安全性
这些设置允许您控制 Workspace Environment Management 中的用户活动。
应用程序安全性
重要:
要控制用户可以运行哪些应用程序,请使用 Windows AppLocker 界面或 Workspace Environment Management。您可以随时在这些方法之间切换,但我们建议您不要同时使用这两种方法。
这些设置允许您通过定义规则控制允许用户运行的应用程序。此功能类似于 Windows AppLocker。
当您使用 Workspace Environment Management 来管理 Windows AppLocker 规则时,代理将应用程序安全选项卡规则处理(转换)为代理主机上的 Windows AppLocker 规则。如果停止代理处理规则,则这些规则将保留在配置集中,AppLocker 将使用代理处理的最后一组指令继续运行。
应用程序安全性
此选项卡列出了当前 Workspace Environment Management 配置集中的应用程序安全规则。您可以使用“查找”根据文本字符串筛选列表。
在安全性选项卡中选择顶层项目“应用程序安全性”时,以下选项可用于启用或禁用规则处理:
-
处理应用程序安全规则。选中此选项后,将启用应用程序安全性选项卡控件,代理将处理当前配置集中的规则,将它们转换为代理主机上的 AppLocker 规则。如果未选择此选项卡,则禁用应用程序安全性选项卡控件,且代理不会将规则处理到 AppLocker 规则(在这种情况下,AppLocker 规则不会更新。)
注意:
如果在 Windows 7 SP1 或 Windows Server 2008 R2 SP1(或早期版本)上安装了 Workspace Environment Management 管理控制台,则此选项不可用。
-
处理 DLL 规则。如果选择此选项,代理将当前配置集中的 DLL 规则处理为代理主机上的 AppLocker DLL 规则。仅当您选择“处 理应用程序安全规则”时,此选项才可用。
重要:
如果使用 DLL 规则,则必须为所有允许的应用程序使用的每个 DLL 创建具有“允许”权限的 DLL 规则。
小心:
如果您使用 DLL 规则,用户可能会遇到性能下降。发生这种情况是因为 AppLocker 在允许运行之前检查应用程序加载的每个 DLL。
-
“覆盖”和“合并”设置允许您确定代理如何处理应用程序安全规则。
- 覆盖。允许您覆盖现有规则。选择此选项后,上次处理的规则将覆盖之前处理的规则。我们建议您仅将此模式应用于单会话计算机。
- 合并。允许您将规则与现有规则合并。发生冲突时,上次处理的规则将覆盖之前处理的规则。如果在合并期间需要修改规则执行设置,请使用覆盖模式,因为如果合并模式不同,合并模式将保留旧值。
规则集合
规则属于 AppLocker 规则集合。每个集合名称指示其中包含的规则数,例如 (12)。单击集合名称可将规则列表筛选为以下集合之一:
- 可执行规则。包含与应用程序关联的 .exe 和 .com 扩展名的文件的规则。
- Windows 规则。包括控制在客户端计算机和服务器上安装文件的安装程序文件格式(.msi、.msp、.mst)的规则。
- 脚本规则。包含以下格式的文件的规则:.ps1、.bat、.cmd、.vbs、.js。
- 打包规则。包含打包应用程序(也称为通用 Windows 应用)的规则。在打包的应用程序中,应用程序包中的所有文件共享相同的标识。因此,一个规则可以控制整个应用程序。Workspace Environment Management 仅支持打包应用程序的发布者规则。
- DLL 规则。规则,其中包含以下格式的文件:.dll、.ocx。
将规则列表筛选为集合时,规则强制执行选项可用于控制 AppLocker 在代理主机上强制执行该集合中所有规则的方式。可以使用以下规则强制值:
关闭 (默认)。规则被创建并设置为“关闭”,这意味着它们不会应用。
