进程运行管控--飞连-火山引擎

文档中心

立即注册

导航

进程运行管控

最近更新时间：2025.02.08 18:02:26首次发布时间：2025.02.08 18:02:26

您可以通过进程运行管控阻止某个特定进程在操作系统中启动运行，以便管控某些绿色软件、Windows 自带的 mstsc 进程等。通过精细的进程管理与控制，确保计算机系统资源得到合理分配和高效利用。

新增进程运行管控策略

步骤一：新建策略并配置基本信息

登录飞连管理后台。
在左侧导航栏选择软件管理 ＞ 进程运行管控。
在策略配置页签右侧，单击新建策略，进入添加策略页面。
在添加策略页面配置基本信息。
- 策略名称：自定义名称，用于标识当前策略。
- 优先级：当前策略的优先级，取值范围：0~100，数值越大优先级越高。如果存在同时生效多条策略的情况，则系统按照策略优先级由高到低的顺序匹配策略，匹配到优先级最高的策略时，生效该策略并停止匹配。如果一直未匹配到策略，则执行完所有策略后停止匹配。如果存在两条优先级相同的策略，则优先执行策略修改时间最新的一条。

步骤二：配置管控进程

在添加策略页面配置管控进程。管控进程是指拦截进程列表中的进程启动。

单击选择进程。
在进程库界面，单击新建进程。
支持批量导入进程数据。如有需要请单击批量导入，然后选择：
- 本地导入：按页面指引将导入表格模版下载到本地，在本地表格内编辑进程数据并保存（表格内的数据不能超过 10,000 条），最后上传表格。
- 从基线引入：支持选择终端管控 > 终端基线 > 检测项配置 > 进程检测项功能页内的进程组。无论基线内的进程组是否配置为全部检测、任一检测，引用到管控进程列表后，组内各个进程都将作为独立进程被引用。

在新建进程页面，完成以下配置，并单击界面右下角的确定。

说明

如何获取进程详细信息，以及新建进程界面提供的 windows 解析工具如何使用，请参见下文获取进程详细信息。

配置项	说明
规则名	自定义规则名，用于标识当前进程规则。
操作系统	选择 Windows 或者 macOS，单选。
添加规则	支持进程名称、文件数字签名以及进程路径等多种规则。支持添加多个规则，多个规则之间属于且关系。每一条规则可以选择属于或包含操作符。属于操作符相当于精准匹配，包含操作符相当于模糊匹配。例如：进程名称属于`demo.exe`，则进程名称必须为`demo.exe`才会命中该规则。进程名称包含`demo.exe`，则进程名称为`1-demo.exe`、`2-demo.exe`、`3-demo.exe`均会命中该规则。操作符后的输入框支持填写多个值。例如，进程名称属于`demo1.exe`、`demo2.exe`，则名为`demo1.exe`、`demo2.exe`的进程均会命中该规则。

配置项

说明

规则名

自定义规则名，用于标识当前进程规则。

操作系统

选择 Windows 或者 macOS，单选。

添加规则

支持进程名称、文件数字签名以及进程路径等多种规则。

支持添加多个规则，多个规则之间属于且关系。
每一条规则可以选择属于或包含操作符。属于操作符相当于精准匹配，包含操作符相当于模糊匹配。例如：
- 进程名称属于demo.exe，则进程名称必须为demo.exe才会命中该规则。
- 进程名称包含demo.exe，则进程名称为1-demo.exe、2-demo.exe、3-demo.exe均会命中该规则。
操作符后的输入框支持填写多个值。例如，进程名称属于demo1.exe、demo2.exe，则名为demo1.exe、demo2.exe的进程均会命中该规则。

返回进程库界面，在进程规则列表内选择需要管控的进程，并单击界面右下角的确定。

步骤三：配置通知与生效对象

在添加策略页面的通知区域，选择是否开启进程禁止运行的通知。
（可选）开启后，单击修改配置，查看系统默认通知内容，默认内容支持修改。
在生效对象区域，选择按员工生效或者按设备生效配置具体的生效范围。
- 您可以在列表右侧查看已选择的生效对象。
- 如果您需要对指定员工或者设备进行功能加白（即添加进程运行管控模块白名单，在白名单内的对象不受进程运行管控影响），请参见配置全局白名单。
说明
如果您是首次使用进程运行管控，建议您只生效 IT、安全、运维等部门，小范围开启进程运行管控，验证功能是否符合企业所需。验证功能无问题后，再更新策略，扩大生效对象的范围。
（可选）配置排除对象。
您可以根据需要开启排除对象功能开关，并设置需要排除的设备或员工范围。生效对象减去排除对象即为该策略最终的生效对象。

获取进程详细信息

当您新建进程或者从本地批量导入进程时，需要设置进程名称、文件数字签名以及进程路径等进程详细信息。本章节介绍如何在 Windows 或 macOS 系统内获取进程的详细信息。

Windows

通过本地任务管理器获取进程信息

按照以下操作获取进程名称、文件数字签名、文件说明、文件版本、产品名称、产品版本、原始文件名、进程路径。

在本地打开任务管理器。
任务管理器的详细信息列表中会展示进程的路径名称（即进程路径）。
查看指定进程的属性。
- 在常规页签，可以获取进程名称。
- 在数字签名页签，可以获取到文件数字签名。
- 在详细信息页签，可以获取文件说明、文件版本、产品名称、产品版本、原始文件名。

