Konfigurace uzamčení systému

Uzamčení systému řídí aplikace ve skupině klientských počítačů zablokováním neschválených aplikací. Uzamčení systému můžete nastavit tak, aby byly povoleny pouze aplikace v konkrétním seznamu. Seznam povolených položek obsahuje všechny schválené aplikace; všechny další aplikace budou na klientských počítačích blokovány. Uzamčení systému můžete nastavit tak, aby byly blokovány pouze aplikace v konkrétním seznamu. Seznam zakázaných položek obsahuje všechny neschválené aplikace; všechny další aplikace budou na klientském počítači povoleny.
Všechny aplikace, které uzamčení systému povolí, podléhají dalším ochranným funkcím v
Symantec Endpoint Protection
.
Seznam povolených nebo zakázaných položek může obsahovat seznamy neopakovatelných identifikátorů a názvy konkrétních aplikací. Seznam neopakovatelných identifikátorů souboru je kontrolní součet souborů a cest v počítači.
Zásady řízení aplikací a zařízení můžete použít k řízení konkrétních aplikací namísto nebo za uzamčení systému.
Uzamčení systému nastavujete pro každou skupinu nebo lokaci v síti.
Kroky uzamčení systému
Akce
Popis
Krok 1: Vytvoření seznamů neopakovatelného identifikátoru souboru
Můžete vytvořit seznam neopakovatelných identifikátorů souboru, který bude obsahovat aplikace, jejichž spouštění je na klientských počítačích povoleno nebo zakázáno. Seznam neopakovatelných identifikátorů souboru můžete přidat do seznamu povolených a zakázaných položek v uzamčení systému.
Při spuštění uzamčení systému potřebujete seznam neopakovatelných identifikátorů souboru, který obsahuje aplikace pro všechny klienty, které chcete povolit nebo blokovat. Vaše síť může například zahrnovat 32bitové a 64bitové klienty se systémem Windows 8.1 a 64bitové klienty se systémem Windows 10. Pro každou bitovou kopii klienta můžete vytvořit seznam neopakovatelných identifikátorů souboru.
Seznam neopakovatelných identifikátorů souboru lze vytvořit následujícími způsoby:
  • Symantec Endpoint Protection
    poskytuje program kontrolního součtu pro vytvoření seznamu neopakovatelných identifikátorů. Tento nástroj je instalován spolu s aplikací
    Symantec Endpoint Protection
    na klientském počítači.
    Můžete jej použít k vytvoření kontrolního součtu pro konkrétní aplikaci nebo všechny aplikace v zadaném umístění. Tímto způsobem lze vygenerovat jedinečné identifikátory souboru, pokud je uzamčení systému nastaveno na režim odmítnutí.
  • Pomocí příkazu Shromáždit neopakovatelné identifikátory můžete vytvořit seznam neopakovatelných identifikátorů souboru v jednom počítači nebo malé skupině počítačů.
    Z konzole můžete spustit příkaz
    Shromáždit neopakovatelné identifikátory souboru
    . Tento příkaz vytvoří seznam jedinečných identifikátorů souboru, který obsahuje všechny aplikace v cílových počítačích. Příkaz je vhodné spustit například v počítači, ve kterém běží hlavní bitová kopie. Tento způsob můžete zvolit, pokud je uzamčení systému nastaveno na režim povolení. Seznam neopakovatelných identifikátorů souboru, který tímto příkazem vytvoříte, nelze upravovat. Při opětovném spuštění příkazu je seznam neopakovatelných identifikátorů souboru automaticky aktualizován.
  • Vytvořte seznam neopakovatelných identifikátorů souboru pomocí libovolného nástroje ke zjištění kontrolního součtu třetích stran.
Pokud aplikaci
Symantec EDR
spustíte v síti, pravděpodobně se zobrazí seznamy neopakovatelných identifikátorů souboru z aplikace
Symantec EDR
.
Krok 2: Import seznamů neopakovatelných identifikátorů souboru do aplikace
Symantec Endpoint Protection Manager
Před použitím seznamu neopakovatelných identifikátorů souboru v konfiguraci uzamčení systému musí být seznam k dispozici v aplikaci
Symantec Endpoint Protection Manager
.
Pokud vytvoříte seznamy neopakovatelných identifikátorů souboru pomocí nástroje ke zjištění kontrolního součtu, je třeba importovat seznamy do aplikace
Symantec Endpoint Protection Manager
ručně.
Pokud seznam neopakovatelných identifikátorů vytvoříte pomocí příkazu
Shromáždit seznam neopakovatelných identifikátorů souboru
, výsledný seznam bude automaticky k dispozici v konzoli aplikace
Symantec Endpoint Protection Manager
.
Stávající seznamy neopakovatelných identifikátorů souboru lze z aplikace
Symantec Endpoint Protection Manager
také exportovat.
Krok 3: Vytvoření seznamů názvů aplikací pro schválené a neschválené aplikace
Pomocí libovolného textového editoru můžete vytvořit textový soubor, který obsahuje názvy souborů aplikací, které chcete povolit nebo blokovat. Tyto soubory, na rozdíl od seznamu neopakovatelných identifikátorů souboru, importujete přímo do konfigurace uzamčení systému. Jakmile importujete soubory, aplikace se zobrazí jako jednotlivé záznamy v konfiguraci uzamčení systému.
Jednotlivé názvy aplikací můžete do konfigurace uzamčení systému zadat také ručně.
