条件管理
在此部分:
关于条件
条件用于自定义规则,以根据许多因素来应用安全控制。您可以根据以下内容来设置条件:
您还可以使用 VBScript 或 JScript 创建自定义脚本条件,以处理未作为应用程序控制台标准提供的场景。
条件中的条件为 true 或 false 时,会应用规则项目中设置的“允许的项目”和“权限管理”等安全控制。您还可以使用正则表达式和范围来创建适用于多个匹配的高级条件。
在支持正则表达式的条件中,您可以使用简单的正则表达式,例如输入 [abc] 以匹配包含方括号中的任何字符的任何内容。您还可以使用复杂的查询,例如 ^[a-f]+ 匹配以从 a 到 f 的字母开头的任何用户名。
有关更多信息,请参阅通配符和正则表达式。
通过条件来创建自定义规则时,请记住 Application Control 会应用 10 秒的超时以评估规则的所有条件。如果在 10 秒内未评估条件,则不会应用自定义规则。这在创建脚本条件时尤其重要,因为需要 10 秒以上才能完成的脚本会导致评估超时。
要查看自定义规则的条件,请在导航窗格中选择单个自定义规则的节点。工作区显示规则的安全级别,工作区下方显示规则的条件列表以及规则是否已启用。
列表顶部为“条件”下拉菜单,您可以从中创建新条件。菜单旁边为用于管理条件的以下选项:
- 左移
- 右移
- 下移
- 上移
- 编辑
- 删除
使用“移动”箭头在列表中排列条件。您可以在列表中向上或向下移动条件,或者将其向左或向右缩进以使其成为其他条件的子条件或父条件。条件在列表层次结构中的位置将决定如何应用条件。同一级别的条件会被同时评估(OR 条件)。作为其他条件的子条件的条件仅在成功执行父条件时进行评估(AND 条件)。在以下示例中,用户必须为管理员 OR(或)必须为 Finance 用户组 AND(以及)使用笔记本电脑的成员,才能应用自定义规则项目:
对于查询 Active Directory 的任何条件,Application Control 管理员必须为目标域的成员或者具有足够的权限,才能访问和查询该域。
如果条件为实时配置的一部分,则当您使用配置探查器来创建完整报告时,它们会包含在报告中。报告使用与自定义工作区中相同的条件文本,在每个自定义规则下方列出相关的条件:
创建条件
本部分仅适用于创建目录成员资格、用户、计算机以及会话和客户端条件,因为这些条件的对话框使用相同的格式。
- 选择“自定义”规则的节点。
-
在规则的工作区中,打开“条件”下拉菜单并选择您要应用的条件,例如 条件 > 用户 > 用户组 。
在条件对话框中,默认显示特定于条件类型的条件选项卡。此选项卡允许使用一组常用的选项和字段来设置参数。
请参阅条件变量了解更多详细信息。
- 使用可用的字段和复选框来定义条件。
- 选择常规选项卡。
- 输入说明以及任何可选注释。说明用作条件的显示名称。如果此字段留空,则自动通过配置的条件来设置显示名称。
- 单击确定以保存条件。
Application Control 代理使用条件为已登录的用户找到具有相同条件的匹配。如果找到匹配,则应用规则和附加到条件的规则项目。
子域中的设备基于 Active Directory 的条件
基于 Active Directory (AD) 的客户端条件会把从 Windows 终端服务器(或 Citrix 等效服务器)获取的客户端 NetBIOS 名称转换为用于查询 AD 的 FQDN。如果终端服务器位于父域中,同时正在尝试解析子域中连接设备的 FQDN,则无法解析 FDQN。这会影响“设备”和“自定义”规则,而通过基于 Active Directory 的客户端条件,这些规则会应用到根域中的终端服务器和 VDI。
必须为终端服务器配置所有子域的 DNS 后缀。必须在要解析子域中用于连接的名称的所有终端服务器上配置搜索列表。
例如,对于父域 domain.local,必须在终端服务器上配置子域、childa.domain.local 和 childb.domain.local,以便基于 AD 的条件正确地执行评估。
有关配置域后缀搜索列表的信息,请访问:https://support.microsoft.com/en-gb/kb/275553
重新使用条件
您可以从一个自定义规则中复制已创建的条件并将其粘贴到另一个自定义规则,从而重复使用这些条件。
您可以使用“编辑”功能区中的选项来剪切、复制和粘贴全部条件。
条件变量
您可以使用以下字段、下拉菜单和复选框的变体来指定每个条件类型:
- 等于 - 针对匹配字段的内容进行比较,从而以满足这些条件的用户或计算机为目标。根据需要将条件输入到匹配字段或使用省略号 (...) 进行搜索或选择。
- 不等于 - 以不满足匹配字段中的条件的所有用户或计算机为目标。根据需要在匹配字段中输入条件或使用省略号进行搜索或选择。
- 查询 - 以匹配查询字段中指定的条件的所有用户或计算机为目标。在查询中使用通配符可允许各种匹配,例如:
- *Windows - 将以文本 Windows 结尾的用户或计算机作为目标。
- Windows* - 将以文本 Windows 开头的用户或计算机作为目标。
- *Windows* - 将包含文本 Windows 的用户或计算机作为目标。
- 正则表达式 - 使用正则表达式为用户或计算机指定高级查询。
- 介于 - 用于可设置各种值的条件。例如,可以创建条件来应用于选定的 IP 地址范围。
