Konfigurowanie blokady systemu

Blokada systemu kontroluje aplikacje w grupie komputerów klienckich, blokując niezatwierdzone aplikacje. Można skonfigurować blokadę systemu, aby zezwalać tylko na aplikacje znajdujące się na określonej liście. Lista dozwolonych aplikacji (lista dozwolonych) zawiera wszystkie zatwierdzone aplikacje. Wszystkie inne aplikacje są blokowane na komputerach klienckich. Można też skonfigurować blokadę systemu, aby blokować tylko aplikacje znajdujące się na określonej liście. Lista niedozwolonych aplikacji (lista niedozwolonych) zawiera wszystkie niezatwierdzone aplikacje; wszelkie inne aplikacje są dozwolone na komputerach klienckich.
Wszystkie aplikacje, na które zezwala blokada systemu, podlegają innym funkcjom ochrony w programie
Symantec Endpoint Protection
.
Lista dozwolonych lub niedozwolonych może zawierać listy niepowtarzalnych identyfikatorów plików i określone nazwy aplikacji. Lista niepowtarzalnych identyfikatorów plików to lista sum kontrolnych plików i ich lokalizacji na komputerze.
Za pomocą zasady kontroli aplikacji i urządzeń można kontrolować określone aplikacje zamiast lub dodatkowo do blokady systemu.
Blokadę systemu należy skonfigurować dla każdej grupy lub lokalizacji w sieci.
Kroki konfigurowania blokady systemu
Działanie
Opis
Krok 1: Utworzenie list niepowtarzalnych identyfikatorów plików
Można utworzyć listę niepowtarzalnych identyfikatorów plików, zawierającą aplikacje, których uruchamianie na komputerach klienckich jest dozwolone lub niedozwolone. Można dodać plik z listą niepowtarzalnych identyfikatorów do listy dozwolonych i niedozwolonych w blokadach systemu.
Po uruchomieniu blokady systemu potrzebna jest lista odcisków palców plików zawierająca aplikacje dla wszystkich klientów, które mają być dozwolone lub zablokowane. Przykład: środowisko zawiera komputery klienckie z 32-bitowym i 64-bitowym systemem Windows 8.1 oraz 64-bitowym systemem Windows 10. Można utworzyć listę niepowtarzalnych identyfikatorów plików dla każdego obrazu klienta.
Listę niepowtarzalnych identyfikatorów plików można utworzyć na następujące sposoby:
  • Program
    Symantec Endpoint Protection
    zawiera narzędzie checksum, umożliwiające utworzenie listy niepowtarzalnych identyfikatorów plików. Narzędzie to jest instalowane na komputerze klienckim wraz z programem
    Symantec Endpoint Protection
    .
    Za pomocą narzędzia można utworzyć sumę kontrolną określonej aplikacji lub wszystkich aplikacji w określonej ścieżce. Tą metodą należy wygenerować niepowtarzalne identyfikatory plików wykorzystywane do uruchamiania blokady systemu w trybie odmowy.
  • Za pomocą polecenia Utwórz listę niepowtarzalnych identyfikatorów plików można utworzyć listę niepowtarzalnych identyfikatorów plików na jednym komputerze lub na małej grupie komputerów.
    Polecenie
    Utwórz listę niepowtarzalnych identyfikatorów plików
    można uruchomić z konsoli. Za pomocą tego polecenia można utworzyć listę niepowtarzalnych identyfikatorów plików zawierającą każdą aplikację na wybranych komputerach. Polecenie można uruchomić na przykład na komputerze z zainstalowanym złotym obrazem systemu. Tę metodę należy stosować do uruchamiania blokady systemu w trybie zezwalania. Należy pamiętać, że listy niepowtarzalnych identyfikatorów plików utworzonych za pomocą polecenia nie można modyfikować. Ponowne uruchomienie polecenia powoduje automatyczną aktualizację tej listy.
  • Listę niepowtarzalnych identyfikatorów plików można utworzyć za pomocą narzędzia kontrolnego innej firmy.
Jeśli w sieci uruchomiony zostanie program
Symantec EDR
, wyświetlane mogą być listy niepowtarzalnych identyfikatorów plików z programu
Symantec EDR
.
Krok 2: Zaimportowanie listy niepowtarzalnych identyfikatorów plików do programu
program Symantec Endpoint Protection Manager
Aby możliwe było użycie listy niepowtarzalnych identyfikatorów plików w konfiguracji blokady systemu, lista musi być dostępna w programie
program Symantec Endpoint Protection Manager
.
Listy niepowtarzalnych identyfikatorów plików utworzone za pomocą narzędzia kontrolnego należy ręcznie zaimportować do programu
program Symantec Endpoint Protection Manager
.
Listy niepowtarzalnych identyfikatorów plików utworzone za pomocą polecenia
Utwórz listę niepowtarzalnych identyfikatorów plików
są automatycznie dostępne w konsoli programu
program Symantec Endpoint Protection Manager
.
Można również wyeksportować istniejące listy niepowtarzalnych identyfikatorów plików z programu
program Symantec Endpoint Protection Manager
.
Krok 3: Utworzenie list nazw aplikacji zatwierdzonych lub niezatwierdzonych
Za pomocą dowolnego edytora tekstów można utworzyć plik tekstowy zawierający nazwy plików aplikacji, które mają być zezwolone lub blokowane. W odróżnieniu od list niepowtarzalnych identyfikatorów plików, te pliki można zaimportować bezpośrednio do konfiguracji blokady systemu. Po zaimportowaniu plików aplikacje są wyświetlane jako oddzielne wpisy w konfiguracji blokady systemu.
