规则项目

规则项目包括文件、文件夹、网络驱动器和连接、签名文件、Windows 应用商店应用和组,您可以将它们添加到规则节点,例如“允许的项目”和“用户权限”。

Application Control 2020.3 使文件、文件夹、签名和组的规则项目能够配置为在提升应用程序权限之前提示用户。这就让用户可以选择以提升权限的方式还是正常方式运行应用程序(或项目)。出于审计目的,建议提示用户提供提升的理由。
请注意,使用的审计事件代码为 9023(自行提升)。

文件

  1. 在导航窗格中,选择规则的“允许项目”或“拒绝项目”节点。
  2. 在“规则项目”功能区,选择:
    • 添加项目 > 允许 > 文件。

    • 添加项目 > 拒绝 > 文件。

    将显示“添加文件”对话框。

  3. 在“属性”选项卡中,单击文本框中的省略号 (...),导航到要添加的文件,然后单击确定
  4. 如果需要,您可以选择以下内容:
    • 在可能的情况下,替换环境变量
    • 使用正则表达式(R)

  5. 参数文本框中输入可选的命令行参数。输入 Process Explorer 中显示的所有参数。

    命令行参数将匹配条件扩展到“文件”字段中输入的范围之外。如果添加了参数,则必须满足文件和参数才能进行匹配。可以添加显示在进程命令行上的任何参数,比如 flag、switch、file 和 GUID。

    有关有效参数的示例,请参阅参数示例

  6. 要向文件添加元数据,请选择元数据选项卡:
    1. 单击从文件写入元数据
    2. 可以填充以下字段:产品名称、供应商、公司名称、文件描述、文件版本和产品版本。

    3. 选择元数据的复选框可优化文件的条件。

      如果启用“供应商”元数据,则可以使用另一个选项 - 在运行时验证证书。启用此选项后,代理会在证书与文件匹配时验证证书。单击验证选项以访问在文件匹配期间使用的另一组条件。

      有关详细信息,请参阅验证选项

  7. 要指定文件仅在特定访问时间运行,请选择访问时间选项卡:
    1. 选择仅允许文件在某些访问时间运行
    2. 要指定特定的允许时间段,请右键单击日历区域中的时间段,然后选择新允许的时间段
  8. 要限制用户可以拥有的应用程序实例数,请选择应用程序限制选项卡:
    1. 选择启用应用程序限制
    2. 在微调框中输入限制。
  9. 单击添加将文件添加到规则允许/拒绝的项目。
  10. 该项目将添加到“允许/拒绝”工作区域。
    如果要禁用一个特定的规则项目,请突出显示该项,右键单击并选择更改状态。这会在禁用和启用之间切换。当需要使用“支持”进行故障排除时,这可能很有用。
  1. 在导航窗格中,选择规则的用户权限节点。

  2. 在“用户权限”管理区中,选择添加项目 > 应用程序 > 文件

    将显示“为用户权限管理添加文件”对话框。

  3. 在“属性”选项卡中,单击文本框中的省略号 (...):
    1. 在“打开”对话框中,导航到要添加的文件,然后单击确定
    2. 如果需要,您可以选择以下内容:
      • 在可能的情况下,替换环境变量
      • 使用正则表达式(R)
      • 将文件设为允许的项目

  4. 参数文本框中输入可选的命令行参数。输入 Process Explorer 中显示的所有参数。

    命令行参数将匹配条件扩展到“文件”字段中输入的范围之外。如果添加了参数,则必须满足文件和参数才能进行匹配。可以添加显示在进程命令行上的任何参数,比如 flag、switch、file 和 GUID。

    有关有效参数的示例,请参阅参数示例

  5. 要应用策略,请从“策略”部分的下拉列表中选择策略。

    您可以为策略选择以下选项:

