組態

在這個部分中:

關於組態

應用程式控制 組態檔案 (AAMP) 包含可保護您系統的規則設定。組態檔案會安裝在託管裝置上,並會做為 應用程式控制 代理程式的原則檢查清單,藉此評估處理檔案執行要求的方式。執行檔案時,應用程式控制 會攔截要求並配合組態執行檢查,藉此找出適當的相符規則以及必須採取的行動。亦會套用組態內指定的其他預設原則,例如,事件篩選或特定檔案副檔名類型的處理,以及一般原則 (像是預設規則、稽核規則、訊息通知顯示方式,以及封存選項等等)。

組態於本機內的儲存位置將依您的作業系統而有所不同,並且會受到 NTFS 安全性保護: Windows 7 及以上版本: C:\ProgramData\AppSense\Application Manager\Configuration。

在獨立模式中,組態變更會從 應用程式控制 控制台直接寫入至本機 AAMP 檔案。在企業模式中,可在 管理中心 資料庫內集中建立並儲存組態,並可透過管理伺服器以 MSI 格式分發至端點。組態也可匯出為 MSI 檔案格式/自 MSI 檔案格式匯入,這對使用第三方部署系統建立範本或分發組態的情況而言,可說是相當實用。

建立或修改組態後,必須使用最新設定儲存組態,這樣才能確實採用組態。

組態元素

程式庫

「應用程式管理員」程式庫允許您建立可用於組態規則的項目群組。使用程式庫來建立要管理的相似項目群組。您的程式庫一經建立,便可將其指派至規則並用於管理群組使用者。程式庫節點可提供下列用途:

  • 群組管理 -「群組管理」節點允許您為單一特定應用程式對多個項目進行分組,像是檔案、資料夾、磁碟機、簽章檔案、Windows 市集應用程式,以及網路連線等等。接著,您可以將此群組新增至規則內的允許與拒絕的項目清單中。

  • 使用者權限原則 -「使用者」節點允許您新增「使用者權限原則」,進而選擇性提昇或調降個別應用程式的管理權限。

規則

「規則」節點提供了用於處理檔案執行的預設設定,以及適用於特定使用者、群組或裝置的特定設定。群組、使用者、裝置、自訂、已編寫指令碼,以及處理序規則,允許您指定「安全性層級」設定,而這些設定指定了適用於符合規則之使用者、群組或裝置的限制。自訂規則以操作特定裝置集合之特定使用者或群組的組合為目標。已編寫指令碼規則允許管理員依據 Windows PowerShell 或 VBScript 指令碼結果,對使用者套用「允許的項目」及「拒絕的項目」。可針對每一個個別使用者工作階段執行指令碼,也可以針對每部電腦執行一次指令碼。處理序規則允許您管理應用程式的存取權限以執行子處理序,否則這些處理序可能會在其他規則中受到不同方式的管理。您可以新增「允許的項目」、「拒絕的項目」、「受信任廠商」、「使用者權限」,以及「瀏覽器控制項」至規則中。

  • 允許的/拒絕的項目 - 各個規則中的子節點清單,您可以使用特定的檔案、資料夾、磁碟機,以及數位簽章對其進行填入及維護,進而提供額外的資料粒度層級以控制檔案執行要求。例如,針對規則挑出的使用者或裝置,可對其允許通常會遭到「受信任擁有權」檢查拒絕的項目。同樣地,也可拒絕通常受允許的檔案。
  • 受信任廠商 - 您可以使用由受信任來源核發之數位憑證進行填入的各個規則內的子節點清單。檢查未通過「受信任擁有權」檢查的檔案是否有數位憑證存在,並允許在與「受信任廠商」清單進行比對時執行。例如,在正常規則條件下,可能會禁止受到高度限制的使用者在系統上引入可執行檔案,但有時也可能遇到需要從特定來源下載並執行軟體更新的情況。如果下載的檔案包含與「受信任廠商」清單內憑證相符的數位憑證,則允許執行該檔案。
  • 使用者權限 - 各個規則內的子節點清單,您可以使用應用程式、元件,以及 Web 安裝進行填入,可供您套用「使用者權限原則」。「使用者權限原則」允許您選擇性提昇或調降個別應用程式、元件,以及 Web 安裝的管理權限。
  • 瀏覽器控制項 - 您可以使用可套用 URL 重新導向之 URL 進行填入的各個規則內的子節點清單。您還能指定可開啟已提高權限之 Internet Explorer 執行個體的 URL,並且它們允許從特定網域提高 ActiveX 安裝程式的管理權限。

