檢視次數:
注意
注意
您可以為執行代理程式版本 10.0+ 的電腦啟動 Application Control。 有關支援 Application Control 的作業系統列表,請參閱 各平台支援的功能
Application Control 持續監控您受保護的伺服器上的軟體變更,並根據其強制設定以及其電腦防護和軟體規則集、全域規則集和信任實體的政策配置允許或阻止它們:
  • Application Control 的執行設定(在政策或電腦防護的 應用程式控管 標籤中)可以設置為「封鎖未識別的軟體直到明確允許」或「允許未識別的軟體直到明確封鎖」。您選擇哪個選項取決於您對環境的控制程度。
  • 軟體規則集中的規則會允許軟體運行或封鎖它。一旦在Server & Workload Security保護Actions頁面或在Application Control事件中(在Events & Reports Events Application Control Events Security Events)明確允許或封鎖軟體變更,它將在指定的軟體規則集中更新。
  • 使用 API,全域規則允許您強制執行和追蹤可應用於所有受保護電腦的封鎖規則。
  • 信任實體功能允許您配置信任規則,根據預定義的屬性自動授權特定的軟體變更,避免這些變更出現在Actions頁面或Application Control Security Events頁面中需要手動允許或封鎖(Events & Reports Events Application Control Events Security Events)在Server & Workload Security保護中。
為了確定軟體是新的還是已更改,代理會將檔案的 SHA-256 雜湊值和檔案大小與其最初安裝的 SHA-256 雜湊值和檔案大小進行比較。
秘訣
秘訣
您可以使用 API 自動化 Application Control 的建立和配置。欲了解詳細資訊,請參閱 配置 Application Control

主要軟體規則集概念 上層主題

以下是關鍵軟體規則集的概念說明。
注意
注意
如需了解如何自動授權軟體變更以減少您手動允許或封鎖的次數,請參閱[Application Control 信任實體]
Targeted protection state: 當您設定 Application Control 時,您需要做出的主要決定之一是決定您的目標保護狀態。您是否希望阻止所有新的或更改過的軟體運行,除非您手動指定允許它運行?或者您希望它默認運行,除非您特別封鎖它?一種方法是當您首次啟動 Application Control 且有大量未識別軟體時,最初允許未識別的軟體運行。隨著您添加 Application Control 規則和未識別軟體的數量減少,您可以切換到封鎖模式。
Software ruleset rules: 規則指定軟體是否允許或在特定電腦防護上已封鎖。
Inventory: 電腦上已安裝軟體的初始清單。請確保僅安裝您想允許的軟體。當您啟動 Application Control 時,所有目前已安裝的軟體都會新增到電腦的清單中並允許執行。當電腦處於維護模式時,對電腦所做的任何軟體變更都會新增到電腦的清單中並允許執行。電腦的軟體清單儲存在代理程式上,並不會顯示在 Server & Workload Security保護 主控台中。
Unrecognized software: 未在電腦防護清單中且未被 Application Control 規則涵蓋的軟體。請參閱 Application Control 如何檢測軟體變更?
Maintenance mode: 如果您計劃安裝或更新軟體,我們強烈建議您開啟維護模式。在維護模式下,Application Control 會繼續封鎖由 Application Control 規則特別封鎖的軟體,但允許新的或更新的軟體運行並將其添加到電腦防護的清單中。請參閱 在進行計劃變更時開啟維護模式

Application Control 軟體規則集如何運作? 上層主題

ac-flow=146cadce-755e-4807-a37b-4a1d0b7f2b4f.png

步驟

  1. 您在政策中啟動 Application Control 並將該政策指派給由代理程式保護的電腦防護(請參閱 開啟 Application Control)。
  2. 當代理程式接收到政策時,它會建立電腦上所有已安裝軟體的清單。清單中列出的所有軟體都被認為是安全的,並允許在該電腦上運行。此清單在Server & Workload Security保護控制台中不可見,這意味著您必須絕對確定在您打算啟動 Application Control 的電腦上只安裝了良好的軟體。
  3. 在清點完成後,Application Control 會知道電腦上任何軟體的變更。軟體變更可能是電腦上出現的新軟體或現有軟體的變更。
  4. 如果電腦防護處於維護模式,代理會將軟體添加到其清單中,並允許其運行。此變更在Server & Workload Security保護控制台中不可見。請參閱在進行計劃變更時開啟維護模式
  5. 如果變更是由受信任的安裝程式進行的,代理程式會將軟體添加到其清單中並允許其運行。例如,當 Microsoft Windows 自行啟動元件更新時,可能會安裝數百個新的可執行文件。Application Control 自動授權許多由知名 Windows 進程創建的文件變更,並且不會在 Server & Workload Security保護 控制台中列出這些變更。移除與預期軟體變更相關的“噪音”可讓您更清楚地了解可能需要您注意的變更。
    注意
    注意
    受信任的安裝程式功能適用於代理版本 10.2 或更高版本。
  6. 如果電腦防護的軟體規則集中包含針對此軟體的規則,則根據現有規則允許或封鎖該軟體。請參閱 Application Control 檢測到哪些軟體變更?
  7. 如果軟體不在電腦防護的清單中,且不受現有規則的覆蓋,則被視為未識別的軟體。分配給電腦防護的政策指定了如何處理未識別的軟體。根據政策配置,它要麼被允許運行,要麼被已封鎖。如果軟體被已封鎖且能夠在操作系統中產生錯誤訊息,受保護的電腦防護上會顯示錯誤訊息,指出該軟體沒有運行的權限或訪問被拒絕。
    未被識別的軟體會出現在 Application Control - Software Changes 頁面中的 Server & Workload Security保護 主控台。在該頁面上,管理員可以點選 允許封鎖,以在特定電腦上為該軟體建立允許或封鎖規則。允許或封鎖規則優先於政策中指定的預設中毒處理行動。請參閱 監控新變更的軟體

