欢迎使用iLocker写保护系统

iLocker写保护系统是上海天存信息技术有限公司研究开发的网页保护软件,它以天存公司多年的网站安全防护经验为基础,以客户的需求为导向而开发的全新网页防护系统,它具有实用有效,反应迅速,消耗资源小,可定制程度高,配置粒度极其细致等特点,能为Windows平台下的网站服务提供灵活强大的保护。

运行环境: 支持Windows 2003sp2、Windows 2008 R2、Windows 2012、Win7、Win8和Win10等运行环境。

文档版本: V1.7 最后更新 2021/12/09。

技术支持 : 在使用iGuard网页防篡改系统的过程中遇到任何技术问题,均可与本产品的制造商上海天存信息技术有限公司联系。

本手册内容在印刷后如有更新,恕不一一通知。为获取最新信息,请访问相应的产品网站:http://www.tcxa.com.cn/ilocker/windows/help/

目 录

欢迎使用iLocker写保护系统目 录1.1 安装过程1.2 服务的启动状态1.3 登录程序1.4 程序卸载第2章 系统管理配置(system)2.1 更新许可证2.2 系统配置2.2.1 防护设置2.2.2 登录密码 2.2.3 登录密码错误次数及锁定时间2.2.4 超时设置2.2.5 报警日志 2.3 防护控制 2.4 用户管理2.4.1 新建用户2.4.2 删除用户2.4.3 修改用户2.4.4 修改密码 2.5 日志管理2.5.1 日志查询2.5.2 日志导出/清理第3章 安全管理配置(security)3.1 防护控制3.2 用户管理3.2.1 新建用户3.2.2 删除用户3.2.3修改用户3.2.4 修改密码3.3 防护规则管理3.3.1 文件(目录)防护3.3.2 禁止结束进程3.3.3 禁止启动进程3.3.4 配置导入/导出3.4 日志管理3.4.1 日志查询3.4.2 日志导出/清理第4章 安全审计配置(audit) 4.1 用户管理4.1.1 新建用户4.1.2 删除用户4.1.3 修改用户4.1.4 修改密码 4.2日志管理4.2.1 日志查询4.2.2 日志导出/清理第5章 推荐配置 5.1 IIS7系列 5.2 Apache+PHP模块方式 5.3 Apache(Nginx)+FastCGI模块方式 5.4 Java中间件服务器部署模式第6章 常见问题 6.1 我忘了卸载密码,要怎么卸载程序呢? 6.2 为什么有些环境说iLocker安装程序签名不对,无法安装呢? 6.3 为什么控制台能打开,但无法启动防护? 版权声明

#第1章 产品安装与卸载

1.1 安装过程

 

  1. 双击运行iLocker软件包iLockerSetup_xxxx.exe;出现安装向导,点击【下一步】按钮(图示1-1)

    图示1-1安装向导

  2. 阅读软件最终用户许可协议,点击【我接受】按钮(图示1-2);

    图示1-2软件最终用户许可协议

  3. 选择安装目录,可以点击【浏览】按钮选择其他目标文件夹,确定后点击【下一步】按钮(图示1-3); 图示1-3 选择安装位置

  4. 设置卸载口令,卸载密码必须10位以上,且需同时包含字母和数字(图示1-4)。

    注意:卸载密码很重要,卸载时需要输入卸载密码,否则手工卸载非常复杂麻烦,请慎重保存

    图示1-4设置卸载密码

  5. 文件将自动复制到目标文件夹,点击【完成】按钮结束安装过程(图示1-5)。如需立刻运行程序,可以选中【运行iLocker 1.0(R)】复选框。

图示1-5 完成安装

1.2 服务的启动状态

  1. 确认服务状态 打开Windows操作系统的【管理工具】->【服务】窗口,查找名称为ilckagent的服务,如图示1-6所示。该服务默认自启动。

    图示1-6 ilckagent服务的图形界面管理

注意:如果在上述【服务】窗口,没有看到ilckagent的服务,很有可能是操作系统的防病毒案软件做了拦截。可以临时关闭此类程序(包括但不限于:360、趋势和McAfee 等),再尝试安装一遍程序安装过程。如果依然不成功,可以记下具体的报错并与我们联系。