預設組態

只要在用戶端電腦上安裝代理程式及組態,應用程式控制 就能立即為您管理安全性。在您執行控制台時便會載入預設組態,並且可在已部署組態的所有用戶端電腦上使用,進而立即提供保護。此組態可封鎖任何屬於不受信任所有者的檔案,並可防止非管理使用者於非安全位置 (包括網路位置及卸除式媒體上) 存取可執行檔案。

預設組態可以在獨立模式下透過控制台直接儲存至用戶端電腦,或是可以在準備可供部署的企業模式下操作時,儲存至部署機制的資料庫。

保護

  • 在授與存取權限之前,會依據 應用程式控制 規則檢查所有應用程式及處理序執行要求。
  • 除非 應用程式控制 規則允許,否則禁止所有應用程式及處理序網路存取要求。
  • 本機管理員群組的成員,經授權可不受限制地存取應用程式。
  • 非管理使用者群組的成員,經授權僅可有限制地存取應用程式。
  • 除非是由批次檔案執行,否則封鎖 CMD.exe。
  • 會根據 應用程式控制 規則對 MSI、WSH 和登錄檔案進行驗證。
  • 允許 Windows 安裝程式 (msiexec.exe) 搭配 DLL 及 EXE 副檔名執行所有子處理序。

預設組態設定

設定 說明
進階設定

 原則設定

 一般功能
  • 依預設設定為允許本機磁碟機
  • 於登入時忽略限制
  • 允許 cmd.exe 執行批次檔案
  • 解開自動解壓縮 ZIP 檔案
  • 在 Active Setup 期間忽略限制
  • 拒絕卸除式媒體上的檔案
  • 網路共用中拒絕的檔案
  • 在登入完成之前,忽略登入時限制以延遲實施 應用程式控制 規則,藉此避免中斷或妨礙登入程序。此選項允許執行登入指令碼。
  • 雖然 cmd.exe 與自動解壓縮 ZIP 檔案通常被視為是試圖破壞安全性的潛在漏洞而遭到封鎖,但此選項允許針對合法檔案 應用程式控制 規則執行 CMD 與 ZIP 檔案。
驗證
  • 驗證 MSI (Windows 安裝程式) 套件
  • 驗證 WSH (Windows Script Host)
  • 驗證登錄檔案
 系統處理序驗證會影響效能,並且已依預設停用。
  • 依預設,應用程式控制 會根據規則驗證 MSI、登錄檔案,以及 WSH 檔案。除非在規則內已指定,否則會略過這些項目。
  • 僅有在您信任這些執行中的檔案類型,還是在 應用程式控制 規則內或透過其他方法能確保享有萬全保護時,才能關閉這些選項。
功能
  • 啟用應用程式存取控制項
  • 啟用應用程式網路存取控制項
  • 啟用權限管理
  • 依預設會啟用 應用程式控制 所有功能,但在進行任何疑難排解過程期間,您可停用其中任何一項功能。
  • 在此建議您將任何不想使用的功能停用。
應用程式終止 關閉和終止應用程式的設定。

設定觸發程序、對於使用者的警告訊息行為,以及警告訊息通知。

 依預設停用。
程式庫

 群組管理節點 用於建立可重複使用之應用程式群組以供指派給規則。 無任何預設設定。
使用者權限原則 提高或限制使用者權限之「可重複使用的使用者權限原則」。

用於在規則中指派給檔案、資料夾、簽章、磁碟機與應用程式群組。

 無任何預設設定。
管理員 用於管理本機管理員存取應用程式的本機管理員群組規則。
  • 安全性層級設定為不受限制。
  • 未套用其他任何預設設定。
每個人 適用於所有系統使用者的群組規則,除非使用者符合其他具有更高優先順序設定的規則。
  • 安全性層級設定為受限制。
  • AppSense 程式檔案目錄會新增至「允許的項目」。
  • 未套用其他任何預設設定。
處理序 Windows 安裝程式 (msiexec.exe)
  • *.EXE
  • *.DLL
  • 由 msiexce 繁衍時允許執行所有 EXE 和 DLL 檔案。
  • 此規則並不管理對 msiexec 的存取。您必須在其他規則中管理對 msiexec 的存取。

相關主題

維護組態