撤消阻止和允许的软件
这是趋势科技服务器深度安全防护系统 10 中的新功能。
如果基于当前安装的软件重新生成规则,将删除所有现有规则(即使您不想撤消某些规则,这些规则也会被删除)。因此,您通常应执行以下操作之一,而不应重新生成规则:
根据规则集是本地的(应用到一台计算机)还是共享的(应用到多台计算机),当您更改规则时,所做更改可能会影响多台计算机。但是,每个规则是以下属性的特定组合:哈希、文件名、路径和文件大小。因此,如果一个文件具有多个不同的文件名和哈希,您可能需要编辑多个规则中的操作。
如果需要撤消此类复杂更改,或者如果需要撤消由特定人员进行的更改,则使用决策日志(请参阅撤消应用程序控制中的多个新规则和规则更改)可能比逐个编辑规则更快。
更改应用程序控制规则的操作
如果要允许以前阻止的软件(或阻止以前允许的软件),您可以编辑规则中的操作。如果无论将软件安装在哪个位置,该软件的文件名和文件大小都保持不变,则您可以轻松编辑相似规则的操作。
如果需要撤消规则以便应用程序控制不识别该软件(也就是说,删除该规则,而非仅更改其操作),请改为参阅删除单个应用程序控制规则。
- 转至策略 > 通用对象 > 规则 > 应用程序控制规则集。
-
双击以选择包含要更改的规则的规则集。
您不知道规则所属的规则集,但记得对该规则进行更改时的时间或以前对该规则进行的具体更改,则可以使用决策日志查找相关的规则集。 - 在出现的弹出窗口中,转至规则选项卡。
-
如果要将注意力集中于阻止的(或允许的)软件,则在靠近页面顶部的下拉菜单中选择按操作或按路径,以分组相似规则。或者,也可以通过执行搜索来过滤列表。
如果要更改软件文件的操作,但该文件具有多个不同的文件名或路径,则选择按文件名或按路径,以分组相关规则。
- 找到与要允许或阻止的特定软件对应的行。
-
在操作列中,将设置更改为允许或阻止,然后单击确定。
下次客户端与趋势科技服务器深度安全防护系统管理中心连接时,将更新该规则,并且会增加版本号。所需时间因以下因素而异:
撤消应用程序控制中的多个新规则和规则更改
允许或阻止软件会导致出现复杂事务,该事务会创建多个新规则,而这些新规则可能应用到具有不同规则集的多台计算机。
从“操作”选项卡允许或阻止软件时,如果您尚未执行任何其他操作,则页面底部会显示诸如“已阻止 24 个文件”等反馈。如果您尚未执行任何其他操作,则可以通过单击撤消来撤消来该操作。
如果在此之后执行了其他操作,则“撤消”按钮会消失,或者会更改以反映最新的允许规则或阻止规则更改。您仍可以通过使用规则集编辑器删除各个规则或更改其操作来撤消以前的更改。但是,如果您需要执行以下操作:
- 撤消多个规则和规则集更改
- 撤消多个操作
- 撤消其他管理员进行的更改
- 获取更多信息(例如进行更改的用户或进行更改的时间)
- 转至事件和报告 > 事件 > 应用程序控制事件 > 决策日志。
-
如果只想将注意力集中于意外阻止的(或允许的)软件,则在靠近页面顶部的下拉菜单中选择按操作,以分组具有相同操作的规则。或者,也可以通过执行搜索来过滤列表。
还可以搜索由特定管理员帐户更改的规则,或者搜索在特定时间段更改的规则。
-
找到与要撤消的更改对应的行。
如果“文件名”列包含“多个”,请单击预览图标以查看受该更改影响的文件。
如果操作是“全部允许”或“全部阻止”,可能会影响多个路径和多台计算机。如果状态为“已用”,则表明该配置后来发生更改。由于当前不应用较早的决策,因此您不需要撤消已失效的决策。 -
单击撤消。
无法在决策日志中撤消撤消事务。如果以后改变注意,可以改为在“操作”选项卡或规则集编辑器中重新创建更改。“状态”列将更改为“已撤消”,如果您单击“预览”图标,该列将显示一条消息,指示“已恢复该决策的更改”。下次客户端与趋势科技服务器深度安全防护系统管理中心连接时,将更新该规则,并且会增加规则集的版本号。所需时间因以下因素而异:
根据撤消的更改类型:
- 创建规则(“决策起源”列包含“操作”页面)
- 更改其操作(“决策起源”列包含“安全事件”或“规则集编辑器”)
可能不再存在与该软件匹配的规则。如果这样,它会重新显示在操作选项卡上。