App Control
Ivanti Neurons App Control 无需使用复杂的允许列表和拒绝列表,即可防止通过未经授权的应用程序执行传播恶意软件,同时通过可信所有权模型和用户权限减少对管理员权限的需求。
App Control 可以很好地平衡 IT 安全要求与用户生产力需求,通过权限和应用程序控制提供零日恶意软件防护,从而保障端点安全。 既能保障企业合规性、提高平台稳定性和一致性,还能显著降低 IT 支持和软件许可成本。
您可以选择在仅审核模式下运行 App Control,以便监控并查看资产的运行情况,然后再决定要实施哪些策略变更。
App Control 入门
开始使用 App Control 的第一步是创建配置。 创建后,您可以将配置分配给 Neurons 代理策略并将其部署到托管端点。 24 小时后,App Control 将收到来自端点的数据。 这些数据将用于填充概述页面上的图表,便于您深入了解托管端点上的应用程序活动。 您可以参考数据来构建和编辑您的配置。 构建配置规则时可以设置不同的控制级别,从而满足您的需求,比如可信所有权、允许规则、拒绝规则和提升规则。 配置可以简单也可以复杂,具体取决于所需的端点控制和管理需求。 您需要为配置分配安全级别:无限制、仅审核、限制。 安全级别将决定配置规则对用户、组和设备的限制级别。
管理员不受规则约束,因此始终属于无限制安全级别。 规则仅根据配置规则定义适用于标准用户。
可信所有权是 App Control 配置的默认设置,让您无需设置白名单或允许规则即可保护端点。 可信所有者在用户设备上安装的任何内容都允许运行,而用户安装的任何内容都会被阻止,例如下载的游戏、带有恶意附件的电子邮件或未经授权的软件。 可信所有权会在尝试运行应用程序前检查文件所有权,如果所有者并非可信所有者,则系统会拒绝运行该应用程序。 文件所有者是负责创建文件的用户,文件可以从 msi 安装、从互联网下载、从 USB 储存设备复制,或是电子邮件附件。 App Control 只会“信任”可信所有者拥有的文件,因此只允许运行这类文件。
App Control 可信所有者包括:
- SYSTEM
- BUILTIN/管理员
- %ComputerName%\Administrator
- NT Service\TrustedInstaller
默认拒绝网络文件夹和共享,要为其授予访问权限,需要允许规则。
创建配置
- 要开始使用 App Control,首先需要创建配置,请转到 App Control > 配置 > 创建配置。
- 接着,为配置指定名称。
- 点击创建。
有关配置的更多详细信息,请参阅 App Control 配置。 - 您现在可以选择保留配置的默认安全级别设置:仅审核,此时接收配置的端点将启用可信所有权。
您也可以将安全级别设置为限制,并创建规则以使用“允许”、“拒绝”、“提升”和“可信供应商”规则来控制端点上的应用程序使用,此外也可以选择自定义 App Control 消息设置,以便在 App Control 拦截应用程序时向最终用户显示。 有关创建配置规则的更多详细信息,请参阅 配置规则。 - 如果配置已就绪,可以分配给代理策略以部署到端点,请选择保存并发布,即可创建一个配置版本。 如果要将配置保存为草稿,请选择保存。
必须先发布配置,才能将其分配给策略。
部署配置
配置将通过 Neurons 代理策略部署。 策略可以部署到任何已安装 Ivanti Neurons 代理的端点上。
- 创建配置后,必须保存并发布配置。 配置必须处于已发布状态。
- 导航到代理 > 代理策略。
代理策略页面随即显示。 有关策略的更多详细信息,请参阅代理策略。 - 选择创建策略,或从表格中选择现有策略,然后选择编辑策略。
- 在功能选项卡上,选择 App Control 磁贴。
仅当存在 App Control 配置时,App Control 功能才可见。
- 选择 App Control 功能后,配置下拉菜单就会变为活动状态。 从下拉菜单中选择所需的 App Control 配置。
- 此时便可部署配置。 启动部署流程后,配置状态就会更新为活动。 有关部署的更多详细信息,请参阅代理部署。
查看 App Control 数据
目标设备安装 Neurons 代理、策略和 App Control 配置后,App Control 将开始捕获应用程序活动。 您可以使用 App Control 概述页面查看数据,以此深入了解用户和应用程序行为。 您可以在这里进一步分析数据,以便在配置中创建和更新规则,从而以所需的方式管理和控制应用程序。