代理程式設定: 應用程式控制

工具 > 安全性和遵從性 > 代理程式組態 > 安全性 > 端點安全 > 應用程式控制

此對話方塊可用來建立和編輯端點安全 (EPS) 應用程式控制設定 (設定檔)。建立 EPS 設定的時候,您首先需要定義一般要求和作業,再新增指定檔案認證。您可以視需要隨時建立多個 EPS 設定,數目不限。

如果您希望不重新安裝 EPS 代理程式或重新部署完整代理程式組態而修改裝置的預設 EPS 設定,請對 EPS 設定對話方塊上任何選項進行變更、將新設定指派為變更設定工作,再將變更設定部署至目標裝置。

此對話方塊包含下列頁面:

關於「一般設定」頁

使用此頁面來命名您的「應用程式控制」設定。若您想要將其設為預設值,請選取設為預設值

關於「應用程式保護」頁面

使用該頁面設定 EPS 的一般保護設定和作業。

  • 啟用應用程式行為保護:開啟 EPS 保護,將根據預定義的防護規則定義,允許所有程式執行,但是程式的某個操作威脅到系統安全的情況除外。您可以設定自訂檔案憑證,來透過信任的檔案清單為程式檔案授予特殊權限。EPS 保護會觀察應用程式的行為 (是否允許應用程式修改其他可執行檔、修改系統登錄表等) 並且強制執行安全性規則。
    • 阻止主要開機記錄 (MBR) 加密: 封鎖對主要開機記錄 (MBR) 的存取,有助於防止用戶端遭到會加密 MBR 的勒索軟體攻擊。
    • 自動偵測加密勒索軟體和列入黑名單: EPS 代理程式將觀察加密程序,一旦偵測到,EPS 將刪除該類程序,並嘗試從啟動中移除該類程序,然後將其列入拒絕清單。EPS 將盡速偵測加密程序,但是有些檔案可能在刪除程序前就遭到加密。建議您使用檔案防護規則,防護檔案免於遭受勒索軟體加密。

關於「應用程式保護: 檔案保護規則」頁面

使用此頁面檢視、管理和優先排序檔案防護規則。檔案防護規則是限制的集合,可防止指定的可執行程式在指定的檔案執行某種作業。透過檔案防護規則,您可以允許或拒絕存取、修改、建立或執行任何程式或任何檔案。

預設情況下,這些規則處於啟用狀態:

  • 防止 Word、PowerPoint 和 Excel 檔案遭受勒索軟體加密: 啟用時,Endpoint Security 將只允許 Word、PowerPoint 和 Excel 程序修改 Word、PowerPoint 和 Excel 檔案 (使用者將仍然能夠複製/貼上這些檔案)。如果勒索軟體在端點上執行,將無法加密這些檔案類型。萬一發生勒索軟體攻擊,管理員將能夠遠端控制受感染的裝置,並將未變更的文件複製到其他安全的位置,從而確保更快速地復原,因為一般使用者將會取得最新版的檔案,而不需要從舊的備份複本中復原那些檔案。
  • 阻止從 Word、PowerPoint 或 Excel 執行指令碼: 感染端點常見的方法是讓一般使用者在 Word 或 Excel 文件內執行巨集。在大多數的情況下,巨集將會執行 PowerShell 或可將惡意軟體下載至裝置的其他指令碼。一旦啟用此功能,Endpoint Security 將會防止巨集啟動 PowerShell、Visual Basic 和其他指令碼。因此,如果一般使用者執行可啟動指令碼的巨集,該指令碼不會執行,從而阻止惡意軟體執行。巨集本身將會繼續運作。

此頁面上還有其他的選項可用:

  • 防護規則:列出 Ivanti 提供的所有預定義(預設)檔案保護規則和所有您建立的檔案保護規則。
    • 規則名稱:識別檔案防護規則。
    • 限制:按照檔案防護規則限制的檔案上的程式顯示特定的動作。
    • 程式:顯示由防護規則保護的可執行程式。
  • 上移\下移:確定檔案防護規則的優先等級,在清單中居較高位置的規則優先於在清單中居較低位置的規則。例如,您可以建立一個規則限制程式存取及修改某個檔案或檔案類型,但是之後再建立另一個規則以允許針對一個或多個上述程式限制的例外情況。只要第二個規則在規則清單中佔據較高位置,它就會生效。
  • 重設:還原 Ivanti 提供的預定義 (預設) 檔案防護規則。
  • 新增:開啟「設定檔案防護規則」對話方塊,在此新增及移除程式和檔案,並且指定限制。
  • 編輯:開啟「設定檔案防護規則」對話方塊,在此編輯現有的檔案保護規則。
  • 刪除:從核心資料庫移除檔案保護規則。

