App Control 配置

App Control 配置包含管理端点的规则设置。 配置文件安装在托管端点上,充当 App Control 代理的策略检查表,用以评估如何处理文件执行请求。 执行文件时,App Control 会拦截请求并通过配置来执行检查,以找到适当的匹配规则和所需采取的操作。 配置中指定的其他默认策略也适用,例如显示消息通知的方式。

创建或修改配置后,必须保存并发布配置。 您可以将配置分配给策略,一旦启动部署过程,配置的状态将更改为“活动”,同时相关规则将在成功部署的端点上生效。

安全级别

配置安全级别决定了端点的限制级别。 可用级别包括:

  • 无限制:任何应用程序都不受限制,允许所有活动。 如果不想卸载 App Control,只是想暂时禁用,此选项很有用。
  • 仅审核:默认设置。 任何应用程序都不受限制,但所有可信所有权以及配置策略和规则匹配活动都会在 App Control 中记录和报告。
  • 限制:限制由配置规则决定。 可以限制特定应用程序、用户、组和设备的活动。

配置默认设置

App Control 已准备就绪,只需在托管端点上安装代理策略和配置即可助您管理安全性。 创建新配置时,可以立即使用此工具,无需进行任何定制。 如果将配置安全级别设置为限制,则该配置将阻止任何不可信所有者的文件,同时阻止非管理员用户访问不安全位置(包括网络位置和可移动媒体)上的可执行文件,以及策略保护默认设置。

策略保护默认设置

  • 授予访问权限之前,系统将根据 App Control 规则检查所有应用程序和进程执行请求。
  • 本地管理员组的成员将取得应用程序的无限制访问权限。
  • 如果 CMD 具有明确的拒绝规则,那么除了运行允许的批处理文件外,CMD 将被阻止。
  • 系统将根据 App Control 规则验证 MSI、WSH、Java 存档和注册表文件。
  • 允许的安装可以运行在安装过程中执行的任何 exe 和 dll。
  • 管理员和非管理员用户无法直接在端点上读取、复制、编辑和删除 App Control 配置文件。

配置状态

  • 正在发布:配置正在发布中。
  • 已发布:配置已保存并发布。 可以分配给代理策略。
  • 发布失败:配置发布失败。
  • 已分配:配置已分配给代理策略。
  • 活动:配置已分配给代理策略,并且已启动部署到端点的过程。
  • 正在取消发布:配置正在取消发布。
  • 已取消发布:配置已取消发布。
  • 取消发布失败:配置取消发布失败。
  • 之前已发布:配置已被取代。

警报

警报将是下列其中一种:

  • 与策略关联的配置需要架构更新。
  • 与配置关联的策略未正确设置重新启动设置。 您必须在代理策略设置中选择在需要时请求重新启动

架构

如果某个配置版本需要更新架构,则警报会在警报列中显示。 点击 图标,编辑配置页面随即显示,其中会附带警告横幅,通知您必须更新架构。 点击更新架构更新架构对话框随即显示,接着点击更新架构

您可以编辑配置并保存草稿,但不更新架构,只是在更新架构以后,您才能保存并发布配置。

创建配置

创建 App Control 配置:

  1. 导航至 App Control > 配置
    配置页面随即显示。
  2. 点击创建配置
    新建配置页面随即显示。
  3. 输入配置的名称。 可以选择输入描述。
  4. 设置安全级别以确定配置规则对用户、组或设备的限制级别。
    您可以选择保留配置的默认安全级别设置:仅审核,此时接收配置的端点将启用可信所有权。
    您也可以将安全级别设置为限制,并创建规则以使用“允许”、“拒绝”、“提升”和“可信供应商”规则来控制端点上的应用程序使用,此外也可以选择自定义 App Control 消息设置,以便在 App Control 阻止应用程序启动时向最终用户显示。 有关创建配置规则的更多详细信息,请参阅 配置规则
  5. 点击创建以保存配置。
    编辑配置页面随即显示。
  6. 点击添加新规则以开始在配置中建立规则,从而确定是否允许、拒绝、提升特定的项目,以及特定项目是否属于可信供应商。 有关创建规则的更多详细信息,请参阅配置规则
  7. 点击设置选项卡,为配置指定消息设置、高级设置和审核设置。 有关设置的更多详细信息,请参阅配置设置
  8. 点击保存以创建配置草稿,也可以点击保存并发布以保存配置版本。
    配置必须在发布后才能分配给策略,然后才可以将其部署到端点。
  9. 配置将在“配置”表中列出。

操作

此表会列出所有未存档的配置。 以下操作适用于每项配置:

  • 查看:选择此选项可查看配置。
  • 编辑:选择此选项可编辑配置,当前版本保存为草稿,其他任何版本保持不变。 如果草稿不存在,则根据最新版本创建新草稿。 对处于正在发布状态的配置来说不可用。
  • 发布草稿:选择此选项可发布草稿,此草稿将成为版本 1,而后续发布的任何草稿,版本号将依次递增。 仅适用于具有草稿的配置。
  • 取消发布:选择此选项可取消发布最新的配置版本。 仅适用于处于已发布状态且未分配给策略的配置。 已取消发布的版本将无法在代理策略中选择。
  • 存档:选择此选项可软删除配置。 相关配置将无法再使用,也检索不到。 仅适用于草稿或最新版本已取消发布的情况。

查看配置

要查看配置,请转到 App Control > 配置。 点击配置名称,或点击操作列中的 省略号图标 图标,然后选择查看

有以下标签可用:

规则

查看配置规则列表。 规则名称、类型、最后修改日期/时间、创建者名称、状态和类别都会显示。 有关更多详细信息,请参阅规则

设置

查看“消息设置”、“高级设置”和“审核设置”。 有关更多详细信息,请参阅配置设置

历史记录

查看所有配置版本的列表、版本创建者以及版本状态。

策略

磁贴

  • 关联策略:与配置关联的代理策略的数量。
  • 关联代理端点:已部署配置的代理端点的数量。

表格

下表会列出所有关联策略的名称。 图标表示策略重新启动体验配置错误。 App Control 要求将代理自动更新设置为需要时请求重新启动。 请参阅代理自动更新

操作

要查看关联的策略,请选择所需策略的操作列中的 省略号图标 图标,然后选择查看代理 > 代理策略 > 代理策略页面随即显示。 您可以在这里查看 App Control 功能并编辑关联的 App Control 配置和重新启动设置。