  1. 确认驱动状态 管理员身份在“开始”→“运行”里输入'cmd'进入命令行状态,输入“fltmc”命令查看iLocker驱动,应该有“ilckf ” 驱动(图示1-7),这标志着iLocker驱动模块在系统已成功加载;

图示1-7 ilckagent驱动模块查看

注意:如果执行了fltmc后,没有看到“ilckf”驱动,很有可能是操作系统的防病毒案软件做了拦截。可以临时关闭此类程序(包括但不限于:360、趋势和McAfee 等),再尝试安装一遍程序安装过程。如果依然不成功,可以记下具体的报错并与我们联系。

1.3 登录程序

点击【开始】->【所有程序】->【iLocker】->【iLocker】进入iLocker登录界面,默认账户有3个,分别为system(系统管理账户),security(安全管理账户)、audit(安全审计账户),3个账户的默认密码均为1234abcd。第一次登陆建议使用system账号(图示1-8),真正需要开始配置防护策略时使用请security账号。

图示 1-8 登录界面

1.4 程序卸载

  1. 点击【开始】->【所有程序】->【iLocker】->【Uninstall】进入“iLocker 1.0解除安装“界面,点击【下一步】(图示1-9);

    图示1-9 解除安装

  2. 输入在安装iLocker过程中设置的卸载密码(图示1-10);

    图示1-10 输入卸载口令

  3. 点击【解除安装】按钮,进入解除安装程序过程(图示1-11);

    图示1-11 正在解除安装

  4. 点击【是】,重启计算机系统,完成iLocker卸载(图示1-12)。

图示1-12 解除安装完成

重启的步骤是必需的,否则无法重新安装iLocker程序。

注意:如果遗失卸载密码,无法完成自动卸载程序时,请直接联系我们:mailto:support@tcxa.com.cn

第2章 系统管理配置(system)

2.1 更新许可证

第一次登录主界面时,需要以系统管理组用户system账号登陆。登陆后在菜单中选择【系统】→【导入许可证】,可以更新许可证。请在弹出的【导入许可证】界面中,完整和准确输入许可证信息,许可证版本根据签发的许可是iGuardv3或者iGuardv5版本来决定,完成后点击【确定】按钮(图示2-1);

图示 2-1 导入许可证

注意:如发现导入许可提示许可证无效,先检查系统时间是否正确;其次检查系统语言区域设置,必要的话需要全部改为“中国”即可。

在警告信息窗口中再次点击“确定”按钮后,系统提示导入/更新许可证成功(图示2-2);

图示 2-2 许可证导入成功

注意:为维护您的权益,请确保许可证来自合法渠道,并请勿对外透露您的许可证。许可证一旦过期,下文设置受保护的文件设置将全部失效。如对许可证有任何疑问,请直接与上海天存信息技术有限公司联系。

2.2 系统配置

2.2.1 防护设置

防护设置的功能:

点击【iLocker控制台】->【系统配置】->【防护设置】(图示2-3);

图示 2-3 防护设置

  1. 启用安装目录自我防护:【iLocker控制台】->【系统配置】->【防护设置】->勾选【启用安装目录自我防护】,效果为 iLocker整个安装目录处于防护状态,防止安装目录下的文件/目录删除和改动(图示2-4);

    图示 2-4 启用安装目录自我防护

  2. 启用服务自我防护:勾选【启用服务自我防护】,效果为iLocker服务进程无法直接通过任务管理器强制停止。如下图所示,在任务管理器中找到iLocker的服务进程,选中iLocker进程,点击“结束进程”,将提示iLocker进程禁止被停(图示2-5);

