組態規則

您可以使用規則建立 App Control 組態,然後在使用者嘗試執行檔案時,在端點上檢查這些規則,除了受信任擁有權檢查之外,這也很實用。

App Control 規則不適用於管理員。

組態安全性層級必須設定為受限制,端點上的規則才會生效。

您可以建立應用程式範本,對項目進行分組。 建立或編輯規則時可以使用應用程式範本,以輕鬆填入來源項目清單。

規則類型

規則用於在共用條件下對動作進行分組。 選取要為其建立規則的動作類型。

允許: 允許規則將允許存取可能受到限制的特定項目。

拒絕: 拒絕規則將禁止存取特定項目。

提高權限: 提高權限規則將允許非管理員使用者存取應用程式或元件。

受信任廠商: 受信任廠商規則將在項目具有有效的數位簽章時,授予指定廠商和項目執行權限。

建立規則

您可以從組態或透過按一下「概觀」頁面上的圖表來建立規則:

選項 1 - 從「組態」頁面建立規則

  1. 導覽至 App Control > 組態
    組態頁面隨即顯示。
  2. 在表格中,找出要新增規則的組態,然後按一下動作欄中的 省略符號圖示 以開啟動作功能表。
  3. 按一下編輯
    編輯組態頁面隨即顯示。
  4. 或者,您可以選擇在編輯之前檢視組態,為此,請在「組態」頁面上,按一下組態名稱
    組態頁面隨即顯示。
    按一下編輯按鈕。
    編輯組態頁面隨即顯示。
  5. 規則表格中,按一下 +新增規則
    組態: <name> 頁面隨即顯示。
  6. 選取您要建立的規則類型,然後按照相關連結主題中的步驟操作:

選項 2 - 從「概觀」頁面建立規則 (不受信任擁有者圖表)

您可以為擷取為擁有者不受信任的已執行檔案,建立允許規則。

  1. 導覽至 App Control > 概觀
    概觀頁面隨即顯示。
  2. 按一下擁有者不受信任的已執行應用程式圖表。
    擁有者不受信任的已執行應用程式頁面隨即顯示。
  3. 在表格中,找出要為其建立允許規則的檔案,然後按一下動作欄中的 以開啟選項功能表。
  4. 按一下 +建立規則
    選取組態對話方塊隨即顯示。
  5. 選取要建立並為其新增規則的組態。
  6. 按一下建立規則
    所選組態的組態頁面隨即顯示。
  7. 依照允許規則建立程序操作。

選項 3 - 從「概觀」頁面建立規則 (提高權限圖表)

您可以為擷取為已使用提高權限執行的檔案,建立提高權限規則。

  1. 導覽至 App Control > 概觀
    概觀頁面隨即顯示。
  2. 按一下已使用提高權限執行的應用程式圖表。
    已使用提高權限執行的應用程式頁面隨即顯示。
  3. 在表格中,找出要為其建立提高權限規則的檔案,然後按一下動作欄中的 以開啟選項功能表。
  4. 按一下 +建立規則
    選取組態對話方塊隨即顯示。
  5. 選取要建立並為其新增規則的組態。
  6. 按一下建立規則
    所選組態的組態頁面隨即顯示。
  7. 依照提高權限規則建立程序操作。

規則項目設定

規則項目設定面板可以從規則什麼?頁面 > 所選項目區段 > 圖示 > 編輯存取。

屬性索引標籤

  • 顯示名稱: 輸入要顯示在「規則」表內「名稱」欄中的檔案名稱。
  • 檔案: 輸入想要對其套用規則的檔案或路徑。 您可以使用萬用字元來比對多個檔案,例如,C:\Program Files\*.exe 將比對 Program Files 資料夾中的所有 .exe 檔案。
    接受的檔案類型包括: exe、bat、cmd、vbs、wsf、js、msi、msp、ps1 和 reg。
    • 使用規則運算式: 選取此選項可在比對檔案或路徑時使用規則運算式。
  • 引數: 輸入 Process Explorer 中顯示的所有引數。
    命令列引數可將比對條件延伸到「檔案」欄位中輸入的範圍之外。 如果新增引數,則必須同時滿足檔案和引數兩者才能比對。 可新增出現在處理序命令列上的任何引數,例如 flag、switch、file 和 GUID。
    您可以選擇使用規則運算式。
    拒絕的檔案允許的檔案結果
    shutdown.exeshutdown.exe
    引數: -r -t 30    		shutdown.exe 僅會在命令列使用 -r -t 30 時執行,其他任何由 shutdown.exe 執行的項目均會遭拒。

