常见问题解答（FAQ）

ManageEngine Endpoint Central的应用程序控制 通过管理可运行的应用程序及其权限来保护终端。它首先通过基于代理的扫描发现并分类所有已安装的应用程序。管理员随后 根据定义的条件创建允许列表或阻止列表 ，如供应商或文件哈希，然后将其部署到特定用户或设备组，处于审核模式或严格模式下。策略由内核模式驱动程序执行，过滤新创建的进程，只允许授权应用运行，阻止其他应用。

为了有效实施应用程序控制，建议 根据企业特定需求创建计算机组 并且 按部门或功能对应用程序进行分组 以简化管理。通过在 审核模式 审计应用程序获得详细可见性，有助于做出明智的访问控制决策。定义允许列表后，执行 严格模式 零信任模型，通过仅允许预先批准的应用程序来最小化攻击面。此外，允许用户 请求访问未管理的关键业务应用 保持生产力的同时保障安全。

要阻止应用程序，管理员需创建 应用阻止列表 ，通过导航到应用程序控制 -> 应用程序组并选择“创建阻止列表”。进入此模块后，通过应用 基于供应商、产品名称、文件哈希或文件夹路径等条件的过滤器将应用添加到阻止列表。部署后，该阻止列表上的应用将在目标机器上被限制执行。

应用程序控制模块包含在安全版中，购买安全许可证后即可访问。如需试用版，请联系 支持。该模块也作为附加组件出现在专业版、UEM 和企业版中。

创建仅允许列表中的应用程序运行的过程称为 应用程序允许列表。应用程序控制允许基于供应商、产品名称、文件哈希和具有有效数字签名的可执行文件创建允许列表。IT管理员能轻松管理创建的列表，符合策略的新发现应用会自动添加到列表中。

创建仅禁止列表中的应用程序运行的过程称为 应用程序阻止列表。应用程序控制允许基于供应商、产品名称、文件哈希和有效数字签名的可执行文件创建阻止列表。IT管理员可以轻松管理这些列表，符合策略的新发现应用会自动加入。

所有集群在一起构建允许列表或阻止列表的应用程序都被视为应用程序组。这些组会根据为它们设定的规则自动创建。

在应用控制需求较低的情况下，系统会显示特定供应商的认证和非认证应用。管理员可有选择地将选定供应商的应用加入允许或阻止列表，减少访问问题并简化管理。此功能支持基于广泛参数创建列表，加强管理控制。

如果只想允许或阻止同一供应商的某些产品，可以选择此策略代替供应商规则。

应用由多个可执行文件组成，供应商为每个可执行文件分配数字证书以验证其身份。Application Control Plus 会显示这些已验证的可执行文件，用户可以选择将哪些 EXE 文件加入允许或阻止列表。这一策略在维护网络安全方面至关重要，因为数字证书被篡改的文件将无法执行。即使是以更新形式加入的 EXE 也必须在允许列表中，否则无法运行。

这是最安全的策略，基于可执行文件的哈希值。所有运行进程的 EXE 文件，包括无有效数字证书的文件都会显示。用户可以选择想要允许或阻止的文件；之后文件即使有极小的变动（如版本更新）都会改变哈希值，使文件从列表中移除。此策略适合只运行非常特定的可执行文件。

如果想添加尚未运行过的应用，可选择手动添加文件。

Application Control 在应用程序允许列表和阻止列表方面提供全面的功能。内置领先的 终端权限管理 功能，确保保护组织免受大多数应用相关威胁。 Endpoint Central相反，
Block Executable Endpoint Central功能较为基础，旨在帮助组织维持生产力水平。
Application Control 会即时发现并显示所有运行中的应用，按供应商、产品名称、文件夹路径和数字证书分类。还可筛选和查看特定用户组运行的应用。必要应用可直接从列表中选择并添加至允许列表或阻止列表。 Endpoint CentralBlock Executable 功能无筛选和分类选项，管理员需手动输入想阻止的应用及可执行文件名。

而 Block Executable 功能仅支持路径和哈希两种规则，由于缺少补丁变更管理功能，管理员必须在每次补丁后手动更新列表。

选择所需规则后，导航至右侧过滤器标签。可通过“发布者可信度”过滤器检查供应商/产品/EXE 是否被验证。 如果将供应商添加到阻止列表，同时将其某产品添加到允许列表，会怎么样？ 基于产品规则的允许列表优先于阻止列表。

了解应用冲突优先级。在此情况下，该具体产品将被允许，而该供应商的其他产品将被阻止。

满足应用的单一规则即可。

是的，允许供应商即允许其所有产品。

此规则用于允许或阻止特定文件夹或文件夹路径下的所有文件。
如何阻止 Windows 组件如 PowerShell 或命令提示符？ 通过创建阻止列表，使用文件夹路径规则或文件哈希规则，指定其安装路径或文件哈希值，即可限制 PowerShell 或命令提示符的执行。

由于应用程序控制不原生识别 Windows 组件如 PowerShell 和命令提示符，这些应用不会显示在控制台中。

策略部署

需要相似应用组的用户可以聚合形成自定义组。该分组依据角色、部门或其他偏好标准。
应用程序控制中灵活模式的意义是什么？

注意：默认情况下，阻止列表中的应用在任何模式下均不运行。 如何在 ManageEngine 中部署应用程序控制策略？ 管理员首先在 应用程序组 部分创建 允许列表 或 阻止列表，然后导航至 审核模式 管理员首先在 严格模式 部署策略

强制执行模式，启用用户未管理应用请求，以及选择立即部署或计划未来刷新周期部署。
如果应用同时存在于允许列表和阻止列表，会被允许还是被阻止？
若同一应用在不同允许列表和阻止列表策略中部署到同一目标组，优先顺序如下：

使用文件哈希规则的阻止列表 > 使用文件哈希规则的允许列表 > 使用验证的 EXE 规则的阻止列表 > 使用验证的 EXE 规则的允许列表 > 使用产品名称规则的阻止列表 > 使用产品名称规则的允许列表 > 使用供应商规则的阻止列表 > 使用供应商规则的允许列表 > 使用文件夹路径规则的阻止列表 > 使用文件夹路径规则的允许列表。

Windows 操作系统内置的所有功能自动列入允许列表。未来应用程序控制将增加阻止这些应用的选项。 当多个策略部署到同一终端时会怎样？ 如果终端属于多个不同自定义组，所含策略会合并为单一合并策略。冲突时，
若同一应用在不同允许列表和阻止列表策略中部署到同一目标组，优先顺序如下：
如果应用同时存在于允许列表和阻止列表，会被允许还是被阻止？
阻止列表应用 严格模式.

若一策略在审核模式部署，另一在严格模式部署，则机器将部署为
如何阻止 Windows 组件如 PowerShell 或命令提示符？ 为什么所有被阻止应用都显示相同通知信息，即使不同策略配置了不同通知？

未管理应用 什么是未管理应用？.