    图示 2-5启用服务自我防护

  3. 启用注册表自我防护:勾选【注册表自我防护】,效果为通过“regedit”命令打开注册表编辑器->HKEY_LOCAL_MACHINE->SYSTEM->CurrentControlSet->services>ilck/ilckagent/ilckf,找到iLocker的注册表信息,无法直接修改这个注册表分支里的任意信息(图示2-6);

    图示 2-6注册表自我防护

  4. 启用系统进程操作检查:该功能目的是为了防止系统权限过大,避免某个规则的允许或拒绝操作受系统权限的影响不起作用,默认情况下该功能在安装时自动生效。

  5. 启用文件属性自我防护:勾选【启用文件属性防护】,该配置是指在security账户下设定需要保护的文件和防护的目录属性不能更改(图示2-7)。这项设定较为严格,默认不建议启用,除非针对极少变更的目录和文件;

    图示 2-7 启用文件属性保护

  6. 启用目录创建的检查:勾选【启用目录创建的检查】,它设定在security账户下的保护目录下,是否无条件允许创建新的目录文件夹(图示2-8);

    图示 2-8 启用目录创建的检查

2.2.2 登录密码

功能:

低级:密码长度至少为6位;

中级:密码长度至少为8位,同时包含字母和数字;

高级:密码长度至少为8位,同时包含大写字母、小写字母、数字、特殊字符(~!\@#\^&*_-+=)。

2.2.3 登录密码错误次数及锁定时间

功能:

注意:当登录iLocker,连续输入错误密码3次后,默认将锁定当前账户在15分钟内不能通过该账户登录iLocker。

2.2.4 超时设置

功能:

注意:**登录iLocker后,在iLocker控制台界面15分钟能未做任何操作时,系统将自动退出,需重新输入账号和密码登录。

2.2.5 报警日志

说明:“输出路径”功能主要是配合iGuard V3的日志收集功能,它能把iLocker的报警日志自动输出到C:\Tercel\iGuard\syncserver\alert\alert.log 中,这样在iGuard V3控制台的报警窗口中就可以查看iLocker的报警日志。

说明:iLocker默认自带的“lua脚本路径”主要是配合iGuard V5使用,路径在 C:\Tercel\iLocker\conf\alert-iguardv5.lua。只要在此处导入该lua脚本,就可把iLocker的报警日志输出到iGuardV5控制台中。alert-iguardv5.lua 向默认iGuard V5报警日志目录自动输出报警日志。如果iGuardv5不是安装在默认目录下,请修改alert-iguardv5.lua中的alertfile="C:\Tercel\iGuard5\igdagent\alert\alert.log" 设定。

说明:发送者email,填入一个真实有效的e-mail,密码处填写发送者e-mail的密码。

说明:SMTP服务根据发送者的e-mail来决定;ssl取决于发送者e-mail是否是加密e-mail,是就勾选上ssl,否则不勾选;发送间隔(分钟)的时间不能为0,若为0则不发送报警。

说明:设置接收者e-mail地址,接收iLocker报警日志,多个e-mail用英文半角的分号 “;” 隔开(图示2-9);

图示 2-9 报警邮件设置

设置好报警日志邮件后,可点击【测试邮件】按钮进行测试,如果配置正确,指定的接收者邮箱里将收到测试邮件。

点击【测试邮件】,看到“测试邮件发送成功”的提示框后,点击【应用】按钮,保存配置,完成报警日志的邮箱设置。

注意:如果没能收到测试邮件,请用文本编辑器查看“iLocker安装目录\logs\curl_verbose”邮件调试日志文件的内容。根据里面的出错信息判断邮件发送失败的具体原因。

2.3 防护控制

功能:

说明:决定是否启动iLocker防护,默认不启用,所以在配置好防护规则后需要主动启动防护。如果选择了“停止防护”,会立刻停止所有当前设置的防护。

注意:无论当前是哪种设置,在操作系统重启后,iLocker会自动还原为“启动防护”的状态。

2.4 用户管理

2.4.1 新建用户

在“iLocker控制台”窗口的【用户管理】选项卡中,点击【新建】按钮,输入新建用户的用户名,并输入对应设置的密码,在【权限】中勾选的新建用户所需要的权限(图示2-10);

