安全性

这些设置允许您控制 Workspace Environment Management 中的用户活动。


应用程序安全性

重要:

要控制用户可以运行哪些应用程序,可以使用 Windows AppLocker 界面或 Workspace Environment Management 来管理 Windows AppLocker 规则。您可以随时在这些方法之间切换,但我们建议您不要同时使用这两种方法。

这些设置允许您通过定义规则控制允许用户运行的应用程序。此功能类似于 Windows AppLocker。 当您使用 Workspace Environment Management 来管理 Windows AppLocker 规则时,代理将应用程序安全选项卡规则处理(转换)为代理主机上的 Windows AppLocker 规则。如果停止代理处理规则,则这些规则将保留在配置集中,AppLocker 将使用代理处理的最后一组指令继续运行。

应用程序安全性

此选项卡列出了当前 Workspace Environment Management 配置集中的应用程序安全规则。您可以使用“查找”根据文本字符串筛选列表。

安全性选项卡中选择顶层项目“应用程序安全性”时,以下选项可用于启用或禁用规则处理:

  • 处理应用程序安全规则。选中此选项后,将启用应用程序安全性选项卡控件,代理将处理当前配置集中的规则,将它们转换为代理主机上的 AppLocker 规则。如果未选择此选项卡,则禁用应用程序安全性选项卡控件,且代理不会将规则处理到 AppLocker 规则(在这种情况下,AppLocker 规则不会更新。)

    注意:

    如果在 Windows 7 SP1 或 Windows Server 2008 R2 SP1(或早期版本)上安装了 Workspace Environment Management 管理控制台,则此选项不可用。

  • 处理 DLL 规则。如果选择此选项,代理将当前配置集中的 DLL 规则处理为代理主机上的 AppLocker DLL 规则。仅当您选择“处 理应用程序安全规则”时,此选项才可用。

    重要:

    如果使用 DLL 规则,则必须为所有允许的应用程序使用的每个 DLL 创建具有“允许”权限的 DLL 规则。

    小心:

    如果您使用 DLL 规则,用户可能会遇到性能下降。发生这种情况是因为 AppLocker 在允许运行之前检查应用程序加载的每个 DLL。

  • 覆盖”和“合并”设置允许您确定代理如何处理应用程序安全规则。

    • 覆盖。允许您覆盖现有规则。选择此选项后,上次处理的规则将覆盖之前处理的规则。我们建议您仅将此模式应用于单会话计算机。
    • 合并。允许您将规则与现有规则合并。发生冲突时,上次处理的规则将覆盖之前处理的规则。

规则集合

规则属于 AppLocker 规则集合。每个集合名称指示其中包含的规则数,例如 (12)。单击集合名称可将规则列表筛选为以下集合之一:

  • 可执行规则。包含与应用程序关联的 .exe 和 .com 扩展名的文件的规则。
  • Windows 规则。包括控制在客户端计算机和服务器上安装文件的安装程序文件格式(.msi、.msp、.mst)的规则。
  • 脚本规则。包含以下格式的文件的规则:.ps1、.bat、.cmd、.vbs、.js。
  • 打包规则。包含打包应用程序(也称为通用 Windows 应用)的规则。在打包的应用程序中,应用程序包中的所有文件共享相同的标识。因此,一个规则可以控制整个应用程序。Workspace Environment Management 仅支持打包应用程序的发布者规则。
  • DLL 规则。规则,其中包含以下格式的文件:.dll、.ocx。

将规则列表筛选为集合时,规则强制执行选项可用于控制 AppLocker 在代理主机上强制执行该集合中所有规则的方式。可以使用以下规则强制值:

关闭 (默认)。规则被创建并设置为“关闭”,这意味着它们不会应用。

。创建规则并将其设置为“强制执行”,这意味着它们在代理主机上处于活动状态。

审计。创建规则并设置为“审核”,这意味着它们位于处于非活动状态的代理主机上。当用户运行违反 AppLocker 规则的应用程序时,允许该应用程序运行,并将有关该应用程序的信息添加到 AppLocker 事件日志中。

导入 AppLocker 规则

您可以将从 AppLocker 导出的规则导入到 Workspace Environment Management 中。导入的 Windows AppLocker 设置将添加到“安全”选项卡中的任何现有规则中。任何无效的应用程序安全规则都会自动删除并列在报告对话框中。

  1. 在功能区中,单击 导入 AppLocker 规则

  2. 浏览到从 AppLocker 导出且包含 AppLocker 规则的 XML 文件。

  3. 单击导入

这些规则将添加到应用程序安全规则列表中。

添加规则

  1. 在边栏中选择规则集合名称。例如,要添加可执行规则,请选择“可执行规则”集合。

  2. 点击 添加规则

  3. 在“显示”部分中,键入以下详细信息:

    • 名称。规则在规则列表中显示的显示名称。
    • 说明。有关资源的其他信息(可选)。
  4. 在“类型”部分中,单击一个选项:

