檢視次數:
警告
警告
Application Control 會持續監控您的伺服器,並在發生軟體變更時記錄事件。它不適用於具有自我變更軟體或通常會創建可執行文件的環境,例如某些網頁或郵件伺服器。為確保 Application Control 適合您的環境,請檢查 Application Control 檢測到哪些軟體變更?
如需了解 Application Control 的運作方式,請參閱 關於 Application ControlApplication Control 信任實體
要啟動 Application Control 並監控軟體變更:

步驟

  1. 開啟 Application Control。
  2. 監控新軟體和變更的軟體。
  3. 在進行計劃變更時開啟維護模式。

接下來需執行的動作

本文還提供了Application Control 的提示和注意事項,當您使用 Application Control 時應該注意。
一旦您已啟動 Application Control,您還可以學習如何:

開啟 Application Control 上層主題

您可以在電腦防護的設定或政策中啟動 Application Control:

步驟

  1. 打開電腦防護或策略編輯器,然後轉到Application Control General
  2. Application Control State設置為「開啟」或「繼承(開啟)」。
  3. Enforcement 下,選擇您目標的保護狀態:
    • Block unrecognized software until it is explicitly allowed
    • Allow unrecognized software until it is explicitly blocked(我們建議您在初次設定 Application Control 時選擇此選項)
  4. 點選 儲存

接下來需執行的動作

ac-policy=35ba2b64-b6e4-48d1-802b-8e9551ea01fa.png
下次當 伺服器與工作負載保護 和代理連接時,代理會掃描並生成電腦防護上所有已安裝軟體的清單,並創建允許所有找到的軟體的規則。此初始清單可能需要 15 分鐘或更長時間,具體取決於您的環境。
要檢查 Application Control 是否按預期運作,請按照 驗證 Application Control 是否已啟動 中的說明進行操作。

監控新的和變更的軟體 上層主題

一旦在受保護的電腦上建立了清單,任何新增或更改的軟體可執行檔都會被分類為「軟體變更」,並顯示在Actions頁面中的伺服器與工作負載保護。當未識別的軟體運行或嘗試運行並被已封鎖時,該事件會列在Events & Reports Events Application Control Events Security Events下。欲了解詳細資訊,請參閱Application Control 事件。
在您最初啟動 Application Control 後,您可能會在 Actions 頁面上看到許多軟體變更。這可能發生在允許的軟體創建新可執行檔、重新命名檔案或在正常操作過程中重新定位檔案時。隨著您添加規則來調整 Application Control,您應該會看到較少的軟體變更。
要快速查找所有電腦上的所有軟體變更,並輕鬆為它們建立允許或封鎖規則,請使用Actions標籤。
秘訣
秘訣
您可以使用伺服器與工作負載保護 API 自動化建立軟體規則集允許或封鎖規則。詳細資訊,請參閱 允許或封鎖未識別的軟體

步驟

  1. 伺服器與工作負載保護 主控台中,前往 Actions
  2. 有幾種方法可以篩選以僅查看特定的未識別軟體事件。
    秘訣
    秘訣
    與其在每台電腦防護上單獨評估每個軟體變更,不如使用以下描述的篩選器來查找您知道是好的軟體變更,並批量允許它們。
    actions=94298770-add2-4b7d-8bcf-44c3f9d71a46.png
    要減少顯示的軟體變更數量:
    • Application Control: Software Changes旁邊的下拉清單中,選擇一個時間範圍,例如Last 7 Days。您也可以點選頁面頂部圖表中的一個條形,以顯示該時間範圍內的變化。
    • 在左側窗格中,點選Computers並選擇單個電腦防護或群組,或點選Smart Folders以僅顯示包含在特定智慧資料夾中的電腦防護(請參閱使用智慧資料夾動態分組電腦防護)。
      注意
      注意
      Computers標籤不同,Software Changes窗格通常不會顯示所有電腦。它只顯示那些 Application Control 檢測到軟體變更且尚未有允許或封鎖規則的電腦。
    • 在搜尋篩選欄位中輸入搜尋詞和運算符。您可以搜尋這些屬性:由程序更改、由使用者更改、檔案名稱、主機名稱、安裝路徑、MD5、SHA1 和 SHA256。例如,您可以找到由您信任的特定使用者所做的所有更改,然後點選 Allow All 以允許他們的所有更改。或者,如果在您的組織中安裝了特定的軟體更新(而 維護模式 未啟動),請根據檔案的雜湊值篩選頁面,然後點選 Allow All 以允許所有出現的情況。
      秘訣
      秘訣
      有關軟體變更的詳細資訊顯示在右側窗格中。您可以點選詳細資訊中的檔案名稱或電腦名稱,將其添加到您的搜尋篩選器中。
    • 選擇是否Group by File (Hash)Group by Computer
  3. 點選 允許封鎖 以在該電腦防護上新增允許或封鎖規則,針對該軟體。如果您需要詳細資訊來決定是否允許或封鎖,點選軟體名稱,然後使用右側的詳細資訊面板。
    下一次代理連接到伺服器與工作負載保護時,它會接收新規則。

