新建策略 (Windows)
完成下列步骤以创建新策略:
1. 单击"新建策略" > "Windows 策略"。
2. 策略名称 – 分配策略名称。
3. 配置"常规设置","应用程序","Windows 更新"," Anti-Virus 防病毒"和"远程代理":
A. 更新模式 – 选择首选应用程序更新模式:
~ 半自动 – 此策略的默认设置是从周一至周日在 12:00 AM 重复维护,应用程序配置为"自动更新",Windows 更新配置为"自动安装"。
~ 手动 – 选择此策略时,禁用"计划"和"重复间隔"选项。应用程序配置为"手动更新",Windows 更新未配置。
~ 计划 – 此策略的默认设置是从周一至周日在 12:00 AM 重复维护,应用程序配置为"计划更新",只有特定 Windows 更新配置为"自动安装"。"补丁扫描频率"设置为"可用时下载并使 Windows 更新保持就绪状态"。
~ 自定义 – 此策略的默认设置是从周⼀⾄周日在 12:00 AM 重复维护,应⽤程序配置为"自动","⼿动","计划"和"版本冻结"更新的组合,只有特定Windows 更新配置为"自动安装"。"补丁扫描频率"设置为"可⽤时下载并使Windows 更新保持就绪状态"。
~ 版本冻结 – 选择此策略时,禁用"计划"和"重复间隔"选项。应用程序配置为"版本冻结",所有 Windows 更新配置为"已拒绝"。当应用程序安装到计算机后,该应用程序将不再更新,保持当前版本。
B. 排程模式 – 选择您偏好的模式以启用维护。您可以选择"指定排程 – 每周","每天一次"或"指定排程 – 每月"。
 | 维护期将最多持续 3 小时。 |
选择"指定排程 – 每周"时,请配置以下选项:
~ 时间 – 从下拉列表中选择首选时间,或者输入具体时间发起维护。
~ 重复间隔 – 选择维护将重复的天数。
选择"每天一次"时,请配置以下选项:
~ 电脑启动时,在 X 分钟后运行"维护模式" – 时间最高可设置为 60 分钟。
选择"指定排程 – 每月"时,请配置以下选项:
~ 时间 – 从下拉列表中选择首选时间,或者输入具体时间发起维护。
~ 日期 – 选择维护会在每月的哪一天重复。请选择一个介于 1 到 28 之间的日期。
C. 通知用户电脑即将进入维护模式 – 启用此选项后,当电脑即将进入"维护模式"时,用户会收到通知。
D. 允许暂停 – 选择此选项可允许用户暂停维护模式。
E. 密码 – 选中"启用密码保护以防止卸载 Deploy 代理"复选框,以分配用于卸载 Deploy 代理的密码。如果您选择启用密码保护,请输入密码。
F. 代理 – 如果您使用代理服务器连接到互联网,则选中"启用代理",并指定代理服务器设置:
~ 代理服务器信息 – 指定"地址"和"端口"的值。
~ 用户身份验证 – 如果您的代理要求进行身份验证,则选中"代理服务器需要授权"。选择或指定"身份验证类型","用户名","密码"和"域"的值。
4. 配置"应用程序" – 为应用程序指定应用程序更新模式。您还可以设置为"禁用快捷方式"和"禁用自动更新"。
"禁用快捷方式"和"禁用自动更新"仅对使用 Faronics Deploy 安装的应用程序有效。
5. 配置"Windows 更新":
请勿管理 Windows 更新 – 启用此选项后,Deploy 将不会管理 Windows 更新的下载方式。
A. Windows 更新设置 – 选择要安装的更新类型和更新状态:
Windows 更新类型
~ 关键更新 – 针对特定问题广泛发布的修复程序,该程序可以解决一个与安全无关的关键漏洞。
~ 安全更新 – 针对特定产品的安全问题广泛发布的漏洞修复程序。安全漏洞可根据其严重性分为超危,高危,中危和低危。
~ 定义更新 – 广泛发布的频繁软件更新,其中包括添加到产品定义数据库中的内容。该内容通常用于检测具有特定属性的对象,如恶意代码,钓鱼网站或垃圾邮件。
~ 更新汇总 – 经过测试和累积的更新组,其中包括热更新,安全更新,关键更新和用于实现轻松部署的更新。更新汇总通常只针对特定范围(如安全性)或产品组件(如 Internet 信息服务)。
~ 服务包 – 经过测试和累积的更新组,其中包括全部热更新,安全更新,关键更新和其他更新。此外,服务包可能包含自产品发布以来所发现的内部问题的额外修复。服务包可能还包含少量客户要求的设计更改或特性。
~ 工具 – 帮助完成一项或一组任务的实用程序或功能。
~ 功能包 – 不在产品发布时进行首次分发的新产品功能,该功能通常会包含在下一个完整的产品版本中。
