McAfee ePO中定义可执行文件数字签名检查功能初探

最新推荐文章于 2025-05-14 09:57:51 发布
最新推荐文章于 2025-05-14 09:57:51 发布
阅读量691 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 其他技术文摘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/robur/article/details/85090853
本文介绍如何使用McAfee Endpoint Security的访问保护策略,通过自定义数字签名规则,有效阻止如360全家桶等特定数字签名的程序运行。此方法比Windows自带策略更灵活,能精准识别并控制程序执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

测试所用环境:

McAfee ePO 5.10.0

Endpoint Security 套件 10.6.1

=========================================

在Endpoint Security Threat Prevention中,有一个“访问保护”策略,其中可以自定义规则,通过识别可执行文件(PE)的数字签名的“签名者”,来排除或禁止某些可执行文件运行。

此功能相较于Windows系统自带的数字证书策略更为灵活,因为它不去验证完整的数字签名,只检查数字签名的“签名者”信息。

比如,管理员希望在公司系统中禁用360全家桶,恰好这些全家桶安装包都是带数字签名的。但仔细观察可发现,全家桶中不同产品、不同时期发行的版本,数字签名所用的证书都有所不同。如果使用Windows的数字证书策略来禁止,需要把许多个数字证书加入“不信任”分组中。即便是域在环境下,初始工作量也很大。而且无法避免360日后再签发新的证书(主要指证书的有效期)。

使用“访问保护”策略,可以更为简单。(具体操作方法后附。)只需要定义一两次数字签名的“签名者”,即可识别360全家桶。即便是在不同时期签发的数字证书,数字证书的“使用者”信息(即数字签名的签名者)基本不会变化。“签名者”的定义以如下形式表现:

C=CN, S=BEIJING, L=BEIJING, O="BEIJING QIHU TECHNOLOGY CO., LTD.", OU=*, CN="BEIJING QIHU TECHNOLOGY CO., LTD."

**可注意到,上面OU元素后面跟随的是通配符。在其他元素中同样可以使用通配符。

*********************此处为重点******************

在McAfee的策略中通过数字签名定义可执行文件,需要遵循如下规则:

(有一些限制在McAfee的官网中没有说明,是我们在试验时发现的。)

1、以颠倒的元素顺序排列,使用半角逗号分隔,不得换行(指不能有换行、回车符);

2、如果某个元素的值中含有半角逗号,那么这个值需要用半角双引号圈起来。反之,如果一个元素的值中没有半角逗号,则不得使用双引号;

3、在Windows系统中,字母不区分大小写;

4、元素的值可以使用通配符(*);

5、元素的数量不能增加或缺少,元素的顺序不能乱,必须跟数字签名用证书内的完全一致;

6、部分“签名者”信息只能在ePO中录入,在Endpoint Security Threat Prevention软件中录入会提示错误。比如含有中文字符或者含有“E”(e-mail)元素的;

7、元素、值跟“=”之间不能有空格。如“C=CN”是正确的表达。“C = CN”、“C =CN”及“C= CN”都是错误的。

 

***********最佳实践***********

用Endpoint Security Threat Prevention阻止带有特定数字签名的程序运行(以360/奇虎全家桶为例)。

1、在ePO主菜单中,找到“策略目录”,选中“Endpoint Security Threat Prevention”产品,再选中“访问保护”,编辑下发的策略(规则)。

2、进入到编辑模式后,点击“显示高级”,展开高级编辑视图。在“规则”编辑中,点击“添加”,新增一条规则。

3、给规则起个名字,比如“按数字签名阻止程序运行”。选中“阻止”和“报告”。“可执行文件”和“用户名”两处均默认留空,表示任何可执行文件和任何用户名。

4、在下方“子规则”处点击“添加”,进入子规则编辑视图。

5、为子规则起个名字,比如“阻止特定签名程序运行”。“子规则类型”选择“进程”,“操作”选择“运行”。

6、在下方“目标”处点击“添加”,添加一个可执行文件的特征描述。

7、起个名字,比如“360-1”。“包含状态”默认选择“包含”。勾选“启用数字签名检查”,单选“签名者”,输入信息如下:

C=CN, S=BEIJING, L=BEIJING, O="BEIJING QIHU TECHNOLOGY CO., LTD.", OU=*, CN="BEIJING QIHU TECHNOLOGY CO., LTD."

