拒绝的项目
在此部分:
关于拒绝的项目
“拒绝的项目”节点为创建新规则时在任何“规则”节点中自动创建的子节点。它们让您能够添加规则中指定的组、用户和设备被拒绝访问的项目。
如果您使用默认选项,信任所有本地安装的可信所有者应用程序,则您只需添加不想让用户运行的特定应用程序。例如,您可以添加管理工具,例如管理和注册表编辑工具。
您不需要使用此列表来拒绝不属于管理员的应用程序,因为它们会被受信任的所有权检查阻止。
Application Control 拖放功能可用于从 Windows 资源管理器添加文件、文件夹、驱动器和签名项目,或者在每个主配置节点的“允许的项目”节点与“拒绝的节点”之间复制或移动项目。
您可以添加以下项目:
文件
如果只是指定文件名,例如 myapp.exe,则无论应用程序的位置如何,都将拒绝此文件的所有实例。如果指定文件的完整路径,例如 \\servername\sharename\myapp.exe,则仅拒绝应用程序的此实例。此应用程序的其他实例需要满足其他 Application Control 规则才会被准予执行。对于 Application Control 中参考 DFS 共享上的项目的文件和文件夹,您需要指定目标服务器,而不是 UNC 路径中的名称空间服务器。
有关更多信息,请参阅分布式文件系统。
文件夹
可以指定整个文件夹,例如 \\servername\servershare\myfolder,则此文件夹中的所有应用程序和所有子文件夹都会被拒绝。系统不会对此文件夹中的文件进行任何检查,因此复制到此文件夹中的任何文件都将被拒绝。选择包括子目录可包括指定目录下的所有目录。如果添加网络文件或文件夹,则您必须使用 UNC 名称,因为 Application Control 代理会忽略驱动器号未配置为本地固定磁盘的任何路径。用户可通过网络映射的驱动器号来访问网络应用程序,因为在针对配置设置验证路径之前会将路径转换为 UNC 格式。要自动应用环境变量,请在添加文件或添加文件夹对话框中选择在可能的情况下,替换环境变量。这样会使路径更通用,以适用于不同的计算机。通配符支持为指定通用文件路径提供另一层控制。
驱动器
您可以指定整个驱动器,例如 W,则此驱动器中的所有应用程序,包括子文件夹,都将被拒绝。系统不会对此驱动器中的文件进行任何检查,因此复制到此驱动器中任何文件夹的任何文件都会被拒绝。
签名项目
除了文件的数字哈希,还可以添加文件。这样确保仅可执行特定文件,而非来自任何位置的文件。有关详细信息,请参阅“签名哈希”。
网络连接项目
可指定网络连接项目。网络上的所有文件都被拒绝。
Windows 应用商店
选择要拒绝的 Windows 应用商店应用。您可以选择以下条件之一:
- 允许所有已安装的应用
- 允许选定的单个应用
- 允许指定发布者的所有应用
组
组可包含任何数量的项目和项目的任何组合,例如特定应用程序的文件、文件夹、驱动器、签名和网络。所有文件都被拒绝。
添加拒绝的项目
要添加项目,请选择拒绝的项目节点并单击“规则项目”功能区中的添加项目下拉箭头,然后选择已拒绝并选择您要添加的拒绝的项目的类型。
此任务可阻止所有用户访问网络共享上的应用程序:
- 在规则 > 组 > 所有人中选择“拒绝的项目”节点。
- 单击“规则项目”功能区中的添加项目,然后选择已拒绝。
-
选择要允许的项目,例如“文件”。
-
将显示“添加文件”对话框。
输入或浏览要拒绝的文件。
- 默认情况下,会选中在可能的情况下,替换环境变量复选框。如果未选中,则环境变量不会替换为通用环境变量。
- 如果要静默地拒绝项目,而不向用户显示任何警告消息,请选择拒绝后不显示拒绝访问消息。
- 如果要忽略此项目的所有 9000 个事件,请选择忽略审计事件筛选。
- 项目被添加到“拒绝的项目”工作区。
如果要禁用一个特定的规则项目,请突出显示该项,右键单击并选择更改状态。这会在禁用和启用之间切换。当需要使用“支持”进行故障排除时,这可能很有用。
移除拒绝的项目
- 在“拒绝的项目”节点中选择要移除的项目。
- 在“规则项目”功能区,单击移除项目。
- 单击确认对话框中的是。
即将项目从节点中移除。