CVD 文件合规性工具可监控端点上的文件更改,以检测异常文件活动,从而确保映像合规性。

使用该工具可检测计算机(通常为静态计算机)上的任何异常活动和更改,跟踪任何安全违规情况,并防止出现数据泄露或意外行为。

该工具包含两种模式:
  • “创建参考清单”模式:该工具将最近加载的清单复制到存储上的特殊路径。在此模式下,该工具不使用策略文件,但包含所有清单条目。
  • “检查合规性”模式:您指定一个策略文件,其中包含要跟踪的文件扩展名,同时排除您不想跟踪的文件夹。该工具对参考清单和最新清单都应用该策略文件,然后检查有无修改并报告存在的更改。

端点中的每个文件都有一个签名(数据校验和),该签名存储在清单中,清单列出了备份到存储的所有文件。使用清单中的路径和校验和数据,可以识别文件何时从其原始位置发生了移动或修改。Mirage 将最近的清单存储在存储的特定文件中。

创建参考清单

在运行该工具前,确认端点已完成上载到服务器的操作。

上载的频率取决于 Mirage 配置。如果参考清单尚不存在,该工具会在特定路径中创建参考清单;如果参考清单已经存在,该工具会将参考清单与存储中的最近清单进行比较,并报告清单是否进行了修改。请注意,如果您不使用标记 -CreateReferenceFileList 且参考清单不存在,将会出现错误。

要首次创建参考清单,请运行 FileComplianceScan -CreateReferenceFileList -MgmServerAddress localhost -CvdID 10008

其中,
  • -CreateReferenceFileList 将创建第一个清单参考文件。
  • -MgmServerAddressMirage 管理服务器的名称或 IP 地址。
  • -CvdID <id> 是计算机/CVD 标识符。

该工具会列出找到的文件数量,其中包括 CVD 策略中的所有文件。

检查合规性

要检查您想跟踪的文件,请运行 FileComplianceScan -MgmServerAddress localhost -FilesPolicy "C:\PolicyFile.xml" -OutputDir "c:\DetectManifestOutput" -LogTraceLevel -CvdID 10008

其中,
  • -MgmServerAddressMirage 管理服务器的名称或 IP 地址。
  • -FilesPolicy <xmlFilePath> 是包括要包含的文件扩展名和要排除的文件夹的 xml 文件的路径。如果该文件不存在,该工具会进行报告,并创建一个模板文件,您可以编辑该模板文件,以定义再次运行该命令时希望该工具跟踪的文件。
  • -OutputDir <CsvResultDirPath> 是该工具在其中创建 CSV 文件的目录路径,该文件包含找到的文件报告。不适用于 CreateReferenceFileList 模式。
  • -LogTraceLevel 是用于获取更详细的输出日志数据以进行故障排除的参数。
  • -CvdID <id> 是计算机/CVD 标识符。

策略文件

策略文件是为该工具定义规则的 xml 文件。可编辑该文件,以输入目录排除路径以及希望该工具跟踪的文件扩展名。文件示例: 

<?xml version="1.0" encoding="utf-8"?>
<DetectManifestFilterOptions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <PathFilterArray>
    <Directory ExcludePath="C:\\Folder1\\Folder2" Recursive="true" />
    <Directory ExcludePath=" C:\\Folder1\\FileName.exe" Recursive="false" />
  </PathFilterArray>
  <TrackExtArray>
    <Track Extention="exe" />
    <Track Extention="dll" />
  </TrackExtArray>
</DetectManifestFilterOptions>
您可以根据输出数据修改此文件以包含新的文件扩展名,然后再次运行该命令。

输出

该工具的输出采用以下格式显示在 csv 文件中:修改类型、文件数据签名、参考清单中的文件路径、最新文件路径

表 1. 输出格式
输出 描述
修改类型 FileAdded:原始清单中不存在签名,而新清单中则存在。

FileRemoved:原始清单中存在签名,而新清单中则不存在。

FilePathChanged:如果两个清单中均存在签名,但路径名称已发生更改或此文件的实例数量已发生更改。

文件数据签名 文件签名的 32 位十六进制值。文件不能有多个签名值。
参考清单中的文件路径 列出具有此签名的所有文件在参考清单中的完整路径。
最新文件路径 列出具有此签名的所有文件在当前清单中的完整路径。

命令行摘要报告了输出文件中的行数以及每种修改类型的行数。如果该工具未发现任何问题,csv 输出文件为空。

如果计算机不完全合规,请检查输出文件,并确定您是否要执行任何 Mirage 操作,以使计算机恢复到原始状态。

用例

在银行业,如果支行 ATM 存在病毒,IT 管理员可以从中央控制台运行该工具以检测病毒,从而管理端点映像,并使机器恢复到原始状态。这一过程可节省关键的端点停机时间,以及将技术人员派往现场解决问题的费用。

在零售业,该工具可以检测任何未完全达到文件合规性的受损机器,并使它们恢复到原始状态。

工具使用条件

使用该工具时,需遵循以下条件:

  • 一次只能对一个 CVD 运行该工具。执行时间约为 1 分钟/CVD。
  • 不能对已存档的 CVD 运行该工具。
  • 不能对具有 LMO(仅层管理)的 CVD 运行该工具。
  • 如果该工具因出现错误而无法完成扫描,将会显示相应的错误消息。
  • 该工具可以在任何运行 Mirage服务器工具的计算机上运行。出于可扩展性考虑,并不需要只从 Mirage 管理服务器运行该工具。
错误消息示例: 
CVD 10001 is an archived CVD. This tool does not support archive CVD. Please type valid CVD ID 
Could not find volume path for CVD 10001  
Error: Invalid program parameter(s): Missing server address