測試應用程式控制規則

新增應用程式控制規則後,您應該在自己的網路中測試這些規則。「應用程式控制」政策中使用的規則集若發生架構錯誤,可能會使電腦或伺服器無法運作。用戶端電腦可能會失敗﹐或者與
Symantec Endpoint Protection Manager
之間的通訊可能會遭到攔截。測試好規則後,即可將其套用至您的生產網路。
步驟 1:將規則集設定為測試模式
您可以將模式設定為測試模式來測試規則集。測試模式會建立一個日誌項目,用以指示何時套用規則集中的規則 (實際上並不會套用這些規則)。
預設規則預設會使用生產模式。自訂規則預設會使用測試模式。您應該同時測試預設和自訂規則集。
您可能希望個別測試規則集中的規則。您可以在規則集中啟用或停用規則來測試各個規則。
  1. 將規則集變更為測試模式
  2. 在主控台中開啟「應用程式與裝置控制」政策。
  3. 在「
    應用程式控制政策
    」下方,按下「
    應用程式控制
    」。
  4. 在「
    應用程式控制規則集
    」清單中,針對規則集按下「
    測試/正式
    」欄中的下拉式箭頭,然後按下「
    測試 (只記錄)
    」。
步驟 2:將「應用程式與裝置控制」政策套用至測試網路中的電腦
如果您建立了新的「應用程式與裝置控制」政策,請將此政策套用至測試網路中的用戶端。
步驟 3:監控應用程式控制日誌
規則集在測試模式下執行一段時間後,可檢查日誌是否有任何錯誤。在測試模式和生產模式中,應用程式控制事件均是記錄在
Symantec Endpoint Protection Manager
的應用程式控制日誌中。在用戶端電腦上,應用程式控制和裝置控制事件會顯示在「控制」日誌中。
一項應用程式控制動作可能會顯示有重複或多個日誌項目。例如,explorer.exe 在嘗試複製檔案時,會設定檔案存取遮罩的寫入位元和刪除位元。
Symantec Endpoint Protection
會記錄該事件。如果複製動作因應用程式控制規則攔截這個動作而失敗,explorer.exe 會嘗試僅使用存取遮罩中的刪除位元來複製檔案。
Symantec Endpoint Protection
會針對該複製嘗試記錄另外一個事件。
步驟 4:將規則集變更回生產模式
如果規則如預期般執行,可將規則集模式變更回生產模式。