配置

在此部分:

关于配置

Application Control 配置文件 (AAMP) 包含用于保护您的系统的规则设置。配置文件安装在托管设备上,充当 Application Control 代理的策略检查表,用以评估如何处理文件执行请求。执行文件时,Application Control 会拦截请求并通过配置来执行检查,以找到适当的匹配规则和所需采取的操作。还会应用配置中指定的默认策略,例如用于特定文件扩展名类型的事件筛选或处理以及默认规则、审计规则、如何显示消息通知和存档选项等一般策略。

根据您的操作系统,配置存储在本地不同的位置,并且受到 NTFS 安全的保护:Windows 7 和更高版本:C:\ProgramData\AppSense\Application Manager\Configuration。

在独立模式下,配置更改会从 Application Control 控制台直接写入本地 AAMP 文件。在企业模式下,可在 Management Center 数据库内集中创建和存储配置并通过管理服务器分发到 MSI 格式的端点。还可以通过 MSI 文件格式导出和导入配置,这在使用第三方部署系统来创建模板或分发配置时很有用。

创建或修改配置后,您必须保存具有最新设置的配置以确保其得以实施。

配置元素

应用程序管理器库节点让您能够创建可用于配置规则的项目组。使用库来创建要管理的类似项目的组。创建库之后,您可以将其分配到规则并用于管理一组用户。库节点提供以下功能:

  • 组管理 - 组管理节点让您能够为特定应用程序将文件、文件夹、驱动器、签名文件、Windows 应用商店应用和网络连接等许多项目进行分组。然后,您可以将此组添加到规则中允许的项目和拒绝的项目列表。

  • 用户权限策略 - 用户节点让您能够添加用户权限策略,以便有选择地提升或降低单个应用程序的管理员权限。

规则

规则节点提供用于处理文件执行的默认设置以及适用于特定用户、组或设备的特定设置。组、用户、设备、自定义、脚本和进程规则让您能够指定安全级别设置,这些设置指定适用于匹配规则的用户、组或设备的限制。自定义规则针对在特定的设备组合上操作的特定用户或组的组合。脚本规则让管理员能够根据 Windows PowerShell 或 VBScript 脚本的结果将允许的项目和拒绝的项目应用到用户。可以为每个用户会话运行脚本,或者每台计算机运行一次。进程规则让您能够管理运行子进程的应用程序的访问,这些进程可能在其他规则中以不同的方式进行管理。您可以将允许的项目、拒绝的项目、可信供应商、用户权限和浏览器控制添加到规则。

  • 允许/拒绝的项目 - 每个规则中的子节点列表,您可以用特定的文件、文件夹、驱动器和数字签名进行填充和维护,从而为控制文件执行请求提供额外粒度级别。例如,受信任的所有权检查通常拒绝的项目可被允许用于规则中作为目标的用户或设备。同样,通常允许的文件也可以被拒绝。
  • 可信供应商 - 每个规则中的子节点列表,您可以用可信来源颁发的数字证书进行填充。未通过受信任的所有权检查的文件会被检查是否存在数字签名,并被允许在与可信供应商列表进行匹配时运行。例如,高度受限用户可能会在正常规则条件下被禁止在系统上引入可执行文件,但可能需要时常从特定来源下载并运行软件更新。如果下载的文件包含与可信供应商列表中的证书相匹配的数字签名,则该文件被允许运行。
  • 用户权限 - 每个规则中的子节点列表,您可以用应用程序、组件和 Web 安装进行填充,以便对其应用用户权限策略。用户权限策略让您能够有选择地提升或降低单个应用程序、组件和 Web 安装的管理员权限。
  • 浏览器控制 - 每个规则中的子节点列表,您可以用可应用 URL 重定向的 URL 进行填充。您还可以指定打开提升的 Internet Explorer 实例的 URL,并允许为来自特定域的 ActiveX 安装程序提升至管理员权限。

默认配置

Application Control 已准备好当您在客户端计算机上安装代理和配置时管理您的安全性。默认配置在您运行控制台时加载,并可用于部署配置的所有客户端计算机上的立即保护。此配置可阻止任何具有不可信所有者的文件,并防止非管理员用户访问不安全位置的可执行文件,包括网络位置和可移除介质。

可通过控制台在独立模式下将默认配置直接保存到客户端计算机,或者在准备好部署的企业模式下运行时保存到部署机制的数据库。

保护

  • 授予访问权限之前会针对 Application Control 规则检查所有应用程序和进程执行请求。
  • 除非 Application Control 规则允许,否则会禁止所有应用程序和进程网络访问请求。
  • 本地管理员组的成员被授予应用程序的无限制访问权限。
  • 非管理员用户组的成员被授予应用程序的受限访问权限。
  • CMD.exe 被阻止,由批处理文件运行时除外。
  • 针对 Application Control 规则验证 MSI、WSH 和注册表文件。
  • Windows 安装程序 (msiexec.exe) 被允许运行具有 DLL 和 EXE 扩展名的所有子进程。

默认配置设置

设置 说明
高级设置

 策略设置

 一般功能
  • 默认允许本地驱动器
  • 在登录时忽略限制条件
  • 允许 cmd.exe 用于批处理文件
  • 提取自解压 ZIP 文件
  • 在“智能安装”期间忽略限制条件
  • 拒绝可移除介质上的文件
  • 拒绝网络共享中的文件
  • 在登录时忽略限制条件会将 Application Control 的实施延迟到登录完成,以避免干扰或阻止登录过程。此选项允许运行登录脚本。
  • 尽管 cmd.exe 和自解压 ZIP 文件通常会因违反安全的尝试的潜在漏洞而被阻止,但此选项允许为合法文件 Application Control 规则运行 CMD 和 ZIP 文件。
验证
  • 验证 MSI(Windows 安装程序)包
  • 验证 WSH (Windows Script Host)
  • 验证注册表文件
 系统进程验证会影响性能,默认已被禁用。
  • Application Control 默认根据规则验证 MSI、注册表文件和 WSH 文件。否则,它们会被忽略,除非自行在规则中指定。
  • 仅当您信任这些文件类型的运行或者在 Application Control 规则中或通过其他方法实施足够的保护时关闭这些选项。
功能
  • 启用应用程序访问控制
  • 启用应用程序网络访问控制
  • 启用权限管理
  • 所有 Application Control 功能默认已启用,但您可以在任何故障排除过程中禁用其中任何功能。
  • 我们建议您禁用任何不想使用的功能。
应用程序终止 用于关闭和终止应用程序的设置。

设置触发器、用户的警告消息行为以及警告消息通知。

 默认已被禁用。

组管理节点 用于创建分配到规则的可重复使用的应用程序组。 无默认设置。
用户权限策略 可提升或限制用户权限的可重复使用的用户权限策略。

用于分配到规则中的文件、文件夹、签名、驱动器和应用程序组。

 无默认设置。
管理员 用于管理本地管理员的应用程序访问权限的本地管理员组。
  • 安全级别设置为无限制。
  • 未应用任何其他默认设置。
所有人 所有系统用户的组规则,除非用户匹配具有更高优先级设置的其他规则。
  • 安全级别设置为受限制。
  • AppSense 程序文件目录被添加至允许的项目。
  • 未应用任何其他默认设置。
进程 Windows 安装程序 (msiexec.exe)
  • *.EXE
  • *.DLL
  • 所有 EXE 和 DLL 文件被允许在由 msiexec 生成时运行。
  • 此规则不管理 msiexec 的访问权限。您必须在其他规则中管理 msiexec 的访问权限。

相关主题

维护配置