安全性
通过这些设置,您可以在 Workspace Environment Management 中控制用户活动。
应用程序安全性
重要:
要控制用户可以运行哪些应用程序,请使用 Windows AppLocker 界面或 Workspace Environment Management。 您可以随时在这些方法之间切换,但我们建议您不要同时使用这两种方法。
通过这些设置,您可以通过定义规则来控制允许用户运行的应用程序。 此功能类似于 Windows AppLocker。
当您使用 Workspace Environment Management 管理 Windows AppLocker 规则时,代理会在代理主机上处理(转换)应用程序安全选项卡规则 Windows AppLocker 规则。 如果停止代理处理规则,则这些规则将保留在配置集中,并且 AppLocker 使用代理处理的最后一组指令继续运行。
应用程序安全性
此选项卡列出了当前 Workspace Environment Management 配置集中的应用程序安全规则。 您可以使用 找到 以根据文本字符串筛选列表。
当您在 安全 选项卡中,以下选项可用于启用或禁用规则处理:
-
处理应用程序安全规则. 选中后, 应用程序安全 选项卡控件,代理处理当前配置集中的规则,将它们转换为代理主机上的 AppLocker 规则。 如果未选中,则 应用程序安全 选项卡控件处于禁用状态,并且代理不会将规则处理到 AppLocker 规则中。 (在这种情况下,不会更新 AppLocker 规则。
注意:
如果 Workspace Environment Management 管理控制台安装在 Windows 7 SP1 或 Windows Server 2008 R2 SP1(或更早版本)上,则此选项不可用。
-
处理 DLL 规则. 选中后,代理会将当前配置集中的 DLL 规则处理到代理主机上的 AppLocker DLL 规则中。 此选项仅在您选择 处理应用程序安全规则.
重要:
如果使用 DLL 规则,则必须为所有允许的应用程序使用的每个 DLL 创建具有“允许”权限的 DLL 规则。
小心:
如果使用 DLL 规则,用户可能会遇到性能下降的情况。 发生这种情况是因为 AppLocker 在允许应用程序运行之前检查应用程序加载的每个 DLL。
-
这 改写 和 合并 通过设置,您可以确定代理如何处理应用程序安全规则。
- 覆盖。 用于覆盖现有规则。 选择此选项后,上次处理的规则将覆盖之前处理的规则。 我们建议您仅将此模式应用于单会话计算机。
- 合并. 允许您将规则与现有规则合并。 发生冲突时,上次处理的规则将覆盖之前处理的规则。 如果您需要在合并期间修改规则实施设置,请使用 overwrite 模式,因为合并模式将保留旧值(如果它不同)。
规则集合
规则属于 AppLocker 规则集合。 每个集合名称都指示它包含多少个规则,例如 (12)。 单击集合名称可将规则列表筛选为以下集合之一:
- 可执行规则. 规则,其中包括与应用程序关联的具有 .exe 和 .com 扩展名的文件。
- Windows 规则. 包含安装程序文件格式(.msi、.msp、.mst)的规则,这些格式控制客户端计算机和服务器上的文件安装。
- 脚本规则. 规则包括以下格式的文件:.ps1、.bat、.cmd、.vbs .js。
- 打包规则. 包含打包应用(也称为通用 Windows 应用)的规则。 在打包的应用程序中,应用程序包中的所有文件共享相同的标识。 因此,一条规则可以控制整个应用程序。 Workspace Environment Management 仅支持打包应用程序的发布者规则。
- DLL 规则. 规则,其中包括以下格式的文件:.dll、.ocx。
当您将规则列表筛选到集合时, 规则实施 选项可用于控制 AppLocker 如何在代理主机上强制实施该集合中的所有规则。 可以使用以下规则实施值:
关闭 (默认)。 规则被创建并设置为 “off”,这意味着它们不会被应用。
上. 创建规则并将其设置为 “enforce”,这意味着它们在代理主机上处于活动状态。
审计. 创建规则并将其设置为 “audit”,这意味着它们在代理主机上处于非活动状态。 当用户运行违反 AppLocker 规则的应用时,将允许该应用运行,并将有关该应用的信息添加到 AppLocker 事件日志中。
导入 AppLocker 规则
您可以将从 AppLocker 导出的规则导入到 Workspace Environment Management 中。 导入的 Windows AppLocker 设置将添加到 安全 标签。 任何无效的应用程序安全规则都会被自动删除并列在报告对话框中。
-
在功能区中,单击 导入 AppLocker 规则.