(**注意这里使用了双引号)

8、依次点击四次“保存”按钮,存储修改过的策略。

如需添加更多“签名者”,则重复6-7步骤即可。如再添加一个“签名者”,用于拦截“撸大屎”系列垃圾:

C=CN, S=BEIJING, L=BEIJING, O=QIHOO 360 SOFTWARE (BEIJING) COMPANY LIMITED, OU=*, CN=QIHOO 360 SOFTWARE (BEIJING) COMPANY LIMITED

(**注意这里没有使用双引号)

Mcafee EPO 4.5(epolicy orchestrator)繁体中文版(1/8)
08-18
McAfee發表新版安全管理平台ePOePolicy Orchestrator)4.5,除整合去年買下的Secure Computing外,強調新的工作流程設計與自動化管理,簡化企業集中安全管理。 ePO 4.5延續McAfee的集中安全管理策略,以單一管理平台控管McAfee Web Gateway、McAfee Mail Gateway、McAfee Firewall Enterprise等產品,還整合去年以4.65億美元購併的Secure Computing,取得其TrustedSource整合至ePo資料庫中,強化McAfee對全球威脅情報的預防能力。 McAfee台灣區技術經理沈志明表示,相較舊版的4.0,新版ePO在管理平台上增加了網頁介面,支援拖拉的簡單操作控管各個安全設備,至於管理政策上,也從前版ePo以設備為政策管理對象改為以使用者為主,同時簡化了佈署所需架構,降低企業隨著資安風險提高需要管理多種安全設備的複雜與成本。 沈志明表示,企業可透過新平台為設備作簡單的簽入,就可將設備很快的納入ePo控管下,在平台上瞭解每個設備狀況,或是經由ePo進行政策控管、特定設備的軟體派送等等。 McAfee先前於2007年間買下Original、Safeboot、Reconnex,包括去年取得Secure Computing及MX Logic,現在都陸續整合進自家管理平台中。 而看準企業因為管理多家廠商設備而複雜化,McAfee也開放ePO的API提出SIA(Security Intelligence Alliance)聯盟計劃,讓其他家業者的產品可支援ePo管理平台,也能存取ePo上的資料。到目前為止,該計劃已獲得HP等70多家業者加入。
macfee-epo安装文档
05-28
macfee-epo 网络 杀毒软件 安装步骤,杀毒软件指南,ETP5.9.1部署安装指南-新版本。Mcafee agent部署安装步骤。病毒库下载更新
McAfee Epo
weixin_34268169的博客
09-01 1025
前言 作为IT技术人员,可能是因为进入圈子的方式不一样,对于IT界的认知也会有些不同,个人感觉,不管是从事网络,系统,还是安全的技术人员,至少都应该有一个记录的好习惯,这个习惯不局限于博客,或者文档;因为我之前就是习惯于写文档,然后保存到本地或者云盘,但是当我文档多了之后就会发现,这个方法并...
安装McAfee EPO 5.10.0
LIMY_hm的博客
11-27 5094
安装McAfee EPO(踩的坑超级多)哭唧唧安装前准备安装环境:新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导...
兔年之Mcafee EPO学习心得
weixin_33851177的博客
02-14 332
今年是兔年,是自己传说中的本命年,换新工作已经有半年的时间了,今年是要进步,要改变的一年,还记得自己写过一篇文章叫做24岁走一条什么样的路,今年就是24岁了抓紧时间,定好目标,一步一个脚印,每天都要充实、进步、不浪费。 今天主要写写Mcafee在安装和使用过程中的一些注意问题,省的今后自己脑子不好用再给忘了,mcafee是世界一流的防病毒解决方案提供商,他的网络版杀毒产品...
MCAFEE EPO5.10安装手册
10-17
mcafee 5.10官方下载的中文安装手册(20181016lsq),里面有详细的安装说明 适用于5.10-5.13版的EPO部署
McAfee EPO agent
04-20
EPO代理(Agent)是该系统的核心组件,它安装在各个目标计算机上,负责执行EPO服务器的指令,如更新防病毒定义、执行扫描、实施策略等。 在EPO系统中,分布式数据库(Distributed Database,简称DD)是一种优化性能...
教你用好手中的McAfee杀毒软件和McAfee企业集中管理工具EPO.pdf
12-16
VShield 自动监视系统,会常驻在 SystemTray,当你从磁盘、网络上、E-mail 夹文件中开启文件时便会自动侦测文件的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用...
McAfee ePO 4.5 配置手册
12-25