开。创建规则并将其设置为“强制执行”,这意味着它们在代理主机上处于活动状态。
审计。创建规则并设置为“审核”,这意味着它们位于处于非活动状态的代理主机上。当用户运行违反 AppLocker 规则的应用程序时,允许该应用程序运行,并将有关该应用程序的信息添加到 AppLocker 事件日志中。
导入 AppLocker 规则
您可以将从 AppLocker 导出的规则导入到 Workspace Environment Management 中。导入的 Windows AppLocker 设置将添加到“安全”选项卡中的任何现有规则中。任何无效的应用程序安全规则都会自动删除并列在报告对话框中。
-
在功能区中,单击 导入 AppLocker 规则。
-
浏览到从 AppLocker 导出且包含 AppLocker 规则的 XML 文件。
-
单击导入。
这些规则将添加到应用程序安全规则列表中。
添加规则
-
在边栏中选择规则集合名称。例如,要添加可执行规则,请选择“可执行规则”集合。
-
点击 添加规则。
-
在“显示”部分中,键入以下详细信息:
- 名称。规则在规则列表中显示的显示名称。
- 说明。有关资源的其他信息(可选)。
-
在“类型”部分中,单击一个选项:
- 路径。该规则匹配文件路径或文件夹路径。
- 发布者。该规则与选定的发布者匹配。
- 哈希。该规则匹配特定的哈希代码。
-
在 权限 部分中,单击此规则是 允许 还是 拒绝 应用程序运行。
-
要将此规则分配给用户或用户组,请在分配窗格中,选择要将此规则分配给的用户或组。“已分配”列显示已分配用户或组的“检查”图标。
提示:
- 您可以使用通常的 Windows 选择修饰键进行多个选择,或使用“全选”来选择所有行。
- 用户必须已位于“Workspace Environment Management 用户”列表中。
- 您可以在创建规则后分配规则。
-
单击下一步。
-
根据您选择的规则类型,指定规则匹配的条件:
- 路径。指定要匹配的规则的文件路径或文件夹路径。选择文件夹时,该规则将匹配该文件夹内部和下面的所有文件。
- 发布者。指定签名的参考文件,然后使用 Publisher Info 滑块调整属性匹配的级别。
- 哈希。指定一个文件。该规则与文件的哈希代码相匹配。
-
单击下一步。
-
添加您需要的任何例外(可选)。在添加例外中,选择例外类型,然后单击 添加。(您可以根据需要 编辑 和 删除 例外。)
-
若要保存规则,请单击“创建”。
将规则分配给用户
在列表中选择一个或多个规则,然后在工具栏或上下文菜单中单击 编辑 。在编辑器中,选择包含要分配规则的用户和用户组的行,然后单击“确定”。您还可以使用“全选”来清除所有选 择内容,从所有 人取消分配所选规则。
注意:如果选择多个规则并单击“编辑”,则这些规则的任何规则分配更改都将应用于您选择的所有用户和用户组。换句话说,现有的规则分配会在这些规则之间进行合并。
添加默认规则
单击 添加默认规则。一组 AppLocker 默认规则将添加到列表中。
编辑规则
在列表中选择一个或多个规则,然后在工具栏或上下文菜单中单击 编辑 。随即出现编辑器,允许您调整适用于所做选择的设置。
删除规则
在列表中选择一个或多个规则,然后在工具栏或上下文菜单中单击 删除 。
备份应用程序安全规则
您可以备份当前配置集中的所有应用程序安全规则。规则全部导出为单个 XML 文件。您可以使用“还原”将规则还原到任何配置集。 在功能区中,单击 备份 ,然后选择 安全设置。
恢复应用程序安全规则
您可以从“Workspace Environment Management”备份命令创建的 XML 文件中恢复应用程序安全规则。还原过程将用备份中的这些规则替换当前配置集中的规则。切换到或刷新“安全”选项卡时,会检测到任何无效的应用程序安全规则。无效规则将自动删除,并在报告对话框中列出,您可以导出该对话框。