-
浏览到从 AppLocker 导出的包含 AppLocker 规则的 XML 文件。
-
点击 进口.
这些规则将添加到 Application Security rules(应用程序安全规则)列表中。
添加规则
-
在提要栏中选择规则集合名称。 例如,要添加可执行规则,请选择“Executable Rules”集合。
-
点击 添加规则.
-
在 显示 部分中,键入以下详细信息:
- 名称。 规则在规则列表中显示的显示名称。
- 说明。 有关资源的其他信息(可选)。
-
在 类型 部分中,单击一个选项:
- 路径。 规则与文件路径或文件夹路径匹配。
- 发布者。 规则与选定的发布商匹配。
- 哈希。 规则与特定的哈希代码匹配。
-
在 权限 部分中,单击此规则是否将 允许 或 否认 应用程序。
-
要将此规则分配给用户或用户组,请在 作业 窗格中,选择要将此规则分配到的用户或组。 “已分配”列显示已分配用户或组的“复选”图标。
提示:
- 您可以使用常用的 Windows 选择修饰键进行多项选择,或使用 全选 以选择所有行。
- 用户必须已位于 Workspace Environment Management 用户列表中。
- 您可以在创建规则后分配规则。
-
单击 下一步。
-
指定规则匹配的条件,具体取决于您选择的规则类型:
- 路径。 指定希望规则匹配的文件路径或文件夹路径。 当您选择文件夹时,规则将匹配该文件夹内部和下的所有文件。
- 发布者。 指定要用作规则引用的签名引用文件,然后使用“发布者信息”滑块调整属性匹配的级别。
- 哈希。 指定要从中创建哈希的文件或文件夹。 该规则与文件的哈希代码匹配。
-
单击 下一步。
-
添加您需要的任何例外(可选)。 在 Add exception (添加例外) 中,选择例外类型,然后单击 加. (您可以 编辑 和 删除 例外情况。
-
要保存规则,请单击 创造.
为用户分配规则
在列表中选择一个或多个规则,然后单击 编辑 在工具栏或上下文菜单中。 在编辑器中,选择包含要为其分配规则的用户和用户组的行,然后单击 还行. 您还可以使用 全选 以清除所有选择项。
注意:如果选择多个规则并单击 编辑,则这些规则的任何规则分配更改都将应用于您选择的所有用户和用户组。 换句话说,现有规则分配将在这些规则之间合并。
添加默认规则
点击 添加默认规则. 一组 AppLocker 默认规则将添加到列表中。
编辑规则
在列表中选择一个或多个规则,然后单击 编辑 在工具栏或上下文菜单中。 编辑器随即出现,允许您调整适用于您所做的选择的设置。
删除规则
在列表中选择一个或多个规则,然后单击 删除 在工具栏或上下文菜单中。
备份应用程序安全规则
您可以备份当前配置集中的所有应用程序安全规则。 规则全部导出为单个 XML 文件。 您可以使用 恢复 将规则恢复到任何配置集。 在功能区中,单击 备份 然后选择 安全设置.
还原应用程序安全规则
您可以从 Workspace Environment Management 备份命令创建的 XML 文件中恢复应用程序安全规则。 还原过程会将当前配置集中的规则替换为备份中的规则。 当您切换到或刷新 安全 选项卡中,则会检测到任何无效的应用程序安全规则。 无效规则将自动删除并列在报告对话框中,您可以导出该对话框。
在还原过程中,您可以选择是否要将规则分配还原到当前配置集中的用户和用户组。 仅当备份的用户/组存在于当前配置集/Active Directory 中时,重新分配才会成功。 任何不匹配的规则都将恢复,但仍未分配。 恢复后,它们将列在报告对话框中,您可以以 CSV 格式导出该对话框。
1. 在功能区中,单击 恢复 以启动还原向导。
2. 选择 Security settings(安全设置),然后单击 下一个 两次。
3. 在 从文件夹恢复,浏览到包含备份文件的文件夹。
4. 选择 AppLocker 规则设置,然后单击 下一个.
