测试应用程序控制规则

添加应用程序控制规则后,应在网络中测试这些规则。如果应用程序控制策略中使用的规则集出现配置错误,可能会造成计算机或服务器无法运行。客户端计算机可能会发生故障,或者其与
Symantec Endpoint Protection Manager
之间的通信可能会被禁止。测试规则后,将其应用于生产网络。
步骤 1:将规则集设置为测试模式
您可以通过将模式设置为测试模式来测试规则集。测试模式将创建一个日志条目,以便指示何时应用规则集中的规则(实际并不应用这些规则)。
默认情况下,默认规则使用生产模式。默认情况下,自定义规则使用测试模式。您应同时测试默认规则集和自定义规则集。
您可能希望单独测试规则集中的各个规则。您可以通过在规则集中启用或禁用规则来测试各个规则。
  1. 将规则集更改为测试模式
  2. 在控制台中,打开一项应用程序与设备控制策略。
  3. 在“
    应用程序控制策略
    ”下,单击“
    应用程序控制
    ”。
  4. 在“
    应用程序控制规则集
    ”列表中,在规则集的“
    测试/生产
    ”列中单击下拉箭头,然后单击“
    测试 (仅记录)
    ”。
步骤 2:对测试网络中的计算机应用应用程序与设备控制策略
如果您创建了新的应用程序与设备控制策略,则将此策略应用于测试网络中的客户端。
步骤 3:监视应用程序规则日志
规则集在测试模式下运行一段时间后,检查这些日志以便查找任何错误。在测试模式和生产模式中,应用程序控制事件均在
Symantec Endpoint Protection Manager
的应用程序控制日志中。在客户端计算机上,应用程序控制和设备控制事件显示在控制日志中。
一项应用程序控制操作可能会显示有重复或多个日志条目。例如,explorer.exe 会在尝试复制文件时设置文件的访问掩码的写入位和删除位。
Symantec Endpoint Protection
会记录该事件。如果复制操作因应用程序控制规则禁止此操作而失败,explorer.exe 会尝试仅使用访问掩码中的删除位来复制文件。
Symantec Endpoint Protection
会针对该复制尝试记录另外一个事件。
步骤 4:将规则集改回生产模式
如果规则按预期方式运行,则将规则集改回生产模式。