配置系统锁定

系统锁定通过禁止未批准的应用程序来控制一组客户端计算机上的应用程序。可设置系统锁定以仅允许指定列表上的应用程序。允许列表(白名单)包括所有已批准的应用程序;客户端计算机会禁止所有的其他应用程序。或者,可设置系统锁定以仅禁止指定列表上的应用程序。拒绝列表(黑名单)包括所有未批准的应用程序;客户端计算机会允许所有的其他应用程序。
系统锁定允许的所有应用程序受
Symantec Endpoint Protection
中的其他保护功能支配。
允许列表或拒绝列表可包括文件指纹列表和特定的应用程序名称。文件指纹列表是文件校验和与计算机路径位置的列表。
您可以使用“应用程序与设备控制”策略而不使用系统锁定来控制特定的应用程序,也可以既使用“应用程序与设备控制”策略又使用系统锁定来控制特定的应用程序。
您需要针对网络中的每个组或位置设置系统锁定。
系统锁定步骤
操作
说明
步骤 1:创建文件指纹列表
您可以创建一个包含允许或不允许在客户端计算机上运行的应用程序的文件指纹列表。将文件指纹列表添加到系统锁定中的允许列表和拒绝列表。
运行系统锁定时,您需要一个文件指纹列表,其中包含要允许或禁止的所有客户端的应用程序。例如,您的网络可能包含 Windows 8.1 32 位和64 位客户端和 Windows 10 64 位客户端。您可以为每个客户端映像创建文件指纹列表。
您可以使用下列方式创建文件指纹列表:
  • Symantec Endpoint Protection
    提供了一个可创建文件指纹列表的校验和实用程序。此实用程序随
    Symantec Endpoint Protection
    一起安装在客户端计算机上。
    使用此实用程序,在指定的路径中创建特定应用程序或所有应用程序的校验和。使用此方法生成在拒绝模式下运行系统锁定时要使用的文件指纹。
  • 使用“收集文件指纹列表”命令在单个计算机或一小组计算机上创建文件指纹列表。
    您可以从控制台运行“
    收集文件指纹列表
    ”命令。此命令将收集一个包括目标计算机上的每个应用程序的文件指纹列表。例如,您可以在运行金色映像的计算机上运行此命令。当您在允许模式下运行系统锁定时可使用此方法。注意,使用此命令生成的文件指纹列表不能修改。当您重新运行此命令时,文件指纹列表将自动更新。
  • 使用任何第三方校验和实用程序来创建文件指纹列表。
如果在网络中运行
Symantec EDR
,则可能会看到
Symantec EDR
的文件指纹列表。
步骤 2:将文件指纹列表导入
Symantec Endpoint Protection Manager
必须在
Symantec Endpoint Protection Manager
中提供该列表,然后才能使用系统锁定配置中的文件指纹列表。
使用校验和工具创建文件指纹列表时,必须将列表手动导入
Symantec Endpoint Protection Manager
使用“
收集文件指纹列表
”命令创建文件指纹列表时,生成的列表将自动在
Symantec Endpoint Protection Manager
控制台中可用。
您也可以从
Symantec Endpoint Protection Manager
导出现有的文件指纹列表。
步骤 3:创建已批准或未批准应用程序的应用程序名称列表
可以使用任意文本编辑器来创建文本文件,其中包括要允许或拒绝的应用程序的文件名。与文件指纹列表不同,您可以直接将这些文件导入系统锁定配置。导入文件后,应用程序会以单独的条目显示在系统锁定配置中。
也可以在系统锁定配置中手动输入单个应用程序名称。
当以拒绝模式启用系统锁定时,指定大量应用程序可能会影响客户端计算机性能。
步骤 4:设置及测试系统锁定配置
在测试模式下,系统锁定处于禁用且不禁止任何应用程序。将记录所有未批准的应用程序,但不会禁止这些应用程序。需要使用“
系统锁定
”对话框中的“
仅记录未批准应用程序
”选项测试整个系统锁定配置。
若要设置和运行测试,请完成下列步骤:
  • 将文件指纹列表添加到系统锁定配置。
    在允许模式下,文件指纹是已批准的应用程序。在拒绝模式下,文件指纹是未批准的应用程序。
  • 添加单个应用程序名称或将应用程序名称列表导入系统锁定配置。
    可以导入应用程序名称列表,不用在系统锁定配置中逐一输入名称。在允许模式下,应用程序是已批准的应用程序。在拒绝模式下,应用程序是未批准的应用程序。
  • 运行一段时间的测试。
    在测试模式下运行系统锁定的时间应足够长,以便客户端运行其常规应用程序。通常采用的时间段为一周。
步骤 5:查看未批准的应用程序,并视需要修改系统锁定配置
运行一段时间的测试后,可以检查未批准的应用程序列表。可以在“
系统锁定
”对话框中检查状态,以查看未批准的应用程序列表。
记录的事件也会显示在“应用程序控制”日志中。
您可以决定是否添加更多应用程序至文件指纹或应用程序列表中。启用系统锁定之前,也可以视需要添加或删除文件指纹列表或应用程序。
步骤 6:启用系统锁定
默认情况下,系统锁定在允许模式下运行。可以将系统锁定配置为在拒绝模式下运行。
在允许模式下启用系统锁定时,会禁止不在已批准应用程序列表中的所有应用程序。当在拒绝模式下启用系统锁定时,会禁止在未批准应用程序列表上的所有应用程序。
确保在启用系统锁定之前测试您的配置。如果您禁止了所需应用程序,客户端计算机可能无法重新启动。
步骤 7:更新系统锁定的文件指纹列表
您可能会随时间更改网络中运行的应用程序。您可以根据需要更新或删除文件指纹列表。
可以使用下列方式更新文件指纹列表:
在将客户端计算机添加到网络中后,您可能想要重新测试整个系统锁定配置。可以将新的客户端移动单个组或测试网络并禁用系统锁定。或者,可以保持系统锁定启用,并在“仅记录”模式下运行配置。也可以依照下一个步骤中的说明,测试单个文件指纹或应用程序。
步骤 8:启用系统锁定后,添加或删除所选项目之前对它们进行测试
当系统锁定启用后,在系统锁定配置中添加或删除单个文件指纹、应用程序名称列表或特定应用程序前,可以对它们进行测试。
如果有许多文件指纹列表并且其中一部分不再使用,您可能想要删除列表。
从系统锁定添加或删除文件指纹列表或特定应用程序时,请小心。从系统锁定添加或删除项目可能会有风险。可能会禁止客户端计算机上的关键应用程序。
  • 测试已选项目。
    使用“
    删除前测试
    ”将特定的文件指纹列表或特定应用程序记录为未批准。
    运行此测试时,会启用系统锁定,但不禁止所选择的任何应用程序,或选择的文件指纹列表中的任何应用程序。而是系统锁定将应用程序记录为未批准。
  • 检查“应用程序控制”日志。
    日志条目会显示在“应用程序控制”日志中。如果此日志没有与所测试应用程序对应的条目,则可确定客户端未使用这些应用程序。