控制应用程序

您可以将 Application Control 的安全方法 - 例如受信任的所有权检查 - 与配置中的规则相结合,以控制可安装和运行应用程序的用户。

Application Control 使用名为“受信任的所有权检查”的方法来防止执行任何用户引入的可执行文件。默认仅允许可信所有者(例如管理员)安装的应用程序。对于已在多用户环境中安装的 Project 和 Visio 等 Microsoft 应用程序,您可以使用 Application Control 来仅允许指定的许可设备访问这些应用程序。

Application Control 配置包含两个组规则。这些是内建\管理员,他们不受限制并可运行任何可执行文件,以及所有人,他们仅可运行可信所有者拥有的可执行文件。创建的每个规则都有“允许的项目”和“拒绝的项目”列表。

“允许的项目”列表让管理员能够提供通常被默认规则阻止的可执行文件的访问权限,例如受信任的所有权失效或网络可执行文件。

“拒绝的项目”列表让管理员能够拒绝通常被默认规则允许的可执行文件的访问权限。

由于 Microsoft 应用程序通常被许可为仅在一些设备上运行,最佳实践是使用 Application Control 最初拒绝所有人对应用程序的访问权限,然后根据允许的设备来允许少数人的访问权限。

  1. 展开 > 所有人节点。
  2. 右键单击拒绝的项目节点并选择添加项目 > 已拒绝 > 文件。将显示“添加文件”对话框。
  3. 浏览并选择要限制访问的应用程序,或者在“文件”字段中输入名称,然后单击添加。所有标准用户现在都被拒绝使用指定的应用程序。

以上配置拒绝所有人的访问权限,因此您必须创建例外规则以允许指定的许可设备运行该应用程序。可使用 IP 地址范围或 NetBIOS 名称来指定设备。这些设备为终端服务器/Citrix 环境中的连接客户端计算机。

Application Control 规则操作 Microsoft 组策略的不同之处在于允许的项目规则会覆盖任何拒绝的项目规则。

  1. 在“规则”功能区中,选择添加规则 > 设备规则

    将创新新规则。

  2. 右键单击新规则,然后选择重命名
  3. 键入直观的名称,例如 Visio 许可设备
  4. 展开新规则。
  5. 选择允许的项目节点。

  6. 在“规则项目”功能区中,选择添加项目 > 已允许 > 文件

    将显示“添加文件”对话框。

  7. 浏览并选择要允许经授权的设备访问的应用程序,或者在“文件”字段中输入名称,然后单击添加

    这是您已在步骤 1 中限制的同一应用程序。
  1. 选择新设备规则。

  2. 在“规则”功能区中选择添加客户端设备

    将显示添加客户端设备对话框

  3. 浏览并选择要为指定的应用程序授权的设备,然后单击添加

    您还可以通过直接键入以下内容来指定设备:

    • IP 地址(例如 192.168.1.80)
    • IP 地址范围(例如 192.168.1.10-20)

    • NetBIOS 名称(例如 Ivanti-PC1)

      您可以包括以上内容的任何组合。

  4. 要指定设备为连接设备而非运行应用程序的物理设备,请在每个设备的“设备类型”列中选择连接设备

保存配置。将配置部署到 Citrix/终端服务器后,只有指定的设备才被允许启用 Microsoft“按设备”许可的应用程序。

相关主题

规则

规则选项

规则项目