图示 2-10 新建用户

注意:只有具有【用户管理】权限的用户,才有权使用【用户管理】功能,而且只能管理(创建)与自己同组的用户,不能跨组管理,无【用户管理】权限的用户则无权使用本类功能。

2.4.2 删除用户

在【用户管理】选项卡中,选中需要删除的用户,点击【删除】按钮,弹出的提示框“确定要删除吗”,点击【是】按钮(图示2-11);

图示 2-11 删除用户

2.4.3 修改用户

选中需要修改的用户,点击【修改】按钮,在弹出的“修改用户”选项框中,只能重置当前用户的权限和密码,重置后的密码统一为:1234abcd(图示2-12);

图示 2-12 修改用户权限

2.4.4 修改密码

用户只能修改自己的密码,选中当前登录的用户,点击【修改密码】按钮,弹出“修改密码”提示框(图示2-13);

图示 2-13修改密码

输入新旧密码后,点击【确认】完成密码修改。



 

2.5 日志管理

2.5.1 日志查询

日志查询可根据日志类型、事件类型、日志开始/结束时间和关键字等进行查询(图示2-14);

图示 2-14 日志查询

不同类型用户能查阅的日志也不一样。

选择了【日志类型】和时间区间后,点击【搜索】即可获得所需时段的日志列表。如果内容过多,会自动分页。点击多条日志,右键,可以点击【复制】,把多条查询结果直接复制出来用于分析(图示2-15)。

图示 2-15 复制日志

2.5.2 日志导出/清理

通过条件设置,选择好某个时间段内需要导出或清理的日志(图示2-16);

图示2-16 日志导出/清理

第3章 安全管理配置(security)

在本章里的所有功能,都需要使用security用户或它的同组用户登录。system和audit组用户无权设置。

以security用户登录系统后,看到如下主界面(如图示3-1):

图示3-1 安全管理组主界面

3.1 防护控制

功能:

说明:设置是否启动iLocker防护。默认不启用,在配置好防护规则后需要手工点击【启动防护】(图示3-2)。 图示3-2 防护启动/停止

3.2 用户管理

3.2.1 新建用户

该功能与第2章中用户管理->新建用户功能一致,详情见【2.4.1 新建用户】

3.2.2 删除用户

该功能与第2章中用户管理->删除用户功能一致,详情见【2.4.2 删除用户】

3.2.3修改用户

该功能与第2章中用户管理->修改用户功能一致,详情见【2.4.3 修改用户】

3.2.4 修改密码

该功能与第2章中用户管理->修改密码功能一致,详情见【2.4.4 修改密码】

3.3 防护规则管理

3.3.1 文件(目录)防护

在【iLocker控制台】->【防护规则管理】->【文件(目录)防护】选项卡中,可以对文件/目录进行保护。

访问权限:它包括三个选项:不可访问不可改写完全控制,以下为三个选项分别代表的含义:

违规事件:它包括两个选项:记录访问日志拦截访问动作,以下为两个选项分别代表的含义:

注意:”记录访问日志“和”拦截访问动作“两个事件是独立配置的。如果只选择了”记录访问日志“,而没有选择”拦截访问动作“,那符合条件的动作依然允许执行,但会留下记录。如果同时选择了两种违规事件,则记录之外还会直接拒绝该操作。

功能:

a) 期望效果:用户Administrator 不能使用notepad.exe进程,读取 D:\tomcat7\webapps目录下的所有文件内容。

目录访问权限:不可访问

违规事件:记录访问日志,拦截访问动作

步骤:点击【添加】按钮,在弹出的“文件(目录)防护规则”选项框中,填写需要的防护规则。如截图中配置的效果。如果有尝试读取的动作,将记录在日志里,并实时拦截该动作。(图示3-3)。

