更新时间:2023-11-24
功能说明
适用于需对虚拟机内软件使用权限进行管控的场景,该功能主要通过VDC创建配置规则、规则下发给关联用户等步骤,完成应用程序的管控。
前提条件
应用配置规则需要引用VDC应用控制规则库中记录的软件信息来对指定的软件进行控制,管理员在配置应用控制策略前,需保证自己要管控的软件信息已录入VDC的应用控制规则库,录入方法可参考本文档“应用控制规则库”章节。
注意事项
- 该功能仅支持独享桌面资源;
- 仅支持Windows 7 SP1(旗舰版、企业版)、Windows 10(企业版、教育版)和Windows 11(全版本);
- Windows专业版系统由于微软本身限制不支持应用管控功能,Windows 10 2004及以上版本与Windows 11系统可通过打微软补丁并将Application Identity服务设为自动运行以支持。
系统版本 |
补丁号 |
Windows 10 2004-20H2 |
KB5014032、KB5018482 |
Windows 10 21H1及以后 |
KB5018482 |
Windows 11 21H2 |
KB5018483 |
Windows 11 22H2 |
KB5017389 |
- 已经启动的软件无法被应用管控策略限制;
- 为了保证Sangfor产品及Windows系统的可用性,本功能限制了配置Sangfor产品目录、Sangfor签名和Windows目录的规则;
- 产品信息规则下,推荐使用进程名称作为规则识别条件,如使用发布者名称作为识别条件,可能导致其他Windows程序也无法运行;
- 若第三方应用不规范,例如不同的产品使用了相同的特征,无法通过发布者特征来区别,则可通过采用应用特征码规则或路径规则进行限制;
- “仅允许以下应用程序”为强管控,配置后除了sangfor产品、Windows必需软件和配置的软件外,其他软件均无法运行;
- 应用特征码与应用程序文件对应,相同软件下不同版本的应用程序文件的应用特征码不同,所以不同版本的应用如果使用应用特征码管控需创建多个应用特征码规则,或选取其他规则创建方式;
- 加入域的虚拟机在VDC上配置了对某软件的应用管控规则后,若同时也在AD域上配置了针对该软件的应用管控规则,则会产生冲突,冲突结果分析如下。
表1冲突结果分析
VDC管控规则 |
AD域管控规则 |
软件管控结果 |
禁用 |
不禁用 |
禁用 |
禁用 |
禁用 |
禁用 |
不禁用 |
不禁用 |
不禁用 |
不禁用 |
禁用 |
禁用 |
操作步骤
- 登录VDC控制台,进入[策略管理→策略组]界面,编辑需要启用协议加密功能的策略组,在[独享桌面与Windows应用策略/应用控制]标签页下,勾选“启用应用控制”,按实际选择“禁止以下应用程序”或“仅允许以下应用程序”模式;
“禁止以下应用程序”和“仅允许以下应用程序”模式区别如下表所示:
配置项 |
配置说明 |
禁止以下应用程序 |
配置为此模式时,应用管控为黑名单模式,仅被添加到列表中的应用会被禁止运行。 |
仅允许以下应用程序 |
配置为此模式时,应用管控为白名单模式,除了Sangfor产品程序、Windows操作系统必需程序和添加到列表中的应用软件外,其他软件均会被禁止运行。 |
- 点击<编辑>,在【编辑】配置窗口,选择应用控制规则库中的需要进行管控的软件信息后,点击<确定>即可。