在 Application Control 中啟用鎖定模式前如何配置您的環境。
 |
重要封鎖模式可能會封鎖重要的程式功能,例如 Trend Vision One Endpoint Security 代理程式安裝程式或 Windows Update。檢視此主題以了解如何允許信任的程式在封鎖模式下運行並進行更新。
Server & Workload Protection 無法允許所有 Microsoft 進程進行更新,且 Windows 安全更新無法關閉。如果您對 Server
& Workload Protection 應用鎖定模式,請監控 Windows 更新發佈週期,並計劃在適當的時間關閉鎖定模式以允許安裝更新。
|
在 Endpoint Security Policies 的 Application Control 中,鎖定模式提供了一個選項,可以封鎖任何新的或不受信任的軟體在您的端點上安裝或運行。當您啟用鎖定模式時,Trend
Vision One Endpoint Security agent 會執行掃瞄以建立現有應用程式和已安裝軟體的清單,並允許這些應用程式運行。如果應用程式符合以下條件,代理程式將封鎖它們:
-
在端點的資產清單掃瞄列表中找不到該應用程式
-
該應用程式不在信任的程式清單中
-
該應用程式與「允許」操作的任何Application Control規則不匹配
-
該應用程式符合任何具有「封鎖」動作的Application Control規則
Windows Update 在行為和處理程序使用上是複雜的應用程式,需要多個 Application Control 規則來允許 Microsoft 更新安裝。
-
某些安裝了 .NET Framework 或 Windows Defender 的端點會觸發與其他端點不同的更新包。
-
安裝套件因 Windows 平台而異。例如,即使更新解決相同問題,Windows 10 和 Windows 11 的安裝套件可能完全不同。
-
更新套件因安裝了不同語言套件的端點而異。更新套件是根據 Windows 平台的系統語言選擇的。
在啟用封鎖模式之前,請按照以下步驟確保在封鎖期間重要功能不會被已封鎖。
步驟
- 在例外中將程式新增至「Trusted programs list」。
重要
只有 Standard Endpoint Protection 端點支援使用信任的程式清單來啟用鎖定模式。對於 Server & Workload Protection 端點,您必須建立 Application Control 規則以允許信任的程式在鎖定模式下運行。 - 建立一個 Application Control 規則以允許趨勢科技應用程式運行並進行更改。
重要
Server & Workload Protection 不支援在憑證值中使用萬用字元的規則。為了允許趨勢科技應用程式進行更新,趨勢科技建議在排定更新時停用鎖定模式。- 在Trend Vision One console中,移至。
- 點擊「Add Application Control rule」。
- 輸入「名稱」和「說明」。使用容易識別的內容,例如Allow Trend Micro。
- 選擇「允許」以進行「處理行動」。
- 對於「類型」,請選取「憑證」。
- 對於「Property」,請選取「Subject name (CN)」。
- 對於「Value」,請輸入Trend Micro*。
- 按一下「儲存」。
- 建立一個 Application Control 規則以允許 Microsoft Update 執行並進行更改。
- 在Trend Vision One console中,移至。
- 點擊「Add Application Control rule」。
- 輸入「名稱」和「說明」。使用容易識別的內容,例如Allow Windows Update。
- 選擇「允許」以進行「處理行動」。
- 對於「類型」,請選取「檔案路徑」。
- 對於「路徑」,輸入
C:\Windows\System32\wuauclt.exe。 - 按一下「儲存」。
- 為 Microsoft Corporation 簽署的應用程式建立 Application Control 規則。
- 若要建立規則,請按一下「Add Application Control rule」。
- 輸入「名稱」和「說明」。使用易於識別的內容,例如 Allow Microsoft Apps-1。
- 選擇「允許」以進行「處理行動」。
- 對於「類型」,請選取「憑證」。
- 對於「Property」,請選取「Subject name (CN)」。
- 對於「Value」,請輸入Microsoft Corporation。
- 按一下「儲存」。
- 對於 Standard Endpoint Protection 部署,請建立額外的規則以允許任何 Microsoft 作為發行者的應用程式。
重要
Server & Workload Protection 不支援在憑證值中使用萬用字元的規則。請參閱下一步以獲取允許 Microsoft 應用程式的其他規則。- 若要建立規則,請按一下「Add Application Control rule」。
- 輸入「名稱」和「說明」。使用容易識別的內容,例如Allow Microsoft Apps-2。
- 選擇「允許」以進行「處理行動」。
- 對於「類型」,請選取「憑證」。
- 對於「Property」,請選取「Issuer organization (O)」。
- 對於「Value」,請輸入Microsoft Corporation。
- 按一下「新增」。
- 對於「Property」,請選取「Issuer name (CN)」。
- 對於「Value」,輸入Microsoft*。
- 按一下「儲存」。
- 如果您將政策應用於 Server & Workload Protection 代理,請為 Microsoft 簽署的應用程式創建另外兩個 Application Control
規則。
- 若要建立第一個規則,請按一下「Add Application Control rule」。
- 輸入「名稱」和「說明」。使用容易識別的內容,例如Allow Microsoft Apps-3。
- 選擇「允許」以進行「處理行動」。
- 對於「類型」,請選取「憑證」。
- 對於「Property」,請選取「Subject name (CN)」。
- 對於「Value」,請輸入Microsoft Windows Publisher。
- 按一下「儲存」。
- 如果要新增下一個規則,請按一下「Add Application Control rule」。
- 輸入「名稱」和「說明」。使用容易識別的內容,例如Allow Microsoft Apps-4。
- 選擇「允許」以進行「處理行動」。
- 對於「類型」,請選取「憑證」。
- 對於「Property」,請選取「Subject name (CN)」。
- 對於「Value」,請輸入Microsoft Windows。
- 按一下「儲存」。
- 建立一個 Application Control 規則以允許 Microsoft .NET 執行並進行更改。
- 點擊「Add Application Control rule」。
- 輸入「名稱」和「說明」。使用容易識別的內容,例如Allow Microsoft NET。
- 選擇「允許」以進行「處理行動」。
- 對於「類型」,請選取「檔案路徑」。
- 對於「路徑」,請在單獨的行上輸入:
-
C:\Windows\assembly\* -
C:\Windows\Microsoft.NET\*
-
- 按一下「儲存」。
- 建立 Application Control 規則,以允許您信任的任何其他程式在鎖定模式下運行。如需詳細資訊,請參閱策略資源中的Application Control 規則。