允許/拒絕規則

允許規則是指允許使用者、群組或裝置存取特定項目 (例如檔案、資料夾、應用程式、網路連線和 URL 重新導向),但無需為其提供完整管理員權限的規則。

拒絕規則是指拒絕使用者、群組或裝置存取特定項目 (例如檔案、資料夾、應用程式、網路連線和 URL 重新導向) 的規則。

規則建立工作流程步驟:

  1. 您想要建立什麼規則
  2. 您想要允許/拒絕什麼項目? 您可以允許/拒絕以下類型:
  3. 何時指派規則?
  4. 總結並儲存

內容選項

檔案/應用程式選項可讓您建立允許/拒絕特定應用程式或檔案執行的規則。

要設定檔案/應用程式,請參閱為檔案/應用程式建立允許/拒絕規則

應用程式網路存取控制 (ANAC) 根據規則處理的結果,提供依據 IP 位址、主機名稱、URL、UNC 或連接埠控制出站網路連線的能力。

以下是可用的連線類型:

  • IP 位址 - 選取此項可控制對特定 IP 位址的存取。

  • 網路共用 - 選取此項可控制對 UNC 路徑的存取。 前綴 \\ 被加入到主機欄位。

  • 主機名稱 - 選取此項可控制對特定主機名稱的存取。

以下是可用的連線選項:

  • 主機: 網路連線的 IP 位址或主機名稱。 這相依於所選的連線類型。 可以使用 ? 和 * 萬用字元。 -(連字號) 可用於指定範圍,但僅限於選取了 IP 位址時。

    • IP 位址必須採用 IP4 八進位格式。 例如,n.n.n.n

    • 如果選取網路共用作為連線類型,則需要 \\ 前綴。

    • 在主機中可以輸入目標資源的完整路徑。

  • 網路連線連接埠: 網路連接的連接埠號碼。 這可以與 IP 位址或主機名稱結合使用來控制對特定連接埠的存取。 範圍和逗號分隔的值可以作為連接埠號碼的一部分。
    按一下連接埠可顯示常用連接埠的清單。 根據需要選取任意數量的連接埠。

  • 路徑: 網路連線的路徑。 可以使用 ? 和 * 萬用字元。 使用方法:

    • 文字包含萬用字元 - 選取此項可使用字元 ? 和 * 作為路徑中的通配符。 如果未選取,? 和 * 被視為 URL 分隔符號。

    • 使用正則表達式 - 選取此選項可為所選路徑使用正則表達式。

    • 包含子目錄 - 選取此項可在規則處理中包含子目錄。

    • 僅在選取了連線類型網路共用時適用。

    路徑僅與控制 HTTP 相關。

若要設定 ANAC,請參閱為網路連線/應用程式網路存取控制 (ANAC) 建立允許/拒絕規則

URL 重新導向可讓管理員建立規則,以便在使用者嘗試存取指定 URL 時自動重新導向使用者。 透過定義禁止的 URL 清單,您可以將任何嘗試存取列出的 URL 的使用者重新導向到預設警告頁面或自訂網頁。 您也可以透過選取來允許某些 URL,當與重新導向結合使用時,它們可以為您提供進一步的靈活性和控制力,並讓您可以建立網站的允許清單。

* 預設的「拒絕存取」頁面顯示被封鎖的 URL。
* 對於 Chrome 和 Edge 瀏覽器中的 URL 重新導向,所有託管端點都必須是網域的一部分。

若要設定 URL 重新導向,請參閱為 URL 建立允許/拒絕規則

建立允許/拒絕規則 - 您想允許什麼?

  1. 您想要執行什麼動作?頁面上,選取我想要允許/拒絕
  2. 按一下下一步
    允許/拒絕規則 - 您想要允許/拒絕什麼?頁面隨即顯示。
  3. 選取以下選項並按一下下一步
    • 檔案/應用程式: 允許/拒絕特定應用程式或檔案執行。
  4. 選取來源中,使用下拉式清單選取項目的來源。 選取自:
    • 已由受信任擁有者封鎖 (僅適用於允許規則): 這會在來源項目區段中填入因不屬於受信任擁有者而被 App Control 記錄為已封鎖的所有項目清單。
    • 應用程式範本: 這會在來源項目區段中填入已在 App Control 中建立的所有應用程式範本清單。
    • 或者,選取手動新增檔案以顯示規則項目設定面板,您可以在此指定要為其建立允許規則的檔案。
  5. 選取所需的項目。 選取後,每個項目都會新增到已選取項目區段中。
    您可以編輯項目設定: 屬性和中繼資料,方法是按一下 省略符號圖示 以開啟規則項目設定面板。
  6. 按一下下一步
    允許/拒絕規則 - 何時指派?頁面隨即顯示。
  7. 繼續建立允許/拒絕規則 - 何時指派?和摘要步驟。
  1. 您想要執行什麼動作?頁面上,選取我想要允許/拒絕
  2. 按一下下一步

