警告
警告
Application Control 會持續監控您的伺服器,並在軟體變更發生時記錄事件。它不適用於具有自我變更軟體或通常會創建可執行文件的環境,例如某些網頁或郵件伺服器。為確保 Application Control 適合您的環境,請檢查 Application Control 檢測到哪些軟體變更?
如需了解 Application Control 的運作方式,請參閱 關於 Application ControlApplication Control 信任實體

監控新的和變更的軟體 上層主題

一旦在受保護的電腦上建立了清單,任何新增或更改的軟體可執行檔都會被分類為「軟體變更」,並顯示在Actions頁面中的伺服器與工作負載保護。當未識別的軟體運行或嘗試運行並被封鎖時,該事件會列在Events & ReportsEvents Application Control Events Security Events下。欲了解更多資訊,請參閱Application Control 事件。
在您最初啟動 Application Control 後,您可能會在 Actions 頁面上看到許多軟體變更。當允許的軟體在正常操作過程中創建新的可執行文件、重命名文件或重新定位文件時,這種情況可能會發生。隨著您添加規則來調整 Application Control,您應該會看到較少的軟體變更。
要快速查找所有電腦上的所有軟體變更,並輕鬆為它們建立允許或封鎖規則,請使用Actions標籤。
秘訣
秘訣
您可以使用伺服器與工作負載保護 API 自動化建立軟體規則集允許或封鎖規則。欲了解詳細資訊,請參閱 允許或封鎖未識別的軟體

步驟

  1. 伺服器與工作負載保護 主控台中,前往 Actions
  2. 有幾種方法可以篩選以僅查看特定的未識別軟體事件。
    秘訣
    秘訣
    與其在每台電腦防護上單獨評估每個軟體變更,不如使用以下描述的篩選器來查找您知道是好的軟體變更,並批量允許它們。
    actions=94298770-add2-4b7d-8bcf-44c3f9d71a46.png
    要減少顯示的軟體變更數量:
    • Application Control: Software Changes旁邊的下拉清單中,選擇一個時間範圍,例如Last 7 Days。您也可以點選頁面頂部圖表中的一個條形,以顯示該時間範圍內的變化。
    • 在左側窗格中,點選Computers並選擇單個電腦防護或群組,或點選Smart Folders以僅顯示包含在特定智慧資料夾中的電腦防護(請參閱使用智慧資料夾動態分組電腦防護)。
      注意
      注意
      Computers標籤不同,Software Changes窗格通常不會顯示所有電腦。它只顯示那些 Application Control 檢測到軟體變更但尚未有允許或封鎖規則的電腦。
    • 在搜尋篩選欄位中輸入搜尋詞和運算符。您可以搜尋這些屬性:由程序更改、由使用者更改、檔案名稱、主機名稱、安裝路徑、MD5、SHA1 和 SHA256。例如,您可以找到由您信任的特定使用者所做的所有更改,然後點選Allow All以允許他們的所有更改。或者,如果在您的組織中安裝了特定的軟體更新(而維護模式未啟動),請根據檔案的雜湊值篩選頁面,然後點選Allow All以允許所有出現的情況。
      秘訣
      秘訣
      有關軟體變更的詳細資訊顯示在右側窗格中。您可以點選詳細資訊中的檔案名稱或電腦名稱,將其添加到您的搜尋篩選器中。
    • 選擇是否Group by File (Hash)Group by Computer
  3. 點選 允許封鎖 以在該電腦上為該軟體新增允許或封鎖規則。如果您需要詳細資訊來決定是否允許或封鎖,請點選軟體名稱,然後使用右側的詳細資訊面板。
    下次代理連接到伺服器與工作負載保護時,它會接收新規則。

接下來需執行的動作

處理變更的提示 上層主題

  • 對於大多數環境,我們建議您在首次啟動 Application Control 時選擇 Allow unrecognized software until it is explicitly blocked 選項,以預設允許軟體變更,並在 Actions 頁面上為您看到的變更新增允許和封鎖規則。最終,軟體變更的頻率應該會減少。此時,您可以考慮預設封鎖軟體變更,並為您知道是良好的軟體建立允許規則。一些組織更喜歡繼續預設允許變更,並監控 Actions 頁面以封鎖應該被封鎖的軟體。
  • 您可能更願意先評估安全事件,而不是先處理未識別的軟體。安全事件會顯示哪些未識別的軟體已經運行(或嘗試運行)。有關安全事件的資訊,請參閱監控 Application Control 事件
  • 當允許執行未識別的檔案且您希望繼續允許它時,請建立允許規則。除了允許檔案執行外,該事件將不再為該檔案記錄,這樣可以減少噪音並使重要事件更容易找到。
  • 當已知檔案的執行被已封鎖時,請考慮從電腦防護中清除該檔案,特別是對於重複出現的情況。
  • 請注意,軟體變更會列在發生變更的每台電腦防護上。您必須允許或封鎖每台電腦防護上的軟體。
  • 規則是分配給電腦的,而不是分配給政策的。例如,如果在三台電腦上檢測到 helloworld.py,當您點選 Allow AllBlock All 時,這只會影響這三台電腦。這不會影響未來在其他電腦上的檢測,因為它們有自己的規則集。
  • 如果您看到與軟體更新相關的變更,且這些變更是您可以控制的,請在執行這些更新時使用維護模式功能。請參閱 在進行計劃變更時開啟維護模式
  • 請勿在已啟動自動更新的電腦和伺服器上以鎖定模式執行 Application Control。

在進行計劃變更時開啟維護模式 上層主題

當您安裝補丁、升級軟體或部署網頁應用程式時,Application Control 會偵測到它們。根據您對於如何處理未識別軟體的設定,這可能會封鎖該軟體,直到您使用 Actions 標籤來建立允許規則。
為了避免在部署和維護窗口期間出現額外的停機時間和警報,您可以將 Application Control 設置為專為維護窗口設計的模式。當維護模式已啟動時,Application Control 仍會封鎖由 Application Control 規則特別封鎖的軟體,但會允許新的或更新的軟體運行並自動將其添加到電腦防護的清單中。
秘訣
秘訣
您可以使用 伺服器與工作負載保護 API 自動化維護模式。欲了解詳細資訊,請參閱 升級期間配置維護模式 指南。

步驟

  1. 伺服器與工作負載保護 主控台中,前往 Computers
  2. 選擇一台或多台電腦,然後點選Actions Turn On Maintenance Mode
  3. 選擇您維護窗口的持續時間。
    維護模式會在您的維護窗口預定結束時自動關閉。或者,如果您希望在更新完成後手動關閉維護模式,請選擇Indefinite
    資訊中心上,Application Control Maintenance Mode Status小工具指示命令是否成功。
  4. 安裝或升級軟體。
  5. 如果您選擇手動關閉維護模式,請記得關閉維護模式以重新開始檢測軟體變更。