一、認識科摩多防火墻中的Defense+功能
(一)Defense+ ,是一個本機入侵防御系統,他不斷的監視獲得進程的工作。當Defense+ 功能開啟時,用戶隨時可以獲知未知進程嘗試啟動
(.exe, .dll, .sys, .bat etc) 。而實際上,只有您對未知進程授權后,才能真正啟動運行。
(二)Defense+ 功能對于防止竊密也是有效的,亦可防止由多種緩沖區溢出攻擊造成的計算機崩潰或系統損壞。
(三)Defense+
功能運行在一個很高的安全級別上,因此可以洞察任何可能存在的內核級后門,內存注入,鍵盤記錄等。它能在病毒和木馬產生破壞前阻止其運行,可保護注冊表和系統文件不會被任意修改。
二、Defense+設置
(一)“Defense+設置”中的“一般設置”:
在一般設置中可以設置“Defense+安全級別”,Defense+ 安全級別分為:禁用、學習模式、干凈PC模式、安全模式、瘋狂模式。Defense+
安全級別的默認設置是安全模式。
(二)“Defense+ 設置”中的“可執行控制設置”
在可執行控制設置中,啟用“可執行鏡像控控制級別”,可以在可執行文件未經許可的情況下,加載到內存前進行攔截。對于“無法識別的文件”的運行可以進行部分限制、低權限級別、限制性級別、不信任級別、阻止.
(三)Defense+ 設置中的“Sandbox設置”。
可以把無法識別應用程序文件放在Sandbox中運行.
(四)Defense+ 設置中的“監視設置”
監視設置中包含有行為監控、對象修改監控、直接訪問對象監控三個方面:
(01)行為監控:
行為監控分為:進程間內存訪問;進程終止;窗口或者事件鉤子;窗口消息;設備設備驅動程序安裝;DNS/RPC客戶端服務。
(02)對象修改監控:
對象修改監控包含有:受保護的COM端口;受保護的注冊表鍵;受保護的文件/目錄。
(03)直接訪問對象監控:
包含有內存、屏幕監視器;底層訪問磁盤;鍵盤。
三、計算機安全規則設置:
計算機安全規則設置:包含有“Defense+
規則”,預定義規則、總是SANDBOX;被攔截的文件、受保護的注冊表鍵、受保護的注冊表鍵、受保護的COM接口、信任軟件供應商,共計八個方面的相關設置。
(一)Defense+預定義規則設置:
預定義規則是科摩多防火墻程序的Defense+ 設置中預先定義應用程序安全訪問控制規則:可以分為可信程序的Defense+預定義規則;WINDOWS
系統應用程序的Defense+預定義規則;被隔離的程序的Defense+預定義規則;被限制的應用程序的Defense+預定義規則。
(01)屬于可信任程序的預定義規則的相關設置:
可信程序的預定義規則,可以通過“編緝”按扭來展開;單擊編輯按扭,彈出“輸入預定義規則”名稱的設置窗口,單擊其下的“自定義”按扭,就可以打開屬于可信程序范疇的Defense+預定義規則詳細設置的操作界面。
Defense+預定義規則詳細設置:分為訪問權限和保護設置兩部分;“訪問權限”決定了該應用程序能對其它進程進行哪些操作,而“保護設置”定義其它進程能對它進行什么操作。
訪問權限界面允許您定義在自定義規則中的應用程序能執行哪些行為,這些行為被稱為“訪問名稱”
(02)WINDOWS
系統應用程序的Defense+預定義規則設置方法的原理同上。
(03)被隔離的程序的Defense+預定義規則設置方法的原理同上。
(04)被限制的應用程序Defense+預定義規則設置方法的原理同上。
(二)應用程序添加Defense+自定義規則設置:
應用程序添加Defense+自定義規則的步驟和方法如下圖所示:
(三)無法識別的應用程序或不信任程序在SANDBOX內的添加與運行:
(四)設置所要攔截的文件:
添加所要攔截的文件的方法如下圖所示:
(五)受保護的文件和文件夾的設置
(六)受保護的注冊表鍵
(七)受保護的COM接口:
(八)信任軟件供應商的數字簽名的相關設置:
打開“計算機安全規則”下的“信任軟件服務商”的設置界面,把科摩多應用程序未自行添加的可信任服務商的數字簽名添加到可信任軟件供應商的白名單數據列表中。
方法:單擊“添加”按扭,顯示兩種途徑,一是通過“從已經被簽名的程序中讀取....”;另一種途徑是“從正在運行的程序中讀取.....”。
