跳至主内容

应用程序控制

应用程序控制 模块通过阻止未经授权的应用程序和进程运行(利用其内容扫描能力),为防范各类恶意软件威胁(勒索软件、零日攻击、第三方应用漏洞利用、木马、间谍软件、 rootkit、广告软件等)提供了额外防护层。

注意

该功能的可用性和运行效果可能因当前订阅计划包含的许可证类型而异。

应用程序控制 能有效缩小终端设备上恶意软件可利用的攻击面,阻止任何不受欢迎、不可信或恶意应用程序的安装与执行。

注意

该模块适用于:

  • 工作站版Windows

  • 服务器版Windows

应用程序控制 通过灵活的策略配置,允许您将应用程序加入白名单并管理更新权限。

policy_application_control_o_78790_en.png

要启用 应用程序控制 功能,请切换开关激活该模块。

重要提示

应用程序控制 会显著影响 高级用户 模式下的应用程序更新。例如,当白名单中的应用程序更新时,终端会提交新信息。 GravityZone 将使用新值更新规则并重新下发策略。

您必须运行 应用程序发现 任务才能查看网络中运行的应用程序和进程。首次在终端激活应用程序控制模块时,应用程序发现过程将在后台启动。后续对该模块策略的更改不会再次触发发现过程。更多信息请参阅 应用程序发现 。之后,您可以定义 应用程序控制 规则。

请注意,激活 应用程序控制 会在终端产生一定流量:

  1. GravityZone 中的 应用程序控制 已激活但未配置为阻止终端上的应用程序,则不会传输数据。

  2. 应用程序控制 已激活且配置为阻止终端上的应用程序,则有关阻止事件的信息将每分钟发送至 GravityZone

  3. 传输的数据量将与发现的应用程序数量成正比。要获取准确的流量预估,请在若干终端上使用 测试模式运行 选项,根据现有规则和用户行为计算传输数据量。

应用程序控制 有两种运行模式:

  • 测试模式 . 应用程序控制 仅检测并报告 控制中心 中的应用,允许它们照常运行。您可以配置和测试白名单规则及策略,但应用程序不会被阻止。

    警告

    在所有终端启用 应用程序控制 的测试模式功能会增加Gravity Zone虚拟设备功能中断的风险,因为相关终端可能在短时间内生成大量事件。

    这将导致数据库大小逐渐增加,最终耗尽所有可用磁盘空间。

  • 生产模式 . 应用程序控制 会阻止所有未知应用程序。默认情况下,微软操作系统进程和 Bitdefender 进程会被列入白名单。已定义的白名单应用程序将被允许运行。要更新白名单应用程序,必须定义更新程序——这些是被允许修改现有应用程序的特定进程。更多信息请参阅 应用程序清单 .

警告

  • 为确保合法应用程序不受 应用程序控制 限制,必须先在 测试模式 下运行应用程序控制。这样可以确保白名单规则和策略定义正确。

  • 应用程序控制 设置为 生产模式 将在下次进程重启后被阻止。

要管理应用程序的运行权限:

  1. 点击切换开关以启用 应用程序控制 模块。

  2. 点击 在测试模式下运行 复选框以启用或禁用测试模式。

    注意

    • 在测试模式下,如果 应用程序控制 本应阻止特定应用程序,您将收到通知。更多信息请参阅 通知 .

    • 被阻止的应用程序 通知将在检测到新应用程序以及阻止黑名单应用程序时显示在通知区域。

  3. 定义进程启动规则。

进程启动规则

应用程序控制 允许您根据可执行文件的哈希值、签名证书指纹和应用程序路径手动授权特定应用程序和进程。您还可以定义规则排除项。

注意

要获取可执行文件哈希值和证书指纹的自定义值,请使用 应用程序控制工具 .

