可信所有者

在此部分:

关于可信所有者

在规则匹配过程中,对文件和文件夹执行“受信任的所有权”检查,确保项目的所有权与默认规则配置中指定的可信所有者列表匹配。

例如,如果要运行的文件与允许的项目匹配,则执行额外的安全检查可确保文件所有权也与“可信所有者”列表匹配。如果原始文件被篡改,或存在安全威胁的文件被重命名来仿冒允许的文件,则受信任的所有权检查会识别到其不规则性并阻止文件执行。

默认情况下拒绝网络文件夹/共享。因此,如果文件保存在网络文件夹中,则必须将该文件或文件夹作为允许的项目添加到规则中。否则,即使该文件通过了受信任的所有权检查,规则也不会允许访问。

因为签名无法模仿,所以不必对有数字签名的项目执行受信任的所有权检查。

可信所有者列表保留在“全局设置”功能区的“可信所有者”对话框中。默认情况下,Application Control 信任以下内容:

  • 系统
  • 内建/管理员
  • %ComputerName%\Administrator
  • NT 服务\可信安装者

这意味着默认情况下,Application Control 信任“内建\管理员”组和本地管理员拥有的文件。Application Control 对“可信所有者”不执行组查找 - 默认情况下,不信任“内建\管理员”组的用户。其他用户(包括“管理员”组的成员)必须经过明确添加才能成为“可信所有者”。可通过扩展“可信所有者”列表添加其他用户或组。

Application Control 首次使用时,建议您使用默认设置。请勿扩展“可信所有者”列表或更改任何默认设置,以免进行复杂的自定义操作。

该对话框包含以下选项:

  • 文件覆盖和重命名 - 选择覆盖或重命名文件时,更改文件的所有权选项后,Application Control 在覆盖或重命名时,有选择性地更改可执行文件的 NTFS 文件所有权。

    非“可信所有者”的用户尝试覆盖文件而该文件由“受信任的所有权”或“允许的项目”规则允许时,如果文件内容已更改,则可能构成安全威胁。Application Control 将更改覆盖文件的所有权至执行操作的用户,使文件不受信任并确保系统安全。

    同样,尝试将禁用文件重命名为允许的项目名称也可能构成安全威胁。Application Control 也会将这些文件的所有权更改至执行重命名操作的用户,并确保文件不受信任。

    覆盖和重命名操作都已经过审核。

  • 文件覆盖和重命名 - 如需忽略单个文件的”受信任的所有权”,请执行以下操作之一:
    • 取消选中“允许的项目”子节点中的“受信任的所有权”复选框。
    • 为用户和设备分配自授权状态,让用户自行决定是否允许运行文件。
    • 设置“组”、“用户”、“设备”、“自定义”、“脚本”和“进程”规则节点中规则的“自授权”安全级别。
    • “可信应用程序”会覆盖与“拒绝的项目”匹配所产生的限制。
    • “可信供应商”会覆盖“受信任的所有权”检查所导致的限制。

Whitelists

如果您希望使用默认情况下不允许任何内容运行的白名单,请取消选中“全局设置”功能区中“高级设置”的“策略设置”对话框中的默认允许本地驱动器复选框。如需允许项目,请将项目添加到配置节点的“允许的项目”文件夹中。

如需使用白名单,请将“所有人”组中所有相关文件或文件夹都添加到“允许的项目”中,并将组规则添加到“所有人”组,以允许运行重要的系统文件。否则许多关键的可执行文件和 DLL(例如存储在 system32 目录中的文件和 DLL)将停止运行并会对系统正常运行产生负面影响。

以下视频介绍了“受信任的所有权”中使用的概念:

受信任的所有权 - 原因具体内容运作方式

启用受信任的所有权

如需启用此功能,请从“全局设置”功能区中选择可信所有者,然后配置所需设置:

  • 启用受信任的所有权检查 - 选择此选项可启用“受信任的所有权”检查。默认选择。

  • 覆盖或重命名文件时,更改文件的所有权 - 若文件由不受信任的用户(即非“可信所有者”)所覆盖,选择此选项可更改任何受信任的允许文件的所有权。

    当不受信任的用户尝试重命名禁用文件并忽略拒绝的项目规则时,所有权将更改至不受信任的用户。一旦所有权发生变化,“受信任的所有权”检查就会阻止文件执行。

  • 可信所有者 -“可信所有者”详细信息。
  • 文本 SID -“可信所有者”的文本安全标识符。例如,S-1-5-32-544
  • 添加可信所有者按钮 - 启动“添加可信所有者”对话框。输入或浏览后选择要添加到“可信所有者”列表的帐户。
  • 删除可信所有者按钮 - 删除所选的“可信所有者”。

测试受信任的所有权

  1. 使用测试用户帐户引入一个或多个应用程序。
  2. 将一个或多个应用程序复制到用户的主驱动器或其他合适的位置,例如 System32 文件夹中的 calc.exe 或从 CD 复制的文件。
  3. 尝试运行复制的文件。禁用该应用程序是因为文件归测试用户所有,而不是“可信所有者”。

您可以使用 Windows 资源管理器查看“属性”来验证文件的所有权。

相关主题

扩展筛选

应用程序终止

消息设置

正在存档

策略更改请求

服务台门户