系统控件

在此部分：

• 关于系统控件
• 卸载控件项目
• 服务控件项目
• 事件日志控件项目
• 进程终止控件项目

关于系统控件

使用“系统控件”可以控制应用程序和进程的删除或修改、特定服务的管理以及指定事件日志的清除操作。“系统控件”可用于提升或限制对指定项目的访问权限。

限制或提升安装或卸载、修改或修复桌面应用程序 (Windows 10) 的能力，适用于可通过“控制面板程序和功能”视图访问的 MSI 和 .exe 安装程序。自 Application Control 2020.2 版本起，“Windows 设置应用程序和功能”视图中也支持分配的权限。

“系统控件”在每个规则组的“用户权限”节点上可用。

添加系统控件

1. 选择所需规则组的“用户权限”节点。
2. 选择系统控件选项卡。
3. 单击添加项目，然后选择所需的系统控件：
   • 卸载
   • 服务
   • 事件日志
   • 进程终止

   在“进程规则”中，只能添加“进程终止”项目。

4. 填写所需详细信息，然后单击确定。
5. 从策略列中，选择所需选项：
   • 内建限制 - 始终限制对指定项目的访问。
   • 内建提升 - 始终允许对指定项目的访问。
6. 如需配置更多项目，请单击“权限管理”功能区中的添加项目，然后选择所需选项。

7. 单击单击此处设置用户被限制访问系统控件时显示的消息链接，配置用户尝试卸载受限制程序或清除受限制事件日志时显示的消息。

   有关详细信息，请参阅消息设置。

单击添加 Ivanti 组件和依存关系按钮，自动预填充带 AppSense* 的“卸载控制项目”、“服务控制项目”和“事件日志控制项目”配置。其他所需依存关系也将一并添加。在限制管理员权限以防止更改任何关键代理组件时，此选项非常有用。

卸载控件项目

在配置“卸载控制项目”之前，必须启用“应用程序访问控制”。有关详细信息，请参阅策略设置。

在规则条件匹配时，使用此选项可允许或限制已安装应用程序的卸载。通过定义要控制的应用程序，可以配置“卸载控制项目”。通过应用进一步验证，可以指定发布者名称和特定的应用程序版本。要允许或限制发布者的所有应用程序，请在“应用程序”字段中输入 * 及发布者名称。

有关“卸载控制项目”的使用示例，请参阅提升组 - 示例，允许卸载 Microsoft OneDrive。

AppSense 卸载控制项目

AppSense 公司已更名为 Ivanti，因此对于以前使用过 AppSense 名称的 Ivanti 产品，包含 AppSense* 卸载项目的 Application Control 配置将无法取得其控制权。

在 10.1 FR1（或更高版本）控制台中打开包含 AppSense * 卸载控制项目的配置时，将显示一个对话框。该对话框提供了一个选项，可以将 Ivanti* 自动添加到包含 AppSense* 的所有规则中。只要匹配“程序和功能”中显示的名称和发布者，即可卸载控制功能。同意自动更新可确保在将配置部署到重新命名的 Application Control 10.1 FR1（或更高版本）代理程序时，已重新命名为 Ivanti 的 AppSense 产品仍受到相同卸载控制的约束。

服务控件项目

在规则条件匹配时，使用此选项可选择修改、停止、启动和重新启动哪些服务。

代理服务是唯一停止后无法重新启动的服务。

通过指定服务名称或已知的服务名称，可以配置“服务控制项目”。不同本地化操作系统的服务显示名称可能有所不同。

有关“服务控制项目”的使用示例，请参阅防止 Windows 防火墙服务停止。

事件日志控件项目

在规则条件匹配时，使用此选项可选择可以或不可以清除的事件日志。选择日志名称或要控制的日志，可以配置“事件日志控制项目”。

有关“事件日志控制项目”的使用示例，请参阅防止清除系统日志。

进程终止控件项目

使用此选项可以防止所有用户（包括管理员）终止防病毒软件等进程。用户仍然可以直接停止进程，例如在应用程序 UI 中单击关闭，但无法强制终止进程，例如从任务管理器的“详细信息”选项卡中结束任务。可以指定单个文件，也可以指定特定文件夹中的所有进程。

可选择添加元数据，为匹配文件和文件夹增添附加条件。

有关详细信息，请参阅元数据。

相关主题

自行提升

用户权限受控组件

用户权限管理