应用程序控制最佳实践
每个企业在应用程序控制方面都有自己的一套要求和方法技术。不可能建立一个适用于所有企业的指南。Application Control Plus建议将以下步骤作为最佳实践,但是可以根据企业的独特需求对其进行自定义调整。
步骤1:创建自定义组
什么是自定义组?
可以将属于需要类似应用程序组的用户的计算机群集在一起,以形成自定义组。该分组可以基于角色、部门或您喜欢的任何其他条件。
如何创建自定义组?
要创建自定义组,请按照以下步骤操作:
- 选择 管理 选项卡
- 点击全局设置下的 自定义组 链接。这将列出所有已创建的自定义组。
- 点击 创建新组 按钮并指定以下值
- 指定自定义组的名称。这应该是唯一的。
- 从列表中选择域或工作组。
- 选择组类型为计算机。这将列出所选域中的可用计算机。
- 注意:默认情况下,计算机将以树状图显示。使用列表视图链接可以列表的形式查看计算机。使用“手动输入”选项可以手动输入用户
- 选择计算机并将其移至“已添加”列表。
- 请点击 提交 创建组
请参阅“自定义组创建”以了解有关此过程的更多信息。
步骤2:建立应用组
什么是应用组?
群集在一起以构建白名单或黑名单的所有应用程序将被视为应用组。这些组将根据您为每个组设置的规则自动构建。
如何创建应用组?
- 选择 应用组 选项卡。
- 点击 创建白名单 或者 创建黑名单,取决于您要构建的应用组的类型。
- 进入该模块后,如果需要,请为应用组指定适当的名称和描述。
- 初始状态下,将向您显示在具有代理的系统中发现的所有正在运行的应用程序,因为默认情况下将选择 产品名称 规则。
- 要查看特定于上一步中创建的自定义组的运行中的应用程序和EXE,请单击“筛选器”。指定“自定义组”。然后,将根据所选规则,向您显示该自定义组中存在的用户或系统中所有正在运行的应用程序或EXE。您可以通过指定所需条件进一步筛选此列表。
- 接下来,您需要为应用组设置规则。所有发现的应用程序将被检查,以查看它们是否符合规则集,并将基于此规则将其添加到应用组中。可以设置不同规则,基于供应商、产品名称、具有有效证书的可执行文件以及EXE的哈希值。如果您要指定其他任何规则,请单击“产品名称”附近的下拉按钮。
- 如果您选择了供应商规则,则将向您显示发现的应用程序的所有供应商。您可以从中选择要添加到白名单/黑名单的供应商。属于这些供应商的所有应用程序将自动添加到您正在构建的应用组中。其他所有规则也是如此。
- 指定了所有必需的规则以添加所需的应用程序后,可以单击 创建。
现在已经创建了自定义组和应用组,下一步是将设置的策略部署到所选的用户组。
步骤3:应用控制策略部署
如何部署应用控制策略?
可以通过将应用组与包含需要这些策略的系统的自定义组相关联来创建和部署策略。以下是部署应用控制策略的步骤:
- 导航到“策略部署”选项卡。单击“关联组”,打开该窗口后,指定包含您想要部署控制策略的用户的计算机的“自定义组”。您也可以创建一个新的自定义组。
- 然后选择具有特定于该自定义组的白名单/黑名单的应用组。您可以在此步骤中指定多个应用组。也可以单击“添加”来创建新组。
- 接下来,选择灵活性首选模式。您可以实施在“审计模式”或“严格模式”中设置的策略。列入灰名单的应用程序既不属于白名单,也不属于黑名单。它们在审计模式下将被允许运行,但在严格模式下将被阻止。每当运行灰名单的应用程序时,都会进行有效的日志收集。指定首选模式后,即可部署策略。
在初始状态下,首次运行Application Control Plus,建议创建一个临时白名单并以“审计模式”部署策略。您可以监视并解析灰名单,以便在切换到严格模式之前正确定义白名单,因为只有列入白名单的应用程序才能在此模式下运行。
如何解析灰名单应用?
首先,您必须浏览日志以了解在审计模式下运行了哪些列入灰名单的应用程序。
- 要查看此信息,请导航到“策略部署”选项卡,然后单击要查看其灰名单应用程序列表的自定义组。
- 进入该窗口后,您将能够查看所有列入灰名单的应用程序。根据合规性和使用情况,您可以确定它们是否是工作必须的。
- 确定好后,您可以选择单击“移至白名单”或“移至黑名单”将其移至新的白名单或黑名单。它们将立即与该特定的自定义组相关联。您还可以将它们移至现有应用组,单击“移至现有应用组”并指定该特定应用组的名称。
将灰名单中的应用程序解析分类后,您可以继续在“审计模式”下运行,也可以切换到“严格模式”,“严格模式”下仅白名单应用程序可以运行。通过切换到严格模式,您可以确保对网络中运行的所有应用程序拥有100%的控制权。
在部署关联策略之前,您需要选择是否关联“特权应用列表”。启用此功能将允许您执行终端特权管理。
什么是终端特权管理?
终端特权管理是根据用户的需求为他们分配特定于应用程序的特权访问的过程。您可以轻松地在整个网络中采用最小特权原则,使用此功能不会影响工作效率。它启用了对应用程序的特权访问,而不会损害特权凭证或任何不必要的特权提升。
终端特权管理如何工作?
- 首先,您必须创建一个特权应用列表。导航到“特权管理”选项卡,并创建需要管理员级别访问权限才能运行的应用程序列表。
- 创建此列表后,您可以导航到“策略部署”选项卡,并选择需要对这些应用程序具有特权访问权限的用户的“自定义组”。完成此操作后,单击“是”,将“特权应用列表”关联到所选的自定义组。
- 关联的自定义组中的用户可以获得对这些应用程序的特权访问,右键单击应用程序的exe文件并选择“以ManageEngine身份运行”。
注意:与“相同的自定义组”关联的白名单或黑名单中存在应用程序时,在“以ManageEngine身份运行”时不会影响其功能。
完成所有这些选择操作之后,您可以继续部署控制策略。
如何修改或删除现有的应用控制策略?
- 导航到“策略部署”选项卡,识别已将应用控制策略应用的自定义组。
- 找到策略后,将鼠标悬停在动作上。会出现修改或删除策略的选项,然后您可以根据需要选择操作。