Intel vPro (версии 2.0 и более поздних) включает функцию системной защиты (System Defense), которая реализует политики сетевой защиты на управляемых устройствах. Можно выбрать и применить политики системной защиты на управляемых устройствах.
При применении политики системной защиты на устройстве Intel vPro устройство фильтрует входящие и исходящие сетевые пакеты в соответствии с определенными политиками. При совпадении сетевого трафика с условиями предупреждения, определенными для фильтра, генерируется предупреждение, и сетевой доступ к устройству блокируется. Устройство будет изолировано от сети до тех пор, пока вы не завершите процесс исправления для соответствия данной политике.
LANDesk Management Suite содержит предопределенные политики системной защиты, которые можно применить для устройств Intel vPro. Каждая политика содержит набор фильтров, определяющий, какой вид сетевого трафика недопустим и какие действия нужно выполнить в результате, когда трафик снова станет соответствовать критериям фильтра.
Когда политика System Defense активна на управляемом устройстве, устройство осуществляет мониторинг всего входящего и исходящего сетевого трафика. При обнаружении условий фильтрации происходит следующее:
В следующем разделе этот процесс описан более детально.
Management Suite содержит следующие предопределенные политики системной защиты, которые можно применить для устройств Intel vPro. Политики определяются с помощью следующих параметров: номер порта, тип пакета и количество пакетов за определенное время. При включении политики она регистрируется с Intel vPro на выбранных устройствах. Политики сохраняются в виде файлов XML на управляемом устройстве в папке CircuitBreakerConfig.
BlockFTPSrvr: Эта политика запрещает трафик через порт FTP. При посылке и получении пакетов через порт FTP 21 пакеты отбрасываются, и сетевой доступ приостанавливается.
LDCBKillNics: Эта политика блокирует трафик через все
сетевые порты, кроме следующих портов управления:
Описание портов | Диапазон номеров | Направление трафика | Протокол |
---|---|---|---|
Управление LANDesk | 9593-9595 | Отправка/получение | TCP, UDP |
Управление Intel vPro | 16992-16993 | Отправка/получение | Только TCP |
DNS | 53 | Отправка/получение | Только UDP |
DHCP | 67-68 | Отправка/получение | Только UDP |
LDCBSYNFlood: Эта политика обнаруживает dos-атаку в виде синхронной лавины пакетов; происходит отказ от обслуживания: при включенном флажке SYN за одну минуту пропускаются не более 10000 пакетов TCP. При превышении этого количества пакетов сетевой доступ приостанавливается.
UDPFloodPolicy: Эта политика обнаруживает dos-атаку в виде потока UDP-пакетов; происходит отказ от обслуживания: пропускаются не более 20,000 UDP пакетов в минуту на портах, пронумерованных от 0 до 1023. При превышении этого количества пакетов сетевой доступ приостанавливается.
RemoveAllPolicy: Позволяет удалить все политики, отменяя их регистрацию с Intel vPro на выбранных устройствах.
Для устройств, оснащенных Intel vPro 3.0 или более поздней версии, можно включить функцию Enhanced System Defense (Улучшенная защита системы). Эта функция предотвращает атаки вредоносного программного обеспечения, осуществляя непрерывную проверку сетевого трафика и оценивая его с помощью эвристических правил фильтрации. Она определяет и блокирует подозрительные действия, например, повторяющиеся действия, генерируемые вирусами.
Если обнаружены подозрительные действия, проблемное устройство изолируется от дальнейшего взаимодействия с сетью, за исключением порта исправления, через который Management Suite может переустановить политику System Defense и восстановить сетевое подключение после устранения проблемы.
Если сетевой доступ к устройству приостановлен в результате применения политики системной защиты, устройство появляется в очереди исправлений. Оно остается там до тех пор, пока вы не удалите его из списка, после чего восстанавливается активная политика на данном устройстве. Перед тем, как это сделать, вы должны решить проблему, в результате которой устройство было помещено в очередь. Например, если был обнаружен трафик FTP, вы должны подтвердить, что были предприняты необходимые действия для предупреждения дальнейшего нежелательного трафика FTP на устройстве.
Для исправления устройств с помощью функции расширенной системы защиты выберите Конфигурация > Параметры Intel vPro > Исправление расширенной системной защиты (Configure > Intel vPro options > Enhanced System Defense Remediation), как описано ранее в действии 1.