图示 3-3 添加防护规则

点击【确定】按钮,回到iLocker控制台界面,点击【应用】保存配置。

验证方法:在D:\tomcat7\webapps目录对*.txt文件进行读操作时,操作被拒绝(图示3-4)并有记录;

图示3-4 防护规则测试

注意:必须确认【防护控制】->【启动防护】里,当前的防护状态为”启用“。

b) 期望效果:用户Administrator 不能使用notepad.exe进程,对D:\tomcat7\webapps目录下*.txt文件做增删改操。

访问权限:不可改写

违规事件:记录访问日志,拦截访问动作

步骤:点击【添加】按钮,在弹出的“文件(目录)防护规则”选项框中,填写需要的防护规则。如果有尝试读取的动作,将记录在日志里,并实时拦截该动作。(图示3-5)

图示 3-5 添加防护规则

c) 期望效果:用户Administrator,能通过notepad.exe进程对D:\tomcat7\webapps\新建文件夹\test.txt文件做任何操作。

访问权限:完全控制

点击【添加】按钮,在弹出的“文件(目录)防护规则”选项框中,填写需要的防护规则(图示3-6)

图示 3-6添加防护规则

注意:在以下规则列表中,优先级为从上到下的排列顺序。一旦匹配到某条处于上方的规则,则在其下方的其他规则一律无效,不会再处理,以最早匹配到的规则为准。如图示3-7的列表中,代表“完全控制”权限高于“不可改写”的权限,所以该目录实际上可以被设定的进程修改写入。

图示3-7 规则优先级

选中需要删除的规则,点击【删除】按钮,出现“确定要删除吗?”的选项框后,点击【是】,然后点击【应用】按钮,出现“防护规则设置成功”的提示后表明规则删除成功(图示3-8);

图示3-8 删除规则

3.3.2 禁止结束进程

图示3-9 禁止结束进程

打开“windows任务管理器”,选中notepad.exe进程,点击“结束进程”(图示3-10);

图示 3-10 结束进程

注意:iLocker的禁止结束进程,是指不能通过任务管理器结束进程,这些进程包括已启动的应用程序和后台服务的进程,但正常的程序退出和服务停止是允许的。

3.3.3 禁止启动进程

图示3-11 禁止启动进程

在D:\task\Apache group\bin目录下双击“httpd.exe”(图示3-12);

图示3-12 启动进程

3.3.4 配置导入/导出

在“防护规则管理”模块中,点击【导入】按钮,选择导入配置文件(图示3-13);

图示3-13 选择导入的配置

点击【打开】按钮后,出现以下提示,选择【是】(图示3-14);

图示3-14 导入配置

出现以下提示框时,配置导入成功(图示3-15)

图示3-15 配置导入成功

在“防护规则管理”模块中,点击【导出】按钮,选择配置文件保存位置(图示3-16);

图示3-16 导出配置

点接【保存】按钮,出现成功的提示框后,表明配置导出成功(图示3-17);

图示3-17 配置导出成功

3.4 日志管理

3.4.1 日志查询

日志查询可根据日志类型、事件类型、日志开始/结束时间和关键字等进行查询(图示3-18);

图示3-18 日志查询

3.4.2 日志导出/清理

通过条件设置,选择好某个时间段内需要导出或清理的日志(图示3-19);

图示 3-19日志导出/清理

第4章 安全审计配置(audit)

4.1 用户管理

4.1.1 新建用户

该功能与第2章中用户管理->新建用户功能一致,详情见【2.4.1新建用户】

4.1.2 删除用户

该功能与第2章中用户管理->删除用户功能一致,详情见【2.4.2删除用户】

4.1.3 修改用户

该功能与第2章中用户管理->修改用户功能一致,详情见【2.4.3修改用户】

4.1.4 修改密码

该功能与第2章中用户管理->修改密码功能一致,详情见【2.4.4修改密码】


4.2日志管理

4.2.1 日志查询

日志查询可根据日志类型、事件类型、日志开始/结束时间和关键字等进行查询,审计用户可查询system和security用户的日志(图示4-1);