5. 确认是否要恢复规则分配:
是的. 还原规则并将其重新分配给当前配置集中的相同用户和用户组。
不. 恢复规则并使其保持未分配状态。
6. 要开始还原,请单击 恢复设置.
流程管理
这些设置允许您将特定进程添加到 allow 名单或阻止列表。
流程管理
启用流程管理. 切换 allow 名单或阻止列表中的进程是否有效。 如果禁用,则不会对 进程黑名单 和 进程白名单 选项卡。
注意:
仅当会话代理在用户的会话中运行时,此选项才有效。 为此,请使用 主要配置 Agent 设置以设置 启动代理 选项 (在 Logon/在 Reconnect/针对管理员) 以根据用户/会话类型启动,并将 代理类型 设置为 “UI”。 这些选项在 高级设置.
进程阻止列表
这些设置允许您将特定进程添加到阻止列表。
启用进程黑名单. 启用对阻止列表上的进程的处理。 您必须使用进程的可执行文件名称(例如 cmd.exe)添加进程。
排除本地管理员. 不包括本地管理员帐户。
排除指定组. 允许您排除特定用户组。
处理 allow 名单
这些设置允许您将特定进程添加到 allow 名单。 进程阻止列表和进程 allow 名单是互斥的。
启用进程白名单. 启用对 allow 名单上的进程的处理。 您必须使用进程的可执行文件名称(例如 cmd.exe)添加进程。 注意 如果启用,则 启用进程白名单 自动将不在 Allow 列表中的所有进程添加到阻止列表中。
排除本地管理员. 不包括本地管理员帐户(他们能够运行所有进程)。
排除指定组. 允许您排除特定用户组(他们能够运行所有进程)。
特权提升
注意:
此功能不适用于 Citrix 虚拟应用程序。
权限提升功能允许您将非管理用户的权限提升到某些可执行文件所需的管理员级别。 因此,用户可以像他们是管理员组的成员一样启动这些可执行文件。
特权提升
当您选择 权限提升 窗格中 安全中,将显示以下选项:
-
进程权限提升设置. 控制是否开启提权功能。 选中后,允许代理处理权限提升设置和 权限提升 选项卡变为可用。
-
不适用于 Windows Server 操作系统. 控制是否将权限提升设置应用于 Windows Server 操作系统。 如果选中,则分配给用户的规则在 Windows Server 计算机上不起作用。 默认情况下,此选项处于选中状态。
-
强制执行 RunAsInvoker. 控制是否强制所有可执行文件在当前 Windows 帐户下运行。 如果选择此选项,则不会提示用户以管理员身份运行可执行文
此选项卡还显示您配置的规则的完整列表。 点击 可执行规则 或 Windows 安装程序规则 将规则列表筛选为特定规则类型。 您可以使用 找到 以筛选列表。 这 分配 列显示已分配用户或用户组的复选标记图标。
支持的规则
您可以使用两种类型的规则来应用权限提升:可执行规则和 Windows 安装程序规则。
-
可执行规则. 包含与应用程序关联的具有 .exe 和 .com 扩展名的文件的规则。
-
Windows 安装程序规则. 包含与应用程序关联的安装程序文件 with.msi 和 .msp 扩展名的规则。 添加 Windows 安装程序规则时,请记住以下方案:
- 特权提升仅适用于微软的 msiexec.exe。 确保用于部署
.msi
和.msp
Windows 安装程序文件的工具为 msiexec.exe。 - 假设一个进程与指定的 Windows 安装程序规则匹配,其父进程与指定的可执行规则匹配。 除非在指定的可执行规则中启用了“应用于子进程”设置,否则进程无法获得提升的权限。
- 特权提升仅适用于微软的 msiexec.exe。 确保用于部署
单击 可执行规则 或 Windows 安装程序规则 选项卡、 行动 部分显示以下可用的操作:
-
编辑。 允许您编辑现有的可执行规则。
-
删除。 允许您删除现有的可执行规则。
-
添加规则. 允许您添加可执行规则。
添加规则
-
导航到 可执行规则 或 Windows 安装程序规则 ,然后单击 添加规则. 这 添加规则 窗口出现。
-
在 显示 部分中,键入以下内容:
