应用程序控制配置设置

您可以在应用程序控制配置编辑器中配置应用程序控制功能。 此操作可以从 Security Controls 控制台中的多个位置进行。

  • 新建 > 应用程序控制配置
  • 应用程序控制配置 右键单击新建应用程序控制配置
  • 新建 > 代理策略 > 应用程序控制 > 新建。

请注意,此操作将在保存配置后将配置分配给策略。

顶级节点配置设置有三个选项卡:

功能

选择相关选项卡后可为配置启用以下应用程序控制功能:

可执行的控件

可执行控制包含整个配置中的以下功能:

  • 受信任的所有权 - 在规则匹配过程中,对文件和文件夹执行“受信任的所有权”检查,确保项目的所有权与配置中指定的可信所有者列表匹配。
  • 安全级别 - 指定执行未授权文件的限制级别。
  • 允许的和拒绝的项目 - 允许或拒绝访问适用于规则集的特定项目。

权限管理

权限管理 - 可用于创建可重复使用的权限管理策略,该策略可与任何规则集相关联,并可提升或限制对文件、文件夹、驱动器、文件哈希和控制面板组件的访问。 借助更精细的控制级别,您可以分配关于调试或安装软件的特定权限,或设置完整性级别来管理不同产品(如 Microsoft Outlook 和 Microsoft Word)之间的互操作性。

权限管理包含四个主要功能:

  • 提升应用程序的权限管理。
  • 提升控制面板组件和管理单元的权限管理。
  • 降低应用程序的权限管理。
  • 降低控制面板组件和管理单元的权限管理。

浏览器控件

使用此功能在用户尝试访问指定的 URL 时自动重定向用户。 通过定义禁止的 URL 列表,您可将任何尝试访问列出的 URL 的用户重定向至默认警告页面或自定义网页。 与重定向结合使用时,还可以选择允许某些 URL,这不仅可以为您提供更出色的灵活性和控制力,还让您能够创建网站允许列表。

为 Internet Explorer 配置此功能之前,您必须使用 Internet 选项为每个端点启用第三方浏览器扩展。 或者,可以通过组策略来应用此功能。

URL 重定向与 Internet Explorer 8、9、10 和 11 兼容。 使用 Chrome,所有托管端点必须为域的一部分。

哈希算法

文件哈希提供了根据文件本身的实际内容准确识别文件的方法。 对每个文件进行检查,并根据其内容生成一个数字哈希(可将其比作指纹)。 应用程序控件 使用行业标准 SHA-1、SHA-256 和 Adler-32 哈希。 如果以任何方式修改文件,那么哈希也将被修改。

数字哈希因其出色的准确性被视为终极安全方法。 它可识别每个文件,且识别方式与除文件本身之外的所有其他因素无关。 例如,管理员获取计算机系统上所有可执行文件的数字哈希并记录它们。 然后用户尝试执行应用程序。 计算应用程序的数字哈希,然后与记录值进行比较。 如果匹配,则允许应用程序执行,否则拒绝执行。 此方法还提供零日保护,因为它不仅阻止引入新应用程序,而且还阻止任何被恶意软件感染的应用程序。

虽然文件哈希为受信任的所有权提供了类似的保护,但还必须考虑维护安全系统所需的时间和管理。 应用程序不断地更新产品等级、缺陷修复和漏洞修补程序。 这意味着所有相关文件也在不断被更新。 例如,如果产品等级应用于 Microsoft Office,那么更新后的部分要发挥作用,就必须使用更新后文件的新数字哈希。 在更新可用时要确保这些可用,以避免停机。 此外,建议删除旧的哈希。

高级设置

自定义设置允许您配置其他设置,这些设置将在部署 应用程序控件 配置时应用于受管端点。 如果部署了包含新高级设置的新配置,则将删除端点上已有的高级设置。

在“高级设置”选项卡上,右键单击工作区,然后选择添加以显示可用高级设置的列表。 当配置部署到托管端点时,将应用这些设置。

相关主题

关于可执行的控件

权限管理

关于浏览器控制

配置设置可执行的控件

配置设置权限管理