Można też ręcznie wprowadzić poszczególne nazwy aplikacji w konfiguracji blokady systemu.
Duża liczba nazwanych aplikacji może negatywnie wpływać na wydajność komputera klienckiego, gdy blokada systemu jest włączona w trybie odmowy.
Krok 4: Skonfigurowanie i przetestowanie konfiguracji blokady systemu
W trybie testowym blokada systemu jest wyłączona i nie blokuje żadnych aplikacji. Wszystkie niezatwierdzone aplikacje są rejestrowane, ale nie blokowane. Opcja
Rejestruj niezatwierdzone aplikacje
w oknie dialogowym
Blokada systemu
umożliwia przetestowanie całej konfiguracji blokady systemu.
Aby skonfigurować i uruchomić testowanie, wykonaj następujące kroki:
  • Dodaj listy niepowtarzalnych identyfikatorów plików do konfiguracji blokady systemu.
    W trybie zezwalania niepowtarzalne identyfikatory plików reprezentują zatwierdzone aplikacje. W trybie odmowy niepowtarzalne identyfikatory plików reprezentują niezatwierdzone aplikacje.
  • Dodaj nazwy poszczególnych aplikacji lub zaimportuj listy nazw aplikacji do konfiguracji blokady systemu.
    Listę nazw aplikacji można zaimportować, zamiast wprowadzać poszczególne nazwy w konfiguracji blokady systemu. W trybie zezwalania lista zawiera zatwierdzone aplikacje. W trybie odmowy lista zawiera niezatwierdzone aplikacje.
  • Uruchom test na pewien czas.
    Blokadę systemu należy uruchomić w trybie testowym na czas wystarczający do uruchomienia na klientach zwykle uruchamianych aplikacji. Zazwyczaj wystarczy na to tydzień.
Krok 5: Wyświetlenie niezatwierdzonych aplikacji i ewentualna modyfikacja konfiguracji blokady systemu
Po testowaniu blokady systemu przez pewien czas można sprawdzić listę niezatwierdzonych aplikacji. Listę niezatwierdzonych aplikacji można wyświetlić, sprawdzając stan w oknie dialogowym
Blokada systemu
.
Zarejestrowane zdarzenia są również wyświetlane w dzienniku kontroli aplikacji.
Można zadecydować, czy należy dodać więcej aplikacji do listy niepowtarzalnych identyfikatorów plików lub do listy aplikacji. Można też w razie potrzeby dodać lub usunąć listy niepowtarzalnych identyfikatorów plików albo nazw aplikacji przed włączeniem blokady systemu.
Krok 6: Włączenie blokady systemu
Domyślnie blokada systemu działa w trybie zezwalania. Można skonfigurować również jej działanie w trybie odmowy.
W razie włączenia blokady systemu w trybie zezwalania blokowane są wszystkie aplikacje spoza listy zatwierdzonych aplikacji. W razie włączenia blokady systemu w trybie odmowy blokowane są wszystkie aplikacje z listy niezatwierdzonych aplikacji.
Przed włączeniem blokady systemu należy przetestować konfigurację. W razie zablokowania niezbędnej aplikacji ponowne uruchomienie komputerów klienckich może okazać się niemożliwe.
Krok 7: Aktualizacja list niepowtarzalnych identyfikatorów pliku dla funkcji blokady systemu
Aplikacje uruchamiane w sieci można z czasem zmienić. W razie potrzeby można zaktualizować listy niepowtarzalnych identyfikatorów plików lub usunąć te listy.
Listy niepowtarzalnych identyfikatorów plików można aktualizować na następujące sposoby:
W razie dodania komputerów klienckich do sieci można ponownie przetestować całą konfigurację blokady systemu. Można przenieść nowych klientów do oddzielnej grupy lub sieci testowej oraz wyłączyć blokadę systemu. Można też pozostawić blokadę systemu włączoną i uruchomić konfigurację w trybie jedynie rejestrowania. Ponadto można testować poszczególne niepowtarzalne identyfikatory plików lub aplikacje zgodnie z opisem w następnym kroku.
Krok 8: Testowanie wybranych elementów przed ich dodaniem lub usunięciem, gdy włączona jest blokada systemu
Po włączeniu blokady systemu można przetestować poszczególne niepowtarzalne identyfikatory plików, listy nazw aplikacji lub określone aplikacje przed ich dodaniem lub usunięciem z konfiguracji blokady systemu.
Listy niepowtarzalnych identyfikatorów plików można usunąć, jeśli niektóre z wielu list nie są już używane.
Podczas dodawania lub usuwania listy niepowtarzalnych identyfikatorów plików albo określonej aplikacji z blokady systemu należy zachować ostrożność. Dodawanie lub usuwanie elementów z blokady systemu może być ryzykowne. Można zablokować ważne aplikacje na komputerach klienckich.
  • Wybrane elementy należy przetestować.
    Opcja
    Przetestuj przed usunięciem
    umożliwia zarejestrowanie określonych list niepowtarzalnych identyfikatorów plików lub określonych aplikacji jako niezatwierdzonych.
    Podczas tego testu blokada systemu jest włączona, ale nie blokuje żadnych wybranych aplikacji ani żadnych aplikacji z wybranych list niepowtarzalnych identyfikatorów plików. Blokada systemu jedynie rejestruje aplikacje jako niezatwierdzone.
  • Należy sprawdzić dziennik kontroli aplikacji.
    Wpisy dziennika są również rejestrowane w dzienniku kontroli aplikacji. Jeśli dziennik nie zawiera żadnych wpisów testowanych aplikacji, to wiadomo, że klienty nie używają tych aplikacji.