CVD 檔案符合性工具會監視端點上的檔案變更,以偵測異常的檔案活動並確保映像的符合性。

使用工具來偵測任何異常的活動和機器上通常是靜態的變更、追蹤任何安全性漏洞,並防止資料洩漏或非預期的行為。

工具包含兩個模式:
  • 建立參考資訊清單模式:工具會將上次載入的資訊清單複製到儲存區上的特殊路徑。在此模式中,它不會使用原則檔案,並且包含所有資訊清單項目。
  • 檢查符合性模式:您需要指定包含所要追蹤副檔名的原則檔案,並排除您不要追蹤的資料夾。工具會同時在參考資訊清單與最新的資訊清單上套用原則檔案,然後檢查修改,並且報告相關的變更。

端點中的每個檔案皆具有儲存在資訊清單的簽章 (資料總和檢查),而資訊清單即備份至儲存區之所有檔案的清單。使用資訊清單中的路徑和總和檢查資料來識別檔案何時從其原始位置進行移動或修改。Mirage 會在儲存區的特定檔案中儲存上次的資訊清單。

建立參考資訊清單

執行工具之前,請確認端點已完成上傳至伺服器的作業。

上傳的頻率取決於 Mirage 組態。如果資訊清單尚未存在,則工具會在特定路徑上建立參考資訊清單,而若資訊清單已存在,則工具會將該資訊清單與儲存區中的上次資訊清單進行比較,並且報告資訊清單是否已進行修改。請注意,如果您不使用旗標 -CreateReferenceFileList,且參考資訊清單不存在,則會遇到錯誤。

若要建立第一次的參考資訊清單,請執行 FileComplianceScan -CreateReferenceFileList -MgmServerAddress localhost -CvdID 10008

其中
  • -CreateReferenceFileList 會建立第一個資訊清單參考檔案。
  • -MgmServerAddressMirage 管理伺服器的名稱或 IP 位址。
  • -CvdID <id> 為機器/CVD 識別碼。

工具會列出找到的檔案數量,其中包含 CVD 原則中的所有檔案。

檢查符合性

若要檢查您要追蹤的檔案,請執行 FileComplianceScan -MgmServerAddress localhost -FilesPolicy "C:\PolicyFile.xml" -OutputDir "c:\DetectManifestOutput" -LogTraceLevel -CvdID 10008

其中
  • -MgmServerAddressMirage 管理伺服器的名稱或 IP 位址。
  • -FilesPolicy <xmlFilePath> 為 XML 檔案的路徑,其中包含要加入的副檔名以及要排除的資料夾。如果檔案不存在,則工具會進行報告並建立一個範本檔案,您可以編輯該檔案以便定義再次執行命令時要讓工具追蹤的檔案。
  • -OutputDir <CsvResultDirPath> 為目錄的路徑,工具會在該目錄中建立一個 CSV 檔案,其中包含所找到檔案的報告。不適用於 CreateReferenceFileList 模式。
  • -LogTraceLevel 為用來取得輸出記錄更詳細的資料以進行疑難排解的參數。
  • -CvdID <id> 為機器/CVD 識別碼。

原則檔案

原則檔案為 XML 檔案,您可以在其中定義工具的規則。編輯檔案以輸入要讓工具追蹤的目錄排除路徑和檔案副檔名。檔案的範例: 

<?xml version="1.0" encoding="utf-8"?>
<DetectManifestFilterOptions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <PathFilterArray>
    <Directory ExcludePath="C:\\Folder1\\Folder2" Recursive="true" />
    <Directory ExcludePath=" C:\\Folder1\\FileName.exe" Recursive="false" />
  </PathFilterArray>
  <TrackExtArray>
    <Track Extention="exe" />
    <Track Extention="dll" />
  </TrackExtArray>
</DetectManifestFilterOptions>
您可以修改此檔案以根據輸出資料加入新的檔案副檔名,然後再次執行命令。

輸出

工具輸出使用的 CSV 檔案格式為:修改類型、檔案資料簽章、參考資訊清單中的檔案路徑和最新的檔案路徑

表 1. 輸出格式
輸出 描述
修改類型 FileAdded:簽章不存在於原始資訊清單,但存在於新資訊清單。

FileRemoved:簽章已存在於原始資訊清單,但不存在於新資訊清單。

FilePathChanged:如果簽章同時存在於兩個資訊清單上,但路徑名稱已變更或此檔案的執行個體數量已變更。

檔案資料簽章 檔案簽章的 32 位元十六進位值。檔案不能有一個以上的簽章值。
參考資訊清單中的檔案路徑 來自具有此簽章之所有檔案參考資訊清單的完整路徑清單。
最新的檔案路徑 來自具有此簽章之所有檔案目前資訊清單的完整路徑清單。

命令列上的摘要會報告輸出檔案中的列數,以及來自每個修改類型的列數。如果工具找不到問題,則輸出 CSV 檔案會呈現空白。

如果機器不具有 100% 符合性,請檢查輸出檔案並決定您是否要執行任何 Mirage 作業以便將機器還原為其原始狀態。

使用案例

在銀行產業中,如果分行 ATM 包含病毒,IT 管理員可以從中央主控台利用執行工具來偵測病毒以及將機器還原為其原始狀態,藉此管理端點映像。此程序可省下端點的重要停機時間,以及派出技術人員現場解決問題的成本。

在零售產業中,此工具可以偵測不具有 100% 檔案符合性的任何損壞機器,並且可以將其還原為其原始狀態。

工具條件

此工具受限於這些條件:

  • 您可以一次在一個 CVD 上執行工具。每個 CVD 的執行時間大約需要 1 分鐘。
  • 您無法在封存的 CVD 上執行工具。
  • 您無法在具有 LMO (僅限層管理) 的 CVD 上執行此工具。
  • 如果工具由於錯誤而無法完成掃描,它會顯示適當的錯誤訊息。
  • 此工具可在執行 Mirage 伺服器工具的任何機器中執行。基於延展性目的,並不需要僅從 Mirage 管理伺服器來執行此工具。
錯誤訊息的範例: 
CVD 10001 is an archived CVD. This tool does not support archive CVD. Please type valid CVD ID 
Could not find volume path for CVD 10001  
Error: Invalid program parameter(s): Missing server address