設定系統鎖定

系統鎖定透過攔截未核准的應用程式來控制一組用戶端電腦上的應用程式。您可以設定系統鎖定以允許指定清單上僅有的應用程式。許可清單 (白名單) 包括所有已核准的應用程式;任何其他應用程式則會在用戶端電腦上遭到攔截。或者,可以設定系統鎖定以僅攔截指定清單上的應用程式。拒絕清單 (黑名單) 包括所有未核准的應用程式;用戶端電腦上被允許的任何其他應用程式。
系統鎖定允許的所有應用程式受
Symantec Endpoint Protection
中的其他保護功能支配。
許可清單或拒絕清單可包括檔案指紋清單和特定的應用程式名稱。檔案指紋清單是檔案總和檢查碼和電腦路徑位置的清單。
您可以使用「應用程式與裝置控制」政策而不使用系統鎖定來控制特定的應用程式,也可以既使用「應用程式與裝置控制」政策又使用系統鎖定。
您需要針對網路中的每個群組或位置設定系統鎖定。
系統鎖定步驟
動作
說明
步驟 1:建立檔案指紋清單
您可以建立一個檔案指紋清單,其中包含允許或不允許在用戶端電腦上執行的應用程式。將檔案指紋清單新增到系統鎖定中的許可清單及拒絕清單。
執行系統鎖定時,您需要一個檔案指紋清單,包括您想要允許或攔截之所有用戶端的應用程式。例如﹐您的網路可能包括 Windows 8.1 32 位元及 64 位元用戶端,以及 Windows 10 64 位元用戶端。您可以為每個用戶端影像建立檔案指紋清單。
您可透過下列方法建立檔案指紋清單:
  • Symantec Endpoint Protection
    提供了一個可建立檔案指紋清單的總和檢查碼公用程式。此公用程式會隨
    Symantec Endpoint Protection
    一起安裝在用戶端電腦上。
    使用此公用程式在指定路徑中建立特定應用程式或所有應用程式的總和檢查碼。使用此方法產生在拒絕模式下執行系統鎖定時使用的檔案指紋。
  • 使用「收集檔案指紋清單」指令,在單一電腦或一小群電腦上建立檔案指紋清單。
    您可以從主控台執行「
    收集檔案指紋清單
    」指令。指令會收集包含目標電腦上每個應用程式的檔案指紋清單。例如,您可能會在執行金影像的電腦上執行指令。在允許模式下執行系統鎖定時,您可以使用此方法。請注意,您使用此指令產生的檔案指紋清單無法修改。重新執行此指令時,檔案指紋清單會自動更新。
  • 使用任何第三方總和檢查碼公用程式來建立檔案指紋清單。
如果您在網路中執行
Symantec EDR
,您可能會從
Symantec EDR
看到檔案指紋清單。
步驟 2:將檔案指紋清單匯入
Symantec Endpoint Protection Manager
Symantec Endpoint Protection Manager
必須提供清單,您才能在系統鎖定架構中使用檔案指紋清單。
使用總和檢查碼工具建立檔案指紋清單時,您必須將清單手動匯入
Symantec Endpoint Protection Manager
使用「
收集檔案指紋清單
」指令建立檔案指紋清單時,產生的清單會自動在
Symantec Endpoint Protection Manager
主控台中提供使用。
您也可以從
Symantec Endpoint Protection Manager
匯出現有的檔案指紋清單。
步驟 3:建立已核准或未核准應用程式的應用程式名稱清單
可以使用任意文字編輯器來建立一個文字檔,其中包括要允許或拒絕之應用程式的檔案名稱。與檔案指紋清單不同,可以直接將這些檔案匯入系統鎖定架構。匯入檔案後,應用程式會以個別項目出現在系統鎖定架構中。
也可以在系統鎖定架構中手動輸入個別的應用程式名稱。
當以拒絕模式啟用系統鎖定時,大量的指定應用程式可能會影響用戶端電腦效能。
步驟 4:設定及測試系統鎖定架構
在測試模式下,系統鎖定處於停用且不攔截任何應用程式。所有未核准應用程式都會被記錄,但不會遭到攔截。您可以使用「
系統鎖定
」對話方塊中的「
僅記錄未核准的應用程式
」選項測試整個系統鎖定架構。
若要設定和執行測試,請完成下列步驟:
  • 將檔案指紋清單新增到系統鎖定架構。
    在允許模式下,檔案指紋是已核准的應用程式。在拒絕模式下,檔案指紋是未核准的應用程式。
  • 新增個別應用程式名稱或將應用程式名稱清單匯入系統鎖定架構。
    可以匯入應用程式名稱清單,不用在系統鎖定架構中逐一輸入名稱。在允許模式下,應用程式是已核准的應用程式。在拒絕模式下,應用程式是未核准的應用程式。
  • 執行一段時間的測試。
    在測試模式下執行系統鎖定的時間應夠長﹐以便客戶端執行其平常的應用程式。通常可能是一週的時間範圍。
步驟 5:檢視未核准的應用程式,並視需要修改系統鎖定架構
執行一段時間的測試後,可以檢查未核准的應用程式清單。可以在「
系統鎖定
」對話方塊中檢查狀態,以檢視未核准的應用程式清單。
記錄的事件也會出現在「應用程式控制」日誌中。
可以決定是否新增更多應用程式至檔案指紋或應用程式清單中。啟用系統鎖定之前,也可以視需要新增或移除檔案指紋清單或應用程式。
步驟 6:啟用系統鎖定
系統鎖定預設會在允許模式下執行。您可架構系統鎖定以改在拒絕模式下執行。
當在允許模式下啟用系統鎖定時,會攔截不在核准的應用程式清單上的所有應用程式。當在拒絕模式下啟用系統鎖定時,會攔截在未核准的應用程式清單上的所有應用程式。
確定在啟用系統鎖定之前,已測試您的架構。如果攔截了必要的應用程式﹐用戶端電腦可能無法重新啟動。
步驟 7:更新進行系統鎖定所需的檔案指紋清單
您可能會隨時間變更網路中執行的應用程式。可以根據需要更新或移除檔案指紋清單。
您可以用下列方式更新檔案指紋清單:
在將用戶端電腦新增到網路中後,您可能想要重新測試整個系統鎖定架構。可以將新的用戶端移動到獨立群組或測試網路及停用系統鎖定。或者,您可以保持系統鎖定啟用,並在只記錄模式下執行架構。也可以依照下一個步驟中的描述,測試個別檔案指紋或應用程式。
步驟 8:當系統鎖定啟用後,在新增或移除選取的項目之前對其進行測試
當系統鎖定啟用後,在系統鎖定架構中新增或移除個別檔案指紋、應用程式名稱清單或特定應用程式前,可以對它們進行測試。
如果有許多檔案指紋清單並且其中一部分不再使用,您可能想要移除清單。
從系統鎖定新增或移除檔案指紋清單或特定應用程式時,請小心。從系統鎖定新增或移除項目可能會有風險。可能會攔截用戶端電腦上的重要應用程式。
  • 測試選取項目。
    使用「
    移除前測試
    」,將特定的檔案指紋清單或特定應用程式記錄為未核准。
    執行此測試時,會啟用系統鎖定,但不攔截所選取的任何應用程式,或選取的檔案指紋清單中的任何應用程式。而是系統鎖定將應用程式記錄為未核准。
  • 檢查「應用程式控制」日誌。
    日誌項目會出現在「應用程式控制」日誌中。如果此日誌不包含測試的應用程式項目,則可以確定用戶端未使用這些應用程式。