应用程序或不信任程序在SANDBOX内的添加与运行:
(四)设置所要拦截的文件:
添加所要拦截的文件的方法如下图所示:
(五)受保护的文件和文件夹的设置
(六)受保护的注册表键
(七)受保护的COM接口:
(八)信任软件供应商的数字签名的相关设置:
打开“计算机安全规则”下的“信任软件服务商”的设置界面,把科摩多应用程序未自行添加的可信任服务商的数字签名添加到可信任软件供应商的白名单数据列表中。
方法:单击“添加”按扭,显示两种途径,一是通过“从已经被签名的程序中读取....”;另一种途径是“从正在运行的程序中读取.....”。
