桌面云应用管控说明及配置
功能说明:
标准版本VDI5.3.2开始支持应用管控功能;设备上内置了应用规则库也可以自定义规则库,应用控制黑白名单来控制虚拟机应用运行情况。
黑名单:通过规则配置禁止指定应用在虚拟机中运行
白名单:通过规则配置允许指定应用在虚拟机中运行
注意事项:
1、该功能仅支持独享桌面资源(不能限制应用程序下载)
2、仅支持Windows 7/10(旗舰版、企业版);标准版本VDI5.5.3开始支持windows11企业版
3、已经启动的软件无法被应用管控策略限制;
4、为了保证sangfor产品及Windows系统的可用性,本功能限制了配置sangfor产品目录、sangfor签名和Windows目录的规则;
5、产品信息规则下,推荐使用进程名称作为规则识别条件,如使用发布者名称作为识别条件,可能导致其他Windows程序也无法运行;
6、若第三方应用不规范,例如不同的产品使用了相同的特征,无法通过发布者特征来区别,则可通过采用应用特征码规则或路径规则进行限制;
7、“仅允许以下应用程序”为强管控,配置后除了sangfor产品、Windows必需软件和配置的软件外,其他软件均无法运行;
8、应用特征码与应用程序文件对应,相同软件下不同版本的应用程序文件的应用特征码不同,所以不同版本的应用如果使用应用特征码管控需创建多个应用特征码规则,或选取其他规则创建方式;
9、加入域的虚拟机在VDC上配置了对某软件的应用管控规则,若同时也在AD域上配置了针对该软件的应用管控,则会产生冲突,冲突结果分析如下
功能原理:应用管控功能对运行软件的限制是通过Windows 7以上系统提供的应用程序控制策略(AppLoker)来实现的;桌面云上VDC控制台上策略组配置应用管控规则,并且关联给用户;用户在登录虚拟机后,应用管控规则将下发到虚拟机中并且自动添加到可执行规则中,后续将由AppLoker根据可执行规则来实现对对应用程序的管理和控制;AppLocker即“应用程序控制策略”,是Windows系统中新增加的一项安全功能。以win7为例,可以在搜索栏搜索本地安全策略----点进去后找到----应用程序控制策略----就可以看到AppLoker功能及相关说明,如图
AppLoker主要是根据应用程序的某些特征来识别和控制应用程序的运行;目前应用管控功能主要使用了AppLoker三种主要识别方式,即可执行规则的配置方式;根据应用程序的发布者信息进行识别,发布者信息主要包括当前应用程序证书签名者、应用程序文件属性中的产品名和文件名;例如右键打开桌面上EV录屏软件属性----进去打开文件位置----右键属性进去,就可以查看EV录屏软件数据签名和详细信息中看到这个应用程序文件的特征
配置步骤:(这里就演示下管控百度网盘)
1、登录VDC控制台,在【桌面云设置(低版本是 VDI 设置)】----【应用规则管理库】----新建【应用特征码规则】,如果有提示需要下载插件,按提示下载安装后在操作即可(安装插件不需要重启),(如果没有提示看步骤2)
2、点击获取----会进入本地文件---找到需要管控应用(应用需提前下载好)然后打开会有一个识别应用特征动作这里需要等会(很快的)获取到后填写名称然后描述点确定
3、确定后可以在规则里看到刚刚配置的
4、在【桌面云设置(低版本是 VDI 设置)】----【策略管理】----【策略组】页面新建策略----配置基础属性----策略选项----应用管控----勾选启用(禁止以下应用程序)----添加----自定义规则库----选刚刚配置的百度网盘----确定保存
5、可以看到有这个策略了,这里可以先点立即生效也可以去用户管理里配置引用策略后在一起点,这里先不点了
6、用户管理进去,找到需要管控用户(这里以jy用户做演示),点进去可能会有遇到下面情况,策略组灰色改不了(如果没有是可以配置的看步骤9)
7、这个需要返回这个用户所在组去看下配置,可以看到极域用户组这里是有勾选了强制继承,取消下这个强制继承,点保存后返回需要配置用户,进去可以看到还是灰色,这里因为勾选了继承所属组策略,把这个勾选去掉即可,然后配置所需要策略点保存,记得这里配置完了点右上方的立即生效
8、至此VDC上配置结束,下面终端接入限制用户演示效果
9、如何登录过程省略直接进环境演示,找到管控软件安装测试,可以看到是有报错的,进策略组(这里正常情况是打不开的这里是做了放开)看也是能看到VDC上下发策略的,测试未被管控应用可正常打开(附件有限制后安装演示对比视频)