應用程式控制

產品架構

在這個部分中:

• 架構圖
• 軟體代理程式
• 組態

架構圖

軟體代理程式

應用程式控制項 使用輕量級代理程式在端點上進行安裝和執行。代理程式直接安裝於本機電腦上。代理程式和組態均會建構為 Windows 安裝程式 (MSI) 套件，因此使用支援 MSI 格式的任何第三方部署系統即可發佈這些套件。安裝程式會以個別的 32 位元或 64 位元 Microsoft Installer 套件提供。

若要讓 應用程式控制項 正常運作，必須將代理程式連同相關的組態安裝在用戶端端點。此安裝可手動執行，或透過 管理中心 等部署系統執行。由於代理程式和組態會安裝及儲存在端點的本機上，因此即使端點中斷連線或離線時仍可繼續運作。

應用程式控制項 代理程式可安裝 Windows 服務 (應用程式控制項 服務)、檔案系統篩選器驅動程式、核心驅動程式、掛勾和瀏覽器擴充功能。核心驅動程式會將掛勾插入所有處理序，並攔截建立處理序要求、Winsock 呼叫以及某些與權限管理有關的呼叫。如需更多詳細資訊，請參閱應用程式掛勾小節。

檔案系統篩選器驅動程式會攔截源自所有非系統處理序的執行、覆寫和重新命名要求。當代理程式啟動/停止時，驅動程式會以動態方式啟動和停止。如需更多詳細資訊，請參閱檔案系統篩選器驅動程式小節。

若要求已由掛勾攔截並成功處理，則驅動程式會忽略相同的要求。若掛勾不存在 (例如，遭到排除) 則驅動程式將攔截要求，它也會通過規則引擎。

代理程式服務

應用程式控制項 代理程式會以 SYSTEM 服務的形式在使用 應用程式控制項 元件所控制的每一部電腦上執行。代理程式提供的資訊與如何處理從檔案系統篩選器驅動程式、掛勾和瀏覽器擴充功能所傳來的要求有關。每個要求都會根據組態設定進行驗證，並經由規則引擎傳送。除了應用程式要求的詳細資訊以外，服務還會檢查使用者名稱、主機名稱和其他中繼資料以處理要求，並確保使用者、群組、用戶端和自訂規則會如預期般運作。

組態會基於效能和控制等原因儲存在本機組態檔案中。這表示所有的要求都會在最短間內處理，或許更重要的是，中央伺服器將不再需要網路連結，以確保如筆記型電腦等未連接的電腦即使在未實際連接本機區域網路的情況下仍會受到保護。

代理程式協助

代理程式協助可為代理程式提供支援。代理程式協助的實例會依代理程式的要求而啟動，並使用 SYSTEM 帳戶執行。每個代理程式協助皆特定於一個使用者工作階段。若啟動代理程式協助，則每個工作階段中都不會執行一個以上的實例。代理程式協助在啟動後通常會持續執行，直到工作階段登出或代理程式停止。

代理程式協助具有以下功能:

• 強制設置應用程式的時間限制。
• 提示自助授權使用者確認是否要允許遭拒的 DLL (應用程式會由代理程式協助處理)。
• 針對事件 9006、9007、9017 執行稽核。
  • 9006 - 使用者的自助授權決定。
  • 9007 - 自助授權執行要求。
  • 9017 - 應用程式已遭 應用程式控制項 終止。
• 在 64 位元系統上，代理程式協助可啟動 32 位元的 DLL 元件，將 32 位元的應用程式掛勾安裝於在相同使用者工作階段中執行的 32 位元應用程式。

DLL 插入協助

DLL 插入協助是一種僅安裝於 64 位元系統上的 32 位元元件。其僅供代理程式協助使用，以將 32 位元的應用程式掛勾安裝於在相同使用者工作階段中執行的 32 位元應用程式。

