LDMS88简明使用手册11_主机入侵防护--zwl.doc

LDSS 8.8简明使用手册_主机入侵防护LDSS 8.8 简明使用手册（安全套件）LANDesk Software (Beijing)2008-4目 录1主机入侵（HIPS）概述11.1主机入侵防护功能11.2主机入侵防护工作流程21.3支持的设备平台及要求22为设备配置 LANDesk HIPS 保护32.1通过代理配置为设备配置 LANDesk HIPS32.2单独的任务安装或更新LANDesk HIPS42.3从设备上删除 LANDesk HIPS63主机入侵防护的设置73.1HIPS设置说明73.2HIPS设置配置83.3HIPS模式设置83.4使用HIPS学习模式说明93.5HIPS文件认证设置103.5.1HIPS文件认证103.5.2配置文件认证103.6HIPS文件保护规则设置113.6.1HIPS文件保护规则113.6.2配置文件保护规则124主机入侵防护的客户端功能134.1在使用 LANDesk HIPS 配置的设备上执行的操作134.1.1LANDesk HIPS 客户端界面和用户操作134.2LANDesk HIPS 客户端和最终用户操作145主机入侵防护的服务器操作145.1查看 HIPS 操作信息145.2关于“主机入侵防护操作”对话框155.3关于“阈值设置”对话框（针对 LANDesk HIPS）16蓝代斯克（北京）软件有限公司目录页1 主机入侵（HIPS）概述LANDesk 主机入侵防护系统或 LANDesk HIPS 是一种安全管理工具。LANDesk HIPS 提供除了防病毒、防间谍软件、修补程序管理及 Windows 防火墙配置之外的另一层保护。LANDesk HIPS 可以让管理员具备保护系统的能力，使得企业网络系统在受到感染之前免受已知和未知的恶意软件攻击。由于 HIPS 是基于规则而非基于定义的系统，因此它可以更高效地保护系统免受零日攻击（在安装修补程序之前恶意地利用易受攻击的代码）。LANDesk HIPS 可以主动监视进程、删除并防范恶意零日攻击，从而增强了 LANDesk Antivirus。HIPS 可以持续监视指定的文件、应用程序和注册表项，对未授权行为加以防范。您可以控制在设备上运行哪些应用程序以及它们的允许执行方式。HIPS 保护不同于漏洞检测和修补、间谍软件检测和删除或防病毒扫描，它不需要修补程序文件、定义/病毒码文件或病毒码数据库更新。根据满足您的环境和要求的自定义设置，LANDesk HIPS 提供连续的安全性。LANDesk HIPS 客户端为管理员提供了一个强大的新工具，可以让他们控制哪些应用程序可在企业的台式机和服务器上运行以及它们的允许执行方式。HIPS 客户端软件使用经过验证的试探法和行为识别技术来识别恶意代码的典型病毒码和操作。例如，尝试写入系统注册表的文件可能会被阻止并标记为“可能的恶意文件”。LANDesk HIPS 客户端采用各种专有技术，甚至在某个病毒码被识别前就能够可靠地检测出恶意软件。1.1 主机入侵防护功能HIPS 主动安全功能l 提供内核级保护，阻止尝试修改机器上的二进制文件（或任何指定文件）或运行进程的应用程序内存的程序。它还可阻止对注册表某些区域的更改，并可以检测到 rootkit 进程。 l 采用内存保护，防止缓冲区溢出和堆溢出漏洞。 l 执行保护机制，防止攻击者在数据段内生成并执行代码。 l 监视未授权的或异常的文件访问。 l 提供计算机实时保护，而不依赖于病毒码数据库。 LANDesk HIPS 提供以下系统级安全性：l 基于规则的内核级文件系统保护 l 注册表保护 l 启动控制 l 检测隐藏的 rootkit l 网络过滤 l 进程与文件/应用程序认证 l 限制可执行文件对特定文件所能执行的操作的文件保护规则 1.2 主机入侵防护工作流程以下步骤简要介绍了在 LANDesk 网络上实现 HIPS 保护所涉及的典型过程或任务。后面的部分将详细介绍所有的这些过程。实施和使用 LANDesk HIPS 的基本步骤：1. 配置 HIPS 设置选项，例如：签码处理、保护模式、白名单（允许在设备上执行的应用程序）、文件认证、文件保护规则和最终用户交互式/选项以及 HIPS 设置。 