通过 Windows 解析工具获取进程信息

您在飞连管理后台的进程运行管控功能中新建进程时，可以下载 windows 解析工具，获取进程的公司名称、内部名称、产品代码、产品名称或者产品版本等信息。

工具	说明
Resource hacker (.exe)	该工具用于获取 .exe 进程信息。如下图所示，字段说明如下： CompanyName：公司名称 InternalName：内部名称 OriginalFilename：原始文件名 ProductName：产品名称 ProductVersion：产品版本
InstEd (.mis)	该工具用于获取 .mis 进程信息。如下图所示，字段说明如下： ProductCode：产品代码 ProductName：产品名称 ProductVersion：产品版本

工具

说明

Resource hacker (.exe)

该工具用于获取 .exe 进程信息。如下图所示，字段说明如下：

CompanyName：公司名称
InternalName：内部名称
OriginalFilename：原始文件名
ProductName：产品名称
ProductVersion：产品版本

InstEd (.mis)

该工具用于获取 .mis 进程信息。如下图所示，字段说明如下：

ProductCode：产品代码
ProductName：产品名称
ProductVersion：产品版本

macOS

获取软件的名称、数字签名和路径名称

注意

在进程运行管控策略内，允许添加软件信息，策略生效后，将禁用该软件下所有的可执行文件。

安装需要获取数字签名的软件包。
获取软件的路径名称。
1. 在本地打开访达，在顶部菜单栏选择显示 > 显示路径栏。
2. 找到软件包，在页面底部右键路径栏，然后拷贝软件的路径名称。
  例如 Safari 浏览器的路径名称为/Applications/Safari.app，路径名称尾部对应的是软件名称Safari.app。
获取软件的数字签名。
1. 在本地打开终端（Terminal）。
2. 执行以下命令。
```
codesign -dvv 软件路径名称 2>&1 | grep "Authority=" | head -n 1 | cut -d = -f2
```
  其中，软件路径名称需要替换为真实数据。例如 Safari 浏览器的路径名称为/Applications/Safari.app，则实际运行的命令如下：
```
codesign -dvv /Applications/Safari.app 2>&1 | grep "Authority=" | head -n 1 | cut -d = -f2
```
  即可得到对应的数字签名Software Signing。

获取进程的名称、数字签名和进程路径

如果您已知可执行文件的信息，则直接配置即可。如果进程已运行，可以基于进程的 PID 获取进程的详细信息。操作如下：

在本地打开活动监视器。
找到指定进程的 PID。
在本地打开终端（Terminal）。
执行以下命令。
```
ps -p PID
```
其中PID需要替换为真实数据，例如执行 ps -p 79494，可获取 Safari 浏览器进程的路径名称为/System/Volumes/Preboot/Cryptexes/App/System/Applications/Safari.app/Contents/MacOS/Safari，在路径名称尾部对应是进程名称Safari。
获取软件的数字签名。
1. 在本地打开终端（Terminal）。
2. 执行以下命令。
```
codesign -dvv 进程路径名称 2>&1 | grep "Authority=" | head -n 1 | cut -d = -f2
```
  其中，进程路径名称需要替换为真实数据。例如 Safari 浏览器进程的路径名称为/System/Volumes/Preboot/Cryptexes/App/System/Applications/Safari.app/Contents/MacOS/Safari，则实际运行的命令如下：
```
codesign -dvv /System/Volumes/Preboot/Cryptexes/App/System/Applications/Safari.app/Contents/MacOS/Safari 2>&1 | grep "Authority=" | head -n 1 | cut -d = -f2
```
  即可得到对应的数字签名Software Signing。

管理进程管控策略

登录飞连管理后台。
在左侧导航栏选择软件管理 ＞ 进程运行管控。
在策略配置页签，支持以下管理操作。
- 设置策略名称、员工或者设备信息等过滤条件，筛选策略。
- 在策略列表内，可直接调整策略的优先级、是否启用。
- 在策略列表的操作列，支持复制、编辑、删除策略。
  - 单击复制，跳转到添加策略页面，选择修改被复制的策略配置后，单击页面底部确定即可新增一条策略。
  - 单击编辑，跳转到编辑策略页面，选择修改策略配置后，单击确定保存信息。
  - 单击删除，将删除当前策略，删除后数据无法恢复，请谨慎操作。

查看进程运行管控事件

当您配置并生效进程运行管控策略后，系统会实时检测员工或设备内运行进程的情况，当命中进程运行管控策略时，会将对应的事件上报到管理后台的软件管理 > 进程运行管控 > 事件列表页签。在事件列表中，支持以下操作：

设置筛选条件，过滤指定事件数据。
在右侧单击导出列表，可以将事件列表数据导出到本地。
查看事件的上报时间、用户信息、设备信息、名称策略以及进程名称等详细信息。

常见问题

进程运行管控功能和终端基线、软件许可功能之间，哪个优先级更高？

终端基线管控策略内可以配置是否允许进程运行，具体介绍可参见配置终端管控策略。软件许可功能可以配置禁用软件，具体介绍可参见禁用软件。在配置这两个功能的同时，如果也配置了进程运行管控策略，则功能优先级说明如下：

终端基线管控策略与进程运行管控策略的优先级说明：
- 如果终端基线管控策略配置了违规进程检测，同时该进程又出现在进程管控策略内，则会优先执行进程管控策略，拦截该进程并上报拦截日志，终端基线将不再上报违规进程的日志。
- 如果终端基线管控策略配置了必运行进程检测，同时该进程又出现在进程管控策略内，则会优先执行进程管控策略，拦截该进程并上报拦截日志，同时，终端基线也会上报一条必运行进程未启动的日志。
软件许可功能中禁用软件与进程运行管控策略的优先级说明：
如果某一进程同时包含在禁用软件和进程运行管控策略内，则优先生效进程运行管控策略。