内容控制
该 内容控制 策略中的设置分为以下部分:
注意
-
内容控制 模块适用于:
-
工作站版Windows
-
服务器版Windows
-
macOS
-
-
Linux系统仅支持应用程序黑名单功能。该功能仅在特定内核版本中可用。详情请参阅 Blocklist与应用程序黑名单支持的Linux内核 .
重要提示
在macOS终端上, 内容控制 依赖于系统扩展。安装 Bitdefender 扩展需在macOS High Sierra(10.13)及更高版本中获得用户批准。系统会通知用户 Bitdefender 的系统扩展被阻止。您可以通过 安全性与隐私 偏好设置允许其运行。在用户批准 Bitdefender 系统扩展前,该模块将无法工作,且 Mac版端点安全 用户界面会显示要求批准的关键问题提示。
若要避免用户干预,可通过移动设备管理工具将该 Bitdefender 扩展加入白名单进行预批准。有关 Bitdefender 扩展的详细信息,请参考 Bitdefender 系统扩展在macOS中被阻止 .
网页访问控制
网页访问控制功能允许您在指定时间范围内允许或阻止用户/应用程序访问网络。
被网页访问控制拦截的网页不会显示在浏览器中,系统将展示默认页面告知用户该网页已被拦截。
使用切换按钮启用网页访问控制功能。
使用网页访问控制功能前,请按以下流程创建调度器:
-
登录 GravityZone 控制中心 .
-
在左侧菜单的 配置档案 页面中,进入 网页访问控制调度器 .
-
点击 添加调度器 .
-
输入具有描述性的 调度器名称 .
-
如需允许其他用户编辑该调度器,请将开关切换至 允许其他用户修改此调度器 位置。
-
在 网页分类调度 字段中添加新的分类调度器并进行设置。
-
在 计划名称 字段中为您的调度器添加名称。
-
在 类别 部分选择类别。
-
在 操作 部分选择您要执行的操作。
-
从 开始时间 和 结束时间 .
注意
确保开始时间早于结束时间。
-
使用 添加新计划 按钮将新计划添加到调度器中。
注意
调度顺序至关重要,因为第一条匹配规则将决定是否允许访问网页。规则将按顺序执行。网页访问权限将由第一条匹配中指定的操作决定。
-
保存 调度器。
-
注意
6.45.0-1版本之前的 GravityZone 现有用户的 网页访问控制 设置已从原来的 网络防护 已自动迁移至 配置配置文件 .
您还可以定义网络规则,明确阻止或允许某些网址,覆盖现有的 网络访问控制 设置。
创建排除项:
-
使用切换按钮启用 排除项 .
-
在 网址 字段中,输入您要允许或阻止的地址。
-
从 权限 下拉列表中,选择 允许 或 阻止 .
-
点击
添加
按钮以添加排除项。
注意
您可以使用通配符定义网址模式:
-
星号(*)代表零个或多个字符。
-
问号(
?)代表恰好一个字符。您可以使用多个问号来定义特定数量的任意字符组合。例如,???代表恰好三个字符的任意组合。
在下表中,您可以找到指定网址(URL)的几种语法示例。
语法
例外适用性
www.example*任何以
www.example开头的URL(无论域名后缀如何)。该排除规则不适用于指定网站的子域名,例如
subdomain.example.com.*example.com任何以
example.com结尾的URL,包括其子域名。*example.com*任何包含指定字符串的URL。
*.com任何具有
.com域名后缀的网站,包括其子域名。使用此语法可排除扫描整个顶级域名。www.example?.com任何以
www.example?.com开头的网址,其中?可替换为任意单个字符。此类网站可能包括:
www.example1.com或www.exampleA.com. -
编辑排除规则:
-
点击
更多
点击表格中的
-
图标。在菜单中选择 编辑 .
-
进行必要的修改。
-
点击确认按钮保存更改。
或点击取消按钮退出编辑模式且不保存任何更改。
从列表中移除排除项:
-
点击表格中的
更多
图标。
-
在菜单中选择 删除 .
该排除项将从表格中移除。
批量移除排除项:
-
勾选需删除的排除项对应复选框。
-
点击表格上方的 删除 按钮。
目标排除项将从表格中移除。
通过以CSV格式导出和导入排除项,可在多策略间复用规则以简化策略管理。
导出排除项:
-
点击排除项表格上方的 导出 按钮。
注意:
该 导出 “导出”按钮仅对已保存的策略可用。为确保导出最新规则,请在修改后保存策略。
-
在确认窗口中,点击 “导出” .
排除项将以CSV文件形式保存至本地默认下载文件夹。
导入排除项步骤:
-
点击排除项表格上方的 “导入” 按钮打开上传窗口。
-
点击 “浏览” 并选择目标CSV文件。
-
点击 “导入” .
