啟用系統鎖定前設定和測試系統鎖定架構

一般來說,需要在測試模式下執行一周或足夠時間的系統鎖定,以讓用戶端執行其典型的應用程式。在確定系統鎖定設定不會對使用者造成問題後,可以啟用系統鎖定。
在測試模式下執行系統鎖定時,系統鎖定處於停用。系統鎖定不會攔截任何應用程式。而是記錄但不攔截未核准的應用程式,以便您可以在啟用系統鎖定前檢閱清單。可以檢閱「控制」日誌中的日誌項目。也可以在「
系統鎖定
」對話方塊中檢閱未核准的應用程式。
也可以建立防火牆規則,以允許用戶端上已核准的應用程式。
若要啟用系統鎖定前設定和測試系統鎖定架構,請執行下列動作:
  1. 在主控台中,按下「
    用戶端
    」,然後在「
    用戶端
    」下方找到要設定系統鎖定的群組。
  2. 在「
    政策
    」標籤上,按下「
    系統鎖定
    」。
  3. 按下「
    記錄未核准的應用程式
    」,以便在測試模式下執行系統鎖定。
    此選項會記錄用戶端目前正在執行的未核准的應用程式。
  4. 選取「
    允許模式
    」或「
    拒絕模式
    」。
    這些選項是從 14.3 RU1 中的「
    許可清單模式
    」或「
    黑名單模式
    」變更而來的。
  5. 在「
    應用程式檔案清單
    」的「
    檔案指紋清單
    」下,新增或移除檔案指紋清單。
    若要新增清單,該清單必須在
    Symantec Endpoint Protection Manager
    中可供使用。
  6. 若要新增應用程式名稱清單,請在「
    應用程式檔案清單
    」的「
    檔案名稱
    」下,按下「
    匯入
    」。
    指定要匯入的應用程式名稱清單,然後按下「
    匯入
    」。清單中的應用程式以個別項目的形式出現在系統鎖定架構中。
    應用程式名稱清單必須是指定檔案名稱、測試模式和比對模式的文字檔案。
  7. 若要新增個別應用程式,請在「
    應用程式檔案清單
    」的「
    檔案名稱
    」下,按下「
    新增
    」。
  8. 在「
    新增檔案定義
    」對話方塊中,指定檔案 (.exe 或 .dll) 的完整路徑名稱。
    可以使用標準字串或規則運算式語法來指定名稱。名稱可以包括萬用字元 (* 代表任意字元,? 代表單一字元)。名稱也可以包括環境變數,例如 %ProgramFiles% 代表程式檔案目錄的位置,而 %windir% 代表 Windows 安裝目錄的位置。
  9. 預設會保持選取「
    使用萬用字元比對 (支援 * 和 ?)
    」﹐如果檔案名稱使用了規則運算式﹐則按下「
    使用規則運算式比對
    」。
  10. 如果您只想在該檔案在特定磁碟機類型上執行時允許它,請按下「
    僅比對下列磁碟機類型內的檔案
    」。
    取消選取不要包含的磁碟機類型。根據預設會選取所有磁碟機類型。
  11. 如果您希望依照裝置 ID 類型進行比對﹐請選取「
    僅比對下列裝置 ID 類型的檔案
    」,然後按下「
    選取
    」。
  12. 在清單中按下需要的裝置,然後按下「
    確定
    」。
  13. 按下「
    確定
    」開始測試。
一段時間後,便可以檢視未核准的應用程式清單。如果重新開啟「
用於
群組名稱
的系統鎖定
」對話方塊,可以查看測試的執行時間。
若要檢視測試已記錄但沒有攔截的未核准的應用程式,請執行下列動作:
  1. 在「
    用於
    群組名稱
    的系統鎖定
    」對話方塊中,按一下「
    檢視未核准的應用程式
    」。
  2. 在「
    未核准的應用程式
    」對話方塊中,檢視應用程式。
    這個清單包含應用程式執行的時間、電腦的主機名稱、用戶端的使用者名稱,以及執行檔檔名等資訊。
  3. 決定要處理未核准應用程式的方式。
    若是允許模式,則可以將要允許的應用程式名稱新增至核准的應用程式清單。若是拒絕模式,則可以移除要允許的應用程式的名稱。
  4. 如果變更了檔案指紋清單或個別應用程式,並且想要重新執行測試,請在「
    未核准的應用程式
    」對話方塊中,按下「
    重設測試
    」。否則,按下「
    關閉
    」。
  5. 完成測試後,便可以啟用系統鎖定。