Application Control 介面導覽 上層主題

Server & Workload Security保護 控制台中有幾個地方,您可以看到與 Application Control 相關的變更:

Application Control:軟體變更(操作) 上層主題

ac-actions=b8baee3c-edeb-4bd0-88ef-0d192ae9ff15.png
當您在 Server & Workload Security保護 主控台中點選 Actions 時,會顯示 Application Control: Software Changes 頁面。此頁面顯示所有未被識別的軟體(即不在電腦清單中且沒有對應的 Application Control 規則的軟體)。軟體變更允許或封鎖是在電腦層級進行的,因此如果某個軟體安裝在五十台電腦上,它將在該頁面上出現五十次。但是,如果您知道某個軟體應該在所有地方被允許或封鎖,您可以篩選 Actions 頁面以檔案雜湊排序變更,然後點選 Allow All 以允許該軟體在所有安裝了該軟體的電腦上運行。
該政策應用於電腦防護時,會指定是否允許所有未識別的軟體預設執行,或封鎖所有未識別的軟體,但在您點選「允許」或「封鎖」於Actions頁面之前,不會創建明確的Application Control規則。當您點選允許或封鎖時,對應的規則會出現在電腦的軟體規則集中(位於Policies Common Objects Rules Application Control Rules Software Rulesets)。

Application Control 軟體規則集 上層主題

application-control-policies-rulesets=f9326ae5-92fb-421d-ad29-8fad8fec4135.png
若要查看電腦防護的軟體規則集,請前往Policies Common Objects Rules Application Control Rules Software Rulesets。若要查看哪些規則屬於規則集,請雙擊規則集並前往Rules標籤。規則標籤顯示與規則相關的軟體,並允許您將允許規則更改為封鎖,反之亦然。

安全事件 上層主題

ac-security-events=08fb79dd-418b-483c-8bea-460961c3fa8d.png
Events & Reports Events Application Control Events Security Events 顯示所有在電腦防護上運行過或被封鎖規則阻止運行的未識別軟體。您可以按時間範圍和其他條件篩選此列表。
對於每個事件(聚合事件除外),您可以點選View rules來將規則從允許更改為封鎖,反之亦然。10.2+版本的代理包含事件聚合邏輯,以減少相同事件重複發生時的日誌量。

Application Control 信任實體 上層主題

Policies Common Objects Rules Application Control Rules Trust Entities 顯示您可以配置以自動授權軟體變更的信任規則集和信任規則。欲了解詳細資訊,請參閱 Application Control 信任實體

Application Control 如何檢測軟體變更? 上層主題

完整性監控不同的是,Application Control 在檢查初始安裝和監控變更時僅檢查軟體檔案。
軟體可以是:
  • Windows 應用程式 (.exe, .com, .dll, .sys)、Linux 函式庫 (.so) 及其他編譯的二進位檔案和函式庫
  • Java .jar 和 .class 檔案,以及其他編譯的位元組碼
  • PHP、Python 和 shell 腳本,以及其他即時解釋或編譯的網頁應用程式和腳本
  • Windows PowerShell 腳本、批次檔 (.bat) 和其他 Windows 特定腳本 (.wsf, .vbs, .js)
例如,WordPress 及其嵌入程式、Apache、IIS、nginx、Adobe Acrobat、app.war 和 /usr/bin/ssh 都會被檢測為軟體。
Application Control 會檢查檔案的副檔名以判斷它是否為腳本。此外,在 Linux 上,Application Control 會將任何具有執行權限的檔案視為腳本。
注意
注意
在 Windows 電腦上,Application Control 會追蹤本機檔案系統的變更,但不會追蹤網路位置、CD 或 DVD 光碟機或 USB 裝置上的變更。
Application Control 與核心(在 Linux 電腦上)和檔案系統整合,因此它有權限監控整台電腦,包括由 root 或管理員帳號安裝的軟體。代理程式會監控軟體檔案上的磁碟寫入活動,以及執行軟體的嘗試。