~ 更新 – 针对特定问题广泛发布的修复程序,可以解决与安全无关的非关键漏洞。
~ 驱动程序* – 控制设备较底层输入与输出的软件。
只有在启用"管理驱动程序更新"选项后,驱动程序才会出现在列表中。
~ Microsoft – 对 Microsoft 应用程序的更新。
~ 升级 – Windows 操作系统的功能更新。
安装状态
~ 自动安装 – 选择此选项可自动安装类别补丁。
~ 自动安装延期 – 选择此选项,最长可将设置为"自动安装"的更新延迟到更新发布之日后 X 天。
~ 已拒绝 – 选择此选项可拒绝安装类别补丁。
管理驱动程序更新 – 启用该选项,通过 Windows 更新管理驱动程序更新。
 | 如果不管理驱动程序,驱动程序将显示在"Windows 更新"页面的"驱动程序"列中,但不会安装。 |
可用时下载并使 Windows 更新保持就绪状态 – 启用此选项可在维护模式之外下载更新,并在维护开始时安装更新。
B. 重启行为设置
~ 如果用户已登录,强制在安装前自动重新启动 – 启用此选项后,如果用户已登录,则计算机会在进入维护时强制自动重新启动。选择此项后,用户将收到计算机计划进行维护的通知。
~ 更新完成后,允许用户推迟重启(如需要)。
* 从不自动重启 – 启用此选项后,计算机将不会在更新完成后重启。
* 最多延迟重启 X 次 – 启用此选项将允许用户延迟重启计算机最多 5 次。
C. 补丁扫描频率 – 从下拉列表中进行选择,以计划执行补丁扫描的频率。
~ 每 24 小时一次
~ 每 12 小时一次
~ 每 6 小时一次
Windows 10 的其他设置
配置 Windows 10 功能更新或质量更新的时间,以及安装更新的目标频道。
> 半年频道(定向)- 选择此选项可在选择的计算机上安装更新,以在整个组织进行部署前评估主要版本。
> 半年频道 – 选择此选项可为所有计算机安装更新。
> 功能更新包括新功能和改进。此更新最长可延迟 365 天。
> 质量更新包括安全改进。此更新最长可延迟 30 天。
6. 配置" Anti-Virus 防病毒" – 单击"启用 Anti-Virus 防病毒"。
Anti-Virus 防病毒
> Anti-Virus 防病毒设置
~ 启用主动保护 – 选择以对使用此策略的所有计算机激活实时保护。
 | 确保未在计算机上运行实时保护软件。包括第三方防病毒应用程序。 |
* 允许用户关闭主动保护 – 选择以允许用户关闭主动保护。
* 显示主动保护警报 – 选择以显示主动保护警报。
> 清理操作 – 为受感染的文件选择默认操作。
~ 清理/隔离 – 检测到威胁后,尝试对文件杀毒,如果不成功则将其隔离。如果无法对文件进行杀毒,则会隔离文件,而不将其删除。
~ 清理/删除 – 检测到威胁后,尝试对文件杀毒,如果不成功则将其删除。如果无法对文件进行杀毒,则会从计算机中将其删除。
~ 从隔离区中删除早于 X 天的项目。指定隔离区中项目的保留天数。默认为 3 天。最长为 365 天。
> 扫描计划 – 启用要为此策略排程的扫描类型。
~ 快速扫描 – 单击"快速扫描"的"编辑"图标。配置下列选项并单击"更新"。
* 启用快速扫描 – 选中此复选框可启用"快速扫描"。
* 开始 – 指定开始时间。
* 停止 – 指定结束时间。"开始"时间与"停止"时间之间间隔不得超过 23.59 小时。如果所有文件在"停止"时间以前扫描完毕,则扫描结束。如果扫描在"停止"时间尚未完成,则会在"停止"时间中止扫描。或者,选择扫描完成时以确保扫描完成。
* 天 – 选择执行已排程"快速扫描"的日期。
~ 深度扫描 – 单击"深度扫描"的"编辑"图标。配置下列选项并单击"更新"。
* 启用深度扫描 – 选中此复选框可启用"深度扫描"。
* 开始 – 指定开始时间。
* 停止 – 指定结束时间。"开始"时间与"停止"时间之间间隔不得超过 23.59 小时。如果所有文件在"停止"时间以前扫描完毕,则扫描结束。如果扫描在"停止"时间尚未完成,则会在"停止"时间中止扫描。或者,选择扫描完成时以确保扫描完成。
* 天 – 选择执行已排程"深度扫描"的日期。
> 扫描选项
~ 以 x 分钟为单位随机排程扫描开始时间 – 指定分钟数。随机排程扫描开始时间以减少对网络流量的影响。如果同时开始对多个系统进行扫描,可能会影响网络流量。
如果未执行扫描,在下次启动时:如果排程扫描期间计算机没有开启,选择以下任何一项扫描执行方式:
~ 不执行快速扫描 – 如果您不想在启动时执行快速扫描,请选择此选项。
