产品架构

在此部分：

• 架构图
• 软件代理
• 配置

架构图

软件代理

使用轻型代理在端点上安装并运行 Application Control。代理直接安装在本地计算机上。代理和配置构成 Windows 安装程序 (MSI) 包，因此可使用支持 MSI 格式的任何第三方部署系统进行分发。安装程序以单独的 32 位和 64 位 Microsoft Installer 包提供。

要使 Application Control 正常运行，代理及关联配置必须一起安装在客户端端点上。安装可以手动执行，也可以通过 Management Center 等部署系统执行。由于代理和配置本地安装并存储在端点上，因此即使端点断开连接或脱机，它们也将继续运行。

Application Control 代理会安装 Windows 服务（Application Control 服务）、文件系统筛选器驱动程序、内核驱动程序、挂钩和浏览器扩展。挂钩由内核驱动程序注入所有进程，并拦截创建进程请求、Winsock 调用以及与权限管理相关的某些调用。有关更多详细信息，请参阅应用程序挂钩部分。

文件系统筛选器驱动程序拦截来自所有非系统进程的执行、覆盖和重命名请求。代理启动/停止时，驱动程序也会动态启动和停止。有关更多详细信息，请参阅文件系统筛选器驱动程序部分。

如果挂钩拦截并成功处理请求，则驱动程序将忽略该请求。如果挂钩不存在（例如，因被排除在外），则驱动程序将拦截请求，然后该请求将通过规则引擎进行传递。

代理服务

Application Control 代理服务在使用 Application Control 组件控制的每台计算机上作为 SYSTEM 服务运行。代理能够处理传递自文件系统筛选器驱动程序、挂钩和浏览器扩展的请求。该服务会根据配置设置验证每个请求，并通过规则引擎将请求发送出去。除了应用程序请求的详细信息以外，该服务还会检查用户名、主机名和其他元数据，这有助于处理请求并确保用户、组、客户端和自定义规则按预期运行。

出于性能和控制原因，配置存储在本地配置文件中。这意味着所有请求均可在最短时间内完成，并且更重要的是不需要指向中央服务器的网络链接，这可确保即使未连接的计算机（如笔记本电脑）没有物理连接到局域网，也能保持安全。

代理助手

代理助手为代理提供支持。代理助手的实例由代理按需启动，并使用 SYSTEM 帐户运行。每个代理助手限定于一个用户会话。如果代理助手已经启动，则会话中只运行一个实例。启动后，代理助手通常会一直运行，直到会话注销或代理停止。

DLL 注入助手

DLL 注入助手是一个仅安装在 64 位系统上的 32 位组件。它仅由代理助手用于将 32 位应用程序挂钩安装到同一用户会话内运行的 32 位应用程序中。

文件系统筛选器驱动程序

筛选器驱动程序主要负责拦截使用执行权限打开的文件。如要执行可执行文件和 DLL，必须使用执行权限将其打开，因为驱动程序已确保拦截它们。其他文件也可以使用执行权限打开，即使是实际上无法执行的文件（例如日志文件和 ini 文件），这是因为有时系统可以查看针对被拒绝的不可执行文件的事件。这些拦截的请求会发送给代理并通过规则引擎进行传递。结果有两种：请求被允许或请求被拒绝。如果结果是允许，则不会发生任何更改，并且请求会像以前一样传递到文件系统。如果请求被拒绝，则原始请求会替换为 AMMesage.exe，这样一来，调用应用程序就不会报告错误，用户也可以在屏幕上看到相关内容，从而了解目前发生的情况。如果请求与 DLL 有关，则系统会阻止加载请求，并且根据 DLL 类型（操作系统或应用程序），还会向用户显示一条消息。

此外，筛选器驱动程序还负责检测覆盖和重命名文件的请求。这些请求也会发送给代理以进行规则处理。该请求可能不会导致任何事件发生，但也可能导致受影响的文件将其所有者更改为其用户。这意味着，文件将在下次运行时被拒绝，因为其所有者通常不会受到信任。最后，筛选器驱动程序负责拦截并可能阻止对 UNC 路径的访问。这是由应用程序网络访问控制功能（尤其是主机名控制）完成的。

系统会根据配置审计上述所有操作。

应用程序挂钩

这是由 AsModLdr 内核驱动程序注入每个用户进程的 DLL。应用程序挂钩会将创建进程和 Winsock 网络请求发送给代理进行授权。在网络请求被阻止的情况下，对网络资源的访问会被拒绝并显示一条可配置消息。

如果需要任何权限管理，则系统会将创建进程请求发送给代理进行规则处理。如果需要权限管理，则代理会使用提升的权限启动相关进程并重新设置应用程序父项。然后，控制即会返回给调用的应用程序中的挂钩。

如果因网络流量请求高而需要使用应用程序网络访问控制 (ANAC)，则代理提供的结果会缓存在应用程序内存中。这对于避免网络流量引起的显著性能下降至关重要。

浏览器加载项

CascadeBHO.dll 是 Internet Explorer 加载的 Application Control 浏览器帮助程序对象 (BHO)，用作 URL 重定向和提升网站功能的一部分。如果配置包含任何这些类型的规则，则 Internet Explorer 会启用并加载 Cascade BHO。如果没有 URL 重定向或提升网站规则，则会禁用 BHO。

BHO 只能由 Internet Explorer 加载，Google Chrome 和新版 Microsoft Edge (Chromium) 浏览器会加载一个可提供相同功能的独立扩展：Ivanti Cascade。

检查 CascadeBHO.dll 状态

1. 在 Internet Explorer 中，选择工具 >管理加载项。

   “管理加载项”对话框随即打开。

2. 在“加载项类型”面板中，确保选中工具栏和扩展。

   您可以在右侧窗格中查看加载项的状态。

配置

AppSense Application Control 配置文件（AAMP 文件）包含用于保护系统的规则设置。代理会检查配置规则，确定拦截文件执行请求时要采取的操作。

配置本地存储在“所有用户”配置文件中，受 NTFS 安全功能保护。在独立模式下，配置更改会从 Application Control 控制台直接写入文件系统。在企业模式下，配置存储在 Management Center 数据库中并使用 Management Center 控制台以 MSI 格式分发。

此外，还可以使用 Application Control 控制台通过 MSI 文件格式导出和导入配置。这在使用第三方部署系统来创建模板或分发配置时很有用。

创建或修改配置后，必须保存（并在必要时部署）配置，确保能够对其进行操作。