进程启动规则 表中,您可以查看现有规则及其重要信息:

  • 规则优先级。优先级较高的规则更靠近列表顶部。

  • 规则名称和状态。

  • 目标应用程序及其运行权限。目标表示规则适用前必须满足的条件数量,或规则所适用的应用程序/群组数量。

创建进程启动规则:

  1. 点击 添加 表格上方的按钮以打开配置窗口。

  2. 常规 部分,输入 规则名称 .

  3. 勾选 启用 复选框以激活规则。

  4. 目标 部分,指定规则目的地:

    • 特定进程 ,用于定义允许或禁止启动的进程。可通过路径、哈希值或证书进行授权。规则内条件采用逻辑与匹配。

      • 授权特定路径的应用程序:

        1. 选择 路径 (位于 授权方法

        2. 下)。在 授权标识符 下指定对象路径。可使用绝对/相对路径名及通配符:星号(*)匹配目录内任意文件,双星号(**)匹配定义目录下所有文件和目录,问号(?)精确匹配单个字符。\

        3. 可添加描述以辅助识别进程。

        4. 来源 下拉列表中选择 本地磁盘 , 光盘 , 可移动驱动器 网络共享 并点击 应用 。您可以阻止从可移动设备执行的应用程序,若该应用程序在本地执行则允许其运行。

        5. 点击 Add.png 添加 按钮以添加应用程序。

      • 基于哈希值授权应用程序:

        1. 哈希 授权方式 字段中选择 并在

        2. 授权标识符 下输入哈希值 .

        3. 您还可添加描述以帮助识别该进程。

        4. 点击 Add.png 添加 按钮以添加规则。

        重要提示

        生成哈希值需下载 指纹工具 。更多信息请参阅 应用程序控制工具

        哈希值必须为80个字符。

      • 要基于证书进行授权,请

        1. 选择 证书 作为 授权方法 .

        2. 授权标识符 .

        3. 您还可以添加描述以帮助识别该进程。

        4. 点击 Add.png 添加 按钮以添加规则。

        重要提示

        要获取证书指纹,请下载 指纹工具 。更多信息请参阅 应用程序控制工具

        哈希值必须为64个字符。

      policies_application_control_add_rule_o_78790_en.png

    • 清点应用程序或群组 ,以添加在您网络中发现的群组或应用程序。您可以在 网络 > 应用程序清点 页面查看网络中运行的应用程序。更多信息请参阅 应用程序清点 .

      开始输入并勾选对应复选框以添加应用程序和群组名称。输入时自动填充功能会显示建议选项。

      policies_application_control_inventory_apps_groups_o_78790_en.png

      要更改建议列表或使现有列表消失,请输入其他字符或从字段中删除字符。

      policies_application_control_inventory_apps_groups_done_o_78790_en.png

      要删除条目,请在建议列表中取消勾选或点击 X 按钮逐个删除。

  5. 勾选 包含子进程 复选框以将规则应用于衍生的子进程。

    警告

    为浏览器应用程序设置规则时,建议关闭此选项以避免安全风险。

  6. 您还可以选择定义进程启动规则的例外情况,添加操作与前述步骤类似。

  7. 权限 部分,选择允许或禁止规则运行。

  8. 点击 添加规则 以创建规则。

编辑现有规则:

  1. 点击规则名称打开配置窗口。

  2. 输入需要修改选项的新值。

  3. 点击 保存 应用更改。

设置规则优先级:

  1. 在表格中找到目标规则。

  2. 点击打开 moreIcon.png 更多 菜单。

  3. 点击 编辑优先级 选项。

  4. 使用箭头或在 优先级 列。

  5. 确认更改。

或者,使用 移至顶部 选项在 moreIcon.png 更多 菜单中为规则分配优先级1。

您可以一次性删除一条或多条规则。规则一旦删除将无法恢复。

删除单条规则:

  1. 在表格中定位到目标规则。

  2. 点击打开 moreIcon.png 更多 菜单。

  3. 点击 删除 选项。

批量删除多条规则:

  1. 在表格中勾选需要删除的规则。

  2. 点击表格上方的 删除 按钮。

本节内容 :