### McAfee ePO 4.5 配置手册知识点详解 #### 一、登录控制台 - **方式一**:通过服务端桌面图标登录。 - **方式二**:通过浏览器访问`https://epo:8443`进行登录。 #### 二、配置EPO ##### 1、服务器及相关参数...
如何在Mcafee EPO中配置VirusScan Enterprise客户端以实现自动更新DAT文件?
10-27
为了在Mcafee EPO中配置VirusScan Enterprise(VSE)客户端的自动更新,你需要按照以下步骤操作:(步骤、代码、流程图、扩展内容,此处略) 参考资源链接:[Mcafee EPO 5.9.1部署安装及管理全攻略]...
McAfee ePolicy Orchestrator 5.9.0 产品手册
11-08
McAfee® ePolicy Orchestrator® (McAfee® ePO™) 是一款可扩展的平台,可对安全策略进行集中式策略管理与强制实施。
MCAFEE EPO5.10安装手册:快速部署企业安全解决方案
最新发布
gitblog_06781的博客
05-14 341
MCAFEE EPO5.10安装手册:快速部署企业安全解决方案 【下载地址】MCAFEEEPO5.10安装手册 这本McAfee EPO 5.10中文安装手册是官方发布的权威指南,专为5.10至5.13版本设计,帮助用户轻松完成EPO部署。手册详细介绍了安装前的准备工作、具体安装步骤以及安装后的配置指南,确保每个环节都清...
McAfee新版ePO管控台纳入数据保护技术
tianyu的专栏 - Linux site:blog.youkuaiyun.com/wishfly
11-09 1390
 McAfee今天(11/8)推出ePO 4.0安全管理控制面板,新版本整合数据遗失保护技术(Data Loss Prevention, DLP)。 ePO中最新加入的DLP技术来自McAfee去年收购的Onigma公司,该技术专门协助企业防止未经授权的数据透过电子邮件、实时通讯、USB等管道外流。企业内部员工可观看数据,但透过文件上的标记,DLP会阻挡文件流出企业,或是纪录文件传输流程。 整合安
教你用好手中的McAfee 杀毒软件和McAfee 企业集中管理工具EPO
weixin_34355881的博客
06-12 634
咖啡是国际上三大杀软之一,也是下载使用率最高的杀软。它是迄今为止监控最灵敏的杀软,也是监控最全面的杀软。 McAfee防毒软件,除了操作介面更新外,也将该公司的WebScanX功能合在一起,增加了许多新功能!除了帮你侦测和清除病毒,它还有VShield自动监视系统,会常驻在SystemTray,当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性,若文...
初尝Mcafee之在ePO中进行策略和客户端任务设置【06】
weixin_34365417的博客
05-23 407
一、策略和客户端任务概述在ePO中点击“菜单”,可以看到一个策略的大分类:ePO就是通过分配策略和客户端任务给客户端代理,然后代理将这些策略和客户端任务分配给本地相应的Mcafee杀毒防护软件进行执行;策略是针对软件的内在参数和计划任务的配置,例如VirusScan是否扫描压缩文件,VirusScan的扫描计划的设置;客户端任务是针对软件的外在交互,例如安装,部署,更新,信息...
瑞星杀毒软件、奇虎360杀毒软件、360卫士、百度卫士联手,搞不定弹出广告 & 恶意广告图标
热门推荐
Purpleendurer@优快云
07-12 2万+
一位网友说他的电脑最近出了问题:开机后桌面和任务栏上的快速启动栏会出现恶意图标,删除了下次开机又会出现;使用电脑过程中每分钟都会弹出广告。他为电脑安装了瑞星杀毒软件、奇虎360杀毒软件、360卫士、百度卫士,以及广告神盾,都不能解决问题。现在电脑开机时需要几分钟才能进入桌面。请求帮忙。这些恶意广告图标pe_xscan扫描log中的相关项目:  hao123_网址导航_Internet.lnk ->
McAfee EPO 4.0完整部署及使用手册
weixin_33961829的博客
10-10 954
McAfee EPO 4.0完整部署及使用手册 目录 一、 MSXML 6.0 的安装... 1 二、 MS .NET Framework 2.0 的安装... 4 三、 开始安装McAfee EPO 4.0. 6 四、 基本设置... 12 4.1控制台立即升级... 12 4.2控制台升级计划... 17 4.3产品导入... 21 4.4客户端升级任务...
Mcafee EPO 故障问题集锦
kepa520的博客
07-23 3697
Q:Mcafee EPO 登陆不进去,Service 无法启动 A:答案: To be able to logon to the ePO Console and start the ePO services install the CMA agent again on the ePO Server: 1.     On the ePO Server, launch Windows Explo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值