規則
規則可用於在共用條件下將規則分至一個群組。
例如,您想要建立一組僅適用於一位特定使用者的規則。要完成這個動作,您需要為 James 建立了一個新使用者規則,並且在可執行檔控制項、權限管理和瀏覽器控制項中建立了您希望僅套用在他身上的規則。當一個事件發生在端點上,例如:使用者啟用一項應用程式時,系統會檢查群組的條件;在本例中,條件為「目前在端點上登錄的使用者是否為 James?」。如果是,那麼此事件會考量所有 James 規則組下的規則;如果否,那麼此事件會忽略相關規則。
請注意特定規則僅適用於特定事件,而不適用的規則將被忽略。使用者啟用一個應用程式時,瀏覽器控制項規則將被忽略。使用者瀏覽至新網頁時,可執行檔控制項和權限管理規則將被忽略。
在這個部分中:
管理角色
規則節點可讓您以特定使用者、群組和裝置為目標建立規則,並指派安全性層級原則、資源存取和資源限制以套用至符合規則的使用者、群組和裝置。規則類型有六種:
規則節點提供安全性層級設定,可指定執行檔案的限制層級。應用程式控制 組態規則設定安全性層級會指定如何管理符合規則的使用者、群組或裝置執行未授權應用程式的要求:
- 受限制 - 僅授權的應用程式可執行。其中包括「受信任所有者」清單成員所擁有的檔案,以及「允許的項目」、「受信任廠商」和「受信任應用程式」中列出的檔案。
- 自助授權 - 系統會提示使用者決定要在主機裝置上封鎖或執行未授權的檔案。
- 僅限稽核 - 允許所有動作,但會基於監視目的記錄和稽核事件。
- 沒有限制 - 允許所有動作,不含指定執行檔案時的限制層級時所用的事件記錄和稽核設定。
規則節點另提供其他的粒度層級以控制「允許的項目」、「拒絕的項目」和「受信任廠商」的應用程式使用,進而指定允許或阻止執行的檔案、資料夾、磁碟機和簽章項目、網路連線項目、Windows 市集應用程式與群組清單。
如需各種規則類型相關選項的詳細資訊,請參閱規則選項。
若要在組態中顯示所有規則,請按一下導覽樹狀目錄中的規則。摘要會顯示相關規則類型之下列出的所有規則。您會看見並可修改指派給每個規則的安全性層級。
安全性層級
套用安全性層級以控制規則中指定的使用者、群組和裝置是完全受到 應用程式控制 規則限制、沒有限制、僅限稽核,還是被授予自助授權狀態以授權使用者決定是否要執行應用程式。您可以在稽核元件和 Windows 事件記錄中引發事件以稽核自助授權的使用者。
設定安全性層級
若要設定安全性層級,請選取需要的節點並使用滑塊套用需要的安全性層級。
受限制
選取此選項以限制規則中的使用者、群組和裝置僅執行授權的應用程式。其中包括「受信任所有者」清單成員所擁有的檔案,以及「允許的項目」節點中列出的檔案。
此設定會禁止使用未經授權的應用程式。只有對識別或是經常使用的應用程式進行足夠的稽核後,才會建議使用此設定。
自助授權
選取此選項以提示規則中的使用者、群組和裝置決定是否允許執行未授權檔案的要求。未授權的檔案係指不屬於「受信任所有者」清單的檔案,或未在特定規則之「允許的項目」清單中指定的檔案。
自助授權使用者提示包含以下選項:
- 允許 - 允許執行應用程式。
- 封鎖 - 阻止執行應用程式。
當允許 DLL 檔案執行時,系統訊息會通知使用者可能需要重新啟動使用該 DLL 的應用程式。您可以在「通用設定」功能區的「訊息設定」對話方塊中修改顯示的預設訊息。
系統會針對已自助授權的可執行檔案自動允許任何未受信任的 DLL。
使用者也可決定套用設定的時間長度:
- 僅記住我對於此工作階段的決定 - 僅針對目前的工作階段保留授權決定。當使用者嘗試在任何未來的工作階段中執行應用程式時,系統會再次提示進行授權決定。
- 永久記住我的決定 - 針對所有未來的工作階段保留使用者決定。
若未選取這些選項,則只會針對使用者嘗試執行的目前執行個體保留決定。未來若有任何使用者嘗試執行應用程式的執行個體,系統會重新發出自助授權提示。
僅限稽核
選取此選項以基於監視目的記錄和稽核事件。此設定會根據定義於稽核內的原則設定來允許所有動作。
通常會在初次設定 應用程式控制 以供使用時使用此設定。稽核期間允許對事件記錄進行被動記錄,然後可對其進行分析,並針對應限制及不應限制哪些應用程式制定出規則。
沒有限制
選取此選項以允許所有動作且不執行事件記錄和稽核。
您可以測試是否已正確執行「安全性層級」。下列範例說明了「自助授權」層級的測試方式。
- 在「使用者」規則節點中建立規則,以套用至測試使用者帳戶 (並非屬於受信任所有者清單的群組成員)。
- 將安全性層級設為「自助授權」以允許測試使用者自助授權要執行的應用程式。
- 儲存組態。
- 執行登錄編輯程式。應用程式會被禁止,且會顯示訊息方塊以提示使用者決定是否允許執行檔案並通知要記錄的動作。
您可以套用安全性層級以控制處理序規則中指定的應用程式是受到 應用程式控制 規則完全限制、沒有限制、還是僅限稽核。
-
選取需要的處理序規則。
處理序規則工作區域隨即顯示。
- 按一下並拖曳安全性層級滑塊至需要的層級。
原則變更要求選項
針對每個規則設定哪些要求類型和功能可供使用者使用。「原則變更要求」設定可用於除「處理序」規則以外的所有規則類型。
- 在導覽窗格中選取規則。
- 選取原則變更要求索引標籤。
- 選取「原則變更要求」的可行提出方式:
- 電子郵件
- 電話 (立即變更原則)
- 選取使用者可用於發起「原則變更要求」的方法:
- 存取遭拒訊息方塊 - 使用者按一下訊息方塊中的連結,其中的訊息方塊是在使用者試圖存取遭禁止應用程式時顯示。
- 應用程式內容功能表 - 使用者從遭禁止應用程式的內容功能表中選取選項。
- 桌面圖示 - 使用者透過桌面捷徑圖示從「原則要求」對話方塊中發起變更要求。
各設定的詳細資訊均是使用「原則變更要求」對話方塊進行設定,可從「通用設定」功能區存取。