規則選項

允許的項目拒絕的項目受信任廠商使用者權限可套用至檔案、資料夾、磁碟機、數位簽章、簽章項目、網路連線項目、Windows 市集應用程式與群組項目。

請參閱規則項目以取得更多關於新增項目的詳細資訊。

每個規則選項必須與一或多個規則類型相關聯。

在這個部分中:

規則符合

應用程式控制 攔截到檔案執行要求並檢查組態原則以決定是否允許檔案執行時,就會進行規則比對程序。

Applying Rule Policies

若影響使用者設定檔的規則不只一個,則會套用限制最少的安全性原則。舉例來說,若使用者同時符合指派受限安全性層級的使用者規則以及指派「自助授權」安全性層級的群組規則時,則會授予自助授權權限以用於所有決定及應用程式用途。

符合的檔案和規則

應用程式控制 代理程式會進行檔案類型的適當比對以套用規則。

判斷是否符合時,會以安全性、符合順序和原則決定的三階段方式為考量基礎:

  1. 安全性:
    • 使用者是否受限?
    • 可執行項目的擁有權是否可信任?
    • 可執行檔案位於何處?
  2. 符合:
    • 可執行檔案是否與簽章相符?
    • 可執行檔案是否與允許或拒絕的項目相符?
  3. 原則:
    • 是否啟用了受信任擁有權檢查?
    • 是否有計時的例外項目?
    • 是否有應用程式限制?

範例: 'confidential.doc' 檔案保存於 'common' 資料夾中。規則指定 'confidential.doc' 檔案遭到拒絕,但 'common' 資料夾被允許。越精細的規則順序會越優先,而 confidential.doc 檔案會遭到拒絕。

受信任擁有權檢查

在進行規則比對程序期間,系統會在檔案、資料夾和磁碟機上執行「受信任擁有權」檢查,藉此確保項目的擁有權符合預設規則組態中的受信任所有者清單。若檢查失敗,則會啟動「受信任廠商」檢查。

在設定完成後,若執行的檔案符合預先定義的「允許的項目」清單,則額外的安全性檢查可確保擁有權符合受信任所有者清單中的使用者。如果檢查失敗,應用程式控制 會嘗試將檔案的數位簽章與「受信任廠商」清單進行比對。如果找不到相符項目,便會將執行封鎖。

具有數位簽章的項目因為無法被模仿,因此不需要進行「受信任擁有權」檢查。

當使用預設組態時,會將任何新增或現有的檔案引入至已覆寫或重新命名且擁有權已變更至目前使用者的系統。因此,若遭到非受信任使用者的變更,未來的任何執行要求都無法通過「受信任所有者」檢查。

「受信任擁有權」檢查可作為通用規則或以個別項目為基礎使用。若要讓 應用程式控制 停止檢查受信任擁有權,請確認您並未在通用設定 > 受信任所有者中選取啟用受信任擁有權檢查

應用程式和刪除規則

群組規則節點允許您使安全控制規則與企業內的特定使用者群組相符。

群組摘要顯示群組名稱、文字安全性識別碼 (SID) 和規則的安全性層級。SID 是可變長度的資料結構,用於識別使用者、群組和電腦帳戶。初次建立帳戶時,網路上的每個帳戶都會獲得唯一 SID。Windows 中的內部處理序是指帳戶 SID,而不是帳戶使用者或群組名稱。同樣地,除非在新增到組態時找不到使用者或群組 SID,否則 應用程式控制 也應會參照該 SID。

套用規則

  1. 在「規則項目」功能區中,按一下新增
  2. 選取要建立的規則類型:
    • 群組
    • 使用者
    • 裝置
    • 自訂
    • 已編寫指令碼

    • 處理序

    「新增規則」對話方塊隨即顯示。

  3. 輸入相關資訊,然後按一下確定

移除規則

  1. 若要移除群組規則,反白顯示該規則並按一下「規則」功能區上的移除規則

    確認訊息隨即顯示

  2. 按一下確認移除。

中繼資料

在比對過檔案或資料夾內容之後,中繼資料會針對符合的檔案和資料夾新增其他準則。例如,新增廠商的中繼資料可讓您驗證檔案是否由驗證發行者所簽署。

中繼資料適用於允許、拒絕和使用者權限應用程式規則項目中的檔案和資料夾。您可以手動輸入或從現有檔案新增中繼資料。您可以針對相容的規則項目選取檔案或資料夾的中繼資料索引標籤:

  • 若要從檔案新增中繼資料,請選取「中繼資料」索引標籤並按一下從檔案填入中繼資料,然後選取一個檔案以使用其中的中繼資料。選取所需中繼資料的核取方塊。
  • 若要手動新增中繼資料,請勾選一個核取方塊並新增必要的資料。

若要使用 Windows 檔案總管檢視檔案的中繼資料,請以右鍵按一下檔案並選取內容。中繼資料會在「詳細資訊」索引標籤內顯示。

可為檔案和資料夾項目設定下列中繼資料:

  • 產品名稱 - 產品的名稱。

  • 廠商 - 檔案在完成數位簽署之後,與此簽章相關聯的廠商名稱。此外還有其他選項可測試是否信任檔案的廠商中繼資料。

    如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。啟用此選項時,代理程式會在比對檔案時驗證憑證。按一下驗證選項以存取在檔案比對期間使用的另一組條件。

    如需詳細資訊,請參閱驗證選項

  • 公司名稱 - 生產該產品的公司名稱。

  • 檔案說明 - 由廠商或公司所定義的檔案或資料夾說明。

顯示的資訊可修改為準則,其中可包含中繼資料的區段,並可使用萬用字元 (*)。

  • 最小 - 顯示所選檔案的最小版本號碼。

  • 最大 - 顯示所選檔案的最大版本號碼。

顯示的資訊可修改以加入版本範圍,並使用萬用字元定義最大和最小的版本號碼,因此可監視此範圍中的所有檔案版本。

  • 最小 - 顯示所選檔案的最小產品版本號碼。

  • 最大 - 顯示所選檔案的最大產品版本號碼。

顯示的資訊可修改為加入版本範圍,並使用萬用字元定義最大的版本號碼,因此可監視此範圍中的所有產品版本。

萬用字元可用來替換部分中繼資料資訊,使您可以根據所選中繼資料的區段來指定必要的相符項目。例如,如果您有 Microsoft Corporation 的廠商,但需要與 Microsoft 相關聯的所有項目,可使用萬用字元 (*) 取代 "Corporation" 一詞以比對與 Microsoft 有關的所有項目,而非僅符合 "Microsoft Corporation" 的特定項目。

規則項目僅會套用至與下列已選取中繼資料相符的檔案。

相關主題

規則類型

規則項目

允許的項目

拒絕的項目

受信任廠商

使用者權限規則

瀏覽器控制項