規則項目

規則項目包括檔案、資料夾、網路磁碟機和連線、簽章檔案、Windows 市集應用程式以及群組,而您可將這些項目新增至規則節點,例如「允許的項目」和「使用者權限」。

應用程式控制 2020.3 版可讓您設定檔案、資料夾、簽章和群組的規則項目,以在提高應用程式權限之前提示使用者。這可讓使用者選擇要執行提高權限的應用程式 (或項目) 或正常執行。基於稽核目的,建議提示使用者提供提高權限的理由。
請注意,使用的稽核事件代碼為 9023 (自我提高權限)。

檔案

  1. 在導航窗格中,選取規則的「允許的項目」或「拒絕的項目」節點。
  2. 在「規則項目」功能區中,選取:
    • 新增項目 > 已允許 > 檔案

    • 新增項目 > 已拒絕 > 檔案

    「新增檔案」對話方塊隨即顯示。

  3. 在「屬性」索引標籤中,按一下文字方塊內的省略符號 (...),瀏覽至要新增的檔案,並按一下確定
  4. 如果需要,您可以選取下列內容:
    • 可能的話,替換環境變數
    • 使用正規運算式(R)

  5. 引數文字方塊中輸入選用的指令列引數。輸入 Process Explorer 中顯示的所有引數。

    指令列引數會將符合條件擴展到「檔案」欄位中輸入的範圍之外。如果新增引數,則必須滿足檔案和引數兩者才能符合。可新增出現在處理序指令列上的任何引數 (如 flag、switch、file 和 GUID)。

    如需有效引數的範例,請參閱引數範例

  6. 若要將中繼資料新增到檔案,請選取中繼資料標籤:
    1. 按一下從檔案填入中繼資料
    2. 可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。

    3. 勾選中繼資料的核取方塊以修正檔案的條件。

      如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。啟用此選項時,代理程式會在比對檔案時驗證憑證。按一下驗證選項以存取在檔案比對期間使用的另一組條件。

      如需詳細資訊,請參閱驗證選項

  7. 若要指定檔案僅在特定存取時間執行,請選取存取時間標籤:
    1. 選取僅允許在特定存取時間執行檔案
    2. 若要指定特定的允許期間,請以滑鼠右鍵按一下日曆區域中的期間,並選取新增允許期間
  8. 若要限制使用者可擁有的應用程式執行個體數量,請選取應用程式限制索引標籤:
    1. 選取啟用應用程式限制
    2. 在微調方塊內輸入限制。
  9. 按一下新增將檔案新增到規則的「允許/拒絕的項目」中。
  10. 該項目將新增到「允許/拒絕」工作區域。
    如果要停用特定規則項目,請反白顯示該項目,並以滑鼠右鍵按一下來選取變更狀態。這會在停用和啟用之間切換。需要使用支援進行疑難排解時,可使用此項目。
  1. 在導覽窗格中,選取規則的使用者權限節點。

  2. 在「使用者權限」功能區中,選取新增項目 > 應用程式 > 檔案

    「新增使用者權限管理的檔案」對話方塊隨即顯示。

  3. 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
    1. 在「開啟」對話方塊中,瀏覽至要新增的檔案,並按一下確定
    2. 如果需要,您可以選取下列內容:
      • 可能的話,替換環境變數
      • 使用正規運算式(R)
      • 將檔案設為允許項目

  4. 引數文字方塊中輸入選用的指令列引數。輸入 Process Explorer 中顯示的所有引數。

    指令列引數會將符合條件擴展到「檔案」欄位中輸入的範圍之外。如果新增引數,則必須滿足檔案和引數兩者才能符合。可新增出現在處理序指令列上的任何引數 (如 flag、switch、file 和 GUID)。

    如需有效引數的範例,請參閱引數範例

  5. 若要套用原則,請從「原則」區段的下拉式清單中選取原則。

    您可以選取原則的下列選項:

    • 套用至子處理序
    • 套用至共用對話方塊
    • 以受信任所有者身分安裝
    • 在提高權限前提示使用者 (以及相關事項: 提高權限前要求說明理由)。另請參閱訊息設定
  6. 如果需要,請輸入檔案選用說明以供日後參考。
  7. 若要將中繼資料新增到檔案,請選取中繼資料標籤:
    1. 按一下從檔案填入中繼資料
    2. 可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。

