配置文件

应用程序控制配置可以通过规则来构建,当用户尝试执行文件时,会在端点上检查这些规则,这是对受信任所有权检查的补充。

应用程序控制规则不适用于管理员。

必须将配置安全级别设置为“ 受限 ”,规则才能在端点上生效。

您可以创建 应用程序模板 来将项目分组在一起。 创建或编辑规则时可以使用应用程序模板,以轻松填充源项目列表。

规则类型

规则用于在共同条件下将动作分组在一起。 选择您想要创建规则的操作类型。

允许:允许规则授予对可能受到限制的特定项目的访问权限。

拒绝:拒绝规则禁止访问特定项目。

提升:提升规则允许非管理员用户访问应用程序或组件的权限。

可信供应商:当项目具有有效的数字签名时,可信供应商规则授予指定供应商和项目的运行权限。

创建规则

您可以从配置中创建规则,也可以通过单击“概述”页面上的图表来创建规则:

选项 1 - 从“配置”页面创建规则

  1. 导航至 应用程序控制 > 配置
    随即显示“阶段配置”面板。
  2. 在表中,找到要添加规则的配置,在 操作 列中,单击 省略号图标 打开操作菜单。
  3. 单击编辑布局
    随即显示“阶段配置”面板。
  4. 或者,您可以选择在编辑之前查看配置,为此,在“配置”页面上,单击配置 名称
    随即显示“阶段配置”面板。
    点击转到按钮。
    随即显示“阶段配置”面板。

  5. <name>随即显示“阶段配置”面板。
  6. 选择要创建的规则类型,然后按照相关链接主题中的步骤进行操作:

选项 2 - 从“概览”页面创建规则(不受信任的所有者图表)

您可以为捕获的由不受信任的所有者执行的文件创建允许规则。

  1. 导航至 应用程序控制 > 概述
    随即出现“审查”页面。
  2. 单击“ 由不受信任的所有者执行的应用程序 ”图表。
    出现“ 由不受信任的所有者执行的应用程序 ”页面。
  3. 在表中,找到要为其创建允许规则的文件,然后在 操作 列中,单击 打开选项菜单。
  4. 单击“ 创建规则”。
    出现“ 选择配置 ”对话框。
  5. 选择要创建的配置并添加规则。
  6. 点击创建
  7. 按照 允许规则 创建过程进行操作。

选项 3 - 从概览页面创建规则(提升权限图表)

您可以为捕获的以提升权限执行的文件创建提升规则。

  1. 导航至 应用程序控制 > 概述
    随即出现“审查”页面。
  2. 单击“ 以提升的权限执行的应用程序 ”图表。
    出现“ 使用提升的权限执行的应用程序 ”页面。
  3. 在表中,找到要为其创建提升规则的文件,然后在 操作 列中,单击 打开选项菜单。
  4. 单击“ 创建规则”。
    出现“ 选择配置 ”对话框。
  5. 选择要创建的配置并添加规则。
  6. 点击创建
  7. 遵循 提升规则 创建流程。

规则项设置

可以从规则 什么? 页面 > 选定项目 部分 > 图标 > 编辑 访问 规则项目设置面板。

属性选项卡

  • 显示名称:输入您想要在规则表的名称列中显示的文件名。
  • 文件:输入您想要应用规则的文件或路径。 您可以使用通配符匹配多个文件,例如,C:\\Program Files\\*.exe 将匹配 Program Files 文件夹中的所有 .exe 文件。
    接受的文件类型为:exe、bat、cmd、vbs、wsf、js、msi、msp、ps1 和 reg。
    • 使用正则表达式:选择在匹配文件或路径时使用正则表达式。
  • 参数:输入在 Process Explorer 中显示的所有参数。
    命令行参数将匹配条件扩展到文件字段中输入的内容之外。 如果添加了参数,则文件和参数都必须满足才会匹配。 可以添加进程命令行上出现的任何参数,例如标志、开关、文件和 guid。
    您可以选择使用正则表达式。
    拒绝文件允许的文件结果:
    关机程序关机程序
    参数: -r -t 30    		shutdown.exe 仅当命令行上有 -r -t 30 时运行,shutdown.exe 运行的任何其他操作都会被拒绝。

    要正确配置允许或拒绝项的参数,它们必须像在 Process Explorer 中一样出现。

    文件:C:\\Windows\\System32\\shutdown.exe

    命令行:C:\\Windows\\System32\\shutdown.exe -r -t 30

    将配置为:

    文件: shutdown.exe 的绝对或相对路径

    参数: -r -t 30

  • 可选地输入描述。
  • 选项:可用选项取决于规则类型。
    • 即使文件不属于受信任的所有者,也允许其运行:仅适用于允许规则项。
      受信任所有权检查始终处于启用状态,因此应用程序必须始终通过受信任所有权检查,即使该应用程序是允许的项目。 但是,如果您需要向用户提供对不属于受信任所有者的项目的访问权限,请选择此选项。
    • 被拒绝时不显示访问被拒绝消息:仅适用于拒绝规则项。
      如果您想默默地拒绝某个项目并且不向用户显示访问被拒绝的消息,请选择此选项。
      配置消息设置中自定义消息。
  • 政策:仅适用于提升规则项目。
    • 应用于子进程:默认情况下,应用于规则项的自我提升策略不会被子进程继承。 选择此选项可将策略应用于父进程的直接子进程。
    • 应用于常见对话框:当文件或文件夹被提升时,提升对打开文件和保存文件窗口菜单选项的访问权限。

      为了防止用户使用管理权限修改文件系统,不应选择此选项。

    • 以受信任的所有者身份安装:使本地管理员成为定义的应用程序创建的所有项目的所有者。 此选项不适用于常规应用程序,仅适用于安装程序包。
    • 提升前提示用户:选择在提升前向最终用户显示自我提升提示。
      配置消息设置中自定义消息。
      • 提升前需要说明原因:选择要求用户输入提升的原因。

“元数据”选项卡

  • 产品名称:产品的名称。
    • 使用正则表达式:选择在匹配产品名称时使用正则表达式。
  • 供应商:如果文件已经过数字签名,则显示与签名关联的供应商名称。
    • 使用正则表达式:选择在匹配供应商时使用正则表达式。
    • 在运行时验证证书:选择在供应商证书与文件匹配时验证供应商证书。
      还会验证文件的完整性,以确保文件未被篡改。

      如果频繁运行非常大的文件,这可能会影响性能。

  • 公司名称:制作该文件的公司名称。
    • 使用正则表达式:选择在匹配公司名称时使用正则表达式。
  • 文件描述:文件描述。
    • 使用正则表达式:选择在匹配文件描述时使用正则表达式。
  • 文件版本 要匹配的文件的版本范围。
    • 最小:规则匹配中包含的文件的最小版本号。
    • 最大值:规则匹配中包含的文件的最大版本号。
  • 产品版本 要匹配的产品版本范围。
    • 最小:规则匹配中包含的最小版本号。
    • 最大值:规则匹配中包含的最大版本号。

相关主题

允许/拒绝规则

提升规则

可信供应商规则