启用应用程序控制

这是趋势科技服务器深度安全防护系统 10 中的新功能。

应用程序控制设计用于简化软件更改管理，即使是管理数千台计算机上的更改，也不会出现业务中断或较高的工作负载。

应用程序控制可检测对可执行文件进行的更改，例如：

• 用户安装不需要的软件
• 新的 PHP 页面、Python 脚本或 Java 应用程序
• 非预设的自动更新
• 零时差勒索软件

一旦检测到更改，您就可以锁定计算机以阻止未授权的软件。

要使用应用程序控制，请执行以下基本步骤：

1. 安装计算机的所有常规软件，包括安装趋势科技服务器深度安全防护系统客户端

2. 打开应用程序控制

   需要 Red Hat Linux 6/7 或 Amazon Linux。未来版本中将加入对其他 Linux 发行版和 Microsoft Windows 的应用程序控制支持。
   代理服务器不受支持，并且在许多拓扑中无法使用。未来版本中将加入代理服务器支持。
3. 监控应用程序控制事件
4. 允许或阻止软件（除非已锁定）
5. 在维护时段期间，允许软件更新

有关更多信息，请参阅：

• 应用程序控制是如何工作的？

打开应用程序控制

要逐步引入应用程序控制，可以一次在一台或几台计算机上启用应用程序控制。

1. 

   安装趋势科技服务器深度安全防护系统客户端 10.0 或更高版本。（应用程序控制不支持无客户端拓扑）。

   还要移除您想阻止的软件，并在缺少常规软件时安装该软件。

   开始之前，请验证当前是否未安装不需要的软件。启用应用程序控制会将所有当前已安装的软件添加到允许规则中，即使该软件不安全或者为恶意软件也如此。如果您不确定安装了什么软件，最安全的方法就是重新安装，然后启用应用程序控制。

   如果计算机的软件经常发生正常更改，则即使未配置维护时段（例如对于开发构建服务器），也不要使用应用程序控制。（或者，也可以启用应用程序控制，但在 DevOps 构建管道中使用 API 以在构建期间启用维护模式。）

   有关详细信息，请参阅在发生太多软件更改后重置应用程序控制。

2. 激活客户端。您可能还需要激活应用程序控制使用授权。

3. 在趋势科技服务器深度安全防护系统管理中心中，转至计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置，请转至“策略”页面并双击要编辑的策略（或者选择策略并单击“详细信息”）。 要更改计算机的设置，请转至“计算机”页面并双击要编辑的计算机（或者选择计算机并单击“详细信息”）。 > 应用程序控制 > 常规。

   选择打开或已继承 (打开)启用应用程序控制引擎。

   如果要对许多相同的计算机应用完全相同的规则集（即使将来也采用这种做法），请使用通过 API 创建的共享规则。
   

4. 如果要在创建允许规则或阻止规则之前自动阻止所有新的或已更改的软件，请选中在显式允许之前阻止无法识别的软件。

   某些软件（例如，Web 托管软件、Microsoft Exchange 和 Oracle PeopleSoft）会更改自己的文件。在这些情况下，选择在显式阻止之前允许无法识别的软件而不应采取完全锁定，以便不会自动阻止软件的自我更改。然后手动为不需要的软件（如果检测到）添加阻止规则。
5. 如果您通过 API 创建了供多台计算机使用的规则集，请选择共享规则集。

6. 单击保存。

   当下次趋势科技服务器深度安全防护系统管理中心与客户端连接时，它会在计算机上启用应用程序控制引擎，并基于当前安装的软件创建初始的本地允许规则或下载共享规则集。所需时间因以下因素而异：

   • 波动信号间隔和双向通信
   • 文件数
   • 计算机的磁盘速度和 CPU 速度（仅限本地规则集）
   • 带宽（仅限共享规则集）
   • 路由器数量、防火墙数量或这两者之间具有有限系统资源的代理服务器的数量（仅限共享规则集）
   • 通过中继部署规则集（仅限共享规则集）
   