2. 针对 HIPS 保护配置受管设备（例如将 LANDesk HIPS代理部署到目标设备）。 3. 在具有 HIPS 学习模式的设备上搜寻文件/应用程序行为。 4. 在具有 HIPS 自动（阻止）模式的设备上实施 HIPS保护。 5. 查看受保护设备的 HIPS 活动。 1.3 支持的设备平台及要求LANDesk HIPS 支持 LANDesk Security Suite 的扫描和修补功能所支持的多数台式机和服务器平台，同时还支持 LANDesk 管理的标准设备平台，其中包括以下操作系统：l Windows 2000 SP2 以上l Windows 2003 l Windows XP SP1 以上l Windows Vista 32 位 (下一个版本中将会推出64位的支持)请确保要配置 LANDesk HIPS 保护的受管设备符合以下系统要求：1. LANDesk HIPS 仅受 LANDesk、Symantec、Trend、McAfee等杀毒软件的支持并与它们兼容（参见下面列表）。对杀毒软件兼容表示 LANDesk HIPS 不会干扰防病毒进程，例如扫描、实时保护等。 l LANDesk Antivirus l Symantec* Antivirus (versions 7, 8, 9, 10.1, 10.2) l McAfee VirusScan (versions 7.0, 8.0, 8.5i) l Trend Micro* PC-cillin (versions 2005, 2006) l Trend Micro OfficeScan (versions 6.5, 7.3) l Trend Micro ServerProtect (version 5.58) l CA eTrust InoculateIT (version 6.0) l CA eTrust* Antivirus (versions 7.0, 7.1, 8.0, 8.1) l ESET NOD32* (version 2.7) 目前新版还支持其它几款杀毒软件，具体可参考相关文档。2. 不要将 LANDesk HIPS 部署到安装了其他任何防病毒解决方案/产品的设备上。3. LANDesk HIPS不受核心服务器或汇总核心服务器的支持，不应将 LANDesk HIPS 安装/部署到核心服务器或汇总核心服务器上。4. 可将 LANDesk HIPS 部署到其他控制台中。2 为设备配置 LANDesk HIPS 保护在对受管设备进行保护使其免受零日攻击前，必须先在受管设备上安装 LANDesk HIPS 代理。可以在初始设备代理配置阶段完成此操作，也可以使用单独的安装/更新任务执行。2.1 通过代理配置为设备配置 LANDesk HIPS1. 在控制台中，单击工具-配置-代理配置。 2. 单击工具栏新建按钮。 3. 指定代理配置名称后，您必须首先单击开始页，然后选择安全下的主机入侵防护选项。 4. 现在，您点击主机入侵保护页。 5. 从可用列表中选择主机入侵保护设置，将其应用到您正在创建的代理配置中。或者通过单击配置，您可以创建新的设置或编辑现有主机入侵保护设置。HIPS 设置决定 LANDesk HIPS 客户端是否有密码保护、WinTrust 签码处理、对添加到系统启动中的程序的操作、缓冲区溢出保护、操作模式、白名单、文件认证和文件保护规则。详细配置见后文中的设置说明。6. 完成对代理配置的设置指定，然后单击保存。 7. 将代理配置安装在客户端。如果希望稍后再安装或更新 LANDesk HIPS，可以从控制台的 HIPS 工具中作为单独的任务完成此操作。2.2 单独的任务安装或更新LANDesk HIPS1. 在控制台中，单击工具-安全-主机入侵防护。 2. 单击创建一个任务工具栏按钮，然后单击安装/更新LANDesk HIPS。3. 在任务名栏中输入标识该任务的唯一名称任务的名称。4. 指定安装为计划任务、基于策略的任务或二者皆是。5. 如果希望在目标设备的安全扫描器对话框中显示安装进度，请选中显示 UI选项。 6. 从可用列表中选择 HIPS 设置，将其应用到您正在创建的代理配置。