端點分析

在這個部分中:

關於端點分析

端點分析 (EPA) 可讓您掃描單一或多個端點,以提供目前存在以及在特殊電腦上執行的應用程式清單。「端點分析」可協助您簡化適當 應用程式控制 組態的建立。此功能可隨需使用,而且依預設為停用。在已安裝 應用程式控制 代理程式的端點上分析資料的方式有兩種:

  • 端點掃描 - 指定端點上的「端點分析」檔案會儲存在已安裝 應用程式控制 控制台的電腦上並位於以下位置:

    C:\ProgramData\AppSense\Application Manager\EndpointAnalysis.

    「端點掃描」會搜尋端點以找出目前存在的任何應用程式。這些應用程式會由管理員正式安裝,或由未預期的一般使用者在不知情的情況下安裝的可能包含病毒的免費軟體。

    已掃描以下目錄和登錄位置:

    • HKLM\SOFTWARE\Microsoft\Windows\Current\CurrentVersion\Installer\Folders
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
    • 程式檔案

  • 應用程式用途掃描 -「應用程式用途掃描」可用來偵測在端點上使用的所有應用程式。當「應用程式用途掃描」進行中時,一旦對請求執行執行標準 應用程式控制 規則檢查,所有執行要求都會通過以進行「端點分析」處理。要求的詳細資訊會保留在記憶體中。當掃描停止時,所有的要求資料都會儲存至檔案。

    當端點在掃描進行時重新開機,例如,若使用者將其筆記型電腦自工作場所攜出然後在家中將其開啟,「端點分析」執行階段則會偵測其應在記錄應用程式用途並重新啟動記錄。這會在代理程式啟動時完成。

    「端點掃描」可能需要幾分鐘的時間。其原因在於 應用程式控制 不僅會掃描 Program Files 資料夾和登錄機碼,也會掃描每個相依檔案和數位簽章。應用程式控制 會記錄所有這類資訊。

    在「端點掃描」期間,會 100% 使用端點上的 CPU。不過,當需要執行使用者工作時,應用程式控制 代理程式會使用內建的智慧排程技術,使工作的優先順序高於掃描本身,因此一般使用者對效能的感受並不會受到影響。

通常會先執行「端點掃描」以決定要將哪些應用程式安裝在端點上。然後「應用程式用途掃描」會追蹤已經在端點上執行一段時間的應用程式。在反白顯示已使用及未使用的應用程式後,會識別未獲授權的軟體,然後移除受限制和未獲授權的軟體。在執行任一掃描之前,必須在「端點分析」樹狀結構中指定端點。

端點分析準備

為讓「端點分析」正確執行,必須完成下列安裝:

  • 應用程式控制 代理程式已安裝在端點上。
  • 授權已安裝在端點上。
  • 應用程式控制 組態已安裝在端點上。
  • 端點的管理共用權限。
  • 端點的遠端登錄存取權限。

測試代理程式是否已安裝在端點上

  1. 在「開始」功能表上,選取控制台
  2. 選取管理工具
  3. 按兩下服務
  4. 找到 應用程式控制 代理程式。

測試授權是否已安裝在端點上

  1. 在受管端點上啟動登錄編輯程式。
  2. 在 HKLM\Software\AppSense Technologies\Licensing 下找到授權。

測試組態是否已安裝在端點上

組態儲存於下列位置: C:\ProgramData\AppSense\ApplicationManager\Configuration。

ProgramData 是隱藏的資料夾。開啟檔案總管並於位址列中輸入 C:\ProgramData。按下 Enter 鍵開啟資料夾。

測試端點是否擁有管理共用權限

  1. 在已安裝 應用程式控制 控制台的電腦上開啟 Windows 檔案總管。
  2. 在位址列中輸入 \\<computername>\c$ 並按下 Enter 鍵。如果您可以瀏覽資料夾,則您擁有存取權限。如果沒有,則會提示您輸入允許存取的使用者認證。