    3. 勾選中繼資料的核取方塊以修正檔案的條件。

      如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。啟用此選項時,代理程式會在比對檔案時驗證憑證。按一下驗證選項以存取在檔案比對期間使用的另一組條件。

      如需詳細資訊,請參閱驗證選項

  8. 按一下新增將檔案新增到規則的「使用者權限管理」中。
  9. 該項目會新增至「使用者權限」工作區域。
    如果要停用特定規則項目,請反白顯示該項目,並以滑鼠右鍵按一下來選取變更狀態。這會在停用和啟用之間切換。需要使用支援進行疑難排解時,可使用此項目。

拒絕的檔案

允許的檔案

結果

shutdown.exe

shutdown.exe

引數: -r -t 30

shutdown.exe 僅會在 -r -t 30 位於指令列時執行 - 其他任何由 shutdown.exe 執行的項目均會遭拒。

若要正確設定允許或拒絕的項目的引數,就必須使其顯示方式與在 Process Explorer 中的相同,例如:

File: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

Command line: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

會設定為:

File: Absolute or relative path of winword.exe

Arguments: /n C:\example.docx

資料夾

在導航窗格中,選取規則的「允許的項目」或「拒絕的項目」節點。

  1. 在「規則項目」功能區中,選取:
    • 新增項目 > 已允許 > 資料夾

    • 新增項目 > 已拒絕 > 資料夾

    「新增資料夾」對話方塊隨即顯示。

  2. 在「屬性」索引標籤中,按一下文字方塊內的省略符號 (...),瀏覽至要新增的資料夾,並按一下確定
  3. 如有需要,選取下列項目:
    • 可能的話,替換環境變數
    • 使用正規運算式(R)
    • 包含子資料夾
  4. 若要將中繼資料新增到資料夾,請選取中繼資料標籤:
    1. 按一下從檔案填入中繼資料
    2. 可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。

    3. 勾選中繼資料的核取方塊以修正檔案的條件。

      如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。啟用此選項時,代理程式會在比對檔案時驗證憑證。按一下驗證選項以存取在檔案比對期間使用的另一組條件。

      如需詳細資訊,請參閱驗證選項

  5. 按一下新增將資料夾新增到規則的「允許/拒絕的項目」中。
  6. 該項目將新增到「允許/拒絕」工作區域。
    如果要停用特定規則項目,請反白顯示該項目,並以滑鼠右鍵按一下來選取變更狀態。這會在停用和啟用之間切換。需要使用支援進行疑難排解時,可使用此項目。
  1. 在導覽窗格中,選取規則的使用者權限節點。

  2. 在「使用者權限」功能區中,選取新增項目 > 應用程式 > 資料夾

    「新增使用者權限管理的資料夾」對話方塊隨即顯示。

  3. 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
    1. 在「開啟」對話方塊中,瀏覽至要新增的檔案,並按一下確定
    2. 如果需要,您可以選取下列內容:
      • 可能的話,替換環境變數
      • 包含子資料夾
      • 使用正規運算式(R)
      • 將資料夾設為允許項目

  4. 若要套用原則,請從「原則」區段的下拉式清單中選取原則。

    您可以選取原則的下列選項:

    • 套用至子處理序
    • 套用至共用對話方塊
    • 以受信任所有者身分安裝
    • 在提高權限前提示使用者 (以及相關事項: 提高權限前要求說明理由)。另請參閱訊息設定
  5. 如果需要,請輸入資料夾選用說明以供日後參考。
  6. 若要將中繼資料新增到檔案,請選取中繼資料標籤:
    1. 按一下從檔案填入中繼資料
    2. 可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。

    3. 選取中繼資料的核取方塊以重新定義資料夾的準則。

      如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。啟用此選項時,代理程式會在比對檔案時驗證憑證。按一下驗證選項以存取在檔案比對期間使用的另一組條件。

