为了确保软件的合规性、安全性和效率,您可以配置软件安装管控策略,规定哪些软件可以安装,哪些软件不可以安装。当用户安装禁用软件时,会被禁止安装并上报审计日志。
- 仅支持 MSI、EXE、DMG、PKG 类型的安装包。
- Mac 端禁止安装软件需要完全磁盘权限,无此权限的客户端将会收到强制授权弹窗,请确认影响范围后再开启。如果已采购 MDM 且设备已安装好描述文件,权限将静默授予,用户无感。
登录飞连管理后台。
在左侧导航栏,选择软件管理 > 安装管控。
在安装管控页面,单击策略配置页签。
如果您是首次使用本功能,请单击开始使用,在弹出的对话框中单击配置。在策略配置页签右侧,单击新增策略,配置如下参数。
配置项
说明
策略名称
自定义名称,用于标识该策略。允许输入中文、英文、数字、特殊字符和空格,最长 64 个字符。
匹配优先级
当前策略的优先级。取值范围为 0 ~ 100,数值越大表示优先级越高。
您可以同时生效多条策略,飞连在对终端检测时,按优先级数值大小依次匹配策略,命中后停止匹配,如果一直未命中,则执行完所有策略后停止检测。
如果存在两条优先级数值相同的策略,则优先执行策略修改时间最新的一条(您可以在策略配置列表中设置按编辑时间排序查看最新修改时间的策略)。管控动作
您可以设置该策略中配置的软件是禁止安装或允许安装。
- 禁止安装:当用户安装管控软件时,会被禁止安装并自动上报审计日志。
- 允许安装:允许用户安装管控软件中的软件,您可以开启或关闭是否记录审计日志开关。建议开启该开关,以便获取软件信息,用于后续从安装包审计添加管控软件。
管控软件
您可以选择管控全部或部分软件。
说明
如何获取软件信息,请参见下文获取软件信息。
选择部分时,需要选择 Windows 或 Mac 操作系统(支持多选),并单击添加软件,选择以下任一方式进行添加:
- 手动添加:需要自定义填写软件信息,并单击确定。软件信息的参数无需全部填写,根据实际需要填写即可。
- 从安装包审计导入:筛选并选择对应的软件,单击确定。如果用户安装软件时上报了安装包审计日志,您可以通过该方式快速添加对应的软件。
- 从本地导入:下载导入模版,根据模版说明填写软件信息后,上传文件并单击确定。
您也可以通过添加规则组匹配软件,具体步骤如下:
- 开启高级配置开关启用高级配置。
- 单击添加条件,选择 Windows 或 Mac。
- 单击添加规则,您可以根据需要选择相应的字段和运算符,并设置字段的值或输入正则表达式。
说明
您可以添加多条规则,单击规则前面的且、或,可以修改规则之间的关系。
运算符说明如下:- 包含/不包含:实际的字符串包含或不包含设定的字符串。例如,规则中设置为
包含 Adobe,则软件 Adobe Photoshop 和 Adobe Illustrator 都能命中该规则。 - 匹配/不匹配:实际的字符串与设置的字符串或正则表达式匹配/不匹配。例如,规则中设置为
匹配 Adobe *,则软件 Adobe Photoshop 和 Adobe Illustrator 都能命中该规则。 - 属于/不属于:属于或不属于您定义的集合中的一部分。例如,规则中设置为
属于Adobe Photoshop、 Adobe Illustrator,则只有软件 Adobe Photoshop 和 Adobe Illustrator 能命中该规则,其他 Adobe 软件无法命中该规则。
通知
是否开启消息通知。开启后,当员工安装被禁用的软件时,飞连客户端将弹窗提醒用户。
单击修改配置,可查看默认的通知内容以及效果预览,您也可以自行修改通知内容。- 中文:通知标题最多输入 40 个字符,通知内容最多输入 200 个字符。
- 英文:通知标题最多输入 100 个字符,通知内容最多输入 500 个字符。
注意
通知内容包括中文和英文内容。在修改内容时,您需要同步修改多语言配置,以避免在多语言环境中出现内容不一致的问题。
生效对象
支持以员工或设备维度限制生效范围。
- 选择员工时,您需要通过部门或角色限制员工范围。
- 选择设备时,您需要通过设备、操作系统、分组限制设备范围。
您也可以开启排除对象开关,添加排除对象(可添加多条),将指定范围内的员工或设备排除在外。排除对象将不生效该策略,最终生效的对象范围为生效对象 - 排除对象。
如需在功能维度设置白名单,使当前功能不影响白名单范围内的对象。可在如下图所示区域单击去配置,添加白名单并生效软件安装管控模块。具体操作参见配置全局白名单。
说明
- 飞连内置了一条默认策略,允许安装所有软件。
- 飞连软件库和软件分发中添加的软件,默认允许安装,无论该软件在管控策略中是否被禁止安装。
