配置规则

App Control 配置可以通过规则来构建,当用户尝试执行文件时,系统会检查端点上的这些规则,这是对可信所有权检查的补充。

App Control 规则不适用于管理员。

必须将配置安全级别设为限制,规则才能在端点上生效。

您可以创建应用程序模板来将项目分到一组。 创建或编辑规则时可以使用应用程序模板,以便轻松填充源项目列表。

规则类型

规则可用于将共同条件下的操作分到一组。 选择要为其创建规则的操作类型。

允许:允许规则将授予可能受到限制的特定项目的访问权限。

拒绝:拒绝规则将禁止访问特定项目。

提升:提升规则允许非管理员用户访问应用程序或组件。

可信供应商:项目具备有效的数字签名时,可信供应商规则将授予指定供应商和项目的运行权限。

创建规则

您可以从配置中创建规则,也可以通过点击“概述”页面上的图表来创建规则:

选项 1 - 从“配置”页面创建规则

  1. 导航至 App Control > 配置
    配置页面随即显示。
  2. 在表格中,找到要添加规则的配置,然后在操作列中点击 省略号图标 打开操作菜单。
  3. 点击编辑
    编辑配置页面随即显示。
  4. 您也可以选择在编辑之前查看配置:在“配置”页面上,点击配置名称
    配置页面随即显示。
    点击编辑按钮。
    编辑配置页面随即显示。
  5. 规则表格中,点击 +添加新规则
    配置:<name> 页面随即显示。
  6. 选择要创建的规则类型,然后按照相关链接主题中的步骤进行操作:

选项 2 - 从“概述”页面创建规则(不可信所有者图表)

针对不可信所有者执行的文件,您可以在捕获时为其创建允许规则。

  1. 导航至 App Control > 概述
    概述页面随即显示。
  2. 点击由不可信所有者执行的应用程序图表。
    由不可信所有者执行的应用程序页面随即显示。
  3. 在表格中,找到要为其创建允许规则的文件,然后在操作列中点击 打开选项菜单。
  4. 点击 +创建规则
    选择配置对话框随即显示。
  5. 选择要为其创建并添加规则的配置。
  6. 点击创建规则
    针对所选配置的配置页面随即显示。
  7. 按照允许规则的创建流程进行操作。

选项 3 - 从“概述”页面创建规则(提升权限图表)

针对使用提升权限执行的文件,您可以在捕获时为其创建提升规则。

  1. 导航至 App Control > 概述
    概述页面随即显示。
  2. 点击使用提升权限执行的应用程序图表。
    使用提升权限执行的应用程序页面随即显示。
  3. 在表格中,找到要为其创建提升规则的文件,然后在操作列中点击 打开选项菜单。
  4. 点击 +创建规则
    选择配置对话框随即显示。
  5. 选择要为其创建并添加规则的配置。
  6. 点击创建规则
    针对所选配置的配置页面随即显示。
  7. 按照提升规则的创建流程进行操作。

规则项目设置

可以从规则的什么?页面 > 所选项目 部分 > 图标 > 编辑,访问规则项目设置面板。

属性选项卡

  • 显示名称:输入想在规则表格的名称列中显示的文件名。
  • 文件:输入想应用规则的文件或路径。 您可以使用通配符匹配多个文件,例如,C:\\Program Files\\*.exe 将匹配 Program Files 文件夹中的所有 .exe 文件。
    接受的文件类型包括:exe、bat、cmd、vbs、wsf、js、msi、msp、ps1 和 reg。
    • 使用正则表达式:选择此选项可在匹配文件或路径时使用正则表达式。
  • 参数:输入 Process Explorer 中显示的所有参数。
    命令行参数将匹配条件扩展到“文件”字段中输入的范围之外。 如果添加参数,则必须同时满足文件和参数才能进行匹配。 可以添加显示在进程命令行上的任何参数,比如 flag、switch、file 和 GUID。
    您可以选择使用正则表达式。
    拒绝的文件允许的文件结果
    shutdown.exeshutdown.exe
    参数:-r -t 30    		shutdown.exe 只有在命令行上显示“-r -t 30”时运行;由 shutdown.exe 运行的任何其他内容都将遭到拒绝。

    要正确配置允许或拒绝项目的参数,参数必须与 Process Explorer 中显示的相同。

    文件:C:\Windows\System32\shutdown.exe

    命令行:C:\Windows\System32\shutdown.exe -r -t 30

    将配置为:

    文件:shutdown.exe 的绝对路径或相对路径

    参数:-r -t 30

  • 描述:可以选择输入描述。
  • 选项:可用选项取决于规则类型。
    • 即使文件并非由可信所有者拥有也允许文件运行:仅适用于允许规则项目。
      可信所有权检查始终启用,因此应用程序即便是允许项目,也始终必须通过可信所有权检查。 不过,针对不属于可信所有者的项目,如果需要向用户提供其访问权限,请选择此选项。
    • 被拒绝时不显示访问被拒绝消息:仅适用于拒绝规则项目。
      如果想静默拒绝项目,不向用户显示访问被拒绝的消息,请选择此选项。
      配置消息设置中自定义消息。
  • 策略:仅适用于提升规则项目。
    • 应用到子进程:默认情况下,应用于规则项目的自行提升策略不会由子进程继承。 选择此选项可将策略应用于父进程的直接子项。
    • 应用到常用对话框:在文件或文件夹得到提升时,提升对于“打开文件”和“保存文件”Windows 菜单选项的访问权限。

      要防止用户以管理员权限修改文件系统,此选项应保留为未选中。

    • 作为可信所有者安装:将本地管理员设为定义应用程序创建的所有项目的所有者。 此选项不适用于常规应用程序,仅适用于安装程序包。
    • 提升前提示用户:选择此选项可在提升前向最终用户显示自我提升提示。
      配置消息设置中自定义消息。
      • 提升前需要提供理由:选择此选项可要求用户输入提升的原因。

元数据选项卡

  • 产品名称:产品的名称。
    • 使用正则表达式:选择此选项可在匹配产品名称时使用正则表达式。
  • 供应商:如果文件已数字签名,则显示与签名关联的供应商名称。
    • 使用正则表达式:选择此选项可在匹配供应商时使用正则表达式。
    • 在运行时验证证书:选择此选项可在证书与文件匹配时验证供应商证书。
      系统也会验证文件的完整性,确保文件未被篡改。

      如果频繁运行非常大的文件,可能会影响性能。

  • 公司名称:生产文件的公司名称。
    • 使用正则表达式:选择此选项可在匹配公司名称时使用正则表达式。
  • 文件描述:文件的描述。
    • 使用正则表达式:选择此选项可在匹配文件描述时使用正则表达式。
  • 文件版本:要匹配的文件的版本范围。
    • 最低:规则匹配中包含的文件的最低版本号。
    • 最高:规则匹配中包含的文件的最高版本号。
  • 产品版本:要匹配的产品的版本范围。
    • 最低:规则匹配中包含的最低版本号。
    • 最高:规则匹配中包含的最高版本号。

相关主题

允许/拒绝规则

提升规则

可信供应商规则