- 名称。 键入规则的显示名称。 该名称将显示在规则列表中。
- 说明。 键入有关规则的其他信息。
-
在 类型 部分中,选择一个选项。
- 路径。 规则与文件路径匹配。
- 发布者。 规则与选定的发布商匹配。
- 哈希。 规则与特定的哈希代码匹配。
-
在 设置 部分中,根据需要配置以下内容:
-
应用于子进程. 如果选中,则将规则应用于可执行文件启动的所有子进程。 要在更精细的级别管理权限提升,请使用以下选项:
- 仅应用于同一文件夹中的可执行文件. 如果选中,则仅将规则应用于共享同一文件夹的可执行文件。
- 仅适用于已签名的可执行文件. 如果选中,则仅将规则应用于已签名的可执行文件。
- 仅适用于同一发布者的可执行文件. 如果选中,则仅将规则应用于共享相同发布者信息的可执行文件。 此设置不适用于通用 Windows 平台 (UWP) 应用。
注意:
添加 Windows 安装规则时, 应用于子进程 设置默认处于启用状态,您无法对其进行编辑。
-
开始时间. 允许您指定代理开始应用规则的时间。 时间格式为 HH:MM。 时间基于座席时区。
-
结束时间. 允许您指定代理停止应用规则的时间。 时间格式为 HH:MM。 从指定时间开始,代理不再应用该规则。 时间基于座席时区。
-
添加参数. 允许您将权限提升限制为与指定参数匹配的可执行文件。 该参数用作匹配标准。 确保您指定的参数正确。 有关如何使用此功能的示例,请参阅 使用参数运行的可执行文件. 如果此字段为空或仅包含空格,则代理会将权限提升应用于相关可执行文件,无论它们是否使用参数运行。
-
启用正则表达式. 用于控制是否使用正则表达式来进一步扩展条件。
-
-
在 作业 部分中,选择要向其分配规则的用户或用户组。 如果要将规则分配给所有用户和用户组,请选择 全选.
提示:
- 您可以使用常用的 Windows 选择修饰键进行多项选择。
- 用户或用户组必须已位于 管理 > 用户 标签。
- 您可以选择稍后分配规则(在创建规则之后)。
-
单击 下一步。
-
执行以下任一操作。 根据您在上一页中选择的规则类型,需要采取不同的操作。
重要:
WEM 为您提供了一个名为 AppInfo查看器 从可执行文件中获取以下信息以及更多信息:publisher、path 和 hash。 如果要为要在管理控制台中配置的应用程序提供相关信息,该工具可能很有用。 例如,在使用应用程序安全功能时,您可以使用该工具从应用程序中提取相关信息。 该工具位于代理安装文件夹中。
- 路径。 键入要应用规则的文件或文件夹的路径。 WEM 代理根据 可执行文件路径。
- 发行人。 填写以下字段: 发行人, 产品名称, 文件名和 文件版本. 您不能将任何字段留空,但可以键入星号 (*)。 WEM 代理根据发布者信息应用规则。 如果应用,用户可以运行共享相同发布者信息的可执行文件。
- 哈希。 点击 加 以添加哈希值。 在 添加哈希 窗口中,键入文件名和哈希值。 您可以使用 AppInfo查看器 工具从选定的文件或文件夹创建哈希值。 WEM 代理将规则应用于指定的相同可执行文件。 因此,用户可以运行与指定可执行文件相同的可执行文件。
-
点击 创造 以保存规则并退出窗口。
使用参数运行的可执行文件
您可以将权限提升限制为与指定参数匹配的可执行文件。 该参数用作匹配标准。 要查看可执行文件可用的参数,请使用 Process Explorer 或 Process Monitor 等工具。 应用这些工具中显示的参数。
假设您希望根据可执行文件路径将规则应用于可执行文件(例如 cmd.exe)。 您只想将权限提升应用于 test.bat
. 您可以使用 Process Explorer 获取参数。
在 添加参数 字段中,您可以键入以下内容:
/c ""C:\test.bat""
然后,在 路径 田:
C:\Windows\System32\cmd.exe
在这种情况下,您将指定用户的权限提升到管理员级别,但仅针对 test.bat
.
为用户分配规则
在列表中选择一个或多个规则,然后单击 编辑 在 行动 部分。 在 编辑规则 窗口中,选择要向其分配规则的用户或用户组,然后单击 还行.
