文章

软件白名单功能的设计思路

Ping32桌面管理软件中很早就加入了软件黑名单功能,通过软件黑名单,管理员可以禁止员工使用指定的软件。软件黑名单支持设置多种匹配模式,比如:进程名、窗口名、MD5等。近期,越来越多的客户向我们咨询:Ping32能否做到只允许指定的软件运行,即软件白名单功能。

这个需求站在技术、工程的角度思考,实现是很容易的,但是站在产品的角度思考,有许多问题需要考虑。因为如果只是简单的设置一个白名单列表,白名单之外的进程全部禁止运行,那么会导致很多意想不到的后果,比如禁止微软的系统进程运行,那么系统可能会不稳定;禁止第三方进程运行,那么可能会导致网银、支付宝无法使用。所以,设计这个功能时我们需要做很多权衡,需要把技术、工程实现、产品、用户体验等很多因素考虑在内。下面,我将会在以下几点探讨软件白名单功能的设计思路。

软件白名单需求的初衷是什么?
这是一个产品角度思考的问题,什么样的客户有软件白名单的需求,以及他们的使用场景是如何。通过我们的用户调研,我们有理由相信的是,用户希望通过软件白名单功能,只允许员工在上班期间只能使用指定的软件,通过规范软件使用行为,达到提升工作效率的目的。弄明白这件事后,很多事就简单很多。

软件白名单的生效范围是什么?
软件白名单功能需要通过拦截指定进程创建来实现。软件和进程是完全两个不同的概念,进程是一个较专业的计算机术语,而软件、应用、APP这样的词汇,可能3岁的孩子也知道是什么。打开任务管理器,里面随时都会运行几十甚至上百个进程,我们需要检查所有进程吗?也就是说,软件白名单的生效范围是什么,比如wwbizsrv.exe(支付宝相关服务)、explorer.exe(微软桌面进程)应该被禁止吗?这样的进程要么是第三方服务的关键进程要么是Windows的系统进程,显然是不应该被禁止的。而且系统中,相当多的进程只是在后台提供服务,并无界面供用户进行交互操作,所以这类的进程也不应该被禁止。明确了上述几点,我们就要着手解决问题。整体来讲,我们做了很多工作来简化用户设置软件白名单策略的操作。

Ping32自动放行Windows系统进程和很多知名第三方软件。
Ping32内置了一套评估算法,可以默认自动放行Windows的系统进程以及知名的第三方软件,比如显卡驱动、银行网银相关模块等。这样做,第一避免了用户误操作,导致杀掉了一些关键进程导致系统不稳定以及某些软件工作不正常,而且还可以简化用户策略设置操作。

Ping32支持多种匹配模式。
除了常见的进程匹配模式外,Ping32还支持程序目录、版权信息、产品名称等匹配方式。因为虽然很多软件运行只有一个进程,但是仍然有相当多一部分软件需要多个进程进行协同。如果只支持通过进程名进行匹配,那么可能会导致调试工作量加大,因此我们增加了上述多种匹配模式。

现在,Ping32桌面管理软件的最新版3.7.25已经支持软件白名单功能,有需要的用户可以联系我们试用。

3.7.24文档备份的改进

Ping32桌面管理模块中的文档备份功能,本次升级做了较大的升级改进,具体涵盖备份逻辑的优化、用户体验的提升、备份文档的安全性等改进。

随着勒索病毒威胁的与日俱增,很多企业都未雨绸缪提前规划应对措施。对日常的文档进行定期备份,不仅是优秀的运维习惯,也是应对勒索病毒最有效的措施之一。Ping32内置的文档备份功能,可以满足大多数客户的日常所需。首先简单介绍一下Ping32的文档备份功能,文档备份可以将分散在客户端的文件进行集中备份管理,整个备份过程对系统资源占用极少,用户无感知,可以设置多个历史版本。文档备份并非定时全盘扫描备份,而是会识别用户的修改文件操作,当用户保存文件的一瞬间,记录文件变化,发起备份请求。

上线以后,我们根据用户的建议和反馈,本次升级做以下调整。

1.增加一个立即执行全盘备份的设置
通过此设置,用户可以在创建备份策略后,立即执行一次全盘备份,后续的文档改动,则是增量备份。

2.用户体验的提升
通常来讲,要备份哪些类型的文件,哪些路径需要排除,是一个很技术思维的问题,这会引发用户的思考以及增加用户策略设置的复杂度。此版本中,我们内置了常见的文档类型和例外目录,用户无须手动填写文件类型即可完成设置。

3.备份文档的安全性
威胁是无处不在的,文档备份不仅要站在客户端角度去审视文档的安全性,还应该站在全局的视角进行思考。尤其勒索病毒很多时候是通过系统漏洞发起攻击,我们不禁要问?文档备份到服务器上后,如何防止未授权的访问以及勒索病毒的攻击。本次升级,我们在服务器端引入了驱动级的防护技术,以保证备份在服务器端的文件可以不受上述威胁攻击。

客户端离线原因排查方法

1.内网版本员工端不上线

(1)一方面确认员工端安装包setup_ip_服务器IP.exe这种格式的,另一方面确认初始的服务器IP地址是多少,如果安装包名称格式不带IP,手动加上IP地址,重新安装,然后将IP地址固定,尽可能在路由上进行绑定,本机固定有可能会IP冲突。

(2)在员工端上调出cmd命令输入,ping 管理端(实际是服务器)IP地址,看一下是否可以ping的通,如若ping不通,查看员工电脑IP地址网关是多少,是否和管理端一致,一致的话管理端关闭防火墙,很有可能是防火墙禁用端口导致的;如果不一致,可以调整一下网络,将管理端网络放在员工平级或者上级路由上,管理端挪到平级因为广播员工端会自动上线的,如果员工端是下级路由上不会自动修正服务器IP地址,需要手动更改员工端服务器IP地址,也可以重新安装,修改完成点击确定;

(3)以上能ping通但仍不在线的情况下,打开员工端后台查看(打开方式请联系技术人员),查看服务器IP地址写的对不对,不对修改点确定,查看后台是否显示名称,如果显示点名称可以修改则表示TCP是通的,看一下管控端是否有终端名字变了,如果连名字都不显示,确认是否是初次安装,可以重装员工端看一下。

(4)仍然找不到原因发一下客户端日志(日志路径:c:\nsec\debug\log,直接复制到员工端的电脑上)给技术人员看一下。

2.外网版本员工端不上线

(1)确认员工端安装包setup_ip_公网ip.exe或者是setup_wid_xxxxxx.exe格式的

(2)telnet 端口:调出cmd命令输入,telnet  实际服务器公网的IP地址 19005/19007,如果显示的是没有任何文字的黑框,则表示端口是通的

(3)如果telnet不通,有可能是本机IP地址变了,查看本机的IP地址,然后在路由器上绑定IP,重新做端口映射(有疑问可以联系技术人员)

(4)如果还不上线,查看员工端日志,日志路径:c:\nsec\debug\log(直接复制到员工端电脑)打包发给技术人员查看

 

运维工单管理系统

Ping32桌面管理软件最新版集成了一个运维工单管理系统,管理员开启后,员工在使用电脑的过程中如果遇到故障,可以提交运维工单,系统将会分配运维人员解决。

管理员开启运维工单策略后,终端计算机右下角将会显示一个图标,员工可以右击这个图标,提交运维工单。

提交后,管理员将会收到通知,可以处理这个工单。