App Control 組態

App Control 組態包含用於管理端點的規則設定。 組態檔會安裝在受管理的端點上,並當作 App Control 代理程式的原則檢查清單,藉此評估處理檔案執行要求的方式。 執行檔案時,App Control 會攔截要求並配合組態執行檢查,藉此找出適當的比對規則以及必須採取的行動。 系統也會套用組態中指定的其他預設原則,例如,顯示訊息通知的方式。

建立或修改組態後,您必須儲存並發佈組態。 您可以將組態指派給原則,啟動部署程序後,組態狀態將變更為「作用中」,而且規則將在成功部署後對端點生效。

安全性層級

組態安全性層級可決定對端點的限制層級。 可用層級為:

  • 無限制: 對任何應用程式都沒有限制,允許所有活動。 如果您想要暫時停用 App Control 但不解除安裝,此選項會很有用。
  • 僅稽核: 預設設定。 對任何應用程式都沒有限制,但所有受信任擁有權以及組態原則和規則比對活動都會記錄下來,並在 App Control 中報告。
  • 受限制: 限制取決於組態規則。 您可以限制特定應用程式、使用者、群組和裝置的活動。

組態預設設定

App Control 已準備就緒,只要在受管理的端點上安裝代理程式原則及組態,就能立即管理您的安全性。 建立新組態後,您可以立即使用它,無需自訂。 如果組態安全性層級設定為受限制,此組態會封鎖來自不受信任擁有者的任何檔案,也會阻止非管理員存取非安全位置 (包括網路位置和抽取式媒體) 上的可執行檔以及原則保護預設設定。

原則保護預設設定

  • 在授與存取權之前,系統會依據 App Control 規則檢查所有應用程式及處理序執行要求。
  • 本機管理員群組的成員擁有「無限制」應用程式存取權。
  • 如果 CMD 擁有明確的拒絕規則,則除非是執行允許的批次檔,否則 CMD 將遭到封鎖。
  • 系統會根據 App Control 規則,對 MSI、WSH、Java 封存和登錄檔案進行驗證。
  • 允許的安裝可以執行安裝過程中的任何 exe 和 dll。
  • 管理員和非管理員使用者無法直接在端點上讀取、複製、編輯和刪除 App Control 組態檔。

組態狀態

  • 正在發佈: 正在發佈組態。
  • 已發佈: 已儲存並發佈組態。 可指派給代理程式原則。
  • 發佈失敗: 組態無法發佈。
  • 已指派: 組態已指派給代理程式原則。
  • 作用中: 組態已指派給代理程式原則,而且端點的部署程序已啟動。
  • 正在取消發佈: 正在取消發佈組態。
  • 已取消發佈: 已取消發佈組態。
  • 取消發佈失敗: 組態無法取消發佈。
  • 先前已發佈: 組態已遭到取代。

警示

警示將用於下列其中一種警告:

  • 與原則關聯的組態需要結構描述更新。
  • 與組態關聯的原則未正確設定重新開機設定。 您必須在代理程式原則設定中選取需要時要求重新開機

結構描述

如果某個版本的組態需要結構描述更新,則會在警示欄中顯示警示。 按一下 圖示,編輯組態頁面隨即顯示,其中包含一條警告橫幅,通知您必須更新結構描述。 按一下更新結構描述更新結構描述對話方塊隨即顯示,接著按一下更新結構描述

您可以編輯組態並儲存草稿,但不更新結構描述,然而只有更新結構描述以後,您才能儲存並發佈組態。

建立組態

若要建立 App Control 組態:

  1. 導覽至 App Control > 組態
    組態頁面隨即顯示。
  2. 按一下建立組態
    新增組態頁面隨即顯示。
  3. 輸入組態的名稱。 可選擇輸入說明。
  4. 設定安全性層級以決定組態規則對使用者、群組或裝置的限制層級。
    您可以選擇將組態設定保留為預設的安全性層級: 僅稽核,這將在接收組態的端點上啟用「受信任擁有權」。
    或者,您可以將安全性層級設定為受限制,並建立規則以使用「允許」、「拒絕」、「提高權限」和「受信任廠商」規則來控制端點上的應用程式使用,也可以選擇自訂「App Control 訊息」設定,以便在 App Control 阻止應用程式啟動時向一般使用者顯示。 如需有關建立組態規則的更多詳細資訊,請參閱 組態規則
  5. 按一下建立以儲存組態。
    編輯組態頁面隨即顯示。
  6. 按一下新增規則,開始在您的組態中建立規則,以決定是否要允許、拒絕特定項目並為其提高權限,以及特定項目是否屬於受信任廠商。 如需有關建立規則的更多詳細資訊,請參閱組態規則
  7. 按一下設定索引標籤可設定組態的訊息設定、進階設定和稽核設定。 如需有關設定的更多詳細資訊,請參閱組態設定
  8. 按一下儲存以建立組態草稿,或者,按一下儲存並發佈以儲存組態版本。
    您必須發佈組態才能將其指派給原則,以便將其部署到端點。
  9. 組態列在組態表中。

動作

此表格會列出所有非封存組態。 下列動作可供每個組態使用:

  • 檢視: 選取此選項可檢視組態。
  • 編輯: 選取此選項可編輯組態、將目前的版本儲存為草稿,且任何版本都保持不變。 如果草稿不存在,則會根據最新的版本建立新草稿。 不適用於處於正在發佈狀態的組態。
  • 發佈草稿: 選取此選項可發佈草稿,此草稿將成為第 1 版,而後續發佈的任何草稿,其版本號碼將會遞增。 僅適用於有草稿的組態。
  • 取消發佈: 選取此選項可取消發佈最新的組態版本。 僅適用於處於已發佈狀態且未指派給原則的組態。 取消發佈的版本不會再出現在代理程式原則的選擇中。
  • 封存: 選取此選項可虛刪除組態。 此組態將無法使用,也無法擷取。 僅適用於草稿或最新版本已取消發佈時。

檢視組態

若要檢視組態,請前往 App Control > 組態。 按一下組態名稱,或在動作欄中按一下 省略符號圖示 圖示,然後選取檢視

您可以檢視規則設定,您還有以下兩個額外索引標籤可用:

歷史記錄

檢視組態所有版本的清單、版本建立者和版本狀態。

原則

檢視與組態關聯的代理程式原則的數量,以及已部署組態的代理程式端點的數量。

系統會列出相關聯原則的名稱。 圖示表示原則重新開機體驗設定錯誤。 App Control 要求將代理程式自動更新設定為需要時要求重新開機。 請參閱代理程式自動更新

若要檢視相關聯的原則,請在所需原則的動作欄中選取 省略符號圖示 圖示,然後選取檢視代理程式 > 代理程式原則 > 代理程式原則頁面隨即顯示。 您可以在這裡檢視 App Control 功能,並編輯相關聯的 App Control 組態和重新開機設定。