若排除项已存在于表格中(无论其权限为 “阻止” 或 “允许” ),则不会被重复导入。无效的排除项同样不会被导入。
注意
-
若表格中已存在某排除项(无论其权限为 “阻止” 或 “允许” ),该条目将不会被导入。
-
无效排除项同样不予导入。
-
CSV文件中每行代表一条规则,按顺序包含以下字段:
<网页>
|
<权限>
权限由以下数字表示:
-
1代表 阻止 -
2代表 允许
例如,包含网页访问控制例外的CSV文件可能如下所示:
www.test.com 1 www.test-1.com 2 www.test-2.com 1 www.test-3.com 2
在此示例中:
-
网页
www.test.com和www.test-2.com被阻止访问。 -
网页
www.test-1.com和www.test-3.com被允许访问。
应用程序黑名单
本节可配置应用程序黑名单功能,用于完全阻止或限制用户访问其计算机上的可执行文件。游戏、媒体、通讯软件及其他类别软件和恶意程序均可通过此方式拦截。
配置应用程序黑名单的步骤:
-
启用 应用程序黑名单 选项。
-
指定需要限制访问的应用程序。具体操作如下:
-
点击 添加 点击表格上方的按钮,将显示配置窗口。
-
您必须指定应用程序可执行文件的路径、进程名称或带通配符的进程名称。有两种方法可以实现:
-
从菜单中选择预定义位置,并根据需要在编辑字段中补全路径。例如,对于安装在
Program Files文件夹中的应用程序,选择%ProgramFiles%并通过添加反斜杠(\)和应用程序文件夹名称来完成路径。 -
在编辑字段中输入完整路径。建议使用 系统变量 (如适用)以确保路径在所有目标计算机上有效。
重要
-
在Windows端点上使用BEST 7.9.24.x或更高版本,在macOS端点上使用BEST 7.20.52.200073或更高版本时,支持应用程序黑名单中定义的通配符。
-
注意二进制文件名称不同的应用程序。例如,Visual Studio Code.app的二进制文件名称是Electron。在这种情况下,完整路径应为:
/Applications/VisualStudioCode.app/Contents/MacOS/Electron. -
macOS系统上的路径不得包含应用程序扩展名。例如,Firefox.app的有效路径应为:
/Applications/Firefox.app/Contents/MacOS/firefox.
-
-
访问调度器 。按每周的时间段调度应用程序访问:
-
从表格中选择要阻止访问应用程序的时间间隔。您可以单击单个单元格,或单击并拖动以覆盖更长的时间段。再次单击单元格可取消选择。
-
要开始新的选择,请点击 允许所有 或 阻止所有 ,具体取决于您希望实施的限制类型。
-
点击 保存 。新规则将添加到列表中。
-
-
重要
-
应用于Linux容器的任何应用程序规则将被忽略。容器主机上的应用程序可通过路径被阻止。
-
在Linux终端上, 内容控制 模块无需包含在安装包中。
要从列表中移除规则:
-
点击表格中的
更多
图标。
-
在菜单中选择 删除 .
该排除项将从表格中移除。
要同时移除多条规则:
-
勾选需删除规则对应的复选框。
-
勾选需删除规则对应的复选框。
目标规则将从表格中移除。
数据保护
数据保护功能可根据管理员定义的规则防止敏感数据未经授权泄露。
注意
此功能不适用于macOS系统。
您可以创建规则来保护任何个人或机密信息,例如:
-
客户个人信息
-
开发中产品及技术的名称与关键细节
-
公司高管的联系方式
受保护信息可能包括姓名、电话号码、信用卡及银行账户信息、电子邮件地址等。
根据您创建的数据保护规则, Bitdefender终端安全工具 会扫描网页及外发邮件流量中的特定字符串(如信用卡号)。若发现匹配项,将拦截相应网页或邮件以防止受保护数据被发送。
内容控制 的功能 排除规则不适用于内部流量,因此基于IP和主机名的排除将不会生效。
用户会立即通过警报网页或电子邮件获知 Bitdefender终端安全工具 所采取的操作。
配置数据保护的步骤:
-
启用数据保护功能。
-
为所有需要保护的敏感数据创建数据保护规则。
创建规则的步骤:
-
点击表格上方的 添加 按钮。
将显示配置窗口。
-
输入规则在规则表格中显示的名称。
建议选择描述性名称,以便您或其他管理员能快速理解该规则的用途。
-
选择需要保护的数据类型。
-
输入要保护的数据(例如公司高管的电话号码或公司正在研发的新产品内部名称)。
可接受任何由字母、数字或特殊字符(如@、#或$)组成的单词、数字或字符串组合。
为确保准确性,请至少输入五个字符,避免误拦截网页和电子邮件。
重要提示
所提供数据会以加密形式存储在受保护终端上,但可通过您的 控制中心 账户查看。
为增强安全性,请勿输入全部需保护的数据。
若需部分匹配,必须取消勾选 完全匹配 选项。
-
根据需要配置流量扫描选项。
-
扫描网页(HTTP)流量 - 扫描HTTP(网页)流量并拦截与规则数据匹配的外发数据。
注意
如果 拦截加密流量 功能启用,HTTPS流量也将被扫描。
-
扫描电子邮件(SMTP流量) - 扫描SMTP(邮件)流量并阻止包含规则数据的外发邮件。
您可选择仅在规则数据完全匹配整词或规则数据与检测字符串大小写匹配时应用该规则。
-
-
点击 保存 .
新规则将被添加到列表中。
-
-
配置数据保护规则的例外项,使用户仍能向授权网站及收件人发送受保护数据。
例外项可全局应用(对所有规则)或仅针对特定规则。
添加例外项步骤:
-
点击表格上方的 添加 按钮。
将显示配置窗口。
-
输入用户被授权披露保护数据的网站或电子邮件地址。
-
选择例外项类型(网站或电子邮件地址)。
-
在 规则 表中,选择需应用此例外项的数据保护规则。
-
点击 保存 。新例外项规则将被添加到列表中。
-
注意
若包含被拦截数据的邮件发送给多个收件人,已定义例外项的收件人仍将收到该邮件。
从列表中移除例外项:
-
点击
更多
点击表格中的
-
图标。在菜单中选择 删除 .
该排除项将从表格中移除。
如需同时移除多个排除项:
-
勾选需删除排除项对应的复选框。
-
点击表格上方的 删除 按钮。
目标排除项将从表格中移除。