桌面云应用管控说明及配置(保姆级)
  

对方正在输入 1691

{{ttag.title}}
本帖最后由 对方正在输入 于 2023-6-10 15:23 编辑

桌面云应用管控说明及配置
功能说明
标准版本VDI5.3.2开始支持应用管控功能;设备上内置了应用规则库也可以自定义规则库,应用控制黑白名单来控制虚拟机应用运行情况。
黑名单:通过规则配置禁止指定应用在虚拟机中运行
白名单:通过规则配置允许指定应用在虚拟机中运行
注意事项
1、该功能仅支持独享桌面资源(不能限制应用程序下载
2、仅支持Windows 7/10(旗舰版、企业版);标准版本VDI5.5.3开始支持windows11企业版
3、已经启动的软件无法被应用管控策略限制;
4、为了保证sangfor产品及Windows系统的可用性,本功能限制了配置sangfor产品目录、sangfor签名和Windows目录的规则;
5、产品信息规则下,推荐使用进程名称作为规则识别条件,如使用发布者名称作为识别条件,可能导致其他Windows程序也无法运行;
6、若第三方应用不规范,例如不同的产品使用了相同的特征,无法通过发布者特征来区别,则可通过采用应用特征码规则或路径规则进行限制;
7、“仅允许以下应用程序”为强管控,配置后除了sangfor产品、Windows必需软件和配置的软件外,其他软件均无法运行;
8、应用特征码与应用程序文件对应,相同软件下不同版本的应用程序文件的应用特征码不同,所以不同版本的应用如果使用应用特征码管控需创建多个应用特征码规则,或选取其他规则创建方式;
9、加入域的虚拟机在VDC上配置了对某软件的应用管控规则,若同时也在AD域上配置了针对该软件的应用管控,则会产生冲突,冲突结果分析如下

功能原理:应用管控功能对运行软件的限制是通过Windows 7以上系统提供的应用程序控制策略(AppLoker)来实现的;桌面云上VDC控制台上策略组配置应用管控规则,并且关联给用户;用户在登录虚拟机后,应用管控规则将下发到虚拟机中并且自动添加到可执行规则中,后续将由AppLoker根据可执行规则来实现对对应用程序的管理和控制;AppLocker即“应用程序控制策略”,是Windows系统中新增加的一项安全功能。以win7为例,可以在搜索栏搜索本地安全策略----点进去后找到----应用程序控制策略----就可以看到AppLoker功能及相关说明,如图
AppLoker主要是根据应用程序的某些特征来识别和控制应用程序的运行;目前应用管控功能主要使用了AppLoker三种主要识别方式,即可执行规则的配置方式;根据应用程序的发布者信息进行识别,发布者信息主要包括当前应用程序证书签名者、应用程序文件属性中的产品名和文件名;例如右键打开桌面上EV录屏软件属性----进去打开文件位置----右键属性进去,就可以查看EV录屏软件数据签名和详细信息中看到这个应用程序文件的特征

配置步骤:(这里就演示下管控百度网盘)

1、登录VDC控制台,在【桌面云设置(低版本是 VDI 设置)】----【应用规则管理库】----新建【应用特征码规则】,如果有提示需要下载插件,按提示下载安装后在操作即可(安装插件不需要重启),(如果没有提示看步骤2)

2、点击获取----会进入本地文件---找到需要管控应用(应用需提前下载好)然后打开会有一个识别应用特征动作这里需要等会(很快的)获取到后填写名称然后描述点确定

3、确定后可以在规则里看到刚刚配置的

4、在【桌面云设置(低版本是 VDI 设置)】----【策略管理】----【策略组】页面新建策略----配置基础属性----策略选项----应用管控----勾选启用(禁止以下应用程序)----添加----自定义规则库----选刚刚配置的百度网盘----确定保存

5、可以看到有这个策略了,这里可以先点立即生效也可以去用户管理里配置引用策略后在一起点,这里先不点了

6、用户管理进去,找到需要管控用户(这里以jy用户做演示),点进去可能会有遇到下面情况,策略组灰色改不了(如果没有是可以配置的看步骤9)

7、这个需要返回这个用户所在组去看下配置,可以看到极域用户组这里是有勾选了强制继承,取消下这个强制继承,点保存后返回需要配置用户,进去可以看到还是灰色,这里因为勾选了继承所属组策略,把这个勾选去掉即可,然后配置所需要策略点保存,记得这里配置完了点右上方的立即生效

8、至此VDC上配置结束,下面终端接入限制用户演示效果
9、如何登录过程省略直接进环境演示,找到管控软件安装测试,可以看到是有报错的,进策略组(这里正常情况是打不开的这里是做了放开)看也是能看到VDC上下发策略的,测试未被管控应用可正常打开(附件有限制后安装演示对比视频)
ps:如果是有做应用管控终端登录后打开策略是会报被限制(限制原因是不限制用户可以修改管控规则,就可以逃过被管控),这个是正常的,如果需要放开可以参考下https://www.bkqs.com.cn/content/qn0kv5d63.html这里去放开

10、演示结束(不生效排查下一个贴写),有错或需要补充地方可以私信或留言我做下纠正和更新

应用管控.rar

1.12 MB, 下载次数: 17

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

dhf 发表于 2023-8-29 10:25
  
每日打卡学习,感谢分享,学习了!!!
飞翔的苹果 发表于 2023-6-13 08:10
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
山东_朱文鑫 发表于 2023-6-10 22:12
  
以感受开关,以感受结尾。这样便使文章前后照应,首尾连贯,同时又使文章主题回环复沓,感染力极强。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
干货满满
每日一问
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
安装部署配置
功能体验
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
排障那些事
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

468
227
32

发帖

粉丝

关注

7
11
24

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

31
34
45

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

YangZhe...

本周分享达人

runner

本周提问达人