零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.3.10
{{sendMatomoQuery("零信任访问控制系统aTrust","程序安装名单")}}

程序安装名单

更新时间:2023-06-15

说明:本功能仅适用于Windows系统。

一、开发本功能的背景

常规情况下,PC上的程序是推荐安装在个人空间的,然后在工作空间运行这个程序即可。

但是存在一些很严格的场景下,程序安装包的下载地址只能在工作空间才能访问,而且管理员设置了策略不允许用户把文件从工作空间导出到个人空间,此时就导致了用户只能在工作空间安装这个程序,如果在工作空间直接安装程序,安装文件会释放在工作空间的磁盘上,就可能会产生以下两方面的问题:

1、在工作空间安装的程序可能会运行异常,极端情况下可能导致Windows系统异常;

2、无痕模式下,用户退出工作空间时,aTrust客户端会把在工作空间使用期间产生的文件包括安装程序时所释放的安装文件给清除掉,从而导致每次进入工作空间时,都要安装一次该程序才能使用。

二、如何解决上述问题

管理员在设备控制台把程序安装包上传到程序安装名单。

其原理为:管理员把程序安装包上传到程序安装名单中后,用户在工作空间安装这个程序时,UEM会把其安装文件释放到个人空间中,这样就等同于在个人空间中安装程序,从而上述问题得到解决。

接下来介绍如何将程序上传到程序安装名单,这里以“360浏览器”为例。

三、控制台如何上传程序安装包到程序安装名单

步骤1,在[UEM/PC应用安全/程序安装名单]中点击<新增>

步骤2,填写程序名称,然后上传程序安装包。

步骤3,选择电脑本地的程序安装包,点击<打开>

步骤4,接下来安装包大小和hash值设备会进行自动计算,点击<保存>即可,至此程序上传到程序安装名单的操作就完成了。

添加完后可以在程序安装名单列表中看到刚才上传的安装包。

四、效果验证

接下来根据两个场景来对比验证程序安装名单的实际效果。

场景一:程序安装包不上传到程序安装名单时,开启无痕模式,并在工作空间中安装程序后,登出aTrust后再重新登录,然后观察工作空间的界面在安装程序前后差异以及工作空间面板在重登aTrust前后的变化(如何导入安装包到工作空间,以及如何配置无痕模式请参考“Windows PC使用场景”的章节内容)。

从上图可看到,安装界面有沙箱的水印和安全空间的角标,代表该操作是在工作空间内的操作。安装完成后可以看到工作空间面板有该程序的快捷方式(在个人空间的桌面是看不到该快捷方式的)。

登出aTrust后重新登录,可以看到该程序的快捷方式已经不见了,在个人空间仍旧无法找到该程序的相关文件。

场景二:将程序安装包上传到程序安装名单,开启无痕模式,并在工作空间中安装程序后,观察程序的安装界面以及安装程序后,程序的快捷方式所在位置和程序文件所在位置。

从上图可知,安装程序界面无水印及工作空间的角标,且安装后程序快捷方式出现在个人空间的桌面,这两点代表这个安装操作实际是在发生在个人空间的操作,因此程序是安装在个人空间的,并且在控制面板卸载页面可以看到该程序的进程。

通过以上两个场景的对比,可以验证该功能的可用性。