    允許/拒絕規則 - 您想要允許/拒絕什麼?頁面隨即顯示。
  3. 從下列選項中選取:
    • 網路連線: 允許/拒絕特定的網路連線。
  4. 選取來源中,使用下拉式功能表選取網路連接
  5. 在網路連線中,指定連線類型並輸入相關的主機、連接埠或路徑來設定連線詳細資訊:
    • IP 位址: 允許/拒絕 IP 位址或 IP 位址範圍。
    • 網路共用: 允許/拒絕網路共用。 在主機中輸入網路共用的路徑。
    • 主機名稱: 允許/拒絕主機。 輸入主機名稱
  6. 按一下新增 > 下一步
    允許/拒絕規則 - 何時指派?頁面隨即顯示。
  7. 繼續建立允許/拒絕規則 - 何時指派?和摘要步驟。
  1. 您想要執行什麼動作?頁面上,選取我想要允許/拒絕
  2. 按一下下一步

    允許/拒絕規則 - 您想要允許/拒絕什麼?頁面隨即顯示。
  3. 從下列選項中選取:
    • URL: 允許/拒絕特定的 URL。
  4. 選取來源中,使用下拉式功能表選取 URL
  5. 在 URL 中,指定允許/拒絕存取的 URL。
  6. (可選): 拒絕規則: 在下面選取要為拒絕存取顯示的適當選項:

    • 拒絕 URL 時顯示 Application Control 預設警告頁面

    • 拒絕 URL 時顯示自訂頁面

      • 輸入您想要顯示的 URL。

  7. 按一下新增 > 下一步
    允許/拒絕規則 - 何時指派?頁面隨即顯示。
  8. 繼續建立允許/拒絕規則 - 何時指派?和摘要步驟。

建立允許/拒絕規則 - 何時指派?和摘要

  1. 選取來源中,使用下拉式清單選取項目的來源,任何選取或新增的來源將顯示在已選取項目區段中。 選取自:
    • AD 群組: 其中列出 AD 顯示名稱和群組名稱,您可以使用搜尋和篩選功能來精簡清單。 或者,您可以按一下手動新增以手動新增群組。
    • AD 使用者: 輸入網域\使用者名稱,然後按一下新增
    • App Control 使用者: App Control 已為其記錄事件的使用者的使用者名稱。 選取所需使用者。
    • 電腦群組: 輸入電腦群組,例如: CN=ComputerGroup。 如果要包含巢狀群組,請選取「搜尋巢狀群組」。 按一下新增
    • 裝置組織單位: 輸入組織單位,例如: OU=Corporation。 如果要包含子 OU,請選取包含子 OU。 按一下新增
    • 裝置: 其中列出所有 Neurons 探索到的 Windows 裝置的裝置名稱和主機名稱,您可以使用搜尋和篩選功能來精簡清單。 或者,您可以按一下手動新增以手動新增裝置。
    • IP 位址: 輸入 IP 位址,然後選取是否要根據 IP 位址比對規則運算式。 按一下新增

      範例:
      • 192.168.0.1: 選取 IP 為 192.168.0.1 的用戶端裝置
      • 192.168.0.*: 選取 IP 為 192.168.0.<any> 的用戶端裝置
      • 192.168.0.15-25: 選取 IP 範圍在 192.168.0.15 至 192.168.0.25 之間的所有用戶端裝置

    • 或者,選取所有人,為「所有人」群組建立規則,這包括登入成功部署組態之裝置的任何使用者,管理員除外。
  2. 完成「已選取項目」後, 按一下下一步

    儲存規則和規則摘要頁面隨即顯示。
  3. 為規則輸入名稱,也可以選擇輸入規則的說明
  4. 類別中,可以選擇為規則輸入類別標籤。

    您可以新增現有類別,或建立新類別。 指派給規則的類別會顯示在組態規則表格中。
    • 新增: 按一下類別可顯示現有類別的下拉式清單,請選取所需類別。
    • 建立: 按一下類別並輸入新類別標籤,按一下欄位外以建立並儲存類別。
  5. 規則的預設狀態是作用中,如果您還不想啟用此規則,請將規則狀態切換為關閉。
  6. 按一下儲存以儲存規則並返回組態,您將在規則區段中看到列出的新規則。

    或者,按一下儲存並新增另一個以儲存規則並返回您想要執行什麼動作?頁面,為組態建立另一個規則。
  7. 將所有規則新增至組態後,按一下儲存,將組態儲存為草稿。 或者,按一下儲存並發佈以儲存組態的版本。
    發佈後,該組態即可指派給原則。