图示4-1 日志查询

4.2.2 日志导出/清理

通过条件设置,选择好某个时间段内需要导出或清理的日志(图示4-2);

图示 4-2 日志导入/清理

第5章 推荐配置

本章主要针对常见的几种Web服务器,做推荐性质的配置介绍。以下推荐配置只是框架性质,具体配置应以实际情况为准。

iLocker作为网页防护时,最重要的目标就是杜绝通过Web服务器进程,产生Webshell文件的可能性。所以无论哪种Web服务器,都应该遵循先设定拒绝Web服务器进程(如w3wp.exe、httpd.exe、java.exe)产生敏感类型文件(如.jsp、.asp、 .aspx、 .cer、 .cdx、 .asa和 .php 等),再根据需要,谨慎放开部分目录/文件类型的步骤设定。

以下几个小节的推荐配置,仅是框架性的演示配置,不能在实际环境中照搬使用,应以实际环境中的需求为准。


5.1 IIS7系列

场景:网站根目录位于C:\inetpub\wwwroot,供注册用户使用的上传目录位于 C:\inetpub\wwwroot\uploadFiles,该上传目录打算存放用户的图片和附件文件。网站运维人员通过Filezilla FTP服务进行代码更新。

首先需要确定该站点对应的应用程序池,是否选择了“启用32位应用程序”模式。方法是查看当前站点对应的应用程序池,如图5-1中所示,则该站点对应的应用程序池为【DefaultAppPool】:

图示 5-1 查看应用程序池

然后再查看【DefaultAppPool】的“高级设置”,确认其中“启用32位应用程序”这一设置为True还是False:

图示 5-2 查看应用程序池是否启用32位兼容模式

以上是否启用32位应用程序的设置,决定了后文中w3wp.exe的路径。该路径关系如下:

启用32位应用程序w3wp.exe路径
False(默认)C:\Windows\System32\inetsrv\w3wp.exe
TrueC:\Windows\SysWOW64\inetsrv\w3wp.exe

按优先级排序的推荐配置(以下w3wp.exe的路径按默认情况设置,具体设置时请以实际情况为准!!)如下:

进程文件模式访问权限措 施
C:\Program Files (x86)\FileZilla Server\FileZilla Server.exe*完全控制
C:\Windows\System32\inetsrv\InetMgr.exe*\web.config不可改写日志
C:\Windows\System32\inetsrv\w3wp.exe*.aspx不可改写日志,拦截
C:\Windows\System32\inetsrv\w3wp.exe*.asp不可改写日志,拦截
C:\Windows\System32\inetsrv\w3wp.exe*.cer不可改写日志,拦截
C:\Windows\System32\inetsrv\w3wp.exe*.cdx不可改写日志,拦截
C:\Windows\System32\inetsrv\w3wp.exeC:\inetpub\wwwroot\uploadFiles*不可改写日志
C:\Windows\System32\inetsrv\w3wp.exeC:\inetpub\wwwroot*不可改写日志,拦截

注意:如果有多个虚拟站点、虚拟目录,要分别作设置。该原则对以下几种场景均适用。

5.2 Apache+PHP模块方式

场景:网站根目录位于D:\appservers\Apache2.2\htdocs,有供注册用户使用的上传目录位于D:\appservers\Apache2.2\htdocs\userfiles,该上传目录打算存放用户的图片和附件文件。网站服务程序Apache(安装在D:\appservers\Apache2.2目录下)通过加载PHP模块的方式,提供动态脚本功能。网站运维人员通过FilezillaFTP服务进行代码更新。

在这种场景中,最应该关注和重点防护的进程,就是Apache的工作进程httpd.exe。所以按先级排列的推荐配置如下:

