受信任所有者

在此區段:

關於受信任所有者

在進行規則比對程序期間,系統會對檔案和資料夾執行「受信任擁有權」檢查,以確保項目的擁有權符合預設規則組態內指定的受信任所有者清單。

例如,若將您要執行之檔案與允許的項目進行比對,則額外的安全性檢查可確保檔案擁有權也與「受信任所有者」清單相符。假設正版檔案已遭竄改,或是已重新命名具有安全性威脅之檔案來偽裝成允許的檔案,受信任擁有權檢查會識別出不正常的情況並阻止檔案執行。

依預設會拒絕網路資料夾/共用。因此,若檔案存放在網路資料夾上,則必須將該檔案或資料夾當成允許的項目來新增至規則中。否則,即使檔案通過了「受信任擁有權」檢查,規則也不會允許存取這些項目。

具有數位簽章的項目因為無法模仿,因此不需要進行「受信任擁有權」檢查。

「受信任所有者」清單會保留在可於「通用設定」功能區使用的「受信任所有者」對話方塊之中。依預設 應用程式控制 會信任下列對象:

  • 系統
  • 內建/管理員
  • %ComputerName%\Administrator
  • NT 服務\受信任安裝程式

這表示在預設情況下,應用程式控制 信任「內建\管理員」群組和本機管理員所擁有的檔案。應用程式控制 不會對「受信任所有者」進行群組查詢 – 在預設情況下,不會信任屬於「內建\管理員」群組成員的使用者。必須明確地新增其他使用者 (即使他們是管理員群組成員),才能成為「受信任所有者」。您可以擴充上述清單以加入其他使用者或群組。

在初次使用 應用程式控制 時,我們建議您使用預設設定。為避免自訂過於複雜,請勿擴充「受信任所有者」清單或變更任何預設設定。

對話方塊包含下列選項:

  • 檔案覆寫和重新命名 - 若已選取當檔案遭到覆寫或重新命名時變更檔案的擁有權選項,應用程式控制 會在可執行檔案遭到覆寫或重新命名時選擇性變更其 NTFS 檔案擁有權。

    若有任何非「受信任所有者」的使用者嘗試覆寫「受信任擁有權」或「允許的項目」規則所允許覆寫的檔案,當檔案內容遭到變更時可能會構成安全性威脅。若檔案遭到覆寫,應用程式控制 會將該檔案的擁有權變更至執行動作的使用者,因此檔案會變成未受信任的狀態並確認系統受到保護。

    同樣地,嘗試將停用的檔案重新命名為允許項目的名稱也會構成安全性威脅。應用程式控制 也會將這些檔案的擁有權變更為執行重新命名動作的使用者,確保檔案維持未受信任的狀態。

    覆寫和重新命名的動作都會受到稽核。

  • 檔案覆寫和重新命名 - 若要忽略個別檔案的「受信任擁有權」,請執行以下其中一項動作:
    • 在「允許的項目」子節點中取消勾選「信任擁有權」核取方塊。
    • 將自助授權狀態指派給使用者和裝置,讓使用者自行決定是否要允許檔案執行。
    • 在群組、使用者、裝置、自訂、已編寫指令碼與處理序規則節點中為規則設定「自助授權」安全性層級。
    • 「受信任應用程式」會覆寫因符合「拒絕的項目」所造成的限制。
    • 「受信任廠商」會覆寫因「受信任擁有權」檢查所造成的限制。

Whitelists

如果您偏好使用依預設不允許任何項目執行的白名單方式,請在「通用設定」功能區「進階設定」的「原則設定」對話方塊中取消勾選依預設設定為允許本機磁碟機核取方塊。若要允許任何項目,請將其新增至組態節點的「允許的項目」資料夾中。

如果您使用白名單方式,請確認您已為「每個人」群組新增「群組」規則,使其中所有相關檔案或資料夾皆新增至「允許的項目」,以確保重要系統檔案得以執行。否則,許多關鍵的可執行檔案和 DLL (如儲存在 system32 目錄內的檔案) 將無法執行,對於系統運作也會造成負面影響。

下列視訊簡單介紹了受信任擁有權中所用的概念:

受信任擁有權 原因?什麼?方式

啟用受信任擁有權

若要啟用此功能,請於「通用設定」功能區選取受信任所有者並設定所需設定:

  • 啟用受信任擁有權檢查 - 選擇將啟用受信任擁有權檢查。依預設為選取。

  • 當檔案遭到覆寫或重新命名時,變更檔案的擁有權 - 若有任何受信任且允許的檔案遭到不在「受信任所有者」清單中的未受信任使用者所覆寫,請選取此選項以變更其擁有權。

    若有任何停用檔案遭到未受信任使用者重新命名以嘗試略過「拒絕的項目」規則,則擁有權會變更至未受信任使用者。當擁有權變更時,受信任擁有權檢查會阻止檔案的執行。

  • 受信任所有者 - 受信任所有者詳細資訊。
  • 文字 SID - 受信任所有者的文字安全性識別碼。例如 S-1-5-32-544
  • 新增受信任所有者按鈕 - 啟動「新增受信任所有者」對話方塊。藉由輸入或瀏覽來選取要新增至「受信任所有者」清單的帳戶。
  • 刪除受信任所有者按鈕 - 刪除選取的受信任所有者。

測試受信任擁有權

  1. 使用測試使用者帳戶來加入一個或多個應用程式。
  2. 將一個或多個應用程式複製到使用者的主目錄磁碟或其他合適位置,例如 System32 資料夾的 calc.exe 或從 CD 複製檔案。
  3. 嘗試執行複製的檔案。應用程式遭拒,因為檔案是歸測試使用者所有,而非「受信任所有者」清單的成員。

您可以確認檔案的擁有權,方式是使用 Windows 檔案總管來檢視檔案的「內容」。

相關主題

副檔名篩選

應用程式終止

訊息設定

封存

原則變更要求

服務台入口