了解应用程序控制
Endpoint Central 的应用程序控制通过限制未经授权的应用程序执行,提供了强大的安全防护层。本文将深入介绍代理进程的规格以及应用程序控制背后的核心机制,帮助您了解它如何保护您的端点。
代理进程规格
| 代理进程 | 运行中的应用程序名称 | 带宽消耗(约) | CPU 消耗(约) | 内存消耗(约) |
|---|---|---|---|---|
| 应用程序处理服务器 | Verifytrustedfiles.exe | 将在 dcconfig exe 中下载配置 | 0.25-0.3% | 30 MB |
| 应用程序扫描器 | Dcprocmon.exe | 100-200 KB | 0.3% | 6-24 MB |
| 进程通知程序 | AppCtrlToast.exe | 不适用 | 0-1% | 20 MB |
| ACP 驱动控制 | DriverCtrl.exe | 不适用 | 0-0.18% | 1-2 MB |
| ACP 特权管理器 | Privilager.exe | 不适用 | 0-1.4% | 1-1.5 MB |
| 组件升级 | dcconfig.exe | 3.5 MB | 0-1% | 1 MB |
应用程序发现:数据扫描与收集
安装代理后,将启动一次性扫描。该扫描会识别并收集位于 Program Files 和 Program Files (x86) 目录中的已验证 .exe 文件以及正在运行的进程。扫描持续时间取决于端点上安装的应用程序数量。收集到的数据会立即显示在 Web 控制台中。一旦部署了应用程序控制策略,运行中的应用程序将被持续监控。只有在已配置策略的情况下,才会检测到新安装的应用程序。中央服务器会自动移除 90 天内未活动的应用程序。
策略部署:代理-服务器同步
创建应用程序控制策略后,可通过以下两种方式进行部署:
- 立即部署 选项:策略会立即推送并应用到当前在线的代理计算机。对于大型 CG(超过 200 台计算机),策略会先应用到前 200 台,其余设备将在下一次刷新周期中继续应用。
- 部署 选项:策略将安排在下一个 90 分钟刷新周期中部署。
策略修改、删除、组更改以及未受管应用程序更新会在刷新周期内与代理计算机同步。在具有分发服务器的环境中,策略和配置会先复制到分发服务器,然后在 90 分钟刷新周期中与代理计算机同步。
应用程序访问请求工作流
当用户请求访问未受管应用程序时,请求会立即发送到服务器以供管理员审批。一旦获得批准,用户将可以立即访问该应用程序。
代理中的策略实施
应用程序控制策略将由代理接收,并由名为 acp_driver 的内核模式驱动程序执行。该驱动程序会筛选新创建的进程,并根据已部署的策略仅允许授权应用程序运行。该策略将对 .exe 和 .msi 应用程序生效。审计和阻止的应用程序事件将在 90 分钟刷新周期内上报。
应用程序策略冲突优先级
当相互冲突的允许列表和阻止列表策略应用于同一目标组时,阻止列表中的应用程序 优先级高于允许列表中的应用程序。优先级顺序如下:
- 使用文件哈希规则进行阻止
- 使用文件哈希规则进行允许
- 使用已验证 EXE 规则进行阻止
- 使用已验证 EXE 规则进行允许
- 使用产品名称规则进行阻止
- 使用产品名称规则进行允许
- 使用供应商规则进行阻止
- 使用供应商规则进行允许
- 使用文件夹路径规则进行阻止
- 使用文件夹路径规则进行允许
此外,当某个端点属于多个具有不同策略的自定义组时,这些策略会合并为一个统一的综合策略。如果其中一个策略为审计模式,另一个为严格模式,则该计算机将部署为 严格模式。
即时访问工作流
即时(Just-In-Time)策略为指定应用程序提供有时间限制的访问权限。驱动程序可在已部署的计算机上支持这些应用程序的执行,并会在指定时长结束后自动终止访问权限。
| 相关文章:应用程序控制的最终用户通知 |