    • 应用到子进程
    • 应用到常见对话框
    • 作为可信所有者安装
    • 在提升之前提示用户(以及相关事项:在提升之前要求提供理由)。另请参阅消息设置
  6. 如果需要,请输入文件的可选说明以供将来参考。
  7. 要向文件添加元数据,请选择元数据选项卡:
    1. 单击从文件写入元数据
    2. 可以填充以下字段:产品名称、供应商、公司名称、文件描述、文件版本和产品版本。

    3. 选择元数据的复选框可优化文件的条件。

      如果启用“供应商”元数据,则可以使用另一个选项 - 在运行时验证证书。启用此选项后,代理会在证书与文件匹配时验证证书。单击验证选项以访问在文件匹配期间使用的另一组条件。

      有关详细信息,请参阅验证选项

  8. 单击添加将文件添加到规则的“用户权限管理”中。
  9. 该项目将添加到“用户权限”工作区。
    如果要禁用一个特定的规则项目,请突出显示该项,右键单击并选择更改状态。这会在禁用和启用之间切换。当需要使用“支持”进行故障排除时,这可能很有用。

拒绝的文件

允许的文件

结果

shutdown.exe

shutdown.exe

参数:-r -t 30

shutdown.exe 仅在 -r -t 30 位于命令行时运行 - shutdown.exe 运行的任何其他项目都会被拒绝。

要正确配置允许或拒绝的项目的参数,则参数必须与其在 Process Explorer 中的显示保持一致,例如:

File: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

Command line: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

将配置为:

File: Absolute or relative path of winword.exe

Arguments: /n C:\example.docx

文件夹

在导航窗格中,选择规则的“允许项目”或“拒绝项目”节点。

  1. 在“规则项目”功能区,选择:
    • 添加项目 > 允许 > 文件夹。

    • 添加项目 > 拒绝 > 文件夹。

    将显示“添加文件夹”对话框。

  2. 在“属性”选项卡中,单击文本框中的省略号 (...),导航到要添加的文件夹,然后单击确定
  3. 如果需要,请选择以下内容:
    • 在可能的情况下,替换环境变量
    • 使用正则表达式(R)
    • 包括子文件夹
  4. 要向文件夹添加元数据,请选择元数据选项卡:
    1. 单击从文件写入元数据
    2. 可以填充以下字段:产品名称、供应商、公司名称、文件描述、文件版本和产品版本。

    3. 选择元数据的复选框可优化文件的条件。

      如果启用“供应商”元数据,则可以使用另一个选项 - 在运行时验证证书。启用此选项后,代理会在证书与文件匹配时验证证书。单击验证选项以访问在文件匹配期间使用的另一组条件。

      有关详细信息,请参阅验证选项

  5. 单击添加将文件夹添加到规则允许/拒绝的项目。
  6. 该项目将添加到“允许/拒绝”工作区域。
    如果要禁用一个特定的规则项目,请突出显示该项,右键单击并选择更改状态。这会在禁用和启用之间切换。当需要使用“支持”进行故障排除时,这可能很有用。
  1. 在导航窗格中,选择规则的用户权限节点。

  2. 在“用户权限”管理区中,选择添加项目 > 应用程序 > 文件夹

    将显示“为用户权限管理添加文件夹”对话框。

  3. 在“属性”选项卡中,单击文本框中的省略号 (...):
    1. 在“打开”对话框中,导航到要添加的文件,然后单击确定
    2. 如果需要,您可以选择以下内容:
      • 在可能的情况下,替换环境变量
      • 包括子文件夹
      • 使用正则表达式(R)
      • 将文件夹设为允许的项目

  4. 要应用策略,请从“策略”部分的下拉列表中选择策略。

    您可以为策略选择以下选项:

    • 应用到子进程
    • 应用到常见对话框
    • 作为可信所有者安装
    • 在提升之前提示用户(以及相关事项:在提升之前要求提供理由)。另请参阅消息设置
  5. 如果需要,请输入文件夹的可选说明以供将来参考。
  6. 要向文件添加元数据,请选择元数据选项卡:
    1. 单击从文件写入元数据
    2. 可以填充以下字段:产品名称、供应商、公司名称、文件描述、文件版本和产品版本。

