允許/拒絕規則
允許規則是指允許使用者、群組或裝置存取特定項目 (例如檔案、資料夾、應用程式、網路連線和 URL 重新導向),但無需為其提供完整管理員權限的規則。
拒絕規則是指拒絕使用者、群組或裝置存取特定項目 (例如檔案、資料夾、應用程式、網路連線和 URL 重新導向) 的規則。
規則建立工作流程步驟:
- 您想要建立什麼規則?
- 您想要允許/拒絕什麼項目? 您可以允許/拒絕以下類型:
- 檔案/應用程式: 實作檔案/應用程式執行
- 網路連線: 實作應用程式網路存取控制 (ANAC) - 網路連線
- URL: 實作 URL 重新導向
- 何時指派規則?
- 總結並儲存
內容選項

檔案/應用程式選項可讓您建立允許/拒絕特定應用程式或檔案執行的規則。
要設定檔案/應用程式,請參閱為檔案/應用程式建立允許/拒絕規則。

應用程式網路存取控制 (ANAC) 根據規則處理的結果,提供依據 IP 位址、主機名稱、URL、UNC 或連接埠控制出站網路連線的能力。
以下是可用的連線類型:
-
IP 位址 - 選取此項可控制對特定 IP 位址的存取。
-
網路共用 - 選取此項可控制對 UNC 路徑的存取。 前綴 \\ 被加入到主機欄位。
-
主機名稱 - 選取此項可控制對特定主機名稱的存取。
以下是可用的連線選項:
-
主機: 網路連線的 IP 位址或主機名稱。 這相依於所選的連線類型。 可以使用 ? 和 * 萬用字元。 -(連字號) 可用於指定範圍,但僅限於選取了 IP 位址時。
-
IP 位址必須採用 IP4 八進位格式。 例如,n.n.n.n
-
如果選取網路共用作為連線類型,則需要 \\ 前綴。
-
在主機中可以輸入目標資源的完整路徑。
-
-
網路連線連接埠: 網路連接的連接埠號碼。 這可以與 IP 位址或主機名稱結合使用來控制對特定連接埠的存取。 範圍和逗號分隔的值可以作為連接埠號碼的一部分。
按一下連接埠可顯示常用連接埠的清單。 根據需要選取任意數量的連接埠。 -
路徑: 網路連線的路徑。 可以使用 ? 和 * 萬用字元。 使用方法:
-
文字包含萬用字元 - 選取此項可使用字元 ? 和 * 作為路徑中的通配符。 如果未選取,? 和 * 被視為 URL 分隔符號。
-
使用正則表達式 - 選取此選項可為所選路徑使用正則表達式。
-
包含子目錄 - 選取此項可在規則處理中包含子目錄。
-
僅在選取了連線類型網路共用時適用。
路徑僅與控制 HTTP 相關。
-
若要設定 ANAC,請參閱為網路連線/應用程式網路存取控制 (ANAC) 建立允許/拒絕規則。

URL 重新導向可讓管理員建立規則,以便在使用者嘗試存取指定 URL 時自動重新導向使用者。 透過定義禁止的 URL 清單,您可以將任何嘗試存取列出的 URL 的使用者重新導向到預設警告頁面或自訂網頁。 您也可以透過選取來允許某些 URL,當與重新導向結合使用時,它們可以為您提供進一步的靈活性和控制力,並讓您可以建立網站的允許清單。
* 預設的「拒絕存取」頁面顯示被封鎖的 URL。
* 對於 Chrome 和 Edge 瀏覽器中的 URL 重新導向,所有託管端點都必須是網域的一部分。
若要設定 URL 重新導向,請參閱為 URL 建立允許/拒絕規則。
建立允許/拒絕規則 - 您想允許什麼?

- 在您想要執行什麼動作?頁面上,選取我想要允許/拒絕。
- 按一下下一步。
允許/拒絕規則 - 您想要允許/拒絕什麼?頁面隨即顯示。 - 選取以下選項並按一下下一步。
- 檔案/應用程式: 允許/拒絕特定應用程式或檔案執行。
- 在選取來源中,使用下拉式清單選取項目的來源。 選取自:
- 已由受信任擁有者封鎖 (僅適用於允許規則): 這會在來源項目區段中填入因不屬於受信任擁有者而被 App Control 記錄為已封鎖的所有項目清單。
- 應用程式範本: 這會在來源項目區段中填入已在 App Control 中建立的所有應用程式範本清單。
- 或者,選取手動新增檔案以顯示規則項目設定面板,您可以在此指定要為其建立允許規則的檔案。
- 選取所需的項目。 選取後,每個項目都會新增到已選取項目區段中。
您可以編輯項目設定: 屬性和中繼資料,方法是按一下以開啟規則項目設定面板。
- 按一下下一步。
允許/拒絕規則 - 何時指派?頁面隨即顯示。 - 繼續建立允許/拒絕規則 - 何時指派?和摘要步驟。