进程文件模式访问权限措施
C:\Program Files (x86)\FileZilla Server\FileZilla Server.exe*完全控制
D:\appservers\Apache2.2\bin\httpd.exe*.php不可改写日志,拦截
D:\appservers\Apache2.2\bin\httpd.exe*.phtml不可改写日志,拦截
D:\appservers\Apache2.2\bin\httpd.exe*.inc不可改写日志,拦截
D:\appservers\Apache2.2\bin\httpd.exeD:\appservers\Apache2.2\htdocs\userfiles不可改写日志
*D:\appservers\Apache2.2\htdocs不可改写日志,拦截


5.3 Apache(Nginx)+FastCGI模块方式

场景:网站根目录位于D:\Nginx\html目录下,有供注册用户使用的上传目录位于D:\Nginx\html\userfiles,该上传目录打算存放用户的图片和附件文件。网站服务程序Nginx(安装在D:\Nginx目录下)通过FastCGI的方式(PHP安装目录为D:\PHP5),提供动态脚本功能。

在这种场景中,最应该关注和重点防护的进程,就是PHP FastCGI的工作进程php-cgi.exe。所以按优先级排列的推荐配置如下:

进程文件模式访问权限措施
D:\PHP5\php-cgi.exe*.php不可改写日志,拦截
D:\PHP5\php-cgi.exe*.phtml不可改写日志,拦截
D:\PHP5\php-cgi.exe*.inc不可改写日志,拦截
D:\PHP5\php-cgi.exeD:\Nginx\html\userfiles不可改写日志
*D:\Nginx\html不可改写日志,拦截


5.4 Java中间件服务器部署模式

场景:网站使用Tomcat作为Java中间件服务器,其安装目录位于D:\tomcat8目录下。文档根目录位于D:\tomcat8\webapps\ROOT目录下,有供注册用户使用的上传目录位于D:\tomcat8\webapps\ROOT\upfiles,该上传目录打算存放用户的图片和附件文件。网站中间件服务器使用的JAVA_HOME目录在C:\jdk1.8目录下。平时管理人员使用iGuardv5标准版更新网站。

在这种场景中,最应该关注和重点防护的进程,就是JAVA_HOME对应的java.exe JDK程序。另外中间件服务器和其他平台有差异的地方是,关注点不能只限于当前的文档根目录,关注点应该扩展到整个webapps目录,因为某些中间件服务器漏洞,可以通过部署 .war 文件的方式,获得Webshell,而通过.war 文件部署的方式,则往往并不是放在当前文档根目录下的,所以范围要足够大。

按优先级排列的推荐配置如下:

进程文件模式访问权限措施
*\igdagent.exe*完全控制
C:\jdk1.8\bin\java.exe*.jsp不可改写日志,拦截
C:\jdk1.8\bin\java.exe*.war不可改写日志,拦截
C:\jdk1.8\bin\java.exe*.jspx不可改写日志,拦截
C:\jdk1.8\bin\java.exeD:\tomcat8\webapps\ROOT\upfiles不可改写日志
*D:\tomcat8\webapps不可改写日志,拦截

第6章 常见问题

本章主要总结一些常见问题。这部分会根据实际使用情况的反馈,逐渐增加和调整。

6.1 我忘了卸载密码,要怎么卸载程序呢?

方法一:如果还记得system用户密码,可以用system用户登录控制台,在『系统配置』主界面里,点击『修改卸载密码』:

改为自己需要的卸载密码。然后重新卸载,使用新密码即可。

方法二:由于特殊原因,控制台也无法使用,无法登录到控制台修改密码,只能使用比较暴力的步骤,具体如下:

(1)系统管理组用户登录iLocker控制台,停止防护(如果能登陆到系统安全模式下,则不需这一步);

(2)开始-->运行,管理员权限运行cmd.exe,执行以下命令: sc delete ilckagent sc delete ilck sc delete ilckf

(3)删除桌面iLocker快捷方式;

(4)删除开始菜单iLocker项;

(5)删除C:\Tercel\iLocker文件夹;

(6)C:\Windows\System32\DRVSTORE目录下,删除以ilckf_开头的文件夹;

(7)开始-->运行,运行regedit.exe, 展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, 在Uninstall键下找到类似1CBEBA18A16DB517F120959775ED1520F4ACCFED的一个子键,类似的子键可能有多个, 确保选中该子键后,右边窗格中的值DisplayName的数据为"Windows 驱动程序包 - Tercel Company Limited ilckf (XXX)", 删除这个子键。

(8)重启计算机;

6.2 为什么有些环境说iLocker安装程序签名不对,无法安装呢?