    3. 选择元数据的复选框可优化文件夹的条件。

      如果启用“供应商”元数据,则可以使用另一个选项 - 在运行时验证证书。启用此选项后,代理会在证书与文件匹配时验证证书。单击验证选项以访问在文件匹配期间使用的另一组条件。

      有关详细信息,请参阅验证选项

  7. 单击添加将文件添加到规则的“用户权限管理”中。
  8. 该项目将添加到“用户权限”工作区。
    如果要禁用一个特定的规则项目,请突出显示该项,右键单击并选择更改状态。这会在禁用和启用之间切换。当需要使用“支持”进行故障排除时,这可能很有用。

驱动器

  1. 选择规则的“允许的项目”或“拒绝的项目”节点。
  2. 在“规则项目”功能区,选择:
    • 添加项目 > 允许 > 驱动器
    • 添加项目 > 拒绝 > 驱动器
  3. 将显示“添加驱动器”对话框。
  4. 输入驱动器号和选项说明以供将来参考。
  5. 单击添加将驱动器添加到规则允许或拒绝的项目列表中。

签名和签名项目

  1. 在导航窗格中,选择规则的“允许项目”或“拒绝项目”节点。
  2. 在“规则项目”功能区,选择:
    • 添加项目 > 允许 > 签名项目

    • 添加项目 > 拒绝 > 签名项目

    将显示“添加签名”对话框。

  3. 在“属性”选项卡中,单击文本框中的省略号 (...)。在“打开”对话框中,导航到要添加的文件(例如 EXE 文件),然后单击确定

    使用文件的签名哈希值填充“签名哈希值”字段。

  4. 要指定文件仅在特定访问时间运行,请选择访问时间选项卡:
    1. 选择仅允许文件在某些访问时间运行
    2. 要指定特定的允许时间段,请右键单击日历区域中的时间段,然后选择新允许的时间段
  5. 单击添加将签名文件添加到规则允许/拒绝的项目。
  1. 在导航窗格中,选择规则的用户权限节点。

  2. 在“用户权限”管理区中,选择添加项目 > 应用程序 > 签名

    将显示“为用户权限管理添加文件夹”对话框。

  3. 在“属性”选项卡中,单击文本框中的省略号 (...):
  4. 在“打开”对话框中,导航到要添加的文件,然后单击确定
  5. 如果需要,您可以选择将签名文件设为允许的项目
  6. 参数文本框中输入可选的命令行参数。

  7. 要应用策略,请从“策略”部分的下拉列表中选择策略。

    您可以为策略选择以下选项:

    • 应用到子进程
    • 应用到常见对话框
    • 作为可信所有者安装
    • 在提升之前提示用户(以及相关事项:在提升之前要求提供理由)。另请参阅消息设置
  8. 如果需要,请输入文件夹的可选说明以供将来参考。
  9. 单击添加将签名文件添加到规则的“用户权限管理”。

网络连接项目

可以为任何网络资源创建网络连接项目,并可以将其直接添加到规则。当需要更精细的控制级别或仅需要几个项目时,将单一网络连接项目添加至允许和拒绝的项目列表中非常有用。然而,使用这种方法可能会花费很多时间。

可以在规则之间剪切、复制或拖放网络连接项目。配置中没有默认的网络连接项目。网络连接项目的完整路径不能超过 400 个字符。

  1. 在导航窗格中,选择规则的“允许项目”或“拒绝项目”节点。
  2. 在“规则项目”功能区,选择:
    • 添加项目 > 允许 > 网络项目

    • 添加项目 > 拒绝 > 网络项目

    将显示“添加网络连接”对话框。

  3. 选择网络类型:
    • IP 地址 - 选择此项可控制对特定 IP 地址的访问。
    • 网络共享 - 选择此项可控制对 UNC 路径的访问。前缀 \\ 将添加到“主机”字段中。
    • 主机名 - 选择此项可控制对特定主机名的访问。
  4. 完成连接的详细信息。所有三个字段(主机、端口和路径)的总字符数不得超过 400 个。