通过单击配置，您可以创建新的设置或编辑现有设置。HIPS 设置决定 LANDesk HIPS 客户端是否有密码保护、WinTrust 签码处理、对添加到系统启动中的程序的操作、缓冲区溢出保护、操作模式、白名单、文件认证和文件保护规则。 7. 从列表中选择扫描和修复设置，将其应用到您的客户端中。如同上面的 HIPS 设置一样，通过单击配置，您可以创建新的设置或编辑现有设置。请记住，这种代理配置的 LANDesk HIPS 目标设备代理部署仅使用在您选择的扫描和修复设置中指定的重新启动选项。您可以使用已包含所需重新启动配置的现有扫描和修复设置，也可以专门为您的 LANDesk HIPS 部署创建全新的扫描和修复设置。 8. 单击确定。 2.3 从设备上删除 LANDesk HIPS如果希望从受管设备上单独删除 LANDesk HIPS，可以从控制台的 HIPS 工具中作为单独的任务完成此操作。1. 在控制台中，单击工具|安全|主机入侵防护。2. 单击创建任务工具栏按钮，然后单击删除 LANDesk HIPS。3. 在任务名栏中输入标识该任务的唯一名称任务的名称。4. 指定安装为计划任务、基于策略的任务或二者皆是。5. 如果希望在目标设备的安全扫描器对话框中显示安装进度，请选中显示 UI选项。 6. 从可用列表中选择扫描和修复设置，将其重新启动配置应用到您正在创建的任务。通过单击配置，您可以创建新的设置或编辑现有设置。该任务将仅使用所选扫描和修复设置的重新启动选项，这些选项决定在 LANDesk HIPS 代理删除期间目标设备上的重新启动要求和操作。 7. 单击确定。 3 主机入侵防护的设置3.1 HIPS设置说明1. 在主机入侵防护窗口中，单击新建设置工具栏按钮，或者也可以单击配置设置|新建。2. 在设置页上，输入一个名称，设置密码，然后制定的总体要求和行动。如需有关的选项，单击帮助（见下文）。3. 在模式配置页面上，选择您是否要强制HIPS的自动阻断保护模式，或学习模式。您还可以选择创建一个白名单（申请获准执行的设备）根据目前的核证文件，如果你想白名单发电运行在指定的时间内开始，然后再重新执行自动闭塞模式或继续使用学习模式。注意，如果您选择学习方式的一般保护模式，并希望产生一个白名单，在执行自动模式选项是禁用的。如需有关的选项，单击帮助（见下文） 。4. 在文件认证页面上，添加、修改或删除文件认证。如需有关的选项，单击帮助（见下文）。5. 在文件保护规则页面上，添加、修改、确定优先次序或删除的文件保护规则。LANDesk HIPS包括预先定义的（默认）设置的保护规则。如需有关的选项，单击帮助（见下文）。6. 在任何HIPS设置页，单击保存在任何时候保存您的配置选择HIPS设置，或单击取消退出而不保存对话框的设置。3.2 HIPS设置配置使用此页可以配置 HIPS 设置的一般要求和操作。该对话框包含以下选项：l 名称：用唯一的名称来标识 HIPS 设置。该名称显示在“安装或更新 LANDesk HIPS 任务”对话框的“LANDesk HIPS 设置”下拉列表中。 l 管理员密码：对于配置为采用此 HIPS 设置的设备，指定所需的密码，以便在受保护的设备上执行特定操作。需要密码的操作包括：访问 LANDesk HIPS 客户端界面、安装未签名的软件、为 HIPS 违规授权、卸载 LANDesk HIPS、清除本地报告以及切换 HIPS 运行模式等等。 l 密码确认：保证密码的准确性。 l WinTrust：确定向经过数字签名的软件授权的方式。由其发行者进行数字签名的可执行文件被视为可信，并将在其文件属性对话框内显示该数字签名。根据您从以下列表中选择的选项，HIPS 允许向经过数字签名的软件提供权限。 n 不检查签名代码n 自动允许签名代码n 自动允许来自这些供应商的签名代码l 执行的操作当程序被添加到系统的启动菜单：用来确定当程序添加到启动项时执行的操作。这样便为系统启动文件夹中的进程授权提供了另一层防护。HIPS 监视启动项中的内容，并在发现新进程时执行从以下列表中选择的操作。 n 发出警报并提示采取操作n 仅在报告中记录但不发出警报n 从启动项中删除但不发出警报l 其它：n 允许最终用户停止HIPS服务：允许最终用户停止其计算机上的 HIPS 服务。 