測試遠端登錄存取權限是否可用

  1. 在已安裝 應用程式控制 控制台的電腦上開啟登錄編輯程式。
  2. 選取檔案 > 連接網路登錄。
  3. 隨即顯示「選取電腦」對話方塊。

  4. 找到電腦,並按一下確定。如果您可以看到登錄機碼,則有存取權限。

    在執行 Windows 7 及以上版本的遠端電腦上,必須啟用「檔案共享」和「遠端登錄服務」(依預設為停用)。

  5. 開始 > 控制台 > 網路和共用中心中開啟檔案共用。
  6. 開始 > 控制台 > 系統管理工具 > 服務中啟動遠端登錄服務。

使用端點分析

此功能可用來執行端點和「應用程式用途」掃描,並顯示已掃描之應用程式的所有已載入檔案 (子處理序),以及已發現之應用程式的任何數位憑證。

建議您在「可存取項目」的組態中包含所有載入的檔案,使應用程式能正常運作。將任何數位憑證新增至組態中的「受信任廠商」也會有所助益。

新增端點

必須先指定端點才能進行掃描。

  1. 按一下端點分析瀏覽按鈕。
  2. 「端點分析」瀏覽樹狀目錄隨即顯示。
  3. 在「端點分析」功能區中,按一下新增端點並選取下列其中一項:
    • 瀏覽部署群組 -「選取管理伺服器」對話方塊隨即顯示。瀏覽至部署群組位置,並選取所需的端點。
    • 瀏覽網域/工作群組 -「新增端點以供分析」對話方塊隨即顯示。輸入名稱或 IP 位址,或使用「電腦」欄位中的省略符號 (...) 選取所需的端點,並按一下新增

「端點分析」導覽樹狀目錄內的端點分析隨即顯示。一經新增,端點便可在「端點分析」中使用。

若要移除端點,請將其反白顯示,然後按一下「端點分析」功能區上的移除端點按鈕。

已安裝的應用程式掃描

在指定網域內選取的端點上執行掃描。掃描會檢查以下目錄和登錄位置:

  • HKLM\SOFTWARE\Microsoft\Windows\Current\CurrentVersion\Installer\Folders
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
  • 程式檔案

一旦完成掃描,系統會產生一份報告以詳細說明安裝在掃描端點上的應用程式和檔案。此外系統也會擷取其他資訊,例如在執行應用程式可執行檔案時衍生的 DLL 和數位簽署檔案。

執行端點掃描

在安裝 應用程式控制 代理程式的端點上執行「端點掃描」。

  1. 選取端點分析導覽按鈕。

    若要執行「端點掃描」,您必須先新增端點。如需相關資訊,請參閱新增端點

  2. 選取端點並按一下執行端點掃描。若要掃描所選網域內的所有端點,請按一下針對所有端點執行掃描
  3. 「端點掃描」會檢查以下目錄和登錄位置:
    • HKLM\SOFTWARE\Microsoft\Windows\Current\CurrentVersion\Installer\Folders
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
    • 程式檔案

「端點掃描」的結果會顯示在相關端點下方的巢狀「已安裝的應用程式」節點。此外也會顯示應用程式名稱、應用程式說明和所有者等詳細資訊。如需其他檔案資訊,請使用下列「端點分析」功能區按鈕:

  • 顯示已載入檔案 - 顯示應用程式所載入之其他檔案的詳細資訊。
  • 顯示數位憑證 - 顯示指派給應用程式的憑證詳細資訊。

應用程式用途掃描

「應用程式用途掃描」會偵測在掃描期間執行且未使用 Windows 安裝程式技術 (MSI 和 MSP) 安裝的所有應用程式,例如在解壓縮 ZIP 檔案時執行的可執行檔案、內部作業軟體或 Firefox。啟動「應用程式用途掃描」會隨時監控在使用者登入端點時主動使用的應用程式。隨時停止掃描以產生報告並另存為 XML 資料檔案。資料檔案會包含在掃描之端點上使用的應用程式詳細資訊。

