控制應用程式

您可以將 應用程式控制 的安全方法 (如「受信任擁有權檢查」) 與組態內規則合併使用,藉此控制哪些使用者能安裝及執行應用程式。

應用程式控制 使用名為「受信任擁有權檢查」的方法來防止執行任何使用者所引入的可執行檔案。依預設,僅允許行執經由「受信任所有者」(例如,管理員) 所安裝的應用程式。針對已安裝在多使用者環境的 Microsoft 應用程式 (如 Project 和 Visio),您可以使用 應用程式控制 允許僅有特定已獲授權裝置才能存取這些應用程式。

應用程式控制 組態包含兩種群組規則。分別是不受限制且能執行任何可執行檔案的內建\管理員,以及僅可執行「受信任所有者」所擁有之可執行檔案的每個人。各個建立的規則均具有「允許的項目」及「拒絕的項目」清單。

「允許的項目」清單允許管理員針對通常會遭到預設規則封鎖之可執行檔案授與存取權限,例如,「受信任擁有權」失效或「網路可執行檔案」。

「拒絕的項目」清單允許管理員拒絕通常經由預設規則允許之可執行檔案的存取權限。

因為 Microsoft 應用程式通常僅授權可於少數裝置上執行,因此使用 應用程式控制 針對每個人進行應用程式的初始拒絕存取,接著依據允許的裝置進行少量授權存取,才是最佳做法。

  1. 展開群組 > 每個人節點。
  2. 以滑鼠右鍵按一下拒絕的項目節點並選取新增項目 > 已拒絕 > 檔案。「新增檔案」對話方塊隨即顯示。
  3. 瀏覽並選取要限制存取的應用程式,或是在「檔案」欄位輸入名稱,然後按一下新增。現在已拒絕所有標準使用者使用特定應用程式。

上述組態會對每個人拒絕存取,因此您必須建立例外規則來允許具名授權裝置執行該應用程式。可使用 IP 位址範圍或 NetBIOS 名稱指定裝置。這些裝置是終端伺服器/Citrix 環境中的連線用戶端機器。

應用程式控制 與 Microsoft 群組原則的運作方式不同,因為「允許的項目」規則會覆寫任何「拒絕的項目」規則。

  1. 在「規則」功能區中,選取新增規則 > 裝置規則

    新規則隨即建立。

  2. 以滑鼠右鍵按一下新規則,並選取重新命名
  3. 鍵入直覺式名稱,例如 Visio 獲授權裝置
  4. 展開新規則。
  5. 選取允許的項目節點。

  6. 在「規則項目」功能區中,選取新增項目 > 已允許 > 檔案

    「新增檔案」對話方塊隨即顯示。

  7. 瀏覽並選取要對已授權裝置設為允許的應用程式,或是在「檔案」欄位輸入名稱,然後按一下新增

    這與您在步驟 1 中已設限制的應用程式相同。
  1. 選取新的「裝置」規則。

  2. 在「規則」功能區上選取新增用戶端裝置

    新增用戶端裝置對話方塊隨即顯示

  3. 瀏覽並選取要對指定應用程式授權的裝置,然後按一下新增

    您也可以指定裝置,方式為直接鍵入:

    • IP 位址 (例如,192.168.1.80)
    • IP 位址範圍 (例如,192.168.1.10-20)

    • NetBIOS 名稱 (例如,Ivanti-PC1)

      您可以加入上述任何組合。

  4. 若要指定的裝置是連線裝置而非執行應用程式的實體裝置,請於各裝置的「裝置類型」欄中選取連線裝置

儲存組態。當組態部署至 Citrix/終端伺服器時,僅允許指定裝置啟動 Microsoft「依裝置」授權的應用程式

相關主題

規則

規則選項

規則項目