n 显示侵犯弹出气球：当出现违规操作时，客户端窗口右下角系统栏会弹出小窗口违规通知。n 使用缓冲区溢出保护：允许您保护设备，避免出现占用等待用户输入的程序或进程的系统内存漏洞。 l 设置为默认值：将此设置指定为使用 HIPS 设置的任务的默认设置。 l ID：标识此特定设置。此信息存储在数据库中，并且可用于跟踪每个设置。 l 保存：保存所作的更改，并关闭该对话框。 l 取消：关闭此对话框而不保存更改。 3.3 HIPS模式设置3.3.1 模式设置使用该页面配置 LANDesk HIPS 保护的操作模式。该对话框包含以下选项：l 标准模式设备：为指定的受管设备设置保护模式和白名单模式n 保护模式：指定受管设备上出现违反安全性行为时的 HIPS 行为。u 自动：自动阻止所有违反 HIPS 安全性的行为。l 您为特定文件创建的所有文件认证规则都将予以实施。l 如果您既选择自动阻止模式，又希望使用白名单功能，可以应用下面任一种白名单模式（强制模式或学习模式）。 u 学习：l 与自动模式不同，如果您既选择这个学习模式又希望使用白名单功能，那么只能选择白名单的学习模式。在设备上运行的所有应用程序都会通过使用下面的白名单学习选项可将其添加到设备白名单（允许的应用程序）中。l 允许所有违反安全性的行为（软件和系统修改），但监视这些行为并将它们记录在操作历史记录文件中。l 针对安全模式设备：使用该操作模式搜寻特定设备或一组设备上的应用程序行为，使用该信息自定义 HIPS 策略后，再部署这些策略并在整个网络中实施 HIPS 保护。n 白名单使用认证文件作为白名单：基于其证书已启用允许执行选项的当前文件来创建白名单（允许的应用程序）。 u 强制：l 将仅允许具有“允许执行”权限的文件且不违反系统安全保护条件的程序正常运行。l 第一次学习模式：n 允许管理员指定一个时间周期，最终用户在此周期内可在其计算机上运行任何应用程序。n 在此周期内，HIPS 会观察或了解哪些应用程序在运行。n 在学习模式下，只能将应用程序的“允许执行”权限加入白名单中，而“系统保护”等其他条件需要人工指定。n 管理员可以使用下面的选项指定在该时间周期过期后生效的 HIPS 操作模式：实施常规自动操作模式，仅允许执行认证文件；或者，让设备继续以学习模式运行，允许执行所有应用程序并允许这些应用程序自动添加到认证文件白名单中。 u 学习：l 允许执行所有的应用程序。l 并将应用程序添加到具有“允许执行”权限的已认证文件列表中。l 在学习模式下，只能将应用程序的“允许执行”权限加入白名单中，而“系统保护”等其他条件需要人工指定。n 安全模式设备：为指定使用相同 HIPS 设置的设备配置安全子集，单独为这个安全子集中的设备指定特殊的HIPS 保护模式（通常用来为一组设备指定专门学习白名单的样板机）。您可以使用该功能在指定的设备上观察或学习软件和系统的修改，以及哪些应用程序在一组限制设备上运行。例如，可以使用保护模式设置为“自动阻止模式”的相同 HIPS 设置，但是通过将这些计算机添加保护模式设置为“学习”的安全模式设备。 3.3.2 使用HIPS学习模式说明下面是对 HIPS 学习模式过程的介绍：l 在学习模式下，HIPS 了解在设备上安装了哪些种类的应用程序，这些应用程序如何操作以及它们的权限（特权）。 l HIPS 监视该设备上的活动，并将信息记录在操作历史记录文件内。 l 操作历史记录数据从该设备发送至核心服务器。 l 管理员阅读操作历史记录，以便了解该设备上的应用程序及它们执行的操作（操作历史记录文件 (XML) 中列出的文件/应用程序及相关权限显示在“HIPS 设置”对话框的“文件认证”窗格中）。 l 然后，管理员可以自定义 HIPS 设置以便允许和拒绝相关应用程序的特权。 可将学习模式应用于受管设备，但在部署新的 HIPS 设置之前，通常会出现违反 HIPS 的行为；也可以在初始指定时间周期内应用学习模式，以知道哪些应用程序在运行及其行为，并创建白名单（允许在设备上执行的应用程序）。如果一般保护模式为自动阻止模式，您仍然可以使用学习模式了解应用程序行为，然后在学习周期过期后重新实施自动阻止模式。