以封存為目的匯出 XML 資料檔,或將檔案匯入其他端點。例如,當掃描資料只能在執行掃描的端點上使用時,其他管理員可匯入已匯出的資料檔案並使用該資料來建立 應用程式控制 組態。

或者,您也可以將資料檔案匯入「規則分析器」,並使用包含在資料檔案中的資訊,針對 應用程式控制 的行為進行疑難排解。

如需關於設定及分析規則的資訊,請參閱規則分析器

執行應用程式用途掃描

當使用者登入時,在託管端點上執行「應用程式用途掃描」。

  1. 按一下端點分析瀏覽按鈕。

    「端點分析」瀏覽樹狀目錄隨即顯示。

    若要執行「應用程式用途掃描」,您必須先新增端點。如需相關資訊,請參閱新增端點

  2. 在導覽樹狀目錄中,選取要掃描的端點。

    「端點摘要」工作區域隨即顯示。

  3. 在「端點分析」功能區中,按一下開始應用程式用途掃描

    「應用程式掃描」隨即開始。無論收集所需資料的時間是多久都可以執行掃描,並在收集到足夠資料時停止。

  4. 按一下停止應用程式用途掃描便會停止掃描並產生報告。

    「儲存報告」對話方塊隨即顯示。

  5. 輸入報告名稱,然後按一下確定來儲存資料檔案。

該檔案會以 XML 的格式儲存,並建立於所選端點的「記錄資料」節點之下。

應用程式資料

您可以針對「已安裝的應用程式掃描」和「應用程式用途掃描」詳細檢視應用程式資料。

您也可以選擇顯示相關的載入檔案或數位憑證:

  • 顯示已載入檔案 - 顯示已載入檔案的對話方塊。拖放任意檔案以新增至組態。
  • 顯示數位憑證 - 顯示憑證的對話方塊。拖放任何憑證以新增至組態中的任何受信任廠商節點。

有時候可能會出現重複的憑證,例如: Calc.exe 載入 Msvcrt.dll、Ntdll.dll 和 Msutil.dll。Calc.exe 會使用「Microsoft 憑證 A」簽署,Ntdll.dll 也會使用「Microsoft 憑證 A」簽署。請參閱「已簽署檔案」欄以清楚識別已使用哪些憑證簽署哪些檔案。

匯出端點分析資料檔案

將要匯入其他端點或「規則分析器」的資料檔案匯出。

  1. 選取要從中匯出資料檔案的端點。

  2. 在「端點分析」功能區中,按一下匯出

    「匯出瀏覽器」對話方塊隨即顯示。

  3. 選取儲存檔案的位置。
  4. 按一下儲存

資料檔案會儲存至選取的位置,並可匯入其他 應用程式控制 控制台或「規則分析器」。

將檔案新增到組態

使用「端點分析」的結果,將應用程式和檔案的規則新增至 應用程式控制 組態檔案。將應用程式、檔案、DLL 或憑證拖放至「規則」節點 (可從「組態」導覽按鈕存取) 中使用的「群組規則」。

當您將檔案拖放至任何「可存取」或「已禁止項目」清單時,都會以檔案形式放置。

  • 當檔案置於「可存取項目」時,會自動包含任何相關聯的已載入檔案。
  • 當檔案置於「已禁止項目」時,則不會包含任何相關聯的已載入檔案,只會有主要的應用程式可執行檔案。

若要將憑證新增至任何「受信任廠商」,您可以將檔案拖放至「受信任廠商」節點 (若新增的檔案存在任何憑證),或在「端點分析」功能區上選取顯示數位簽章以顯示「憑證」對話方塊。接著,您可以從該對話方塊拖放至組態中。

當您將檔案拖放至組態時,系統會一律複製檔案的數位簽章,因為這是驗證應用程式的最安全方式。

相關主題

規則分析器