在启用这些策略后,我们在添加排除进程时,必须将不了解不熟悉的进程全部排除在外,有一些进程不是必须要用到的,临时开放后就要将它删除,才能让服务器更加安全。当然不怕神一样的敌人,就怕猪一样的队友,服务器管理糊乱设置,看到日志中的阻止项就顺手加入排除进程的话,那我也无话可说了。
打开VirusScan控制台
检查相关项是否正常开启
检查访问保护日志
查看是否有新禁用或阻止记录,查看该记录是什么帐户操作的,是否影响网站的运行,然后再考虑是否加入到规则列表中,一般来说阻止项不影响网站或服务运行的,全部不用理睬。
从日志这里,你可以看到是什么用户在操作的,运行的是那个程序,做什么操作的时候给阻止的。一般来说我们服务器是做网站用的,如果这里禁用的是SYSTEM或IIS的相关帐号,那么认真看看这些程序是不是网站运行必须的,是的话就放行,不是的就不用理它。而管理员帐号的操作,如果是自己操作时产生的,就临时放行一下就可以了,如果不是的话,就要查查是不是可能给入侵了。
如果需要添加的,就加入到访问保护的排除进程规则中
添加后再测试一下看看是否正常,如果还不行,再打开查看一下日志,将新日志记录所禁止的进程添加到对应策略里。
3.2. 检查McAfee HIP防火墙
McAfee HIP防火墙可以直接监控服务器所有端口对内对外的所有访问,可以直接禁用指定软件使用某个端口,可即時防御和阻挡已知的、零时差、阻断服务 (DoS)、分散式阻断服务 (DDoS)、SYN Flood 与加密式攻击等。
如果启用了应用程序策略,还可以直接控制服务器所有软件的使用与运行。
双击防火墙图标打开防火墙软件
查看IPS政策防入侵防火墙是否开启
检查防火墙是否启用,并查看里面已设置好的规则里是否有新添加的项,判断这些项设置是否正常
查看活动记录,开启纪录所有允许项目,看看有没有新的端口有访问链接,并判断是否充许,如果不允许的话,在防火墙规则中手动添加进去
