启用系统锁定前设置和测试系统锁定配置

在测试模式下运行系统锁定的时间通常应为一周或足够长,客户端才能运行其常规应用程序。在确定系统锁定设置不会对用户造成问题后,可以启用系统锁定。
在测试模式下运行系统锁定时,系统锁定处于禁用。系统锁定不会禁止任何应用程序。而是记录但不禁止未批准的应用程序,以便您可以在启用系统锁定前查看列表。可以查看“控制”日志中的日志条目。也可以在“
系统锁定
”对话框中查看未批准的应用程序。
您还可以创建防火墙规则,以允许客户端上已批准的应用程序。
要在启用系统锁定前设置和测试系统锁定配置:
  1. 在控制台中,单击“
    客户端
    ”,然后在“
    客户端
    ”下方找到要设置系统锁定的组。
  2. 在“
    策略
    ”选项卡上,单击“
    系统锁定
    ”。
  3. 单击“
    记录未批准应用程序
    ”以便在测试模式下运行系统锁定。
    此选项会记录客户端当前正在运行的未批准的应用程序。
  4. 选择“
    允许模式
    ”或“
    拒绝模式
    ”。
    这些选项就是 14.3 RU1 中的“
    白名单模式
    ”或“
    黑名单模式
    ”。
  5. 在“
    应用程序文件列表
    ”的“
    文件指纹列表
    ”下,添加或删除文件指纹列表。
    若要添加列表,列表必须在
    Symantec Endpoint Protection Manager
    中可用。
  6. 若要添加应用程序名称列表,请在“
    应用程序文件列表
    ”的“
    文件名
    ”下,单击“
    导入
    ”。
    指定要导入的应用程序名称列表,然后单击“
    导入
    ”。列表中的应用程序以单个条目的形式显示在系统锁定配置中。
    应用程序名称列表必须是指定文件名、测试模式和匹配模式的文本文件。
  7. 若要添加单个应用程序,请在“
    应用程序文件列表
    ”的“
    文件名
    ”下,单击“
    添加
    ”。
  8. 在“
    添加文件定义
    ”对话框中,指定文件(.exe 或 .dll)的完整路径名。
    可以使用常规字符串或正则表达式语法来指定名称。名称可以包括通配符(* 代表任意字符,? 代表单个字符)。名称还可以包括环境变量,例如 %ProgramFiles%(代表 Program Files 目录的位置)或 %windir%(代表 Windows 安装目录的位置)。
  9. 默认情况下,请保持选中“
    使用通配符匹配 (支持 * 和 ?)
    ”,但如果在文件名中使用了常规表达式,则单击“
    使用正则表达式匹配
    ”。
  10. 如果希望仅在文件在特定类型的驱动器上执行时允许该文件,请单击“
    只匹配以下驱动器类型上的文件
    ”。
    取消选择您不希望包含的驱动器类型。默认情况下已选择所有驱动器类型。
  11. 如果您希望通过设备 ID 类型来进行匹配,请选中“
    只匹配以下设备 ID 类型上的文件
    ”,然后单击“
    选择
    ”。
  12. 在列表中单击所需的设备,然后单击“
    确定
    ”。
  13. 单击“
    确定
    ”开始测试。
一段时间后,便可以查看未批准的应用程序列表。如果重新打开“
用于
组名称
的系统锁定
”对话框,可以查看测试的运行时间。
要查看测试已记录但没有禁止的未批准应用程序:
  1. 在“
    用于
    组名称
    的系统锁定
    ”对话框中,单击“
    查看未批准的应用程序
    ”。
  2. 在“
    未批准的应用程序
    ”对话框中,查看应用程序。
    这个列表包括应用程序运行的时间、计算机的主机名称、客户端的用户名,以及可执行文件的文件名等信息。
  3. 确定处理未批准应用程序的方式。
    若是允许模式,您可以将要允许的应用程序的名称添加到批准的应用程序列表。若是拒绝模式,则可以删除要允许的应用程序的名称。
  4. 如果更改了文件指纹列表或单个应用程序,并且想要重新运行测试,请在“
    未批准的应用程序
    ”对话框中,单击“
    重置测试
    ”。否则,单击“
    关闭
    ”。
  5. 完成测试后,便可以启用系统锁定。