~ 大约启动 x 分钟后执行快速扫描 – 指定 Anti-Virus 防病毒应在启动多少分钟后执行快速扫描。
~ 提示用户执行快速扫描 – 选择此选项可提示用户执行快速扫描。
> 高级选项
为每种类型的扫描选择以下选项(视扫描类型的不同,某些选项可能会灰显,无法使用):
~ 启用 Rootkit 检测 – 检测计算机是否感染 Rootkit。
~ 在存档内扫描 – 扫描 zip 文件中的内容。选中该选项,在扫描时扫描存档文件(例如,.RAR 和 .ZIP 文件)。当发现 .RAR 文件内包含受感染的文件时,将隔离该 .RAR 文件。如果发现 .ZIP 文件内包含受感染的文件,则受感染的文件会被隔离,并替换为一个说明该文件受到感染而已被隔离的 .TXT 文件。指定文件大小限制。
~ 排除可移动驱动器(例如 USB) – 从扫描进程中排除可移动驱动器。此时将不会扫描任何外部硬盘,USB 驱动器等。
~ 扫描注册表 – 扫描注册表,以检测威胁。
~ 扫描正在运行的进程 – 扫描计算机上的所有正在运行的进程。
~ 恢复默认值 – 如果要恢复"高级选项"的所有默认设置,请单击"恢复默认值"。
> 扫描例外
指定安全的文件或文件夹。文件或文件夹添加后,Anti-Virus 防病毒就不会将其报告为恶意或受感染的文件。以下列表列出了不会被报告为病毒的项目。
i. 单击"+"。
ii. 在"添加例外"对话框中,选择"文件完整路径"或"整个文件夹"。单击"浏览"以选择文件或文件夹,然后单击"确定"。
> USB 设备
~ 插入时扫描 USB 驱动器 – 选择此选项可在插入时扫描 USB 驱动器,并选择以下选项之一:
* 中断活动的扫描以执行 USB 扫描 – 选择此选项可在 USB 驱动器插入时,中断活动的扫描以执行 USB 扫描。活动的扫描一旦中断,将无法自动恢复,必须手动重启。
* 正在进行其他扫描时不执行扫描 – 选择此选项可确保活动的扫描不会因 USB 驱动器的插入而中断。活动的扫描完成后,必须手动扫描 USB 驱动器。
~ 抑制进行中的 USB 扫描对话 – 选择该选项可隐藏 Anti-Virus 防病毒正在扫描所插入的 USB 驱动器的指示;Anti-Virus 防病毒界面不会打开,系统托盘图标将不显示工具提示来表明扫描正在进行中。如发现病毒,用户将在扫描结束后收到通知;如未检测到病毒,用户将不会收到扫描通知。
注意,如果插入时扫描 USB 驱动器选项未选择,该选项将被忽略。
> 删除 Anti-Virus 防病毒 – 单击"卸载 Anti-Virus 防病毒",从此策略的所有计算机删除 Anti-Virus 防病毒。
防火墙保护
> 防火墙保护设置
~ 启用防火墙保护 – 选中此复选框可启用防火墙保护。
防火墙保护可阻止黑客或恶意软件通过 Internet 或网络获取对您计算机的访问权限。
* 允许用户停用防火墙 – 选择此选项可允许用户在计算机上停用防火墙。
* 启用防火墙日志记录 – 选择此选项可将防火墙有关的所有操作进行日志记录。
> 防火墙规则 – 配置"程序规则","网络规则","高级规则","入侵规则"和"信任区"的相应设置。
~ 程序规则
程序规则定义防火墙对来自或去往应用程序的网络活动所采取的操作。程序规则的优先级高于默认规则。默认规则可以进行编辑,但是无法删除。
单击"+"以添加新程序规则。指定或选择选项,然后单击"确定"。此时将显示以下参数:
* 名称 – 规则的名称。
* 程序 – 程序的名称,包括完整路径和扩展名。
* 信任区入站 – 对去往信任区程序的入站通信应执行的操作(允许或阻止)。
* 信任区出站 – 对来自信任区程序的出站通信应执行的操作(允许或阻止)。
* 非信任区入站 – 对去往非信任区程序的入站通信应执行的操作(允许或阻止)。
* 非信任区出站 – 对来自非信任区程序的出站通信应执行的操作(允许或阻止)。
> 网络规则
网络规则定义防火墙对网络活动所采取的操作。这类规则可以进行编辑,但是无法删除。为以下选项选择网络规则:
名称 | 说明 | 信任区入站 | 信任区出站 | 非信任区入站 | 非信任区出站 |
|---|---|---|---|---|---|
IGMP | Internet 组管理协议 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 |
Ping | Ping 以及 Tracert | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 |
