规则选项

允许的项目拒绝的项目可信供应商用户权限可以应用于文件、文件夹、驱动器、数字签名、签名项目、网络连接项目、Windows 应用商店应用和组项目。

有关添加项目的详细信息,请参阅规则项目

每个规则选项必须与一个或多个规则类型相关联。

在此部分:

规则匹配

Application Control 拦截文件执行请求并检查配置策略以确定是否允许运行文件时,会发生规则匹配。

Applying Rule Policies

最宽松的安全策略应用于受多个规则影响的用户配置文件。例如,如果一个用户同时匹配具备受限安全级别的用户规则和具备自授权安全级别的组规则,那么这个用户便拥有对所有决策和应用程序进行使用的自授权权限。

匹配文件和规则

Application Control 代理通过对文件类型进行适当匹配来应用规则。

匹配基于考虑安全性、匹配顺序和策略决策的三阶段方法:

  1. 安全:
    • 用户是否受限制?
    • 可执行项目的所有权是否可信?
    • 可执行文件位于何处?
  2. 匹配:
    • 可执行文件是否与签名匹配?
    • 可执行文件是否与允许或拒绝的项目匹配?
  3. 策略:
    • 是否已启用受信任的所有权检查?
    • 是否存在定时异常?
    • 是否存在应用程序限制?

示例:文件 'confidential.doc' 保存在文件夹 'common' 中。一个规则指定拒绝访问文件 'confidential.doc',但允许访问文件夹 'common'。更精细的规则优先级更高,所以拒绝访问文件 confidential.doc。

受信任的所有权检查

在规则匹配过程中,对文件、文件夹和驱动器执行受信任的所有权检查,以确保项目的所有权与默认规则配置中的可信所有者列表匹配。如果检查失败,将启动可信供应商检查。

配置完成后,当执行的文件与预定义的“允许的项目”列表匹配时,附加的安全检查将确保所有权与“可信所有者”列表中的用户匹配。如果此检查失败,Application Control 会尝试将文件的数字签名与“可信供应商”列表匹配。如果仍然不能找到匹配,将阻止文件执行。

不必对具有数字签名的项目进行受信任的所有权检查,因为它们无法被模仿。

当使用默认配置时,对于被覆盖的或重命名的系统,任何引入其中的新的或现有的文件都会将其所有权更改至当前用户。因此,如果更改是由不可信用户所执行的,那么将来的任何执行请求都将无法通过可信所有者检查。

受信任的所有权检查可以作为全局规则使用,也可以对每个项目单独使用。要停止 Application Control 对受信任的所有权进行检查,请确保在“全局设置”>“可信所有者”中没有选择启用受信任的所有权检查

应用和移除规则

“组”规则节点允许您将安全控制规则与企业内的特定用户组进行匹配。

“组”汇总显示组名、文本安全标识符 (SID) 和规则的安全级别。SID 是可变长度的数据结构,用于标识用户、组和计算机帐户。首次创建帐户时,网络上的每个帐户都会获得一个唯一的 SID。Windows 中的内部进程引用帐户 SID 而不是帐户用户或组名。同样,除非在添加到配置时找不到 SID,否则 Application Control 还引用用户或组 SID。

应用规则

  1. 在“规则项目”功能区中,单击添加
  2. 选择要创建的规则类型:
    • 用户
    • 设备
    • 自定义
    • 脚本

    • 进程

    将显示“添加规则”对话框。

  3. 输入相关信息并单击确定

删除规则

  1. 要删除组规则,请突出显示该规则并单击“规则”功能区中的删除规则

    将显示确认消息

  2. 单击确认移除。

元数据

对文件或文件夹属性进行匹配后,元数据将为匹配文件和文件夹添加附加标准。例如,为供应商添加元数据允许您验证某个文件是否由已验证的发布者签名。

元数据适用于允许、拒绝和用户权限应用程序规则项目中的文件和文件夹。可手动输入元数据,也可从现有文件中添加。为兼容的规则项目选择文件或文件夹的元数据选项卡:

  • 要从文件中添加元数据,请选择“元数据”选项卡并单击从文件写入元数据,然后选择要在其中使用元数据的文件。选择所需元数据的复选框。
  • 要手动添加元数据,请选择复选框并添加所需数据。

要使用 Windows 资源管理器查看文件的元数据,请右键单击该文件并选择属性。将在“详细信息”选项卡中显示元数据。

可以为文件和文件夹项目配置以下元数据:

  • 产品名称 - 产品的名称。

  • 供应商 - 与签名相关联的供应商名称(如果文件已经过数字签名)。另一个选项可用于测试文件的“供应商”元数据是否可信。

    如果启用“供应商”元数据,则可以使用另一个选项 - 在运行时验证证书。启用此选项后,代理会在证书与文件匹配时验证证书。单击验证选项以访问在文件匹配期间使用的另一组条件。

    有关详细信息,请参阅验证选项

  • 公司名称 - 生产该产品的公司的名称。

  • 文件说明 - 由供应商或公司定义的文件或文件夹说明。

可以将显示的信息修改为条件,该条件可包含元数据段,可使用通配符 (*)。

  • 最小值 - 显示所选文件的最小版本号。

  • 最大值 - 显示所选文件的最大版本号。

可以修改显示的信息以引入版本范围,其中可以使用通配符定义版本号的最大值和最小值,并且可以监控位于范围内的文件的所有版本。

  • 最小值 - 显示所选文件的最小产品版本号。

  • 最大值 - 显示所选文件的最大产品版本号。

可以修改显示的信息以引入版本范围,其中可以使用通配符定义版本号的最大值,并且可以监控位于范围内的产品的所有版本。

通配符可用于替换部分元数据信息,以允许您基于所选元数据的片段指定所需匹配。例如,如果您有一个来自 Microsoft Corporation 的供应商,并且想要任何与 Microsoft 相关联的内容,您可以用通配符 (*) 替换 "Corporation" 这个词,以匹配任何与 Microsoft 相关的内容,而不是具体的 “Microsoft Corporation”。

规则项仅适用于与所选元数据匹配的文件。

相关主题

规则类型

规则项目

允许的项目

拒绝的项目

可信供应商

用户权限规则

浏览器控件