      如需詳細資訊,請參閱驗證選項

  7. 按一下新增將檔案新增到規則的「使用者權限管理」中。
  8. 該項目會新增至「使用者權限」工作區域。
    如果要停用特定規則項目,請反白顯示該項目,並以滑鼠右鍵按一下來選取變更狀態。這會在停用和啟用之間切換。需要使用支援進行疑難排解時,可使用此項目。

磁碟機

  1. 選取規則的「允許的項目」或「拒絕的項目」節點。
  2. 在「規則項目」功能區中,選取:
    • 新增項目 > 已允許 > 磁碟機
    • 新增項目 > 已拒絕 > 磁碟機
  3. 「新增磁碟機」對話方塊隨即顯示。
  4. 輸入磁碟機代號及選項說明供您日後參考之用。
  5. 按一下新增將磁碟機新增到規則的允許或拒絕的項目清單中。

簽章和簽章項目

  1. 在導航窗格中,選取規則的「允許的項目」或「拒絕的項目」節點。
  2. 在「規則項目」功能區中,選取:
    • 新增項目 > 已允許 > 簽章項目

    • 新增項目 > 已拒絕 > 簽章項目

    「新增簽章」對話方塊隨即顯示。

  3. 在「屬性」索引標籤中,按一下文字方塊中的省略符號 (...)。在「開啟」對話方塊中,瀏覽至要新增的檔案 (如 EXE 檔案),並按一下確定

    「簽章雜湊值」欄位會填入檔案的簽章雜湊值。

  4. 若要指定檔案僅在特定存取時間執行,請選取存取時間標籤:
    1. 選取僅允許在特定存取時間執行檔案
    2. 若要指定特定的允許期間,請以滑鼠右鍵按一下日曆區域中的期間,並選取新增允許期間
  5. 按一下新增將簽章檔案新增到規則的「允許/拒絕的項目」中。
  1. 在導覽窗格中,選取規則的使用者權限節點。

  2. 在「使用者權限」功能區中,選取新增項目 > 應用程式 > 簽章

    「新增使用者權限管理的資料夾」對話方塊隨即顯示。

  3. 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
  4. 在「開啟」對話方塊中,瀏覽至要新增的檔案,並按一下確定
  5. 如有需要,您可選取「將簽章檔案設為允許項目」
  6. 引數文字方塊中輸入選用的指令列引數。

  7. 若要套用原則,請從「原則」區段的下拉式清單中選取原則。

    您可以選取原則的下列選項:

    • 套用至子處理序
    • 套用至共用對話方塊
    • 以受信任所有者身分安裝
    • 在提高權限前提示使用者 (以及相關事項: 提高權限前要求說明理由)。另請參閱訊息設定
  8. 如果需要,請輸入資料夾選用說明以供日後參考。
  9. 按一下新增將簽章檔案新增到規則的「使用者權限管理」中。

網路連線項目

可以為任何網路資源建立「網路連線項目」,並可直接新增到規則中。需要更為精細的控制層級,或是僅需要少數幾個項目時,新增單一「網路連線」項目至允許或拒絕的項目清單較有幫助。然而,使用此方法可能相當耗費時間。

可在各規則之間剪下、複製或拖放網路連線項目。組態中沒有預設的網路連線項目。網路連線項目的完整路徑不可超過 400 個字元。

  1. 在導航窗格中,選取規則的「允許的項目」或「拒絕的項目」節點。
  2. 在「規則項目」功能區中,選取:
    • 新增項目 > 已允許 > 網路連線

    • 新增項目 > 已拒絕 > 網路連線

    「新增網路連線」對話方塊隨即顯示。

  3. 選取連線類型:
    • IP 位址 - 選取將控制特定 IP 位址的存取。
    • 網路共享 - 選取將控制 UNC 路徑的存取。前綴 \\ 將新增至「主機」欄位中。
    • 主機名稱 - 選取將控制特定主機名稱的存取。
  4. 填妥連線詳細資訊。全部三個欄位 (「主機」、「連接埠」和「路徑」) 的字元數總計不可超過 400。

    • 主機 - 網路連線的 IP 位址或主機名稱。這取決於選取的連線類型。您可以使用 ? 和 * 萬用字元。IP 位址還可使用範圍,並透過使用連字號 (-) 表示。IP 位址必須採用 IP4 八進位數格式,例如: n.n.n.n。如果選取「網路共享」做為連線類型,則需要 \\ 前綴。