Pokud je v režimu odmítnutí povoleno uzamčení systému, výkon počítače může být ovlivněn velkým množstvím jmenovaných aplikací.
Krok 4: Nastavení a otestování konfigurace uzamčení systému
V testovacím režimu je uzamčení systému zakázáno a neblokuje žádné aplikace. Všechny neschválené aplikace jsou přihlášeny, ale nejsou blokovány. Použijte možnost
Protokolovat pouze neschválené aplikace
v dialogu
Uzamčení systému
pro otestování konfigurace uzamčení systému.
Chcete-li nastavit a spustit test, postupujte podle následujících kroků:
  • Přidání seznamu neopakovatelných identifikátorů souboru do konfigurace uzamčení systému.
    Seznamy neopakovatelných identifikátorů jsou schválené aplikace v režimu povolení. Seznamy neopakovatelných identifikátorů jsou zakázané aplikace v režimu odmítnutí.
  • Přidejte jednotlivé názvy aplikací nebo importujte seznamy názvů aplikací do konfigurace systému uzamčení.
    V konfiguraci uzamčení systému můžete importovat seznam názvů aplikací místo zadávání jmen jedno po druhém. Aplikace v režimu povolení jsou schválené aplikace. Aplikace v režimu odmítnutí jsou zakázané aplikace.
  • Spusťte test na určitou dobu.
    Spusťte uzamčení systému v testovacím režimu na dostatečně dlouhou dobu, aby klienti stihli spustit běžné aplikace. Typickým časovým rámcem je jeden týden.
Krok 5: Zobrazení neschválených aplikací a úprava konfigurace systému uzamčení v případě nutnosti
Jakmile spustíte test na určitou dobu, můžete zkontrolovat seznam zakázaných aplikací. Můžete zobrazit seznam neschválených aplikací zkontrolováním stavu v dialogovém okně
Uzamčení systému
.
Přihlášené události se rovněž zobrazí v protokolu Řízení aplikací.
Můžete rozhodnout, zda přidat více aplikací do neopakovatelného identifikátoru souboru nebo do seznamu aplikací. Před povolením uzamčení systému můžete do aplikace přidat seznamy neopakovatelných identifikátorů souboru nebo je z ní vyjmout.
Krok 6: Povolení uzamčení systému
Ve výchozím nastavení funguje uzamčení systému v režimu povolení. Uzamčení systému můžete nakonfigurovat tak, aby se místo toho spustilo v režimu odmítnutí.
Když aktivujete uzamčení systému v režimu povolení, zablokujete všechny aplikace, které nejsou v seznamu schválených aplikací. Jakmile povolíte uzamčení systému v režimu odmítnutí, zablokujete všechny aplikace, které jsou na seznamu neschválených aplikací.
Ujistěte se, že jste otestovali konfiguraci, předtím než povolíte uzamčení systému. Pokud zablokujete potřebnou aplikaci, je možné, že vaše klientské počítače nebude možné znovu spustit.
Krok 7: Aktualizace seznamů neopakovatelných identifikátorů souboru pro uzamčení systému
Časem můžete změnit aplikace, které běží v síti. Můžete aktualizovat seznamy neopakovatelných identifikátorů souboru nebo odebrat seznamy dle potřeby.
Seznam neopakovatelných identifikátorů souboru lze aktualizovat následujícími způsoby:
Jakmile do sítě přidáte klientské počítače, můžete chtít znovu testovat konfigurace uzamčení celého systému. Nové klienty můžete přesunout do samostatné skupiny či testovací sítě a zakázat uzamčení systému. Také můžete ponechat uzamčení systému povolené a spustit konfiguraci v režimu pouze s protokolováním. Můžete také testovat jednotlivé neopakovatelné identifikátory souboru nebo aplikace, jak je popsáno v následujícím kroku.
Krok 8: Otestování vybraných položek před jejich přidáním nebo odebráním při povoleném uzamčení systému
Jakmile je povoleno uzamčení systému, můžete testovat jednotlivé neopakovatelné identifikátory souboru, seznamy názvů aplikací nebo konkrétní aplikace před tím, než je přidáte do konfigurace uzamčení systému nebo je z ní vyjmete.
Seznamy neopakovatelných identifikátorů souboru můžete vyjmout, pokud máte více seznamů a některé z nich nevyužíváte.
Dávejte pozor, jestliže přidáváte nebo vyjímáte seznam neopakovatelných identifikátorů souboru nebo konkrétní aplikaci z uzamčení systému. Přidání a vyjmutí položek z uzamčení systému může být riskantní. Na klientských počítačích můžete blokovat důležité aplikace.
  • Otestujte zvolené položky.
    Použijte možnost
    Před odstraněním testovat
    k označení určitých seznamů neopakovatelných identifikátorů souboru nebo konkrétních aplikací jako neschválených.
    Jakmile spustíte tento test, uzamčení systému se povolí, ale neblokuje žádnou zvolenou aplikaci ani jinou aplikaci ve zvoleném seznamu neopakovatelných identifikátorů souboru. Namísto toho uzamčení systému přihlásí aplikace jako neschválené.
  • Zkontrolujte protokol řízení aplikace.
    Položky protokolu se rovněž zobrazí v protokolu Řízení aplikací. Pokud nejsou pro testované aplikace v protokolu žádné záznamy, znamená to, že vaši klienti tyto aplikace nepoužívají.