拒絕的項目
在這個部分中:
關於拒絕的項目
「拒絕的項目」節點是您在建立新規則時,於任何「規則」節點中自動建立的子節點。其允許您新增拒絕規則中指定的群組、使用者與裝置存取的項目。
若您使用信任所有本機安裝之「受信任所有者」應用程式的預設選項,您僅需要新增不想讓使用者執行的特定應用程式。例如,您可以新增管理工具,像是管理與登錄編輯工具等。
您無需使用此清單來拒絕非管理員擁有的應用程式,因為它們會被受信任擁有權檢查封鎖。
應用程式控制 拖放功能可用於從 Windows 檔案總管新增檔案、資料夾、磁碟機與簽章項目,或是在各個主要組態節點內的「允許的項目」節點及「拒絕的項目」節點之間複製或移動項目。
您可以新增下列項目:
檔案
若僅指定了檔案名稱 (例如 myapp.exe),則無論應用程式位於何處,會一律拒絕所有此類執行個體。若使用完整路徑指定檔案,例如: \\servername\sharename\myapp.exe,則僅會拒絕該應用程式的此一執行個體。此應用程式的其他執行個體必須滿足其他 應用程式控制 規則才能獲准執行。針對 應用程式控制 內參照 DFS 共用上項目的檔案及資料夾,您需要指定目標伺服器,而非 UNC 路徑中的命名空間伺服器。
如需詳細資訊,請參閱分散式檔案系統。
資料夾
可指定完整資料夾 (例如 \\servername\servershare\myfolder),並且此資料夾內的所有應用程式,以及所有子資料夾均會遭到拒絕。不會對資料夾中的檔案進行檢查,因此任何複製至此資料夾的檔案均會遭到拒絕。選取包含子目錄以包含指定目錄下的所有目錄。若您新增了網路檔案或資料夾路徑,則必須使用 UNC 名稱,因為 應用程式控制 代理程式會忽略任何設定路徑中磁碟機代號並非本機固定磁碟的項目。使用者可透過網路對應的磁碟機代號來存取網路應用程式,因為在根據組態設定驗證路徑之前,該路徑已轉換為 UNC 格式。若要自動套用環境變數,請於新增檔案或新增資料夾對話方塊中選取可能的話,替換環境變數。此方式可讓路徑變得更為通用,方便套用至不同的機器。萬用字元支援對指定通用檔案路徑而言,可提供額外的控制層級。
磁碟機
您可以指定完整磁碟機 (例如 W),並且此磁碟機上的所有應用程式 (包括子資料夾) 均會遭到拒絕。不會對磁碟機內的檔案進行檢查,因此複製至此磁碟機上任何資料夾的任何檔案均會遭到拒絕。
簽章項目
檔案可連同檔案的數位雜湊一同新增。此舉可確保僅會執行該特定檔案,但執行位置不受限制。如需詳細資訊,請參閱「簽章雜湊」。
網路連線項目
可指定網路連線項目。拒絕網路上的所有檔案。
Windows 市集
選擇要拒絕哪些 Windows 市集應用程式。您可選取下列其中一項:
- 允許所有已安裝應用程式
- 允許選取的個別應用程式
- 允許指定發行者的所有應用程式
群組
群組可包含任意數量與組合的項目,例如: 特定應用程式的「檔案」、「資料夾」、「磁碟機」、「簽章」與「網路」。 拒絕所有檔案。
新增拒絕的項目
若要新增項目,請選取拒絕的項目節點,按一下「規則項目」功能區上的新增項目下拉式箭頭,接著選取已拒絕,然後選取您想要新增的「拒絕的項目」類型。
此工作可防止所有使用者存取網路共用上的應用程式:
- 在規則 > 群組 > 每個人中選取「拒絕的項目」節點。
- 按一下「規則項目」功能區內的新增項目,並選取已拒絕。
-
選取要允許的項目,例如「檔案」。
-
「新增檔案」對話方塊隨即顯示。
輸入或瀏覽要拒絕的檔案。
- 在預設情況下,會選取可能的話,替換環境變數核取方塊。如果未選取,則環境變數不會取代為通用環境變數。
- 若您想要無提示地拒絕項目並且不對使用者顯示任何警告訊息,請選取遭到拒絕時,不要顯示存取遭拒訊息。
- 如果您要忽略此項目的所有 9000 個事件,請選取忽略稽核事件篩選。
- 該項目會新增至「拒絕的項目」工作區域。
如果要停用特定規則項目,請反白顯示該項目,並以滑鼠右鍵按一下來選取變更狀態。這會在停用和啟用之間切換。需要使用支援進行疑難排解時,可使用此項目。
移除拒絕的項目
- 在「拒絕的項目」節點中選取要移除的項目。
- 在「規則項目」功能區中,按一下移除項目。
- 在確認對話方塊中按一下是。
該項目即會從節點中移除。