【文件监控防篡改】使用指南

文件监控→防篡改功能:

 

(该功能很强大,请详细阅读以下设置说明)

 

 

一、常规设置:

打开文件监控→常规设置,可以设置禁止文件名包含字符、是否拦截畸形文件等,和上一版本操作相同,如下图:

 

二、高级设置:

  1、白名单:

    (1)设置进程名,不受执行限制的影响,可以执行,一般设置信得过的进程;

    (2)合法扩展名的白名单,如 *.ldb  *.mdb 之类,以及*.html 等,根据情况设置;

    (3)信任的路径,设置监控目录下的子目录,系统将对旗下目录所有操作放行,注意将/换成\。

 

  2、防篡改设置:

    (1)分别功能为:禁止读取、禁止新建、禁止修改、禁止执行、禁止删除 等,用户请根据自身情况进行设置;

    (2)进程白名单:受信任的进程,允许随意对监控目录进行不受限制的操作,如 explorer.exe,也可以设置全路径,支持*通配符;

    (3)程序池白名单:设置受信任的程序池,如主机系统所在的程序池,将放行主机系统的所有功能,如果其他受信任的程序池也可以放进去,谨慎设置。

 

三、以下逐个功能演示防篡改功能:

  1、禁止读取(目录也是禁止访问的),拦截后,系统给出拒绝访问提示,无法读取文件,如下图:

注:一般该功能不常用,可以用于锁定某些私密目录不被访问。

 

  2、禁止新建文件,禁止后,创建文件出现拒绝访问错误,无法创建,如下图:

注:

  (1)如果网站不会生成静态,也不会上传文件,可以选中禁止新建/重命名;

  (2)如果需要上传文件,可以将需要上传的目录,设置到白名单中;

 

  3、禁止修改,禁止后,用记事本编辑文件保存,提示失败,如下图:

注:

  (1)如果网站代码已经固定(如纯静态网页),则可以选择禁止新建、修改、执行、删除,让网站原封不动;

  (2)如果要生成静态,则需要将静态目录设置到白名单中;

  (3)如果要通过FTP等进行网站的修改,可以将FTP进程的进程名或路径设置到进程白名单中即可(注意FTP密码必须足够复杂且没有泄露);

  (4)程序池白名单中的网站不受限制。

 

  4、禁止执行,禁止后,如果不在白名单内,执行该程序,将会出现错误提示(白名单例外):

注:

  (1)一般都需要禁止网页目录被执行,强烈建议选中;

  (2)如果网页是asp.net语言编写,由于asp.net编译时会生成dll文件并执行,因此,不建议选中该项,同时为了安全,请在进程限制中,对 w3wp.exe 进行限制;

  (3)进程白名单和程序池白名单不受此限制。

 

 

  5、禁止删除,删除文件时提示无法删除,如下图:

注:

  (1)禁止删除,可以禁止黑客对网页和数据库进行删除,但是能够进行编辑和新建,用户可以合理选择;

  (2)可以用在个人电脑,防止他人无意中删除自己的文件。

 

四、总结:

  (1)请根据自身情况进行设置,设置越严格安全系数越高;

  (2)目前3.0.0版本的入侵防护系统,只支持 Windows Server 2003/32位操作系统,3.5.0以及以上版本支持所有操作系统;

  (3)请不要随意设置监控目录,否则可能造成系统故障,一般建议设置网站所在目录,如D:\wwwroot 即可,不需要监控的目录直接用白名单排除。

用户留言