在还原过程中,您可以选择是否要将规则分配还原到当前配置集中的用户和用户组。仅当备份的用户/组存在于当前配置集/活动目录中时,重新分配才会成功。任何不匹配的规则都会恢复,但保持未分配状态。恢复后,它们将在报告对话框中列出,您可以将其导出为 CSV 格式。
1. 在功能区中,单击“还原”以启动还原向导。
2. 选择“安全设置”,然后单击“下一步”两次。
3. 在“从文件夹还原”中,浏览到包含备份文件的文件夹。
4. 选择 AppLocker 规则设置,然后单击下一步。
5. 确认是否要恢复规则分配:
是。恢复规则并将其重新分配给当前配置集中的相同用户和用户组。
否。恢复规则并将其保留为未分配。
6. 要开始还原,请单击“还原设置”。
流程管理
这些设置允许您将特定进程添加到允许列表或阻止列表中。
流程管理
启用流程管理。切换允许列表或阻止列表上的进程是否生效。如果禁用,则不考虑“处理黑名单”和“处理白名单”选项卡上的任何设置。
注意:
仅当会话代理在用户的会话中运行时,此选项才有效。为此,请使用 主配置 代理设置将 启动代理 选项(在登录/在重新连接/对于管理员)设置为根据用户/会话类型启动,然后将代理类型 设置为“UI”。 高级设置中介绍了这些选项。
进程阻止列表
通过这些设置,您可以将特定进程添加到阻止列表中。
启用进程黑名单。启用对阻止列表中的进程的处理。您必须使用其可执行文件名称(例如 cmd.exe)来添加进程。
排除本地管理员。不包括本地管理员帐户。
排除指定的组。允许您排除特定的用户组。
处理允许列表
通过这些设置,您可以将特定进程添加到允许列表中。进程阻止列表和进程允许列表是互斥的。
启用进程白名单。启用对允许列表中的进程的处理。您必须使用其可执行文件名称(例如 cmd.exe)来添加进程。注意 如果启用,“启用进程白名单”会自动将不在允许列表中的所有进程添加到阻止列表中。
排除本地管理员。不包括本地管理员帐户(他们能够运行所有进程)。
排除指定的组。允许您排除特定的用户组(他们能够运行所有进程)。
权限提升
注意:
此功能不适用于 Citrix Virtual Apps。
通过权限提升功能,您可以将非管理员用户的权限提升到某些可执行文件所需的管理员级别。因此,用户可以像他们是管理员组的成员一样启动这些可执行文件。
权限提升
在“安全”中选择“权限提升”窗格时,将显示以下选项:
-
处理权限提升设置。控制是否启用特权提升功能。选中此选项后,客户端可以处理权限提升设置,权 限提升 选项卡上的其他选项将变为可用。
-
不要应用于 Windows 服务器操作系统。控制是否将权限提升设置应用于 Windows Server 操作系统。如果选择此选项,则分配给用户的规则在 Windows Server 计算机上不起作用。默认选择此选项。
-
强制执行 RunAsInvoker。控制是否强制在当前 Windows 帐户下运行所有可执行文件。如果选择此选项,则不会提示用户以管理员身份运行可执行文
此选项卡还显示您已配置的规则的完整列表。单击 可执行规则 或 Windows 安装程序规则以将规 则列表筛选为特定规则类型。您可以使用“查找”来筛选列表。“已分配”列显示已分配的用户或用户组的复选标记图标。
支持的规则
您可以使用两种类型的规则来应用权限提升:可执行规则和 Windows 安装程序规则。
-
可执行规则。包括与应用程序关联的扩展名为 .exe 和 .com 扩展名的文件的规则。
-
Windows 安装程序规则。包含与应用程序关联的安装程序文件 with.msi 和 .msp 扩展名的规则。添加 Windows 安装程序规则时,请记住以下情况:
- 特权提升仅适用于微软的 msiexec.exe。确保用于部署
.msi和.mspWindows 安装程序文件的工具为 msiexec.exe。 - 假设一个进程与指定的 Windows 安装程序规则匹配,其父进程与指定的可执行规则匹配。除非在指定的可执行规则中启用了“应用于子进程”设置,否则进程无法获得提升的权限。
- 特权提升仅适用于微软的 msiexec.exe。确保用于部署