请注意，为了实现操作历史记录通信，核心服务器设置与受管设备设置必须都在学习模式下运行。3.4 HIPS文件认证设置3.4.1 HIPS文件认证使用此页查看和管理文件认证。文件认证（即软件白名单）是一组权利（权限或授权），可允许或禁止受管设备上的应用程序执行的特定操作。此页包含以下选项：l 经过认证的文件：列出具有为 LANDesk HIPS 配置的认证权限的文件。 l 添加：打开文件浏览器，您可以在此浏览并选择希望配置文件认证的文件。 l 配置：允许您编辑选定文件的认证。 l 删除：删除选定的文件及其认证。 3.4.2 配置文件认证使用该对话框可配置特定应用程序文件的认证。该对话框包含以下选项：l 文件名：标识要指定认证的应用程序文件。 l 完整路径：指定文件位置。 l 文件大小：指定文件大小（单位为 KB）。 l 文件的日期：指示文件的创建日期和时间。 l 版本：指示文件的版本号（如果有）。 l 已认证：指示文件认证的创建日期和时间或上次修改的日期和时间。 l MD5 哈希值：显示文件的 MD5 哈希值。哈希文件用于保证文件的完整性。 l 说明：提供一个文本框，您可以在其中输入对文件的说明。 l 跳过全部保护：允许使用应用程序文件的全部权限。文件处于完全未过滤和未监视的状态。 l 跳过缓冲区溢出保护：允许您跳过缓冲区溢出保护。您可能要对认证和可信的文件（进程）使用该选项。 l 系统安全 （该选项无法通过学习模式获得需要人工指定）n 修改可执行文件：允许应用程序具有修改其他可执行文件的权限。 n 修改受保护的文件：允许应用程序具有修改受保护文件的权限。可以生成一个受保护文件的列表，例如 LANDesk 设备代理。 n 修改受保护的注册表项：允许应用程序具有修改受保护注册表项的权限。受保护的项可以防止恶意软件感染 l 网络安全 n 发送电子邮件：允许应用程序发送电子邮件。(注意：LANDesk HIPS 会识别标准电子邮件客户端应用程序，并自动对这些应用程序进行认证，使它们可以发送电子邮件。） l 磁盘上的文件 （该选项可以通过学习模式学习）n 添加至系统启动项：允许应用程序具有将文件添加至系统启动项的权限。 n 允许执行：允许应用程序（进程）在设备上运行。认证文件会自动启用允许执行。另外，如果文件的认证提供部分权限，则会自动启用允许执行选项。 l 高级安全规则 n 保护内存中的应用程序：当应用程序在内存中运行时执行应用程序保护。应用程序将受到保护，既不会终止，也不会被修改。 n 继承到子进程：为该应用程序执行的任何子进程指定相同的文件认证（权限）。例如，可用于安装程序或安装可执行文件，以将相同权限传递给此安装程序启动的后续进程。 n 授权安装程序：表示允许应用程序执行软件安装或部署。LANDesk 软件分发工具即属于该情况，此类程序还可应用于其他软件分发应用程序。 l 锁定文件认证：将不通过学习模式更新授权。l 确定：保存文件认证，然后将其添加到主“HIPS 设置”对话框中经过认证的文件的列表内。 l 取消：关闭对话框，但不保存文件认证。 3.5 HIPS文件保护规则设置3.5.1 HIPS文件保护规则使用此页查看、管理文件保护规则并设置其优先级。文件保护规则是一组限制，可阻止指定的可执行程序对指定的文件指定特定的操作。通过文件保护规则，可允许或禁止任何程序对任何文件的访问、修改、创建和执行。文件保护规则是有执行顺序的，顺序颠倒将会得到相反的结果。它的执行顺序类似于网络防火墙规则的执行顺序，是“从上到下，依次匹配”。只要找到条件完全匹配的规则将停止匹配动作的继续执行，并以这条规则作为文件保护的依据。例如“恶意使用Windows FTP”规则有两条：一条是全部限制使用FTP、一条是例外列表。必须要将例外列表的规则放到前面，否则全部限制使用FTP的条件将会将所有的匹配动作终止，是程序无法匹配到例外列表。该对话框包含以下选项：l 保护规则：列出了 LANDesk 提供的所有预定义（默认）文件保护规则，以及您创建的所有文件保护规则。 n 规则名称：识别文件保护规则。 n 限制：显示程序对文件执行的由文件保护规则限制的特定操作。 n 应用规则到：显示由保护规则保护的可执行程序。l 上移/下移：决定文件保护规则的优先级。列表前面的文件保护规则的优先级高于列表后面的规则。