实时对网络下载、聊天工具文件传输、U盘等易感染病毒的途径进行严密安全防护。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全防护中心 >规则运营。
2. 在规则运营页面,选择实时防护,单击新建策略。
3. 在新建实时防护策略页面,配置相关参数。
3.1 输入策略名称,并输入策略描述等参数。
3.2 单击添加适用范围 ,勾选需管控/排除的用户/终端名称,单击确定。
4. 根据实际需求,选择如下实时防护策略,单击保存。
进程防护
1. 实时扼杀危险进程,让病毒“启动即失效”,为您的终端提供底层安全防线。
2. 勾选进程防护并开启进程防护开关后,规则运营 > 实时防护 > 钓鱼防护 > 外联防护方可生效。
3. 开启进程防护后,当存在危险进程时,客户端弹窗示例:
文件下载防护
1. 勾选文件下载防护并开启文件下载防护开关。
对安装有 iOA 的终端,从浏览器下载的文件进行监控和防护。针对银狐通过利用仿冒下载站点下载钓鱼样本以及白加黑攻击手法,加强浏览器等渠道下载文件的检测及阻断能力。
对所有下载的文件进行安全提醒:分为“未知”、“安全”、“风险”三种类型的弹窗提醒。
说明:
建议配置为“对所有下载的文件进行安全提醒”,此配置方式可鉴别文件安全/未知状态,对于未知的文件,也需要加以防范,可疑度也可能很高。
只对危险文件进行安全提醒:只有“风险”类型的文件才会弹窗提醒。
2. 当存在下载文件或危险文件时,客户端弹窗示例:
文件系统防护
1. 勾选文件系统防护并开启文件系统防护开关。
针对客户端本地文件操作的防护等级,等级越高,监控的操作行为越多,但同时对文件的读写性能消耗(IO 操作或磁盘读写速度的影响)也会越大。
自动监控文件创建、读写、删除等关键操作,0秒阻断勒索加密、恶意篡改等攻击,确保数据完整可信。
说明:
实时文件监控设置建议保持中等,可阻断大部分执行和改写行为,对于只读行为放过。(设置为“低”等级,将使得针对文件的改写相关的保护无效;设置为“高”等级,除了监控执行和写入,还会监控读操作,一般只读操作的危害相对较小,且性能影响较大)。
2. 发现风险时的处理方式:推荐自动处理,自动将风险文件备份至隔离区后删除。
其他基础防护
1. 在实时防护 > 其他基础防护中,启用各项防护功能:包括桌面图标防护、摄像头防护、网页防火墙、注册表防护、驱动防护、黑客入侵防护、U盘防护。
建议:其他基础防护全部开启,任何一项关闭,都可能导致防护能力的缺失。
U 盘防护设置
1. 功能:针对安装有 iOA 的终端,插入 U 盘后的行为管控防护策略。
禁用系统自动播放(重启后生效):此操作将阻止系统在插入 U 盘或移动硬盘后自动执行 autorun 文件。
使用 U 盘时,自动扫描 U 盘的病毒木马:插入 U 盘后,会自动扫描 U 盘中是否存在风险,如存在,则弹窗提醒或自动清除。
自动清除 U 盘中的病毒木马:针对使用 U 盘时,自动扫描 U 盘中的病毒木马中发现的风险,配置是否自动清除,勾选后将自动清除 U 盘中的病毒木马,不勾选弹窗提醒,需手动清除。
钓鱼防护
1. 勾选钓鱼防护并开启钓鱼防护开关,钓鱼防护可针对银狐常利用的正规软件进程进行防御规避和持久化等战术,采取主动防御措施予以阻断;针对银狐伪装的知名软件安装包,基于其安装行为进行识别,守护系统安全。
社工防护引擎:开启社工防护引擎后,将检测从邮件、通信工具、浏览器等渠道接收或下载的外部文件是否使用社工欺骗类技术,有效提升对钓鱼、水坑等攻击方式的防护效果。
远控行为识别:识别终端上存在的远程控制行为,对可疑的模拟键鼠动作进行阻断。
开启外联防护:从IM 渠道(QQ、微信、邮箱客户端等)落地的样本对外发起可疑网络请求的时候进行阻断。
2. 查看钓鱼告警:在终端安全防护中心 > 安全态势 > 钓鱼防护中即可查看终端钓鱼防护相关告警。