接下來需執行的動作

處理變更的提示 上層主題

  • 對於大多數環境,我們建議您在首次啟動 Application Control 時選擇 Allow unrecognized software until it is explicitly blocked 選項,以預設允許軟體變更,並在 Actions 頁面上為您看到的變更添加允許和封鎖規則。最終,軟體變更的頻率應該會減少。此時,您可以考慮預設封鎖軟體變更,並為您知道是良好的軟體創建允許規則。一些組織更喜歡繼續預設允許變更,並監控 Actions 頁面以封鎖應該被封鎖的軟體。
  • 您可能更願意先評估安全事件,而不是先處理未識別的軟體。安全事件會顯示哪些未識別的軟體已經運行(或嘗試運行)。有關安全事件的資訊,請參閱監控 Application Control 事件
  • 當允許執行一個未被識別的檔案且您希望繼續允許它時,請建立一個允許規則。除了允許該檔案的執行外,該事件將不再被記錄,這樣可以減少噪音並使重要事件更容易找到。
  • 當已知檔案的執行被已封鎖時,請考慮從電腦防護中清除該檔案,特別是對於重複出現的情況。
  • 請注意,軟體變更會列在發生變更的每台電腦防護上。您必須允許或封鎖每台電腦防護上的軟體。
  • 規則是分配給電腦的,而不是分配給政策的。例如,如果在三台電腦上檢測到 helloworld.py,當您點選 Allow AllBlock All 時,這只會影響這三台電腦。這不會影響其他電腦上的未來檢測,因為它們有自己的規則集。
  • 如果您看到與軟體更新相關的變更,且這些變更是您可以控制的,請在執行這些更新時使用維護模式功能。請參閱 在進行計劃變更時開啟維護模式
  • 請勿在已啟動自動更新的電腦和伺服器上以鎖定模式執行 Application Control。

在進行計劃變更時開啟維護模式 上層主題

當您安裝補丁、升級軟體或部署網頁應用程式時,Application Control 會偵測到它們。根據您對於如何處理未識別軟體的設定,這可能會封鎖該軟體,直到您使用 Actions 標籤來建立允許規則。
為了避免在部署和維護窗口期間出現額外的停機時間和警報,您可以將 Application Control 設置為專為維護窗口設計的模式。當維護模式已啟動時,Application Control 仍會封鎖由 Application Control 規則特別封鎖的軟體,但會允許新的或更新的軟體運行並自動將其添加到電腦防護的清單中。
秘訣
秘訣
您可以使用 伺服器與工作負載保護 API 自動化維護模式。欲了解詳細資訊,請參閱 升級期間配置維護模式 指南。

步驟

  1. 伺服器與工作負載保護 主控台中,前往 Computers
  2. 選擇一台或多台電腦,然後點選Actions Turn On Maintenance Mode
  3. 選擇您維護窗口的持續時間。
    維護模式會在您的維護窗口預定結束時自動關閉。或者,如果您希望在更新完成後手動關閉維護模式,請選擇Indefinite
    資訊中心上,Application Control Maintenance Mode Status小工具指示命令是否成功。
  4. 安裝或升級軟體。
  5. 如果您選擇手動關閉維護模式,請記得關閉維護模式以重新開始檢測軟體變更。

接下來需執行的動作

Application Control 提示和注意事項 上層主題

  • 為了在 Application Control 中獲得更好的效能,請使用 伺服器與工作負載保護 惡意程式防護,而非 Windows Defender。請參閱 在 Windows Server 2016 上安裝惡意程式防護模組後,確保 Windows Defender 完全停用
  • 如果您為批次檔或 PowerShell 腳本建立封鎖規則,則在使用其相關的解釋器(PowerShell 腳本的 powershell.exe 或批次檔的 cmd.exe)時,將無法複製、移動或重新命名該檔案。
  • 如果您新增允許或封鎖規則,通常會在代理程式下次連接到伺服器與工作負載保護時發送。如果您看到錯誤訊息顯示規則集上傳未成功,請確認代理程式與伺服器與工作負載保護之間的網路設備或中繼是否允許在心跳通訊埠號碼或中繼通訊埠號碼上進行通訊。
  • 要驗證封鎖規則是否有效,請嘗試運行您剛剛封鎖的軟體。(有關代理如何檢測變更的詳細資訊,請參閱 Application Control 檢測哪些軟體變更?
  • 當已封鎖的軟體仍然安裝在電腦上時,Application Control 會繼續記錄日誌並在封鎖軟體運行時顯示警報。為了減少電腦上的權限錯誤記錄檔並降低您的攻擊面,請卸載 Application Control 封鎖的軟體。完成後,如果您想消除相關警報,可以前往 Alerts資訊中心,點選警報,然後點選 Dismiss Alert。並非所有警報都可以消除。詳細資訊,請參閱 預定義警報定義
  • 出於效能考量,如果電腦防護有過多的軟體變更,Application Control 會繼續執行現有規則,但會停止偵測和顯示軟體變更。要解決此問題,請參閱 在軟體變更過多後重置 Application Control