McAfee Application Control 8.1.0 -Windows 产品手册
目录
5. 在epo服务器设置上输入ACS及CHS的许可密钥 --------------------------------- 8 6. 对华为云终端下发任务,推送ACS及CHS ---------------------------------------- 9 3,启用应用白名单及变更控制软件功能 -------------------------------------------- 10 4,在终端上确认epo下发的策略已执行并检查系统是否完成固化操作 ------------------ 10 5,在华为云终端验证ACS功能,执行PE文件被阻挡 -------------------------------- 11 6,在华为云终端验证Change control功能,创建变更保护策略,以TXT为样板 ---------- 12
6.1,选中单个主机修改分配策略,分配新建的测试策略 ----------------------- 12 6.2,修改文件被阻止 ----------------------------------------------------- 13
7,在epo上查可以查看所有来自MAC所产生的事件 -------------------------------- 14
产品概述
概述
McAfee? Application Control 是一款安全软件,可以阻止未经授权的应用程序在您的系统上运行。 Application Control 采用动态白名单,以确保只有受信任的应用程序才能在服务器、设备和台式计算机上运行。 有了它,无需 IT 管理员手动维护已批准应用程序的列表。 它还提供对端点的 IT 控制,以帮助强制实施软件许可合规性。
此软件采用动态信任模型和创新安全功能,可以阻止高级持续威胁 (APT),无需更新特征码。 它可以提供保护保障而不影响生产效率。 使用 Application Control,您可以:
? 防止执行任何恶意的、不可信的或有害软件。 ? 自动识别受信任的软件并授予其运行权限。 ? 阻止用户引入会给贵公司带来风险的软件。
关键功能
Application Control 可以通过在恶意攻击出现之前主动控制桌面、笔记本电脑和服务器上运行的应用程序,保护您的组织抵御恶意软件攻击。 它会在已连接或已断开连接的服务器、虚拟机 (VM) 和端点上强制实施控制。
动态白名单
Application Control 可以通过在恶意攻击出现之前主动控制在您的系统中运行的应用程序,保护您的组织抵御恶意软件攻击。
您可以采用安全且动态的方式管理您的白名单。 IT 管理员无需手动维护已批准应用程序的列表。 Application Control 按应用程序和供应商对贵公司的可执行文件(二进制文件、库和驱动程序)进行分组。
您可以轻松搜索有用信息,例如: ? 本周添加的应用程序 ? 未认证的二进制文件 ? 信誉未知的文件
? 正在运行过时版本的系统
威胁防护
Application Control 将覆盖范围扩展到可执行文件、库、驱动程序、Java 应用程序、ActiveX 控件和脚本,以便加强对应用程序组件的控制。 它会在已连接或已断开连接的服务器、虚拟机、端点和固定设备(例如自助终端和销售点 (POS) 终端)上强制实施控制。 此外,它还可以锁定受保护的端点免遭威胁和有害更改,无需执行文件系统扫描或其他可能影响系统性能的定期活动。
高级内存保护
Application Control 提供多种内存保护技术来防止零时差攻击。 在 Windows 自带功能或基于特征码的缓冲区溢出防护产品提供保护的基础上,内存保护技术可提供额外的保护。 这些技术还可防止列入白名单的应用程序被 Windows 32 和 64 位系统上的内存缓冲区溢出攻击利用漏洞。
知识获取
Application Control 允许您切换至“观察”模式,以在不强制实施白名单锁定的情况下探索动态桌面环境的策略。 此模式有助于您在预生产环境中部署软件,而不会影响现有应用程序的运行。
基于信誉的执行
Application Control 与信誉源集成以接收文件和证书的信誉信息。 Application Control 根据从以下任一源接收的信誉允许或禁止执行和软件安装。
集中式管理
Application Control 与 McAfee? ePolicy Orchestrator? (McAfee? ePO?) 软件集成以允许综合集中式管理,从单个控制台提供全局企业安全视图。
工作原理
Application Control 会创建包含所有已授权可执行文件的白名单。 当运行未列入白名单的可执行文件时,Application Control 会检查文件的信誉,并允许或阻止文件执行。 此软件首先会与 McAfee? Threat Intelligence Exchange (TIE) 服务器通信,以提取文件的信誉。
如果 TIE 服务器不可用,则 Application Control 会与 McAfee? Global Threat Intelligence? (McAfee GTI) 通信,以从该服务器提取信息。 Application Control 会使用已定义的规则和策略来确定文件执行。
1. 用户或应用程序尝试在已安装 Application Control 和 McAfee? Agent 的托管端点上执行文件。 2. Application Control 会检查文件的信誉,并允许或阻止文件执行。
3. Application Control 与 TIE 服务器通信以接收有关文件及任何相关证书的信誉信息。 Application Control 会根据此信息允许或阻止文件执行。
4. 如果 TIE 服务器不可用,则 Application Control 会与 McAfee GTI 服务器通信,以提取文件的信誉。
5. McAfee? Data Exchange Layer (DXL) 提供了用于在 Application Control 和 TIE 或 McAfee GTI 之间通信的框架,因此这些产品可以共享威胁信息。
6. 管理员可以管理所有端点、部署策略、创建规则、添加证书、管理清单、监控活动以及审批请求。 7. 有关尝试运行应用程序的信息会发送至 McAfee ePO 服务器,并显示在其信息显示板、报告或日志中。
使用 Application Control
Application Control 模式
Application Control 确保只有合法且经授权的应用程序在系统上运行。 它可以在四种不同模式下运行。 每种模式在原则和使用方面各有不同。
已禁用
此模式表示 Application Control 未在您的系统上运行。 尽管已安装此应用程序,但其功能被禁用。 安装后,此应用程序将默认以“已禁用”模式显示。 您随后可以切换至“观察”、“更新”或“已启用”模式。
已启用
此模式表示 Application Control 正在运行且已启用保护。 “已启用”模式支持基于信誉的执行。 执行文件时,Application Control 会提取其信誉以及与该文件相关的所有证书的信誉,以确定是允许还是禁止文件执行。 Application Control 可以与 TIE 服务器和 McAfee GTI配合使用,以提取文件的信誉信息。
以下是可用的信誉值:
? 受信任文件 -- 如果信誉是受信任的,则允许该文件运行,除非预定义的禁止规则阻止其运行。 不会生成观察或事件。
McAfeeApplicationControl0-Windows产品手册 - 图文