删除规则
在列表中选择一个或多个规则,然后单击 删除 在 行动 部分。
备份特权提升规则
您可以备份当前配置集中的所有权限提升规则。 所有规则都导出为单个 XML 文件。 您可以使用 恢复 将规则恢复到任何配置集。
要完成备份,请使用 备份 向导,位于 Ribbon 中。 有关使用 备份 向导,请参阅 丝带.
恢复特权提升规则
您可以从通过 Workspace Environment Management 备份向导导出的 XML 文件中恢复权限提升规则。 还原过程会将当前配置集中的规则替换为备份中的规则。 当您切换到或刷新 安全 > 权限提升 窗格中,则会检测到任何无效的权限提升规则。 无效规则将自动删除,并列在您可以导出的报告中。 有关使用 恢复 向导,请参阅 丝带.
自我提升
通过自我提升,您可以为某些用户自动提升权限,而无需事先提供确切的可执行文件。 这些用户只需右键单击该文件,然后在上下文菜单中选择以管理员权限运行,即可请求对任何适用文件进行自我提升。 之后,会出现一个提示,要求他们提供提升的原因。 WEM 代理不验证原因。 提升的原因将保存到数据库中以供审计。 如果满足条件,则会应用提升,并使用管理员权限成功运行文件。
该功能还使您可以灵活地选择最适合您需求的解决方案。 您可以为允许用户自行提升的文件创建允许列表,也可以为要阻止用户自行提升的文件创建阻止列表。
自提升适用于以下格式的文件: .exe
, .msi
, 。蝙蝠
, .cmd
, .ps1
和 .vbs
.
注意:
默认情况下,某些应用程序用于运行某些文件。 例如,cmd.exe 用于运行 .cmd 文件,powershell.exe 用于运行 .ps1 文件。 在这些情况下,您无法更改默认行为。
当您选择 安全 > 自我提升中,将显示以下选项:
-
启用自我提升. 控制是否启用自提升功能。 选择选项以:
- 使代理能够处理自我提升设置。
- 在 自我提升 选项卡可用。
- 使 使用管理员权限运行 选项。 因此,用户可以请求对符合您在 自我提升 标签。
-
权限. 允许您为允许用户自行提升的文件创建 allow 名单,或为您希望阻止用户自行提升的文件创建阻止列表。
- 允许. 为允许用户自行提升的文件创建 allow 名单。
- 否认. 为要阻止用户自行提升的文件创建阻止列表。
-
您可以执行以下操作:
- 编辑。 允许您编辑现有条件。
- 删除。 允许您删除现有条件。
- 添加。 允许您添加条件。 您可以根据路径、所选发布者或特定哈希代码创建条件。
-
设置. 允许您配置其他设置,以控制代理如何应用自我提升。
- 应用于子进程. 如果选中,则将自我提升条件应用于文件启动的所有子进程。
- 开始时间. 允许您指定代理开始应用自我提升条件的时间。 时间格式为 HH:MM。 时间基于座席时区。
- 结束时间. 允许您指定代理停止应用自我提升条件的时间。 时间格式为 HH:MM。 从指定的时间开始,代理不再应用这些条件。 时间基于座席时区。
-
作业. 允许您将自我提升条件分配给适用的用户或用户组。 要将条件分配给所有用户和用户组,请单击 全选 或选择 每个人 都. 这 全选 复选框在您想要清除选择并重新选择用户和用户组的情况下非常有用。
审核特权提升活动
WEM 支持与权限提升相关的审计活动。 有关更多信息,请参阅 审核用户活动.
进程层次控制
进程层次结构控制功能控制某些子进程是否可以在父子场景中从其父进程启动。 可以通过定义父进程,然后为其子进程指定允许列表或阻止列表来创建规则。 在使用该功能之前,请查看整个部分。
注意:
- 此功能仅适用于 Citrix 虚拟应用程序。
要了解规则的工作原理,请记住以下几点:
-
一个进程仅受一条规则的约束。 如果为同一进程定义多个规则,则仅强制实施优先级最高的规则。
-
您定义的规则不仅限于原始父子层次结构,还适用于该层次结构的每个级别。 适用于父流程的规则优先于适用于其子流程的规则,而不管规则的优先级如何。 例如,您可以定义以下两个规则:
- 规则 1:Word 无法打开 CMD。
- 规则 2:记事本可以打开 CMD。
使用这两个规则,无论规则的优先级如何,都无法通过先打开 Word,然后从 Word 打开记事本来从 Notepad 打开 CMD。
此功能依赖于某些基于进程的父子关系才能工作。 要可视化场景中的父子关系,请使用 Process Explorer 工具的进程树功能。 有关 Process Explorer 的更多信息,请参阅 https://docs.microsoft.com/en-us/sysinternals/downloads/procmon.
