测试所用环境:
McAfee ePO 5.10.0
Endpoint Security 套件 10.6.1
=========================================
在Endpoint Security Threat Prevention中,有一个“访问保护”策略,其中可以自定义规则,通过识别可执行文件(PE)的数字签名的“签名者”,来排除或禁止某些可执行文件运行。
此功能相较于Windows系统自带的数字证书策略更为灵活,因为它不去验证完整的数字签名,只检查数字签名的“签名者”信息。
比如,管理员希望在公司系统中禁用360全家桶,恰好这些全家桶安装包都是带数字签名的。但仔细观察可发现,全家桶中不同产品、不同时期发行的版本,数字签名所用的证书都有所不同。如果使用Windows的数字证书策略来禁止,需要把许多个数字证书加入“不信任”分组中。即便是域在环境下,初始工作量也很大。而且无法避免360日后再签发新的证书(主要指证书的有效期)。
使用“访问保护”策略,可以更为简单。(具体操作方法后附。)只需要定义一两次数字签名的“签名者”,即可识别360全家桶。即便是在不同时期签发的数字证书,数字证书的“使用者”信息(即数字签名的签名者)基本不会变化。“签名者”的定义以如下形式表现:
C=CN, S=BEIJING, L=BEIJING, O="BEIJING QIHU TECHNOLOGY CO., LTD.", OU=*, CN="BEIJING QIHU TECHNOLOGY CO., LTD."
**可注意到,上面OU元素后面跟随的是通配符。在其他元素中同样可以使用通配符。
*********************此处为重点******************
在McAfee的策略中通过数字签名定义可执行文件,需要遵循如下规则:
(有一些限制在McAfee的官网中没有说明,是我们在试验时发现的。)
1、以颠倒的元素顺序排列,使用半角逗号分隔,不得换行(指不能有换行、回车符);
2、如果某个元素的值中含有半角逗号,那么这个值需要用半角双引号圈起来。反之,如果一个元素的值中没有半角逗号,则不得使用双引号;
3、在Windows系统中,字母不区分大小写;
4、元素的值可以使用通配符(*);
5、元素的数量不能增加或缺少,元素的顺序不能乱,必须跟数字签名用证书内的完全一致;
6、部分“签名者”信息只能在ePO中录入,在Endpoint Security Threat Prevention软件中录入会提示错误。比如含有中文字符或者含有“E”(e-mail)元素的;
7、元素、值跟“=”之间不能有空格。如“C=CN”是正确的表达。“C = CN”、“C =CN”及“C= CN”都是错误的。
***********最佳实践***********
用Endpoint Security Threat Prevention阻止带有特定数字签名的程序运行(以360/奇虎全家桶为例)。
1、在ePO主菜单中,找到“策略目录”,选中“Endpoint Security Threat Prevention”产品,再选中“访问保护”,编辑下发的策略(规则)。
2、进入到编辑模式后,点击“显示高级”,展开高级编辑视图。在“规则”编辑中,点击“添加”,新增一条规则。
3、给规则起个名字,比如“按数字签名阻止程序运行”。选中“阻止”和“报告”。“可执行文件”和“用户名”两处均默认留空,表示任何可执行文件和任何用户名。
4、在下方“子规则”处点击“添加”,进入子规则编辑视图。
5、为子规则起个名字,比如“阻止特定签名程序运行”。“子规则类型”选择“进程”,“操作”选择“运行”。
6、在下方“目标”处点击“添加”,添加一个可执行文件的特征描述。
7、起个名字,比如“360-1”。“包含状态”默认选择“包含”。勾选“启用数字签名检查”,单选“签名者”,输入信息如下:
C=CN, S=BEIJING, L=BEIJING, O="BEIJING QIHU TECHNOLOGY CO., LTD.", OU=*, CN="BEIJING QIHU TECHNOLOGY CO., LTD."
(**注意这里使用了双引号)
8、依次点击四次“保存”按钮,存储修改过的策略。
如需添加更多“签名者”,则重复6-7步骤即可。如再添加一个“签名者”,用于拦截“撸大屎”系列垃圾:
C=CN, S=BEIJING, L=BEIJING, O=QIHOO 360 SOFTWARE (BEIJING) COMPANY LIMITED, OU=*, CN=QIHOO 360 SOFTWARE (BEIJING) COMPANY LIMITED
(**注意这里没有使用双引号)