    若要正確設定允許或遭拒項目的引數,就必須使用與 Process Explorer 中相同的顯示方式呈現。

    檔案: C:\Windows\System32\shutdown.exe

    命令列: C:\Windows\System32\shutdown.exe -r -t 30

    會設定為:

    檔案: shutdown.exe 的絕對或相對路徑

    引數: -r -t 30

  • 說明: 可選擇輸入說明。
  • 選項: 可用選項取決於規則類型。
    • 即使檔案不屬於受信任擁有者仍允許檔案執行: 僅適用於允許規則項目。
      受信任擁有權檢查一律為啟用狀態,因此應用程式必須一律通過受信任擁有權檢查,即便應用程式是允許的項目亦然。 但是,對於不屬於受信任擁有者的項目,如果您需要向使用者提供其存取權,請選取此選項。
    • 遭拒時不顯示存取遭拒訊息: 僅適用於拒絕規則項目。
      如果您想拒絕某個項目但不發出提示,亦即不向使用者顯示存取遭拒的訊息,請選取此選項。
      組態訊息設定中自訂訊息。
  • 原則: 僅適用於提高權限規則項目。
    • 套用至子處理序: 依預設,套用至規則項目的自我提高權限原則並不會由子處理序繼承。 選取此選項,即可將原則套用至父處理序的子項目。
    • 套用至共用對話方塊: 當檔案或資料夾已提高權限時,提高「開啟檔案」和「儲存檔案」Windows 功能表選項的存取權。

      為防止使用者以管理員權限修改檔案系統,此選項應保持未選取狀態。

    • 以受信任擁有者身分安裝: 針對指定應用程式建立的所有項目,將本機管理員設定為其擁有者。 此選項不適用於一般應用程式,僅適用於安裝程式套件。
    • 提高權限前提示使用者: 選取此選項可在提高權限之前,向一般使用者顯示自我提高權限提示。
      組態訊息設定中自訂訊息。
      • 提高權限前要求說明理由: 選取此選項可要求使用者輸入提高權限的理由。

中繼資料索引標籤

  • 產品名稱: 產品的名稱。
    • 使用規則運算式: 選取此選項可在比對產品名稱時使用規則運算式。
  • 廠商: 如果檔案已經過數位簽署,則為與簽章相關聯的廠商名稱。
    • 使用規則運算式: 選取此選項可在比對廠商時使用規則運算式。
    • 在執行階段驗證憑證: 選取此選項可在比對檔案時驗證廠商憑證。
      檔案的完整性也會經過驗證以確保檔案未遭篡改。

      如果經常對非常大的檔案執行驗證,可能會影響效能。

  • 公司名稱: 製作檔案的公司的名稱。
    • 使用規則運算式: 選取此選項可在比對公司名稱時使用規則運算式。
  • 檔案說明: 檔案的說明。
    • 使用規則運算式: 選取此選項可在比對檔案說明時使用規則運算式。
  • 檔案版本: 要比對的檔案的版本範圍。
    • 最低版本: 包含在規則比對中的最低檔案版本號碼。
    • 最高版本: 包含在規則比對中的最高檔案版本號碼。
  • 產品版本: 要比對的產品版本範圍。
    • 最低版本: 包含在規則比對中的最低版本號碼。
    • 最高版本: 包含在規則比對中的最高版本號碼。

相關主題

允許/拒絕規則

提高權限規則

受信任廠商規則