- 每次会话评估一次 - 选择后,将评估条件并缓存结果。如果再次运行条件,将从缓存中获得结果,而不是再次评估条件。
字段验证
下表列出各种条件的字段中可接受的字符串。
| 条件 | 字段 | 允许的字符串 | 示例 |
|---|---|---|---|
| 用户组 | 匹配 | domain\group | ivanti/sales 会匹配 ivanti 域中的 sales 组。 |
| LDAP | CN=sales, 会匹配 ivanti.com 域中的 sales 组。 | ||
| 查询 | domain\gro* | ivanti\sal* 会匹配 ivanti 域中以 sal 开头的组名。 | |
| domain\*gro | ivanti\*les 会匹配 ivanti 域中以 les 结尾的组名。 | ||
| domain\*gro* | ivanti\*ale* 会匹配 ivanti 域中包含 ale 的组名。 | ||
| 用户名 | 匹配 | domain\user | ivanti\smithj 会匹配 ivanti 域中的用户名 smithj。 |
| 查询 | domain\use* | ivanti\smit* 会匹配 ivanti 域中以 smit 开头的组名。 | |
| domain\*use | ivanti\*ith 会匹配 ivanti 域中以 ith 结尾的组名。 | ||
| domain\*use* | ivanti\*ith* 会匹配 ivanti 域中包含 ith 的组名。 | ||
| 计算机组 | 匹配 | domain\group | ivanti/sales 会匹配 ivanti 域中的 sales 组。 |
| LDAP | CN=sales, 会匹配 ivanti.com 域中的 sales 组。 | ||
| 查询 | domain\gro* | ivanti\sal* 会匹配 ivanti 域中以 sal 开头的组名。 | |
| domain\*gro | ivanti\*les 会匹配 ivanti 域中以 les 结尾的组名。 | ||
| domain\*gro* | ivanti\*ale* 会匹配 ivanti 域中包含 ale 的组名。 | ||
| 计算机名称 | 匹配 | 计算机 | SalesDesk01 匹配计算机名称 'SalesDesk01'。 |
| 查询 | comp* | SalesDesk* 与所有以 'SalesDesk' 开头的计算机名称匹配。 | |
| *comp | Desk01* 与所有以 'Desk01' 结尾的计算机名称匹配。 | ||
| *comp* | Desk* 与所有包含 'Desk' 的计算机名称匹配。 | ||
| 计算机域 | 匹配 | domain | ivanti 会匹配域名 ivanti。 |
| domain | ivanti.com 会匹配域名 ivanti.com。 | ||
| 查询 | dom* | iva* 会匹配所有以 iva 开头的计算机域。 | |
| *dom | *anti 会匹配以 anti 结尾的所有计算机域。 | ||
| *dom* | *ant* 会匹配包含 ant 的域。 | ||
| 计算机 NETBIOS | 匹配 | 计算机 | SalesDesk01 匹配计算机 NETBIOS 名称 'SalesDesk01'。 |
| 查询 | comp* | SalesDesk* 与所有以 'SalesDesk' 开头的计算机名称匹配。 | |
| *comp | Desk01* 与所有以 'Desk01' 结尾的计算机名称匹配。 | ||
| *comp* | Desk* 与所有包含 'Desk' 的计算机名称匹配。 | ||
| 计算机 IP 地址 | 匹配 | xxxx.xxxx.xxxx.xxxx | 192.168.0.1 匹配 IP 地址 192.168.0.1。 |
| 介于 | xxxx.xxxx.xxxx.xxxx | IP Address 1: 192.168.0.1, IP Address 2: 192.168.0.254 匹配介于 "192.168.0.1" 和 "192.168.0.254" 之间的所有 IP 地址。 | |
| 用户 OU 成员资格 | 匹配 | LDAP | CN=sales, 会匹配 ivanti.com 域中用户 OU sales 的目录成员资格。 |
| 查询 | ou* | sales* 匹配以 'sales' 开头的用户 OU 名称。 | |
| *ou | *sales 匹配以 'sales' 结尾的用户 OU 名称。 | ||
| *ou* | *sales* 匹配包含 'sales' 的用户 OU 名称。 | ||
| 计算机 OU 成员资格 | 匹配 | LDAP | CN=sales, 会匹配 ivanti.com 域中计算机 OU sales 的目录成员资格。 |
| 查询 | ou* | sales* 匹配以 'sales' 开头的计算机 OU 名称。 | |
| *ou | *sales 匹配以 'sales' 结尾的计算机 OU 名称。 | ||
| *ou* | *sales* 匹配包含 'sales' 的计算机 OU 名称。 | ||
| 目录站点 | 匹配 | 站点名称 | testsite 匹配站点名称 'testsite'。 |