添加软件安装管控策略时需要输入软件详细信息,您可以通过如下方式获取软件的信息。
- 在添加安装管控策略页面的管控软件区域,单击软件安装包字段怎么填写?点击此处。
- 在右侧弹出的界面内,选择以下任一方式获取软件信息。
- 方式1:从审计日志直接导入
该方式需要您按照界面指引进行配置,使系统能够审计到需管控的安装包,后续您可以在安装包审计日志里直接选择指定软件。 - 方式2:通过客户端小工具获取
系统提供了 Windows/Mac 系统的客户端小工具,您可以下载相应工具,并继续本文下一步操作,使用工具获取软件信息。安装包解析工具的名称分别为installer_parser_windows.exe和installer_parser_mac。
- 方式1:从审计日志直接导入
- 在本地执行如下命令获取软件安装包的详细信息。
- Windows
- 将
installer_parser_windows.exe工具下载到本地后,确认工具所在路径。
例如C:\Tools\FeiLian_Windows_xxxx.exe - 打开本地命令行窗口(cmd.exe),通过
cd命令进入工具所在目录。
例如cd C:\Tools - 在当前目录执行命令
installer_parser_windows.exe <软件安装包路径>。
例如installer_parser_windows.exe FeiLian_Windows_xxxx.exe,
说明
- 软件安装包允许多个,支持使用绝对路径或者相对路径获取信息。
- 软件安装包名称和路径中不要有中文字符。
- 如果软件安装包的路径中有空格,请在软件安装包路径前后增加英文双引号。
- 软件安装包支持 EXE 和 MSI 格式。
- 将
- Mac
4. 将installer_parser_mac工具下载到本地后,确认工具所在路径。
例如~/Downloads/FeiLian.pkg
5. 运行 Terminal 应用,使用cd命令进入工具所在路径。
例如cd ~/Downloads
6. 执行命令xattr -d com.apple.quarantine ./installer_parser_mac && chmod +x ./installer_parser_mac。
7. 执行命令./installer_parser_mac <软件安装包路径>。
例如./installer_parser_mac ~/Downloads/FeiLian.pkg说明
- 如果软件安装包的路径中有空格,请在软件安装包路径前后增加英文双引号。
- 软件安装包支持 PKG 和 DMG 格式。
- Windows
您可以开启或关闭安装管控策略,复制、编辑或删除安装管控策略。
- 登录飞连管理后台。
- 在左侧导航栏,选择软件管理 > 安装管控。
- 在安装管控页面,单击策略配置页签,根据需要执行如下管理操作:
- 对策略进行筛选和排序:您可以通过策略列表顶部的过滤条件对策略进行搜索过滤。也可以选择按优先级、编辑时间等规则对策略进行排序。
- 开启或关闭策略:单击对应策略右侧的生效开关,开启后,飞连会按照策略中的生效范围,给对应终端开启软件安装管控。
- 复制水印策略:单击对应策略右侧的复制,修改相应参数后,单击确定。
- 编辑水印策略:单击对应策略右侧的编辑,修改相应参数后,单击确定。
- 删除水印策略:单击对应策略右侧的删除,在确认对话框中,单击确定。
注意
策略被删除后无法恢复,且飞连将不再对该策略中的软件进行安装管控。
- 对策略进行筛选和排序:您可以通过策略列表顶部的过滤条件对策略进行搜索过滤。也可以选择按优先级、编辑时间等规则对策略进行排序。
- 登录飞连管理后台。
- 在左侧导航栏,选择软件管理 > 安装管控。
- 在安装管控页面,单击安装包执行审计页签,单击 Windows 和 macOS 页签查看对应操作系统的安装包执行审计日志,您可以根据需要执行如下操作:
- 搜索审计日志:通过搜索用户、部门、设备状态或设备系统等筛选方式,查找指定告警信息。单击自定义筛选,您可以自定义筛选条件。
- 导出审计日志:在列表右上方单击导出列表,可以将当前列表下的告警信息导出至本地,导出文件的格式为
.csv。 - 查看告警详细信息:在告警列表中您可以查看如下信息:
- 鼠标悬浮至员工列和设备信息列,可以分别查看员工的详细信息和设备的详细信息。
- 单击命中策略,跳转到策略详情页查看该告警命中的安装管控策略的详细信息。
- 软件安装的阻断结果。
- 触发告警的软件信息,包括文件名称、文件 MD5、目录名称等。