10.4 建立安全性規則
裝置的安全性設定透過端點安全性代理程式所套用的安全性規則來控制。安全性規則控制著一系列與安全性相關的功能。您可以根據貴組織的需求,使用全部或其中的部分規則。反惡意程式碼規則需要反惡意程式碼更新授權,並且要求設定反惡意程式碼伺服器。若要使用反惡意程式碼監控功能,還需要執行幾個組態步驟。如需詳細資訊,請參閱《ZENworks Endpoint Security Antimalware Reference》(ZENworks Endpoint Security 反惡意程式碼參考)。
|
規則 |
用途 |
|
|---|---|---|
|
|
反惡意程式碼執行 |
安裝反惡意程式碼代理程式並設定基礎的存取時和隨選掃描,以保護受管理裝置免遭惡意程式碼威脅。由於它是基礎規則並且會安裝代理程式,因此必須在指定和執行任何選擇性規則 (自訂掃描規則、網路掃描規則以及掃描排除項規則) 之前,將其指定給裝置。 |
|
|
反惡意程式碼自訂掃描 |
除了反惡意程式碼執行規則中已定義的完整掃描和快速掃描外,還可定義和排程本地磁碟機掃描。可用於掃描透過反惡意程式碼執行規則排程的定期掃描可能不會偵測的特定威脅。 |
|
|
反惡意程式碼網路掃描 |
定義和排程僅針對來自網路磁碟機上的檔案執行的掃描。此規則可讓您針對特定裝置上的網路磁碟機執行掃描。例如,您可以使用此規則掃描磁碟陣列中的某個檔案儲存磁碟。必須在此規則中設定用於存取網路檔案的網路身分證明。 |
|
|
反惡意程式碼掃描排除項 |
自訂其他反惡意程式碼規則中已設定的排除項之外的掃描排除項。建立此規則後,您可以為其他三個反惡意程式碼規則中任意一個規則的自訂排除項詳細資料新增「排除項規則」選項。之後,系統會依據「排除項規則」與設定了此選項的反惡意程式碼規則是否具有相同的裝置指派執行該規則。 |
|
|
應用程式控制 |
阻擋應用程式執行,或拒絕應用程式存取網際網路。您可以指定阻擋其執行或拒絕其存取網際網路的應用程式。 |
|
|
通訊硬體 |
停用以下通訊硬體:1394-FireWire、IrDA-Infrared、藍芽、序列/並列埠、撥號、有線及無線。每個通訊硬體均單獨設定,因此您可以停用某些硬體類型 (例如,藍芽與撥號),而讓其他類型仍保留啟用狀態 |
|
|
防火牆 |
透過停用連接埠、通訊協定及網路位址 (IP 與 MAC) 來控制網路連接。 |
|
|
Microsoft 資料加密 |
分別使用 Microsoft BitLocker 和 Microsoft 加密檔案系統 (EFS) 來管理抽取式資料磁碟機和固定磁碟資料夾的加密。 |
|
|
程序檔 |
在裝置上執行程序檔 (JScript 或 VBScript)。您可以指定會使程序檔執行的觸發器。觸發器可以基於端點安全性代理程序動作、位置變更,也可以基於時間間隔。 |
|
|
儲存裝置控制 |
控制對 CD/DVD 磁碟機、軟碟機與抽取式儲存裝置的存取。每個儲存裝置類型均單獨設定,因此您可以停用某些類型而啟用其他類型。 |
|
|
USB 連接性 |
控制對 USB 裝置的存取,例如抽取式儲存裝置、印表機、輸入裝置 (鍵盤、滑鼠等)。您可以指定個別裝置或裝置群組。例如,您可以停用對特定印表機的存取,而啟用對所有 Sandisk USB 裝置的存取。 |
|
|
VPN 強制執行 |
根據裝置的位置執行 VPN 連接。例如,如果裝置的位置不明,您可以執行路由所有網際網路流量的 VPN 連接。 |