   从清单生成共享规则集或初始的本地规则之前，应用程序控制不会允许或阻止软件。
   在趋势科技服务器深度安全防护系统 10.0 GA 及更早版本中，客户端不支持通过代理服务器连接至中继。如果由于代理服务器导致规则集下载失败，或者如果您的客户端要求代理服务器访问中继或管理中心（包括趋势科技服务器深度安全防护系统即服务），那么您必须执行以下操作之一：

   • update agents' software, then configure the proxy
   • 绕过代理服务器
   • 更改应用程序控制规则集中继设置作为解决方法

   当应用程序控制已启用并完成了初始软件清单扫描后：

   • “状态”文本框会显示“打开”或“打开，正在阻止无法识别的软件”。
   • 在计算机上，状态文本框会从“正在生成应用程序控制规则集”更改为“被管理 (联机)”。
   • 事件和报告 > 事件 > 系统事件将记录“已开始生成应用程序控制规则集”和“已完成生成应用程序控制规则集”。（如果您没有看到任何日志，请参阅选择要记录的应用程序控制事件。）

7. 要验证应用程序控制是否正在工作，请将可执行文件复制到计算机，或将执行权限添加到纯文本文件。尝试运行该可执行文件。

   根据无法识别的软件的强制执行设置，应阻止或允许该软件。应用程序控制生成初始允许规则或下载共享规则集后，如果检测到任何更改，该规则或规则集应该会显示在操作选项卡中，并且可用于创建允许规则和阻止规则。根据您的警报配置，您还会在检测到无法识别的软件或应用程序控制阻止软件启动时看到警报。事件应保留直至软件更改不再存在，或者应保留直至最旧的数据已从数据库中清除。

   为测试软件添加允许规则或阻止规则，然后重试。此时，应用程序控制应该会应用您的允许规则或阻止规则。

   如果由于选中了在显式允许之前阻止无法识别的软件且软件无法识别而被意外阻止（或允许），则您可借助应用程序控制事件日志中的原因列查找原因。

如果将来会添加更多计算机，请继续在新计算机上自动启用应用程序控制。如果这些计算机相同，另请参阅重新使用其他计算机上共享的允许或阻止规则。

修补计算机以及更新黄金镜像或推送到生产环境时，请记得启用维护模式，以便将新的或已更改的软件添加到规则集中。有关详细信息，请参阅允许软件更新。

在新计算机上自动启用应用程序控制

1. 如果当前没有可将应用程序控制应用到多台计算机的策略，请遵循打开应用程序控制中的步骤，但在策略选项卡而非“计算机”上进行配置。
2. 转至管理 > 基于事件的任务。

3. 执行以下操作之一：

   • 选择检测到新计算机时触发的现有基于事件的任务的行，然后单击属性，或者
   • 单击新建，创建由客户端启动的激活或已创建计算机触发的新任务。

4. 选择在其中启用应用程序控制的策略。

   当下次趋势科技服务器深度安全防护系统管理中心与客户端连接时，客户端将下载具有其应用程序控制设置的策略。如果使用共享规则集，计算机还必须下载该共享规则集。所需时间因以下因素而异：

   • 波动信号间隔和双向通信
   • 文件数
   • 计算机的磁盘速度和 CPU 速度（仅限本地规则集）
   • 带宽（仅限共享规则集）
   • 路由器数量、防火墙数量或这两者之间具有有限系统资源的代理服务器的数量（仅限共享规则集）
   • 通过中继部署规则集（仅限共享规则集）
   将同一个策略应用到多台计算机时，该策略会应用相同的应用程序控制强制执行设置，但不会应用同一个规则集，除非您选择了一个共享规则集。这意味着：虽然该策略在缺省情况下会在许多计算机上启用应用程序控制，但这些计算机会生成各自的本地规则集。因此您可以意外地在一台计算机允许某个应用程序而在另一台计算机上阻止该应用程序。如果要在所有计算机上一致地阻止或允许软件，您必须创建并应用共享规则集。