单击“可 执行规则”或“Windows 安装程序规则”选项卡后,“操作”部分将显示以下可供您使用的操作:
-
编辑。允许您编辑现有的可执行规则。
-
删除。允许您删除现有的可执行规则。
-
添加规则。允许您添加可执行规则。
添加规则
-
导航到 可执行规则 或 Windows 安装程序规则 ,然后单击 添加规则。此时将显示 添加规则 窗口。
-
在“显示”部分中,键入以下内容:
- 名称。键入规则的显示名称。该名称将显示在规则列表中。
- 说明。键入有关规则的其他信息。
-
在“类型”部分中,选择一个选项。
- 路径。该规则与文件路径匹配。
- 发布者。该规则与选定的发布者匹配。
- 哈希。该规则匹配特定的哈希代码。
-
如果需要,在“设置”**部分中,配置以下内容:
-
应用于子进程。如果选择此选项,则将规则应用于可执行文件启动的所有子进程。要更精细地管理权限提升,请使用以下选项:
- 仅适用于同一文件夹中的可执行文件。如果选中,则仅将规则应用于共享同一文件夹的可执行文件。
- 仅适用于已签名的可执行文件。如果选中,则仅将规则应用于已签名的可执行文件。
- 仅适用于同一发布者的可执行文件。如果选中,则仅将规则应用于共享相同发布者信息的可执行文件。此设置不适用于通用 Windows 平台 (UWP) 应用程序。
注意:
添加 Windows 安装规则时,默认情况下,“应用于子进程”设置处 于启用状态,您无法对其进行编辑。
-
开始时间。允许您指定代理开始应用规则的时间。时间格式为 HH:MM。时间基于座席时区。
-
结束时间。允许您指定代理停止应用规则的时间。时间格式为 HH:MM。从指定的时间开始,代理不再应用该规则。时间基于座席时区。
-
添加参数。允许您将特权提升限制为与指定参数匹配的可执行文件。该参数用作匹配标准。确保您指定的参数正确无误。 有关如何使用此功能的示例,请参阅使用参数运行的可执行文件。如果此字段为空或仅包含空格,则代理将特权提升应用于相关可执行文件,无论这些文件是否使用参数运行。
-
启用正则表达式。允许您控制是否使用正则表达式进一步扩展标准。
-
-
在“分配”部分中,选择要向其分配规则的用户或用户组。如果要将规则分配给所有用户和用户组,请选 择全选。
提示:
- 您可以使用通常的 Windows 选择修饰键进行多个选择。
- 用户或用户组必须已在“管理”>“用户”选项卡上显示的列表中。
- 您可以选择稍后(在创建规则之后)分配规则。
-
单击下一步。
-
执行以下任一操作。根据您在上一页中选择的规则类型,需要执行不同的操作。
重要:
WEM 为您提供了一个名为 AppInfoViewer 的工具,用于从可执行文件中获取以下信息以及更多信息:发布者、路径和哈希。如果您希望为要在管理控制台中配置的应用程序提供相关信息,则该工具非常有用。例如,在使用应用程序安全功能时,可以使用该工具从应用程序中提取相关信息。该工具位于代理安装文件夹中。
- 路径。键入要应用规则的文件或文件夹的路径。WEM 代理根据可执行文件路径将规则应用于 可执行文件。
- 发布者。填写以下字段: 发布者、 产品名称、 文件名和 文件版本。您不能将任何字段留空,但可以键入星号 (*)。WEM 代理根据发布者信息应用规则。如果应用,用户可以运行共享相同发布者信息的可执行文件。
- 哈希。单击添加以添加哈希。在“添加哈希”窗口中,键入文件名和哈希值。您可以使用 AppInfoViewer 工具从选定的文件或文件夹中创建哈希值。WEM 代理将规则应用于指定的相同可执行文件。因此,用户可以运行与指定文件相同的可执行文件。
-
单击 创建 保存规则并退出窗口。
带参数运行的可执行文件
您可以将特权提升限制为与指定参数匹配的可执行文件。该参数用作匹配标准。要查看可执行文件的可用参数,请使用进程资源管理器或进程监视器等工具。应用这些工具中显示的参数。
假设您想根据可执行文件路径将规则应用于可执行文件(例如 cmd.exe)。您只想将特权提升应用于 test.bat。您可以使用进程资源管理器获取参数。
