Server & Workload Security保護 中的政策旨在以層級結構創建。作為管理員,您從一個或多個基礎政策開始,從中創建多個層級的子政策,這些子政策的細節會逐漸變得更加細緻。您可以在頂層政策中指派廣泛適用的規則和其他配置設定,然後在逐層深入的子政策中變得更加針對性和具體,最終在個別電腦防護層級進行規則和配置指派。
隨著您在政策樹中向下移動,除了可以分配更細緻的設定外,您還可以覆蓋政策樹上層的設定。
Server & Workload Security保護 提供了一系列政策,您可以用作設計您自己針對您環境的政策的初始範本:
繼承
子策略繼承其父策略的設定。這使您能夠建立一個策略樹,從配置了設定和規則的基礎父策略開始,這些設定和規則將適用於所有電腦。然後,這個父策略可以有一組子策略和進一步的後代策略,這些策略具有逐漸更具針對性的設定。您可以根據適合您環境的任何分類系統來構建您的策略樹。例如,隨
Server & Workload Security保護 提供的策略樹中的分支是為特定操作系統設計的。Windows 分支有進一步的子策略,適用於各種 Windows 操作系統的子類型。
在Windows政策編輯器的防護總覽頁面上,您可以看到Windows政策是作為Base Policy的子政策創建的。該政策的惡意程式防護設置為Inherited (Off):
這意味著該設定是從父 Base Policy 繼承的,如果您將 Base Policy 中的惡意程式防護設定從 關閉 更改為 開啟,該設定也會在 Windows 政策中更改。(Windows 政策設定將顯示為 Inherited (On)。括號中的值始終顯示當前繼承的設定。)
覆寫
Overrides 頁面顯示有多少設定在此政策或特定電腦防護層級被覆蓋。要撤銷此層級的覆蓋,請點選 移除 按鈕。
在此範例中,Windows Server 策略是 Windows 策略的子策略。在這裡,惡意程式防護設定不再繼承;它被覆蓋並強制設定為 開啟。
 |
秘訣您可以使用 Server & Workload Security保護 API 自動化覆蓋檢查、創建和移除。範例請參見 配置電腦以覆蓋政策。
|
覆寫物件屬性
此政策中包含的入侵防護規則是由 Server & Workload Security保護 儲存的入侵防護規則的副本,這些規則可供其他任何政策使用。如果您想更改特定規則的屬性,您有兩個選擇:全域修改規則的屬性,使您所做的更改適用於所有使用該規則的實例,或本地修改屬性,使您所做的更改僅適用於本地。電腦防護或政策編輯器中的預設編輯模式是
local。如果您在 Assigned Intrusion Prevention Rules 區域工具列上點選 Properties,則在出現的屬性視窗中所做的任何更改僅適用於本地。(某些屬性如規則名稱只能全域編輯,不能本地編輯。)
右鍵點擊規則會顯示一個上下文選單,提供您兩個屬性編輯模式選項:選擇Properties將開啟本地編輯器視窗,選擇Properties (Global)將開啟全域編輯器視窗。
大多數在 Server & Workload Security保護 中共享的常見對象可以在策略層次結構中的任何級別覆蓋其屬性,直到單個電腦防護級別。
覆寫規則分配
您可以隨時在任何策略或電腦防護層級指派額外的規則。然而,因繼承自父策略而在特定策略或電腦防護層級生效的規則無法在本地取消指派。必須在最初指派它們的策略層級取消指派。
|
秘訣如果您發現自己覆蓋了大量設定,您可能應該考慮分支您的父策略。
|
一目了然地查看電腦防護或政策的覆蓋
您可以通過進入電腦防護或政策編輯器中的Overrides頁面,查看在政策或電腦防護上被覆蓋的設定數量:
覆寫由保護模組顯示。您可以通過點擊移除按鈕來還原系統或模組覆寫。