例如，您可以创建限制某个程序访问和修改特定文件或文件类型的规则，然后又创建规定该限制不适用于一个或多个指定程序的另一个规则。只要第二个规则位于规则列表的前面，则优先采用该规则。 l 重置：恢复 LANDesk 提供的预定义（默认）文件保护规则。 l 添加：打开“配置文件保护规则”对话框，可在此对话框中添加和删除程序和文件以及指定限制。 l 配置：打开“配置文件保护规则”对话框，可在此对话框中编辑现有的文件保护规则。 l 删除：从数据库中删除文件保护规则。 注意：文件保护规则存储在 FILEWALL.XML 文件中，位置为：ProgramFilesLandeskManagementSuiteldlogonAgentBehaviorsHips_Behavior.ZIP。3.5.2 配置文件保护规则使用此页配置文件保护规则。该表中的设置作用是“应用规则”中指定的程序将会按照“限制”和“例外”中的条件对“文件”中指定的文件进行操作。该对话框包含以下选项：l 规则名称：用描述性名称来标识文件保护规则。 l 应用规则到 n 所有程序：禁止所有可执行程序对下面指定的文件执行下面选择的操作。 n 指定程序：指定只有列表中的可执行程序才应用下面选择的限制。 n 添加：允许您选择受文件保护规则限制的程序。您可以使用文件名和通配符。 n 编辑：允许您修改程序名称。 n 删除：从列表中删除程序。 l 限制 n 禁止访问：禁止上面指定的程序访问受保护文件。 n 禁止修改：禁止上面指定的程序对受保护文件做任何更改。 n 禁止创建：禁止上面指定的程序创建文件。 n 禁止执行：禁止上面指定的程序运行受保护文件。 l 例外 n 已认证的程序允许例外：允许当前属于认证文件列表中的可执行程序忽略与该文件保护规则关联的限制。 l 文件 n 所有文件：上面指定的程序根据其限制对所有文件都不能执行任何操作。 n 指定文件：指定只保护列表中的文件。 n 添加：允许您选择一个或多个受该规则保护的文件。您可以使用文件名或通配符。 n 编辑：允许您修改文件名。 n 删除：从列表中删除文件。 n 同时应用到子目录：对指定目录的所有子目录实施文件保护规则。 4 主机入侵防护的客户端功能4.1 在使用 LANDesk HIPS 配置的设备上执行的操作LANDesk HIPS 客户端在受管设备上启用基于行为的无签名入侵防护。本节描述 LANDesk HIPS 在安装了 LANDesk HIPS 的受管设备上的显示方式，最终用户设备由 LANDesk HIPS 保护时在这些设备上执行的操作，以及在发现违反安全性的行为时最终用户可以采取的操作。4.1.1 LANDesk HIPS 客户端界面和用户操作在 LANDesk HIPS 部署到受管设备后，可以通过开始菜单或系统任务栏图标访问 LANDesk HIPS 客户端。管理员密码保护 如果管理员已在 HIPS 设置中启用密码保护选项，则必须输入正确的密码才能访问和使用 HIPS 客户端功能。 系统任务栏图标系统任务栏图标显示 HIPS 是在学习模式下还是在自动阻止模式下运行。最终用户可以右击 HIPS 图标，访问其快捷菜单并选择以下选项： 打开：打开 LANDesk HIPS 客户端。 选项：在控制台显示由管理员配置的 HIPS 选项（只读）。 自动模式：使 LANDesk HIPS 在自动模式下运行，在此模式下将阻止所有预定义的违反安全性的行为。 学习模式：使 LANDesk HIPS 在学习模式下运行，在此模式下允许所有违反安全性的行为，但监视这些行为并将它们记录在操作历史记录文件中。 安装软件： 打开文件浏览器窗口，最终用户可以在此选择要运行的安装程序。 卸载：允许最终用户卸载机器上的 LANDesk HIPS。 4.2 LANDesk HIPS 客户端和最终用户操作LANDesk HIPS 客户端显示在一个包含以下元素的窗口内： 查看活动日志。 查看控制台上由管理员配置的 HIPS 选项（只读）。 在状态页上：查看 HIPS 客户端信息、当前的运行模式以及客户端上发生的活动。更改运行模式（自动模式或学习模式）。 在活动页上：查看正在运行的应用程序及其授权。选择程序并查看其所有授权或者中止进程。修改显示选项。 在