为避免任何潜在问题,我们建议您添加指向 VUEMAppCmd.exe 在 Citrix Studio 中。 VUEMAppCmd.exe 确保 WEM 代理在已发布的应用程序开始之前完成处理设置。 在 Citrix Studio 中,完成以下步骤:
-
在 应用,选择应用程序,单击 性能 ,然后转到 位置 页。
-
键入本地应用程序在最终用户操作系统上的路径。
- 在 可执行文件的路径 字段中,键入以下内容: <%ProgramFiles%>\Citrix\Workspace Environment Management 代理\VUEMAppCmd.exe。
-
键入命令行参数以指定要打开的应用程序。
- 在 命令行参数 字段中,键入要通过其启动的应用程序的完整路径 VUEMAppCmd.exe. 如果路径包含空格,请确保将应用程序的命令行括在双引号中。
- 例如,假设您希望iexplore.exe通过 VUEMAppCmd.exe. 您可以通过键入以下内容来执行此操作:
%ProgramFiles(x86)%\“Internet Explorer”\iexplore.exe
.
注意事项
要使该功能正常工作,您需要使用 AppInfo查看器 工具以启用该功能。 (该工具位于代理安装文件夹中。每次使用该工具启用或禁用该功能时,都需要重新启动计算机。 启用该功能后,您必须在升级或卸载代理后重新启动代理计算机。
要验证是否启用了进程层次结构控制功能,请打开 注册表编辑器 在代理计算机上。 如果存在以下注册表项,则启用该功能:
- 32 位操作系统
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
- 64 位操作系统
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_Dlls\WEM Hook
必备条件
要使用该功能,请确保满足以下先决条件:
- Citrix 虚拟应用程序部署。
- 代理在 Windows 10 或 Windows Server 上运行。
- 代理主机在就地升级或全新安装后已重新启动。
进程层次控制
当您选择 进程层次结构控制 在 安全中,将显示以下选项:
-
启用进程层次结构控制. 控制是否启用进程层次结构控制功能。 选中后,“MissAV.com 上的 进程层次结构控制 选项卡变为可用,并且已配置的设置可以生效。 您可以使用此功能 只 在 Citrix Virtual Apps 部署中。
-
从上下文菜单中隐藏打开方式. 控制是显示还是隐藏 打开方式 选项。 启用后,菜单选项将在界面中隐藏。 禁用后,该选项可见,用户可以使用它来启动进程。 进程层次结构控制功能不适用于通过 打开方式 选择。 我们建议您启用此设置,以防止应用程序通过与当前应用程序层次结构无关的系统服务启动进程。
这 进程层次结构控制 选项卡还显示您配置的规则的完整列表。 您可以使用 找到 以筛选列表。 这 分配 列显示已分配用户或用户组的复选标记图标。
这 行动 部分显示以下操作:
- 编辑。 用于编辑规则。
- 删除。 用于删除规则。
- 添加规则. 允许您添加规则。
添加规则
-
导航到 进程层次结构控制 ,然后单击 添加规则. 这 添加规则 窗口出现。
-
在 显示 部分中,键入以下内容:
- 名称。 键入规则的显示名称。 该名称将显示在规则列表中。
- 说明。 键入有关规则的其他信息。
-
在 类型 部分中,选择一个选项。
- 路径。 规则与文件路径匹配。
- 发布者。 规则与选定的发布商匹配。
- 哈希。 规则与特定的哈希代码匹配。
-
在 模式 部分中,选择以下任一选项:
- 将子进程添加到阻止列表. 如果选中,则允许您在为适用的子进程配置规则后为其定义阻止列表。 黑名单仅禁止您指定的进程运行,而允许其他进程运行。
- 将子进程添加到允许列表. 如果选中,则允许您在为适用的子进程配置规则后为其定义允许列表。 允许列表仅允许您指定的进程运行,而其他进程将被禁止运行。
注意:
一个进程仅受一条规则的约束。 如果为同一进程定义多个规则,则按优先级顺序强制实施这些规则。
-
在 优先权 部分中,设置规则的优先级。 配置优先级时,请考虑以下事项:优先级确定您配置的规则的处理顺序。 价值越大,优先级就越高。 键入整数。 如果存在冲突,则以优先级较高的规则为准。
-
在 作业 部分中,选择要向其分配规则的用户或用户组。 如果要将规则分配给所有用户和用户组,请选择 全选.
