对于所有版本不超过 23.3 的 Windows 代理程序,系统会阻止可疑或恶意的未签名 / 已签名驱动程序加载,同时静态 AI 引擎会向管理控制台发出威胁警报。
从 Windows 代理程序 23.4 版本及管理系统 Z SP2 版本开始,您可以在管理控制台中配置这些驱动程序阻止设置。对于所有早于 23.4 版本的代理程序,管理控制台中的 “可疑驱动程序阻止” 设置不会对代理程序产生影响。
同样从 Windows 代理程序 23.4 版本及管理系统 Z SP2 版本开始,当驱动程序被阻止时,系统会通过新引擎向管理控制台的威胁页面发送威胁信息,内容包括:
**1. 已采取的缓解措施 - 驱动程序已阻止(预防性)
- 引擎 - 驱动程序阻止引擎
- 威胁指标 - 导致驱动程序被阻止的具体威胁指标**
在驱动程序被预防性阻止后,您无法选择更多缓解措施,因为此时没有其他措施适用。
从 Windows 代理程序 24.1 版本开始,驱动程序阻止引擎为其释放器、加载器和安装程序属于同一攻击链(Storyline™)的驱动程序提供终止操作。
在端点上,会显示驱动程序已被阻止的通知,并且代理用户界面会在概览和威胁历史记录中显示被阻止的驱动程序。
可疑驱动程序阻止设置独立于策略中的保护模式运行。例如,即使您将 “恶意威胁” 和 “可疑威胁” 设置为检测模式,可疑驱动程序阻止功能仍会阻止可疑和恶意驱动程序加载,并且 “驱动程序已阻止(预防性)” 威胁将显示在威胁页面中。
可疑驱动程序阻止是一种防篡改引擎。因此,必须启用防篡改功能才能配置可疑驱动程序阻止。如果关闭防篡改功能,可疑驱动程序阻止也将被禁用。
若要配置可疑驱动程序阻止策略,请执行以下操作:
1.在 Sentinels 工具栏中,点击 “策略”。
2.在代理设置中,确保 “可疑驱动程序阻止” 已启用。
注意:必须启用防篡改功能才能启用可疑驱动程序阻止。
默认情况下,Windows 代理程序会阻止所有可疑的已签名和未签名 Windows 驱动程序。这是推荐设置。
3.(optional).若要仅阻止特定类别的 Windows 驱动程序,请点击 “所有驱动程序”,然后取消选择您不想阻止的驱动程序类别。
4.若要禁用可疑驱动程序阻止功能,请点击将其关闭。
注意
当 “可疑驱动程序阻止” 功能关闭时,您仍可通过将特定驱动程序的哈希值添加到阻止列表来配置阻止规则。具体操作请参见《将哈希值添加到阻止列表》。
若 “可疑驱动程序阻止” 功能处于关闭状态,且某驱动程序因被列入阻止列表而被阻止加载时,系统会向管理控制台的威胁页面发送以下威胁信息:
1. 已采取的缓解措施 - 已终止(预防性)
2.引擎 - 用户自定义阻止列表
3.威胁指标 - 已阻止来自 SentinelOne 拒绝列表的驱动程序