檔案系統篩選器驅動程式

篩選器驅動程式主要攔截以執行權限開啟的檔案。可執行檔案和 DLL 在執行之前必須以執行權限開啟，因此可確保驅動程式會進行攔截。其他檔案也可以透過執行權限開啟，即使這些檔案實際上無法執行，例如:記錄檔案和 ini 檔案 - 這也是為什麼您有時候會看到已遭拒絕的非可執行檔案事件。這些被攔截的要求會傳送至代理程式並通過規則引擎。其結果就是該要求會被允許或拒絕。如果結果是允許，則不會有任何變更，且要求會像之前一樣向下移至檔案系統。如果要求遭到拒絕，則原始要求會與 AMMesage.exe 交換，因此呼叫應用程式不會報告該錯誤，且使用者會在螢幕上看到相關說明。如果要求是針對 DLL，系統會阻止其載入，並根據 DLL 的類型 (作業系統或應用程式) 向使用者顯示訊息。

篩選器驅動程式也將偵測要覆寫及重新命名檔案的要求。這些要求也會傳送至代理程式進行規則處理。要求可能不會造成任何影響，或者受影響的檔案將其所有者變更為該使用者。這表示下次在執行該檔案時，它會因為所有者不受到信任而遭到拒絕。最後篩選器驅動程式會負責攔截，且可能會阻止對於 UNC 路徑的存取。這是「應用程式網路存取控制項」功能的一部分 - 特別是「主機名稱」控制項。

上述所有動作都會根據組態進行稽核。

應用程式掛勾

這是 AsModLdr 核心驅動程式插入至每個使用者處理序的 DLL。應用程式掛勾會將建立處理序和 Winsock 網路要求傳送至代理程式以獲得授權。當網路要求被封鎖時，網路資源的存取會遭到拒絕並顯示可設定訊息。

如果需要任何權限管理，則會將「建立處理序」要求傳送至代理程式進行規則處理。如果需要權限管理，則代理程式會以提高的權限啟動相關處理序並重設應用程式的上層。然後控制項會傳回至呼叫應用程式中的掛勾。

在涉及應用程式網路存取控制項 (ANAC) 之處，由於網路流量的要求很高，代理程式提供的結果會在應用程式的記憶體中進行快取。為避免網路流量的效能大幅降低，此為必要之舉。

瀏覽器附加元件

CascadeBHO.dll 是由 應用程式控制項 Internet Explorer 所載入的瀏覽器協助程式物件 (BHO)，可做為「URL 重新導向」和「提高網站權限」功能的一部分使用。如果組態包含任何此類型的規則，則 Internet Explorer 會啟用 Cascade BHO 並將其載入。若「URL 重新導向」或「提高網站權限」規則不存在，則停用 BHO。

僅 Internet Explorer 會載入 BHO。而 Chrome 會載入一個名為「AppSense Cascade」且功能相同的個別擴充功能。目前無等同項目可供 Microsoft Edge 瀏覽器使用。

檢查 CascadeBHO.dll 狀態

1. 在 Internet Explorer 中，選取工具 > 管理附加元件。

   「管理附加元件」對話方塊隨即顯示。

2. 在「附加元件類型」面板中，請確保已選取工具列和延伸模組。

   您可以在右側窗格中檢視附加元件狀態。

組態

AppSense 應用程式控制項 組態檔案 (AAMP 檔案) 包含可保護您系統的規則設定。代理程式會檢查組態規則以決定在攔截檔案執行要求時所採取的動作。

組態儲存於本機的「所有使用者」設定檔中，而且受到 NTFS 安全性所保護。在獨立模式中，組態變更會從 應用程式控制項 控制台直接寫入檔案系統。在企業模式中，組態儲存於 管理中心 資料庫中，並且透過 管理中心 控制台以 MSI 格式分發。

也可以使用 應用程式控制項 控制台，讓組態匯出為 MSI 檔案格式/自 MSI 檔案格式匯入。這對使用第三方部署系統建立範本或分發組態的情況相當實用。

建立或修改組態後，您必須儲存組態 (並視需要部署) 以確保實施這些項目。