    • 主机 - 网络连接的 IP 地址或主机名。这取决于所选连接的类型。可以使用 ? 和 * 通配符。此外,范围还可以用于 IP 地址,其通过使用连字符 (-) 表示。IP 地址必须为 IP4 八进制格式,例如,n.n.n.n。如果选择“网络共享”作为连接类型,则需要 \\ 前缀。

      可以在主机中输入目标资源的完整路径,例如 http://server1.company.local:80/resource1/。

      将焦点从“主机”移开,路径将自动拆分为单独的连接选项:

      • http:// 从“主机”字段中移除,server1.company.local 仍然存在。
      • 被移除,80 移至“端口”。
      • /resource1/ 移至“路径”。
    • 端口 - 网络连接的端口号。这可以与 IP 地址或主机名结合使用,以控制对特定端口的访问。允许将范围和逗号分隔的值作为端口号的一部分。单击端口可显示常用端口列表。根据需要选择多个端口。

    • 路径 - 网络连接的路径。可以使用 ? 和 * 通配符。要在路径中使用通配符,请选择文本包含通配符选项。

      “路径”仅用于控制 HTTP 和

    • 说明 - 输入有意义的说明以描述网络连接。
  5. 单击添加将网络连接添加到规则允许或拒绝的项目列表中。

Windows 应用商店应用

  1. 在导航窗格中,选择规则的“允许的项目”或“拒绝的项目”节点。
  2. 在“规则项目”功能区,选择:
    • 添加项目 > 允许 > Windows 应用商店应用
    • 添加项目 > 拒绝 > Windows 应用商店应用
  3. 选择所需选项:
    • 所有已安装的应用 - 包括用户已安装的任何应用。
    • 单个应用 - 包含从内置代码片段及从 Ivanti 市场下载的代码片段中选择的特定应用。使用“版本匹配”下拉菜单指定所需的应用版本。
    • 发布者 - 包含来自指定发布者的所有应用。您可以手动输入发布者详细信息或从本地安装的应用中提取详细信息。
  4. 单击确定

可以将组添加到用户权限,以保存和管理文件、文件夹、驱动器、签名文件和网络连接项目的逻辑集合。您还可以将其添加到规则允许或拒绝的项目列表中。

  1. 在导航窗格中,选择规则的“允许项目”或“拒绝项目”节点。
  2. 在“规则项目”功能区,选择:
    • 添加项目 > 允许 >

    • 添加项目 > 拒绝 >

    将显示“组选择”对话框,并列出可用组。

  3. 选择要添加的组。
  4. 如果要执行所有列出的规则项目,而不管所有者是谁,请选择应用的允许不可信所有者复选框。
  5. 单击确定
  1. 在导航窗格中,选择规则的“用户权限”节点。

  2. 在“用户权限”管理区中,选择添加项目 > 应用程序 > “组”

    随即显示“添加用户规则”对话框。列出可用组。

  3. 要将用户权限规则分配给所选组,请选择添加到规则
  4. 您还可以选择以下选项:
    • 策略 - 从下拉列表中选择策略,比如“内建提升”。
    • 允许 - 允许所选的组并覆盖所有相关联的允许的项目。
    • 允许不可信所有者 - 执行所有列出的规则项目,不管所有者是谁。当选中“允许访问”时,此选项可用。
    • 应用到子进程 - 将策略应用于父进程的所有子项和其他后代。
    • 应用到常见对话框 - 当从提升进程中选择时,允许使用管理权限运行“打开”和“保存”对话框。
    • 作为可信所有者安装 - 将本地管理员设为由定义的应用程序创建的所有文件的所有者。
    • 在提升之前提示用户(以及相关事项:在提升之前要求提供理由)- 显示已配置的消息,帮助用户确定是否要提升权限。提示可要求用户在提升权限之前输入理由。另请参阅消息设置
  5. 单击确定

相关主题

规则选项

关于规则

浏览器控件

控制应用程序