OtherIcmp | 其他 ICMP 包 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 |
DHCP | 动态主机配置协议 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 |
DNS | 域名系统 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 |
VPN | 虚拟专用网络 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 |
LDAP | 轻量级目录访问协议 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 |
Kerberos | Kerberos 协议 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 |
NETBIOS | Microsoft 文件和打印机共享 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 | 选择允许或阻止 |
> 高级规则
高级规则定义防火墙对指定的应用程序,端口或协议所采取的操作。其中可能包括单个协议,本地或远程端口以及流量方向,或者是它们的组合。您可以添加,编辑或删除高级规则。
高级规则的处理顺序即为列出顺序。任何经用户定义的高级规则都将优先于预定义的高级规则。
单击"+"以添加新高级规则。指定或选择选项,然后单击"确定"。在"高级规则"窗格中将显示下列参数:
~ 名称 – 规则的名称。
~ 程序 – 程序的名称和路径。
~ 操作 – 防火墙对来自指定的应用程序,端口或协议的通信所采取的操作(允许或阻止)。
~ 方向 – 通信的方向(双向,入站或出站)。
~ 协议 – 选择协议并单击"添加"。
~ 本地端口 – 本地端口的详细信息。
~ 远程端口 – 远程端口的详细信息。
> 信任区
信任区指定受信任的计算机,网络和 IP 地址。未阻止进出信任区的网络流量。程序和网络规则可对信任区和 Internet(非信任)区给予区别对待。
单击"+"以添加新的信任区。指定或选择选项,然后单击"确定"。此时将显示以下参数:
~ 名称 – 信任区的名称。
~ 说明 – 信任区的说明。
~ 类型 – 信任区的类型(IP 地址或网络)。
计算机设置
> 用户操作
~ 显示任务栏图标 – 选中此复选框可在计算机的任务栏中显示 Faronics Anti-Virus 防病毒图标。如果没有选中此复选框,则 Faronics Anti-Virus 防病毒将对用户隐藏。
~ 允许手动扫描 – 选中此复选框可允许用户手动启动计算机的 Anti-Virus 防病毒扫描。
~ 允许用户对扫描结果进行操作 – 选中此复选框可允许计算机用户对扫描结果进行操作。
~ 允许用户中止本地启动扫描 – 选中该复选框可让用户中止在计算机本地启动的扫描。
> 缓存服务器
您需要至少将一台计算机启用为 Anti-Virus 防病毒缓冲服务器。请参阅计算机常见操作的操作工具栏。
~ 使用 Anti-Virus 防病毒缓存服务器 – 如果您已在网络中设置了可将病毒定义下载并分发到所有计算机的 Anti-Virus 防病毒缓存服务器,请选中此复选框。
* 服务器名称 – 指定 Anti-Virus 防病毒缓存服务器的名称。
* 服务器 IP – 指定 Anti-Virus 防病毒缓存服务器的 IP 地址。
~ 如果在过去的 x 小时内未与 Anti-Virus 防病毒缓存服务器通信,则连接到 Web 服务器 – 如果出于某些原因无法访问 Anti-Virus 防病毒缓存服务器而必须通过 Internet 将所管理的计算机连接到 Web 服务器,请选择此选项。
> Windows 安全中心
~ 集成到 Windows 安全中心 – 选中此复选框可将 Anti-Virus 防病毒集成到 Windows 安全中心。Windows 安全中心将通过系统任务栏通知您 Anti-Virus 防病毒是否处于活动状态。
> 日志操作 – 选中此复选框可启用"日志操作"。
7. 配置"远程代理":
> 请求远程访问计算机的用户权限 – 启用后,远程计算机将提示远程用户接受或拒绝传入的连接。一旦用户授予权限,您将有 30 秒的时间输入您的凭据。
> 启用远程代理 – 选择此选项将在使用本策略的所有计算机上安装"远程代理"。
8. 单击"保存"。