- 在您想要執行什麼動作?頁面上,選取我想要允許/拒絕。
- 按一下下一步。
允許/拒絕規則 - 您想要允許/拒絕什麼?頁面隨即顯示。 - 從下列選項中選取:
- 網路連線: 允許/拒絕特定的網路連線。
- 在選取來源中,使用下拉式功能表選取網路連接。
- 在網路連線中,指定連線類型並輸入相關的主機、連接埠或路徑來設定連線詳細資訊:
- IP 位址: 允許/拒絕 IP 位址或 IP 位址範圍。
- 網路共用: 允許/拒絕網路共用。 在主機中輸入網路共用的路徑。
- 主機名稱: 允許/拒絕主機。 輸入主機名稱
- IP 位址: 允許/拒絕 IP 位址或 IP 位址範圍。
- 按一下新增 > 下一步。
允許/拒絕規則 - 何時指派?頁面隨即顯示。 - 繼續建立允許/拒絕規則 - 何時指派?和摘要步驟。

- 在您想要執行什麼動作?頁面上,選取我想要允許/拒絕。
- 按一下下一步。
允許/拒絕規則 - 您想要允許/拒絕什麼?頁面隨即顯示。 - 從下列選項中選取:
- URL: 允許/拒絕特定的 URL。
- 在選取來源中,使用下拉式功能表選取 URL。
- 在 URL 中,指定允許/拒絕存取的 URL。
- (可選): 拒絕規則: 在下面選取要為拒絕存取顯示的適當選項:
拒絕 URL 時顯示 Application Control 預設警告頁面
拒絕 URL 時顯示自訂頁面
輸入您想要顯示的 URL。
- 按一下新增 > 下一步。
允許/拒絕規則 - 何時指派?頁面隨即顯示。 - 繼續建立允許/拒絕規則 - 何時指派?和摘要步驟。
建立允許/拒絕規則 - 何時指派?和摘要

- 在選取來源中,使用下拉式清單選取項目的來源,任何選取或新增的來源將顯示在已選取項目區段中。 選取自:
- AD 群組: 其中列出 AD 顯示名稱和群組名稱,您可以使用搜尋和篩選功能來精簡清單。 或者,您可以按一下手動新增以手動新增群組。
- AD 使用者: 輸入網域\使用者名稱,然後按一下新增。
- App Control 使用者: App Control 已為其記錄事件的使用者的使用者名稱。 選取所需使用者。
- 電腦群組: 輸入電腦群組,例如: CN=ComputerGroup。 如果要包含巢狀群組,請選取「搜尋巢狀群組」。 按一下新增。
- 裝置組織單位: 輸入組織單位,例如: OU=Corporation。 如果要包含子 OU,請選取包含子 OU。 按一下新增。
- 裝置: 其中列出所有 Neurons 探索到的 Windows 裝置的裝置名稱和主機名稱,您可以使用搜尋和篩選功能來精簡清單。 或者,您可以按一下手動新增以手動新增裝置。
- IP 位址: 輸入 IP 位址,然後選取是否要根據 IP 位址比對規則運算式。 按一下新增。
範例:- 192.168.0.1: 選取 IP 為 192.168.0.1 的用戶端裝置
- 192.168.0.*: 選取 IP 為 192.168.0.<any> 的用戶端裝置
- 192.168.0.15-25: 選取 IP 範圍在 192.168.0.15 至 192.168.0.25 之間的所有用戶端裝置
- 或者,選取所有人,為「所有人」群組建立規則,這包括登入成功部署組態之裝置的任何使用者,管理員除外。
- 完成「已選取項目」後, 按一下下一步。
儲存規則和規則摘要頁面隨即顯示。 - 為規則輸入名稱,也可以選擇輸入規則的說明。
- 在類別中,可以選擇為規則輸入類別標籤。
您可以新增現有類別,或建立新類別。 指派給規則的類別會顯示在組態規則表格中。- 新增: 按一下類別可顯示現有類別的下拉式清單,請選取所需類別。
- 建立: 按一下類別並輸入新類別標籤,按一下欄位外以建立並儲存類別。
- 規則的預設狀態是作用中,如果您還不想啟用此規則,請將規則狀態切換為關閉。
- 按一下儲存以儲存規則並返回組態,您將在規則區段中看到列出的新規則。
或者,按一下儲存並新增另一個以儲存規則並返回您想要執行什麼動作?頁面,為組態建立另一個規則。 - 將所有規則新增至組態後,按一下儲存,將組態儲存為草稿。 或者,按一下儲存並發佈以儲存組態的版本。
發佈後,該組態即可指派給原則。