注意:
- 您可以使用常用的 Windows 选择键进行多项选择。
- 用户或用户组必须已位于 管理 > 用户 标签。
- 您可以选择稍后分配规则(在创建规则之后)。
-
单击 下一步。
-
执行以下任一操作以配置父进程的规则。 根据您在上一页上选择的规则类型,需要执行不同的操作。
- 路径。 指定希望规则匹配的文件路径或文件夹路径。 如果指定文件夹路径,则规则将应用于该文件夹中的所有文件和子文件夹。 WEM 代理根据可执行文件路径将规则应用于可执行文件。 我们建议您不要只键入星号 (*) 来指示路径匹配。 这样做可能会导致意外的性能问题。
- 发布者。 指定要用作规则引用的签名引用文件。 使用 Publisher Info 滑块调整属性匹配的级别。 向上或向下移动滑块可使规则不那么具体或更具体。 如果将滑块移动到 Any publisher 位置,则规则将应用于所有已签名的文件。 WEM 代理根据发布者信息将规则应用于父进程。 如果应用,用户可以运行共享相同发布者信息的可执行文件。 如有必要,您可以选择 使用自定义值 以自定义信息。
- 哈希。 指定要从中创建哈希的文件或文件夹。 该规则与文件的哈希代码匹配。 WEM 代理将规则应用于指定的相同可执行文件。 因此,用户可以运行与指定可执行文件相同的可执行文件。
-
点击 下一个 配置子进程设置。
-
执行以下任一操作,为适用的子进程定义 allow 名单或阻止列表。
- 从菜单中选择规则类型,然后单击 加. 这 子进程 窗口出现。
- 在 子进程 窗口中,根据需要配置设置。 的 子进程 窗口因您选择的规则类型而异。 对于子流程,可以使用以下规则类型: 路径, 发行人和 散 列.
- 点击 还行 返回到 添加规则 窗。 您可以添加更多子进程或单击 创造 以保存规则并退出窗口。
为用户分配规则
在列表中选择一个规则,然后单击 编辑 在 行动 部分。 在 编辑规则 窗口中,选择要向其分配规则的用户或用户组,然后单击 还行.
删除规则
在列表中选择一个或多个规则,然后单击 删除 在 行动 部分。
备份规则
您可以备份当前配置集中的所有进程层次结构控制规则。 所有规则都导出为单个 XML 文件。 您可以使用 恢复 将规则恢复到任何配置集。
要完成备份,请使用 备份 向导,位于 Ribbon 中。 有关使用 备份 向导,请参阅 丝带.
恢复规则
您可以从通过 Workspace Environment Management Backup 向导导出的 XML 文件中恢复进程层次结构控制规则。 还原过程会将当前配置集中的规则替换为备份中的规则。 当您切换到或刷新 安全 > 进程层次结构控制 窗格中,所有无效规则都将被删除并列在您可以导出的报告中。 有关使用 恢复 向导,请参阅 丝带.
审计流程层次结构控制活动
WEM 支持与流程层次结构控制相关的审计活动。 有关更多信息,请参阅 审核用户活动.
审核用户活动
WEM 支持与权限提升和进程层次结构控制相关的审计活动。 要查看审核,请转到 管理 > 伐木 > 代理 标签。 在选项卡上,配置日志记录设置,选择 ElevationControl (高程控制), 自我提升或 ProcessHierarchyControl 在 行动 字段,然后单击 应用过滤器 将日志范围缩小到特定活动。 您可以查看特权提升或进程层次结构控制的整个历史记录。