在某些我们本应支持的系统里,可能发生无法安装iLocker驱动程序的问题,提示安装程序签名程序不对的现象。

这种在排除权限等常规问题之外,需要考虑的是:当前系统是否启用了『Secure Boot』安全启动项。 如果开启了『Secure Boot』安全启动项,对系统加载的驱动程序的签名检查会非常严格,导致我们的驱动没法安装。所以为了减少对我们的影响,建议关闭该选项。

无论是实体机还是虚拟机,都有可能出现这个问题。如果是实体机,是在开机的BIOS里关闭/开启这个项目;如果是虚拟机,则在虚拟机的管理控制台里关闭/开启该功能项。

关于Secure Boot的更多介绍:https://www.cnblogs.com/zengkefu/p/5859954.html

下图是在某些虚拟机平台里的『Secure Boot』设置:

如果非要保留『Secure Boot』选项,需要额外再签发我们的驱动程序。具体步骤是去windows硬件开发中心注册账号,提交经过签名的驱动文件,微软做数字签名处理后,取回驱动文件:https://docs.microsoft.com/en-us/windows-hardware/drivers/install/kernel-mode-code-signing-policy--windows-vista-and-later-

6.3 为什么控制台能打开,但无法启动防护?

iLocker控制台程序本身使用正常,但防护功能无法开启,每次点启动报如下错误:

这表明iLocker驱动未正常安装好。 需要做以下处理:

1、先删除可能已在注册表里的ilckf注册项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ilckf

2、以管理员权限,执行 C:\Tercel\iLocker\filter\ilckf\dpinst64.exe 驱动安装程序。

3、以管理员权限执行命令,启动重新安装后的ilckf服务:sc start ilckf

4、查询ilckf服务的状态:sc query ilckf,确认为运行即可。

版权声明

上海天存信息技术有限公司(以下简称天存公司)拥有本文档(包括所涉及的主题)的专利、专利申请、商标、版权及其他知识产权。天存公司授予您阅读本文档的权利;但是,除非有天存公司明确提供的书面特许协议,本文档的提供并不意味着授予您相关专利、商标、版权或其他任何知识产权的特许。

复制与传播 遵守所有生效的版权法是用户的责任。在未经天存公司明确书面许可的情况下,不得对本文档的任何部分进行复制(备份目的除外),不得将其保存于或引进到公开的检索系统中,不得以任何形式和任何方式(电子、影印、录制、机械或其他任何此处未指明的方式)进行传播或用于任何目的。

示例 如果本文档有示例部分,则在示例部分中所描述的公司、组织、产品、人及事件均属虚构,与真实的公司、组织、产品、人及事件无任何关系。

变更 本文档的参考资料中所提及的包括Web站点、Internet资源、第三方的技术标准与规范等在内的信息,如在本文档交付后有变更,恕不另行通知。

版权所有者 ©版权所有 上海天存信息技术有限公司(Shanghai Tercel Info Tech. Co.,Ltd.),2002-2017。地址为:上海市商城路660号乐凯大厦8楼H座(200050)。所有权利均予保留。

商标 Tercel、iGuard、iWall、iLocker和/或其他本文档中提及的天存公司产品,是天存公司的商标或注册商标。本文档所提到的真实的公司和产品的名称可能是其各自所有者的商标。

联系人 如有任何疑问或问题,请与support@tcxa.com.cn](mailto:support@tcxa.com.cn)联系;或访问:http://www.tcxa.com.cn

未经本使用规定明确授予的任何权利均予保留。