张小烦 发表于 2017-2-27 20:36:05

【文件监控防篡改】使用指南

文件监控→防篡改功能:
(该功能很强大,请详细阅读以下设置说明)

一、常规设置:打开文件监控→常规设置,可以设置禁止文件名包含字符、是否拦截畸形文件等,和上一版本操作相同,如下图:
二、高级设置:1、白名单:    (1)设置进程名,不受执行限制的影响,可以执行,一般设置信得过的进程;    (2)合法扩展名的白名单,如 *.ldb*.mdb 之类,以及*.html 等,根据情况设置;    (3)信任的路径,设置监控目录下的子目录,系统将对旗下目录所有操作放行,注意将/换成\。
2、防篡改设置:    (1)分别功能为:禁止读取、禁止新建、禁止修改、禁止执行、禁止删除 等,用户请根据自身情况进行设置;    (2)进程白名单:受信任的进程,允许随意对监控目录进行不受限制的操作,如 explorer.exe,也可以设置全路径,支持*通配符;    (3)程序池白名单:设置受信任的程序池,如主机系统所在的程序池,将放行主机系统的所有功能,如果其他受信任的程序池也可以放进去,谨慎设置。
三、以下逐个功能演示防篡改功能:1、禁止读取(目录也是禁止访问的),拦截后,系统给出拒绝访问提示,无法读取文件,如下图:注:一般该功能不常用,可以用于锁定某些私密目录不被访问。
2、禁止新建文件,禁止后,创建文件出现拒绝访问错误,无法创建,如下图:注:(1)如果网站不会生成静态,也不会上传文件,可以选中禁止新建/重命名;(2)如果需要上传文件,可以将需要上传的目录,设置到白名单中;
3、禁止修改,禁止后,用记事本编辑文件保存,提示失败,如下图:注:(1)如果网站代码已经固定(如纯静态网页),则可以选择禁止新建、修改、执行、删除,让网站原封不动;(2)如果要生成静态,则需要将静态目录设置到白名单中;(3)如果要通过FTP等进行网站的修改,可以将FTP进程的进程名或路径设置到进程白名单中即可(注意FTP密码必须足够复杂且没有泄露);(4)程序池白名单中的网站不受限制。
4、禁止执行,禁止后,如果不在白名单内,执行该程序,将会出现错误提示(白名单例外):
注:(1)一般都需要禁止网页目录被执行,强烈建议选中;(2)如果网页是asp.net语言编写,由于asp.net编译时会生成dll文件并执行,因此,不建议选中该项,同时为了安全,请在进程限制中,对 w3wp.exe 进行限制;(3)进程白名单和程序池白名单不受此限制。


5、禁止删除,删除文件时提示无法删除,如下图:注:(1)禁止删除,可以禁止黑客对网页和数据库进行删除,但是能够进行编辑和新建,用户可以合理选择;(2)可以用在个人电脑,防止他人无意中删除自己的文件。
四、总结:(1)请根据自身情况进行设置,设置越严格安全系数越高;(2)目前3.0.0版本的入侵防护系统,只支持 Windows Server 2003/32位操作系统,3.5.0以及以上版本支持所有操作系统;(3)请不要随意设置监控目录,否则可能造成系统故障,一般建议设置网站所在目录,如D:\wwwroot 即可,不需要监控的目录直接用白名单排除。
页: [1]
查看完整版本: 【文件监控防篡改】使用指南