      可在「主機」內輸入目標資源的完整路徑,例如: http://server1.company.local:80/resource1/。

      從主機移開焦點,路徑將自動分割為個別的連接選項:

      • 從「主機」欄位中移除 http://,server1.company.local 仍然存在。
      • : 已刪除,而且 80 移至「連接埠」。
      • /resource1/ 移至「路徑」。
    • 連接埠 - 網路連線的連接埠號碼。這可以與 IP 位址或主機名稱結合使用,以控制特定連接埠的存取。允許使用範圍及逗點分隔值做為連接埠號碼的一部分。按一下連接埠即可顯示常用的連接埠清單。視需要選取多個連接埠。

    • 路徑 - 網路連線的路徑。您可以使用 ? 和 * 萬用字元。若要在路徑中使用萬用字元,請選取文字包含萬用字元選項。

      路徑僅與控制 HTTP 有關

    • 說明 - 請輸入有意義的說明來描述網路連線。
  5. 按一下新增將網路連線新增到規則的「允許或拒絕的項目」清單中。

Windows 市集應用程式

  1. 在導覽窗格中,選取規則的「允許的項目」或「拒絕的項目」節點。
  2. 在「規則項目」功能區中,選取:
    • 新增項目 > 已允許 > Windows 市集應用程式
    • 新增項目 > 已拒絕 > Windows 市集應用程式
  3. 選取所需選項:
    • 所有已安裝應用程式 - 包含使用者已安裝的任何應用程式。
    • 個別應用程式 - 包含在內建片段以及從 Ivanti Marketplace 下載的片段中選取的特定應用程式。使用「版本符合」下拉式清單找出需要的應用程式版本。
    • 發行者 - 包含具名發行者的所有應用程式。您可以手動輸入發行者詳細資訊,或者從本機安裝的應用程式擷取詳細資訊。
  4. 按一下確定

群組

您也可以在「使用者權限」中新增群組以保留及管理檔案、資料夾、磁碟機、簽章檔案與網路連線項目的邏輯集合。您也可以將其新增到規則的「允許或拒絕的項目」清單中。

  1. 在導航窗格中,選取規則的「允許的項目」或「拒絕的項目」節點。
  2. 在「規則項目」功能區中,選取:
    • 新增項目 > 已允許 > 群組

    • 新增項目 > 已拒絕 > 群組

    「群組選項」對話方塊會顯示列出的可用群組。

  3. 選取要新增的群組。
  4. 若您要執行所有列出的規則項目且不論所有者是誰,請選取應用程式中的允許未受信任所有者核取方塊。
  5. 按一下確定
  1. 在導航窗格中,選取規則的「使用者權限」節點。

  2. 在「使用者權限」功能區中,選取新增項目 > 應用程式 > 群組

    「群組選項」對話方塊隨即顯示。此時會列出可用的群組。

  3. 若要將「使用者權限」規則指派至選取的群組,請選取新增至規則
  4. 您也可以選取下列選項:
    • 原則 - 從下拉式清單中選取原則,例如「內建提高權限」。
    • 設為允許 - 將選取的群組設為允許並覆寫任何相關聯的允許項目。
    • 允許未受信任所有者 - 執行所有列出的規則項目且不論所有者是誰。只有在選取「設為可存取」時,此選項才可供使用。
    • 套用至子處理序 - 將原則套用至所有子處理序以及父處理序的其他子系。
    • 套用至共用對話方塊 - 允許以管理權限開啟及儲存從提高權限之處理序選取的對話方塊。
    • 以受信任所有者身分安裝 - 針對由定義之應用程式所建立的所有檔案,將本機管理員設為檔案的所有者。
    • 在提高權限前提示使用者 (以及相關事項: 提高權限前要求說明理由) - 顯示設定的訊息以協助使用者判斷是否要提高權限。該提示可要求使用者在提高權限之前輸入理由。另請參閱訊息設定
  5. 按一下確定

相關主題

規則選項

關於規則

瀏覽器控制項

控制應用程式