    • 路径。该规则匹配文件路径或文件夹路径。
    • 发布者。该规则与选定的发布者匹配。
    • 哈希。该规则匹配特定的哈希代码。
  5. 权限 部分中,单击此规则是 允许 还是 拒绝 应用程序运行。

  6. 要将此规则分配给用户或用户组,请在分配窗格中,选择要将此规则分配给的用户或组。“已分配”列显示已分配用户或组的“检查”图标。

    提示:

    • 您可以使用通常的 Windows 选择修饰键进行多个选择,或使用“全选”来选择所有行。
    • 用户必须已位于“Workspace Environment Management 用户”列表中。
    • 您可以在创建规则后分配规则。
  7. 单击下一步

  8. 根据您选择的规则类型,指定规则匹配的条件:

    • 路径。指定要匹配的规则的文件路径或文件夹路径。选择文件夹时,该规则将匹配该文件夹内部和下面的所有文件。
    • 发布者。指定签名的参考文件,然后使用 Publisher Info 滑块调整属性匹配的级别。
    • 哈希。指定一个文件。该规则与文件的哈希代码相匹配。
  9. 单击下一步

  10. 添加您需要的任何例外(可选)。在添加例外中,选择例外类型,然后单击 添加。(您可以根据需要 编辑删除 例外。)

  11. 若要保存规则,请单击“创建”。

将规则分配给用户

在列表中选择一个或多个规则,然后在工具栏或上下文菜单中单击 编辑 。在编辑器中,选择包含要分配规则的用户和用户组的行,然后单击“确定”。您还可以使用“全选”来清除所有选 择内容,从所有 人取消分配所选规则。

注意:如果选择多个规则并单击“编辑”,则这些规则的任何规则分配更改都将应用于您选择的所有用户和用户组。换句话说,现有的规则分配会在这些规则之间进行合并。

添加默认规则

单击 添加默认规则。一组 AppLocker 默认规则将添加到列表中。

编辑规则

在列表中选择一个或多个规则,然后在工具栏或上下文菜单中单击 编辑 。随即出现编辑器,允许您调整适用于所做选择的设置。

删除规则

在列表中选择一个或多个规则,然后在工具栏或上下文菜单中单击 删除

备份应用程序安全规则

您可以备份当前配置集中的所有应用程序安全规则。规则全部导出为单个 XML 文件。您可以使用“还原”将规则还原到任何配置集。 在功能区中,单击 备份 ,然后选择 安全设置

恢复应用程序安全规则

您可以从“Workspace Environment Management”备份命令创建的 XML 文件中恢复应用程序安全规则。还原过程将用备份中的这些规则替换当前配置集中的规则。切换到或刷新“安全”选项卡时,会检测到任何无效的应用程序安全规则。无效规则将自动删除,并在报告对话框中列出,您可以导出该对话框。

在还原过程中,您可以选择是否要将规则分配还原到当前配置集中的用户和用户组。仅当备份的用户/组存在于当前配置集/活动目录中时,重新分配才会成功。任何不匹配的规则都会恢复,但保持未分配状态。恢复后,它们将在报告对话框中列出,您可以将其导出为 CSV 格式。

1. 在功能区中,单击“还原”以启动还原向导。

2. 选择“安全设置”,然后单击“下一步”两次。

3. 在“从文件夹还原”中,浏览到包含备份文件的文件夹。

4. 选择 AppLocker 规则设置,然后单击下一步

5. 确认是否要恢复规则分配:

。恢复规则并将其重新分配给当前配置集中的相同用户和用户组。

。恢复规则并将其保留为未分配。

6. 要开始还原,请单击“还原设置”。


流程管理

这些设置允许您将特定进程列入白名单或将其列入黑名单。

流程管理

启用流程管理。这将切换进程白名单/黑名单是否有效。如果禁用,则不考虑“处理黑名单”和“处理白名单”选项卡上的任何设置。

注意:

仅当会话代理在用户的会话中运行时,此选项才有效。为此,请使用 主配置 代理设置将 启动代理 选项(在登录/在重新连接/对于管理员)设置为根据用户/会话类型启动,然后将代理类型 设置为“UI”。 高级设置中介绍了这些选项。

处理黑名单

这些设置允许您将特定进程列入黑名单。

启用进程黑名单。这将启用进程黑名单。您必须使用其可执行文件名称(例如 cmd.exe)来添加进程。

排除本地管理员。从进程黑名单中排除本地管理员帐户。

排除指定的组。允许您从进程黑名单中排除特定用户组。

进程白名单

这些设置允许您将特定进程列入白名单。进程黑名单和进程白名单是相互排斥的。

启用进程白名单。这将启用进程白名单。您必须使用其可执行文件名称(例如 cmd.exe)来添加进程。注意 如果启用, 启用进程白名 单会自动将不在白名单中的所有进程列入黑名单。

排除本地管理员。从进程白名单中排除本地管理员帐户(他们能够运行所有进程)。

排除指定的组。允许您从进程白名单中排除特定用户组(它们能够运行所有进程)。

安全性