[Anti-Virus] Symantec Endpoint Protection - ADC Lab

어플리케이션 및 매체 제어 기능 중 핑거프린트를 사용하여 프로그램 실행 차단해보기

- Nero, Windows 기본 Burning 방지
- Torrent p2p 프로그램 차단

구현 계획

1. Nero와 같은 Burning application 설치 패키지와 실행 파일의 FingerPrint 값을 등록하여 실행 차단
2. Windows 기본 CD Burning에 사용되는 프로세스 와 dll 파일의 로드를 FingerPrint 값으로 차단, CD/DVD 값에 대해 쓰기 차단 설정

 

구현 과정

1. FingerPrint 값 확인하기

1) SEP client 설치폴더\Bin\Checksum.exe <Target text file name> <Source folder or file path>; or
2) Client 가 실행하는 응용 프로그램 추척 설정

SEPM > 정책 > 태스크 : 응용 프로그램 검색 > 해당 그룹 설정 > 검색 > 검색된 응용 프로그램 리스트에서 MD5/SHA256 확인

 

통상 핑거프린트 값 추출은 관리서버에서 엔드포인트가 실행하는 프로그램을 추척하는 방식으로 한다.

2. 해당 FingerPrint 값을 ADC 정책에 등록

1) 응용 프로그램 및 장치 제어 정책 수정 > 응용 프로그램 제어 탭 > 추가 > 규칙 추가 > 이 규칙을 다음 프로세스에 적용 : 추가 버튼 > 비교할 프로세스 이름 : * 입력 > 확인
2) 위의 단계에서 추가한 규칙 세트에서 추가 > 조건 추가 > 프로세스 실행 시도 > 다음 프로세스에 적용 : 추가 > 옵션 > 파일 핑거 프린터 비교 > 차단할 프로세스의 핑거프린터 값 입력
3) 작업 탭 > 차단 여부에 “액세스 차단” 체크

'*' 를 꼭 설정한다. 모든 실행 프로세스 중 핑거프린트 값에 대한 적용인 것이다.

 

프로그램 경로, 실행 프로세스등 5개의 조건을 추가할 수 있다.

 

3. Windows 기본 Burning 차단

CD burning에 사용되는 프로세스와 dll 파일의 로드를 FingerPrint 값으로 차단, CD/DVD 값에 대해 쓰기 차단 설정

1) Windows CD burning을 수행하는 imapi.dll, imapi2.dll, imapi2fs.dll 파일들에 대해 FingerPrint 값 확인

2) imapi.exe의 FingerPrint 값을 등록 or C:\Windows\System32\imapi.exe 파일 경로로 프로세스 등록

* 파일의 버전에 따라 FingerPrint 값이 달라질 수 있다.
3) Dll 파일들에 대해서는 “dll 불러오기 시도” 규칙으로 FingerPrint 값을 등록
4) “파일/ 폴더 액세스 시도” 규칙에서 모든 프로세스 (*) 에 대해 CD/DVD 유형의 드라이브에 대해 쓰기 작업 차단 설정

 

===================================

 

※ 기타. 엔터프라이즈에 적용할만한 정책 예시

 

1. 스마트폰 테더링이나 파일전송 제어를 위해 Guid, Deviceid를 이용하여 NIC 드라이버의 DeviceID 차단하기

- DevViewer 툴을 이용하여 Guid, Deviceid를 확보

- SEPM > 정책 > 정책 구성 요소 > 하드웨어 장치에 등록

- ADC 정책에 각 디바이스를 차단된 장치로 등록

 

2. 사내 USB 쓰기 차단, 사외 USB 쓰기 허용등의 정책 구현하기

- 사내/사외 위치 구현(IP Subnet 확인)

- SEPM 콘솔 > 클라이언트 > 위치 관리 > 추가 >  종류 : 시스템 IP 주소 > 클라이언트 시스템에 다음 IP 주소 중 하나가 있는 경우 > 추가 > 서브넷 주소 추가

- 사내 정책에 대해서 ID가 USBSTOR*인 디바이스에 대해 쓰기 차단

- 사내용 ADC 정책 생성 > 사전 생성 규칙 중 "USB 드라이브에 쓰기 차단" 실행 체크 & 해당 그룹 사내 위치에 대해 정책 할당