在“添加参数”字段中,可以键入以下内容:
/c ""C:\test.bat""
然后在“路径”字段中键入以下内容:
C:\Windows\System32\cmd.exe
在这种情况下,对于 test.bat,只能将指定用户的权限提升到管理员级别。
将规则分配给用户
在列表中选择一个或多个规则,然后单击 操作 部分中的 编辑 。在“编 辑规则”窗口中,选择要向其分配规则的用户或用户组,然后单 击“确定”。
删除规则
在列表中选择一个或多个规则,然后单击 操作 部分中的 删除 。
备份特权提升规则
您可以备份当前配置集中的所有权限提升规则。所有规则都导出为单个 XML 文件。您可以使用“还原”将规则还原到任何配置集。
要完成备份,请使用功能区中提供的 备份 向导。有关使用备份向导的详细信息,请参阅功能区。
恢复特权提升规则
您可以从通过 Workspace Environment Management 备份向导导出的 XML 文件中还原权限提升规则。还原过程将用备份中的这些规则替换当前配置集中的规则。切换到或刷新“安全”>“权限提升”窗格时,将检测到任何无效的权限提升规则。无效的规则将自动删除并列在您可以导出的报告中。有关使用还原向导的详细信息,请参阅功能区。
自我提升
通过自我提升,您可以为某些用户自动提升权限,而无需事先提供确切的可执行文件。这些用户只需右键单击该文件,然后在上下文菜单中选择以管理员权限运行,即可请求对任何适用文件进行自我提升。之后,会出现一个提示,要求他们提供提升的原因。WEM 工程师未验证原因。提升的原因将保存到数据库中以供审核。如果满足条件,则会应用提升,并使用管理员权限成功运行文件。
该功能还使您可以灵活地选择最适合自己需求的解决方案。您可以为允许用户自行提升的文件创建允许列表,也可以为希望阻止用户自行提升的文件创建阻止列表。
自提升适用于以下格式的文件:.exe、.msi、.bat、.cmd、.ps1 和 .vbs。
注意:
默认情况下,某些应用程序用于运行某些文件。例如,cmd.exe 用于运行 .cmd 文件,powershell.exe 用于运行 .ps1 文件。在这些情况下,您无法更改默认行为。
选择“安全性”>“自我提升”时,将显示以下选项:
-
启用自我提升。控制是否启用自提升功能。选择该选项可以:
- 使客户端能够处理自我提升设置。
- 使 自行提升 选项卡上的其他选项可用。
- 当用户右键单击文件时,使上下文菜单中的“以 管理员权限运 行”选项可用。因此,用户可以为符合您在自行提升选项卡上指定的条件的文件请求 自我提升 。
-
权限。允许您为允许用户自行提升的文件创建允许列表,或为要阻止用户自行提升的文件创建阻止列表。
- 允许。为允许用户自行提升的文件创建允许列表。
- 拒绝。为要防止用户自行提升的文件创建阻止列表。
-
您可以执行以下操作:
- 编辑。用于编辑现有条件。
- 删除。允许您删除现有条件。
- 添加。允许您添加条件。您可以根据路径、选定的发布者或特定哈希码创建条件。
-
设置。允许您配置控制客户端应用自我提升方式的其他设置。
- 应用于子进程。如果选中,将自提升条件应用于文件启动的所有子进程。
- 开始时间。允许您指定代理开始应用自我提升条件的时间。时间格式为 HH:MM。时间基于座席时区。
- 结束时间。允许您指定代理停止应用自我提升条件的时间。时间格式为 HH:MM。从指定的时间起,工程师将不再应用这些条件。时间基于座席时区。
-
分配。允许您将自我提升条件分配给适用的用户或用户组。要将条件分配给所有用户和用户组,请单击全选或选择所有人。在要清除 所选 内容并重新选择用户和用户组的情况下,选择全部复选框非常有用。
审计特权提升活动
WEM 支持与权限提升相关的审计活动。要查看审计,请转到 管理 > 日志记录 > 代理 选项卡。在选项卡上,配置日志记录设置,在 操作字段中选择 EXE 高程控制、MSI 提升控制或自助提升控制,然后单击应用过滤器将日志范围缩小到特定活动。您可以查看权限提升的完整历史记录。
