全部產品
Search

搜尋本產品

    :應用白名單

    文件中心

    :應用白名單

    更新時間:Mar 11, 2026

    Security Center支援應用白名單的功能,可防止您伺服器上有未經過認證或授權的程式運行,為您提供可信的資產運行環境。本文介紹如何使用應用白名單功能。

    使用前須知

    應用白名單為公測功能,目前已不再支援申請該功能。已申請並正在使用中的使用者可以正常使用。

    背景資訊

    Security Center應用白名單功能支援將需要重點防禦的伺服器加入到白名單中,通過檢測白名單中指定的應用程式區分可信、可疑和惡意程式,防止未經白名單授權的程式運行。可避免您的主機受到不可信或惡意程式的侵害,還能防止不必要的資源浪費、保證您的資源被合理利用。

    在建立白名單策略之後,您可以通過在需要重點防禦的伺服器中應用該白名單策略,Security Center將檢測伺服器中是否存在可疑或惡意進程,並對不在白名單中的進程進行警示提示。

    說明

    不在白名單中的程式啟動時會觸發安全警示。Security Center檢測到的非白名單程式啟動,可能是新啟動的正常程式,或是被入侵後植入的惡意程式。如果提示警示的應用為正常程式、常用程式或者您安裝的第三方程式,建議您將該程式加入白名單。已加入白名單的程式再次啟動時將不再觸發警示;如果該進程為惡意程式,建議您及時清理該進程,並查看計劃任務等設定檔是否被篡改。

    步驟一:配置應用白名單策略

    1. 登入Security Center控制台

    2. 在左側導覽列,選擇防護配置 > 主機防護 > 應用程式控制

    3. 策略管理頁簽,單擊創建策略

    4. 創建白名單策略面板中完成以下配置,然後單擊下一步

      • 策略名稱:自訂白名單策略的名稱。

      • 智慧學習持續時間:選擇策略的智能學習時間長度,可選1天、3天、7天或15天。智能學習功能通過機器學習引擎實現自動化聚類和搜集大量警示資料,協助提升對可疑或惡意進程的識別能力。

      • 用於智慧學習的伺服器:選擇需要加入到該白名單的伺服器。

    5. 單擊創建而不應用

      白名單策略建立完成後,該策略的詳情將會自動展示在策略列表中。

      配置項

      說明

      策略名稱

      建立的白名單策略的名稱。

      生效伺服器

      應用該白名單策略的伺服器數量。

      狀態

      策略的生效狀態。

      • 應用:該策略已完成智能學習,並且已應用到伺服器中。

      • 待確認:該策略已完成智能學習,需確認並啟用策略。

        智能學習完成後,您還需開啟該策略的策略狀態列下的開關啟用該策略。啟用策略後,策略才會生效,Security Center會自動識別您伺服器中進程的風險類型(可信、可疑和惡意)。

      • 暫停:智能學習被手動暫停。您可單擊繼續恢複智能學習功能。

      • 學習:智能學習進行中。

        策略建立完成後,Security Center會對其自動執行智能學習。新建立的策略狀態都為學習

      應用

      表示應用該策略的伺服器中各類進程的分布情況,包含信任可疑惡意類型進程的數量。

      操作

      可對該策略執行的操作。支援進行以下操作:

      • 應用:單擊應用開啟應用白名單策略頁面,可增加或刪除應用該策略白名單的伺服器。

      • 編輯:單擊編輯開啟編輯策略白名單頁面,對該策略進行修改。可修改該策略的策略名稱智慧學習持續時間和需自動執行智能學習的伺服器。

      • 暫停學習:暫停智能學習。

      • 繼續:繼續執行智能學習。

        單擊繼續,該策略的狀態會轉為學習,您可在狀態欄查看策略的學習進度。

      • 刪除:刪除策略。

        策略刪除後,對應的伺服器處理序將不再受到該策略的保護。

    步驟二:將伺服器添加到應用白名單

    將白名單策略應用到伺服器之前,您需已購買足夠的應用白名單授權份額。

    1. 登入Security Center控制台

    2. 在左側導覽列選擇防護配置 > 主機防護 > 應用程式控制

    3. 生效伺服器頁簽單擊添加伺服器

    4. 添加伺服器面板完成相應配置。

      添加伺服器頁面您可以參考以下內容完成參數配置:

      • 白名單策略:從策略列表中選擇已建立的白名單策略。

      • 事件處理:預設為告警,表示Security Center檢測到了可疑進程。

        不在白名單內的伺服器處理序啟動時會自動觸發警示。您可單擊可疑事件一欄的警示數量,跳轉到該伺服器資產管理 > 安全警示頁面,查看這些警示的詳細資料。

      • 生效伺服器:選擇需要添加到該白名單的伺服器。 支援選擇多台伺服器。

        您可通過在生效伺服器搜尋方塊輸入伺服器名稱,搜尋需要添加到白名單的伺服器。生效伺服器名稱支援模糊查詢。

    5. 單擊確認完成伺服器的添加。

      應用白名單建立完成後,您可以在生效伺服器頁面的伺服器列表中,查看您已添加到應用白名單的伺服器和該伺服器使用的白名單策略名稱稱。

      生效伺服器頁面展示應用了白名單策略的伺服器的以下資訊:

      • 伺服器名稱/IP:應用了白名單策略的伺服器名稱和IP地址。

      • 白名單策略:該伺服器應用的白名單。

      • 可疑事件:不在白名單策略中,並且已啟動的進程數量。異常進程啟動時,會觸發Security Center的檢測機制,並進行即時警示。

      • 事件處理:預設為警示,表示Security Center檢測到了可疑進程。

        不在白名單內的伺服器處理序啟動時會自動觸發警示。您可單擊可疑事件一欄的警示數量,跳轉到該伺服器資產管理 > 安全警示頁面,查看這些警示的詳細資料。

      • 操作:單擊操作欄的刪除會將該伺服器從應用白名單中刪除。

        刪除後,白名單策略會對該伺服器失效,伺服器處理序啟動時Security Center將會對其進行警示提示。

    將進程加入或取消白名單

    伺服器配置了應用白名單後,您可以在生效伺服器頁面的伺服器列表中,查看您已添加到應用白名單的伺服器和該伺服器使用的白名單策略名稱稱。您可在白名單策略欄中單擊對應的策略名稱稱,開啟該伺服器的白名單進程列表,查看伺服器中檢測到的可信、可疑和惡意進程及其詳細資料。

    白名單策略列表中包含伺服器處理序的以下資訊:

    • 類型:該白名單伺服器中啟動並執行進程類型,分為可信、可疑和惡意3種類型。

    • 進程名稱:該白名單伺服器中的進程。

    • Hash:進程的雜湊函數。雜湊函數用於判斷進程的唯一性,避免程式被惡意偽造。

    • RDPath:進程在伺服器中的檔案路徑。

    • 可信賴程度:Security Center判斷該進程的可信任程度,分為0%(惡意進程)、60%(可疑進程)、100%(可信進程)。

      說明

      建議您對可信程度為0%的惡意進程進行重點排查和處理。

    • 操作:對該進程可執行檔操作。您可結合伺服器上業務的部署情況確定是否要將該進程加入白名單。 您可以進行以下操作:

      • 加入白名單:將進程加入白名單表示信任該進程。

      • 取消白名單:將進程從白名單中取消表示Security Center將該進程標識為不可信進程,該進程啟動後將觸發警示。