Workspace Environment Management

安全性

应用程序安全性

应用程序安全功能允许您定义规则来控制用户可以运行哪些应用程序和文件。 您可以在 Web 控制台中配置应用程序安全规则,并提供检索规则配置所需信息的工具。 此外,您还可以使用此功能创建具有安全规则的任务组。 启用了处理应用程序规则处理 DLL 规则时,覆盖模式在默认情况下处于打开状态。 在覆盖模式下,最终处理的规则将覆盖之前处理的规则。 我们建议您仅将此模式应用于单会话计算机。 此功能还允许您创建以下规则:

  • 可执行规则
  • Windows 安装程序规则
  • 脚本规则
  • 打包的应用程序规则
  • DLL 规则

注意:

在创建规则之前,建议您先添加默认规则,以确保重要的系统文件能够运行。

创建 Windows 安装程序规则

这包括两个菜单项:基本信息例外。 要创建 Windows 安装程序规则,请在基本信息例外下完成以下步骤:

  • 选择创建规则将引导您进入创建 Windows 安装程序规则页面。
  • 输入名称和可选描述。
  • 选择所需的操作
  • 选择 标准类型路径, 发行人文件哈希 从下拉列表中。
  • 选择“打开文件信息查看器”会将您定向到 WEM Tool Hub。 使用 WEM Tool Hub** 快速获取所需信息。 有关更多信息,请参阅文件信息查看器
  • (可选)您可以添加例外,以包括通常根据主要条件包含在规则中的文件。 要执行此任务,请选择“添加例外”。
  • 转到 WEM Tool Hub 以从“文件信息查看器”下的指定条件之一复制数据,然后单击“从文件信息查看器粘贴”。
  • 单击完成
  • 选择“继续分配”以根据需要在“管理分配”页面中更新分配。
  • 选择要将此项目分配给的分配目标(用户和组)。 使用过滤器将分配情境化。 您指定的筛选器仅在“覆盖”模式下有效,并且仅在 2406 或更高版本的代理上受支持。
  • 如果您需要将特定规则应用于所有文件,请输入星号。

特权提升

此功能定义了以管理员权限运行某些程序的规则。 您可以将非管理用户的权限提升到某些可执行文件所需的管理员级别。 因此,用户可以像他们是管理员组的成员一样启动这些可执行文件。

权限提升选项

  • 处理权限提升规则:选中后,代理可以处理权限提升设置,并且“权限提升”选项卡上的其他选项将变为可用。

  • 应用于 Windows Server 操作系统:控制是否将权限提升设置应用于 Windows Server 操作系统。 如果选中,分配给用户的规则将在 Windows Server 计算机上运行。 默认情况下,此选项处于禁用状态。

  • 强制 RunAsInvoker:控制是否强制所有可执行文件在当前 Windows 帐户下运行。 如果选择此选项,则不会提示用户以管理员身份运行可执行文

此窗格还显示您已配置的完整规则列表。 单击 可执行规则Windows 安装程序规则自行提升 以将规则列表过滤为特定规则类型。 您可以使用“查找”来筛选列表。 已分配列显示已分配用户或用户组的复选标记图标。

支持的规则

您可以使用两种类型的规则来配置权限提升:可执行规则和 Windows 安装程序规则。

  • 可执行规则:包含与应用程序相关的 .exe 和 .com 扩展名的文件的规则。

  • Windows 安装程序规则:包含与应用程序相关的带有 .msi.msp 扩展名的安装程序文件的规则。 添加 Windows 安装程序规则时,请考虑以下情况:

    • 特权提升仅适用于微软的 msiexec.exe。 确保用于部署 .msi.msp Windows 安装程序文件的工具为 msiexec.exe。
    • 假设一个进程与指定的 Windows 安装程序规则匹配,其父进程与指定的可执行规则匹配。 除非在指定的可执行规则中启用了“应用于子进程”设置,否则进程无法获得提升的权限。
  • 自行提升:启用后,右键单击文件时,上下文菜单中会提供 以管理员权限运行 选项。 选择此选项后,系统会提示您提供提升的原因。 然后根据您指定的标准允许或拒绝提升。 要配置规则,您可以使用 WEM 工具中心 > 文件信息查看器 快速获取所需的信息,例如路径、发布者和哈希值。 您还可以指定时间段,选择星期几,还可以选择设置标准来确定规则有效的机器。 当 自我提升 切换,则会创建自提升规则,并在管理分配目标的分配时在规则列表中找到该规则。 规则一旦创建就不会被删除。

您可以指定规则生效的时间段。 此外,您还可以选择设置条件以确定规则应用于哪些计算机。 您可以选择匹配以下所有或任何标准:

  • 计算机目录名称
  • 交付组名称
  • 设备名称
  • IP 地址
  • 操作系统平台类型
  • 操作系统版本
  • 持久计算机状态

在您选择 可执行规则Windows 安装程序规则自行提升 规则后, 操作 部分将显示以下可供您使用的操作:

  • 编辑。 允许您编辑现有的可执行规则。

  • 删除。 允许您删除现有的可执行规则。

  • 创建规则。 允许您创建可执行规则。 要创建可执行规则,请按照向导的说明进行操作。

安全性