NOTE: 檔案防護規則存儲在 FILEWALL.XML 檔案中,位置是:ProgramFiles\Landesk\ManagementSuite\ldlogon\AgentBehaviors\EPS_Behavior.ZIP

關於「應用程式保護: 進階和白名單: 進階」頁面

使用此頁面設定 EPS 保護的作業模式。

  • 應用程式行為模式: 指定啟用 EPS 保護時的保護行為。請選擇下列作業方法的其中一個:
    • 阻擋:阻擋安全性違規,且會記錄在核心伺服器上的動作歷史記錄檔案中。
    • 學習:允許所有應用程式安全性違規,但是會觀察 (或學習) 應用程式的行為,並且將該資訊傳送回「信任檔案清單」中的核心資料庫。使用此模式以在特定裝置或裝置集合上搜尋應用程式行為,然後使用該資訊自訂 EPS 原則,隨後在網路上部署它們並且實施 EPS 保護。
    • 僅記錄:允許安全性違規,且會記錄在核心伺服器上的動作歷史記錄檔案中。
    • 無動作:阻擋安全性違規,且會記錄在核心伺服器上的動作歷史記錄檔案中。

關於「白名單」頁面

  • 啟用白清單保護: 選取後,只有位於信任檔案清單中且其檔案憑證已經啟用「允許執行」選項的應用程式才能執行。
  • 避免 Windows Explorer 修改或刪除可執行檔:如果您不希望 Windows 能夠修改或刪除任何可執行檔,請啟用此選項。
  • 將「良好信譽」的檔案視為處於關聯信任檔案清單中: 選取時,自動信任在 Ivanti 託管的已知良好檔案資料庫之中的檔案。如需詳細資訊,請參閱使用檔案信譽限制應用程式
  • 將「不好信譽」的檔案視為處於黑名單中: 拒絕存取在 Ivanti 託管的已知不良檔案資料庫之中的檔案。

關於「組態檔案保護規則」對話方塊

使用此頁面設定檔案防護規則。

  • 規則名稱:用描述性名稱來識別檔案防護規則。
  • 監視的程式
    • 全部程式:指定所有可執行程式在下列指定的檔案上執行下面選擇的動作時受到限制。
    • 指定程式:指定在清單中僅可執行程式具有在下面選擇的套用的限制。
    • 如果處理序在執行鏈中即套用: 程式可啟動其他程式。若受監控的程式在執行鏈中,便套用該規則,即便受監控的程式並非存取受保護檔案的程式亦同。
    • 允許受信任檔案略過規則: 允許目前認證檔案清單中的任何可執行程式略過和此檔案保護規則相關聯的限制。
    • 新增:讓您選擇由檔案防護規則限制的程式。您可以使用檔案名稱和萬用字元。
    • 編輯:讓您修改程式名稱。
    • 刪除:從清單移除程式。
  • 受保護檔案
    • 任何檔案:指定全部檔案根據它們的限制受到保護避免在上面指定的程式修改。
    • 命名的檔案:指定僅清單中的檔案受保護。
    • 新增:讓您選擇受規則保護的檔案。您可以使用檔案名稱或萬用字元。
    • 編輯:讓您修改檔案名稱。
    • 刪除:從清單移除檔案。
    • 同時套用至子目錄:在命名目錄的任何子目錄上執行檔案防護規則。
    • 僅套用至可從網際網路下載的檔案: 只有可從網際網路下載的檔案,才會受到受監控程式的保護。
  • 受保護檔案上的限制動作
    • 讀取存取:防止在上面指定的程式存取受保護的檔案。
    • 修改:防止在上面指定的程式對受保護檔案作任何修改。
    • 建立:防止在上面指定的程式建立檔案。
    • 執行:防止在上面指定的程式執行受保護的檔案。