|
|
Wi-Fi |
停用無線介面卡、阻擋無線連接、控制與無線存取點的連接等。 |
除上述安全性規則之外,以下兩個安全性規則亦可協助保護及設定端點安全性代理程式。鑒於位置指定規則的特性,我們建議您先建立並指定該規則。
|
規則 |
用途 |
|
|---|---|---|
|
|
安全性設定 |
用於防止端點安全性代理程式遭到篡改或解除安裝。不過,為了向仍在執行 ZENworks 11 或 ZENworks 11 SP1 端點安全性代理程式的裝置提供支援,我們保留了此規則,但其不可與目前版本的端點安全性代理程式配合使用。那些版本的代理程式將繼續使用安全性設定規則。 如需設定版本晚於 ZENworks 11 SP1 的 ZENworks 代理程式安全性設定的資訊,請參閱設定 ZENworks 代理程式安全性。 |
|
|
位置指定 |
為裝置或使用者提供允許之位置的清單。端點安全性代理程式會評估其目前網路環境,以確定其是否與某個允許的位置相符。如果相符,該位置便會成為安全性位置,且代理程式會套用與該位置相關聯的所有安全性規則。如果與清單中的所有位置都不符,則會套用與「不明」位置相關聯的安全性規則。 如果要使用位置規則,應確定位置指定規則已指定給各裝置或使用者。如果某裝置或其使用者沒有指定的位置指定規則,端點安全性代理程式便無法將位置規則套用到該裝置。 |
若要建立安全性規則:
-
按一下 ZENworks 控制中心中的,以顯示「規則」頁面。
-
在「規則」面板中,按一下>,以啟動「建立新規則」精靈。
-
在「選取平台」頁面中,選取,然後按。
-
在「選取規則類別」頁中,選取,然後按。
-
在「選取規則類型」頁中,選取要建立之規則的類型,然後按。
如果您已建立位置並要使用位置規則,則至少須建立一個位置指定規則,並將其指定給裝置或裝置的使用者。否則,裝置無法使用您建立的任何位置,因此無法套用任何位置規則。
-
在「定義詳細資料」頁中,輸入規則的名稱,然後選取要放置規則的資料夾。
該名稱必須不同於所選資料夾內的所有其他規則。
-
(視情況而定) 如果顯示「設定繼承與位置指定」頁,請設定以下設定,然後按。
-
繼承: 如果要讓此規則從規則階層中更高層級處指定的同類規則繼承設定,則將設定保留為選中狀態。例如,如果將此規則指定給裝置,並將同類型的其他規則指定給該裝置所在的資料夾,則啟用此選項會讓此規則從指定給該裝置資料夾的規則繼承設定。如果不想讓此規則繼承規則設定,請取消選取設定。
-
位置指定: 規則可以是全域規則,也可以是位置規則。套用全域規則時,不考慮位置。而位置規則只有在裝置偵測到自己位於指定給規則的位置內時,才會套用。
選擇是全域規則還是位置規則。如果選取位置規則,請按一下,接著選取要指定規則的目標位置,然後按一下以將其新增至清單。
-
-
設定規則特定的設定,然後按,直到顯示「摘要」頁為止。
如需規則設定的相關資訊,請在 ZENworks 控制中心中按一下>。
-
在「摘要」頁中檢閱資訊,以確定其是否正確。如果不正確,請按按鈕以回到相應的精靈頁面,然後進行變更。如果正確無誤,則根據需要選取以下其中一個選項,然後按一下。
-
建立為沙箱: 選取此選項可以將規則建立為沙箱版本。在發佈沙箱版本之前,該版本不會對使用者及裝置造成任何影響。例如,您可以將其指定給使用者與裝置,但只有在發佈後才能予以套用。
-
定義其他的內容: 選取此選項可以顯示規則的內容頁。您可以透過這些頁面修改規則設定,並將規則指定給使用者與裝置。
-