功能分析依据的标准可保证最高级别的保护,因此在设置功能分析时必须进行指定。
在功能分析依据的标准部分指定的标准可用于保护模式。对标准的选择取决于所需要的保护等级和系统的特点。
功能分析标准的类型
1.启动应用程序:
▫禁止启动使用Doctor Web公司已知的广告程序证书签名的应用。
阻止转播广告的应用启动。
▫禁止启动使用Doctor Web公司已知的盗用证书签名的应用。
阻止使用“盗用”证书签名的应用启动。使用这类证书签名的应用大多不安全。
▫禁止启动使用Doctor Web公司已知的拨号器证书签名的应用。
禁止启动使用用于拨号器的证书签名的应用。此标准建议使用。
▫禁止启动使用仿造/受损证书签名的应用。
禁止启动使用无效的证书签名的应用。此标准建议使用。
▫禁止启动使用Doctor Web公司已知的恶意软件证书签名的应用。
禁止启动使用被解密的证书签名的应用。此标准建议使用。
▫禁止启动使用已召回的证书签名的应用。
禁止启动使用被盗或被解密证书签名的应用。此标准可以防止可能时恶意软件的应用启动,因此建议使用。
▫禁止启动使用自签名证书签名的应用。
阻止可能是恶意软件的未授权软件。
▫禁止启动未签名的应用。
阻止来源不明的可能是恶意软件和不良软件的应用。
▫禁止启动Sysinternals的工具。
防止系统被Sysinternals工具破解。
|
如果在允许标签勾选了允许启动系统应用和Microsoft公司出品的应用,则在禁止启动的情况下Sysinternals工具仍然会启动。 |
▫禁止从NTFS备用数据流(ADS)启动应用。
从NTFS备用数据流(ADS)启动的应用大都是恶意应用,因此必须使用这一标准。
▫禁止从网络和共享资源启动应用。
从网络和共享资源启动应用不是正规的操作,会给系统安全带来威胁。此标准建议使用。
▫禁止从移动载体启动应用。
从网络和共享资源启动应用不是正规的操作,会给系统安全带来威胁。此标准建议使用。
▫禁止从临时目录启动应用。
阻止应用从临时目录启动。
▫禁止启动Windows/Microsoft Store应用(仅限Windows 8和更高版本)。
阻止启动从Windows/Microsoft Store加载的应用。
▫禁止启动带有双/非常规扩展名的应用。
阻止启动带有非常规扩展名的可疑应用(例如*.jpg.exe)。
▫禁止启动bash外环境和WSL应用(仅限Windows 10和更高版本)。
阻止启动bash外命令环境和WSL应用。
2.加载和执行模块。可在两种模式下运行:
▫加载所有模块。
此模式对资源的消耗较大,因此只建议在有提高监控等级的情况下使用。
▫监控主机应用模块的加载和执行。
此模式对资源的消耗要小一些。只监控可能被用于破解系统或将恶意软件假冒系统软件或可信任文件入侵系统的进程的模块的运行。建议在没有必要提高监控等级的情况下使用。
加载和执行模块这一标准的使用建议与启动应用程序标准的使用建议类似。
3.启动脚本解释器:
▫禁止启动CMD/BAT场景。
阻止启动扩展名为cmd和bat的文件。
▫禁止启动HTA场景。
阻止启动HTA场景。这类场景可以处理恶意脚本并将危险的执行文件下载到计算机。
▫禁止启动VBScript/JavaScript。
阻止启动VBScript和JavaScript脚本语言编写的应用。这类应用可以处理恶意脚本并将危险的执行文件下载到计算机。
▫禁止启动PowerShell场景。
阻止启动PowerShell脚本语言编写的场景。这类场景可以处理恶意脚本并将危险的执行文件下载到计算机。
▫禁止启动REG场景。
阻止启动注册表脚本(文件扩展名为reg)。这类文件可被用于添加或更改注册表参数。
▫禁止从NTFS备用数据流(ADS)启动场景。
阻止从NTFS备用数据流(ADS)启动场景。此类场景多为恶意,因此此标准建议使用。
▫禁止从网络和共享资源启动场景。
从网络和共享资源启动场景不是正规的操作,会给系统安全带来威胁。此标准建议使用。
▫禁止从移动载体启动场景。
从移动载体启动场景不是正规的操作,会给系统安全带来威胁。此标准建议使用。
▫禁止从临时目录启动场景。
从临时目录启动场景不是正规的操作,会给系统安全带来威胁。此标准建议使用。
4.加载驱动程序。
▫禁止加载未签名的驱动程序。
阻止加载rootkit和bootkit。阻止利用软件和操作系统的漏洞。
此模式建议在64位操作系统版本使用。也可在32位操作系统版本使用,前提时系统中没有未签名的驱动程序。
▫禁止加载常用软件有漏洞的驱动程序版本。
阻止加载常用软件不安全的驱动程序版本。
|
禁止加载常用软件有漏洞的驱动程序版本这一设置不可以有排除项。 |
加载驱动程序标准的其他使用建议与启动应用程序标准的使用建议类似。
5.安装MSI数据包。
安装MSI数据包标准的使用建议与启动应用程序标准的使用建议类似。
6.可执行程序完整性。
▫禁止创建新的可执行文件。
阻止创建新的可执行文件的企图。
▫禁止更改可执行文件。
阻止更改可执行文件的企图。
可执行程序完整性标准仅限在可信任环境运行的系统使用。在这类系统中所有进程都在管理员的控制直线(如取款机等系统)。
在其他系统使用可执行程序完整性标准或导致不可预见的后果,甚至或造成工作站故障。
|
可执行程序完整性标准不可被规则覆盖。 |