拒绝的项目

在此部分:

关于拒绝的项目

将拒绝的项目添加到规则集,限制对特定项目的访问。 拒绝的项目将显示在所选规则集下的“拒绝的项目”列表中。

如果您使用默认选项,信任所有本地安装的可信所有者应用程序,则您只需添加不想让用户运行的特定应用程序。 例如,您可以添加管理工具,例如管理和注册表编辑工具。

您不需要使用此列表来拒绝不属于管理员的应用程序,因为它们会被受信任的所有权检查阻止。

应用程序控件 拖放功能可用于从 Windows 资源管理器添加文件、文件夹、驱动器和签名项目,或者在每个主配置节点的“允许的项目”节点与“拒绝的节点”之间复制或移动项目。

文件

如果只是指定文件名,例如 myapp.exe,则无论应用程序的位置如何,都将拒绝此文件的所有实例。 如果指定文件的完整路径,例如 \\servername\sharename\myapp.exe,则仅拒绝应用程序的此实例。

  1. 选择规则集的可执行的控件节点。
  2. 右键单击并选择拒绝 > 文件
    将显示“添加文件”对话框。
  3. 在“属性”选项卡中,单击文本框中的省略号 (...):
  4. 在“打开”对话框中,导航到要添加的文件,然后单击确定
    如果需要,您可以选择以下内容:
    • 在可能的情况下,替换环境变量
    • 使用正则表达式
  5. 参数文本框中输入可选的命令行参数。 输入 Process Explorer 中显示的所有参数。
    命令行参数将匹配条件扩展到“文件”字段中输入的范围之外。 如果添加了参数,则必须满足文件和参数才能进行匹配。 可以添加显示在进程命令行上的任何参数,比如 flag、switch、file 和 Guid。

拒绝的文件

允许的文件

结果

shutdown.exe

shutdown.exe

参数: -r -t 30

shutdown.exe 只有在命令行上显示“-r -t 30”时运行 - 由 shutdown.exe 运行的任何其他内容都将遭到拒绝。

要正确配置允许或拒绝项目的参数,参数必须像在 Process Explorer 中那样显示,例如:

文件: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

命令行:"C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

将配置为:

文件:winword.exe 的绝对路径或相对路径

参数:/n C:\example.docx

  1. 如果需要,请输入文件的可选说明以供将来参考。
  2. 选择拒绝后不显示拒绝访问消息以静默阻止文件,而不通知用户。
  3. 选择忽略事件筛选以引发所有事件,不管事件选择中如何设置。
  4. 要向文件添加元数据,请选择元数据选项卡。
  5. 要自动填写字段,请选择从文件写入元数据

    6. 可以填充以下字段:产品名称、供应商、公司名称、文件描述、文件版本和产品版本。

    您可以优化任何数据;选择所需的复选框并编辑相关字段。

    如果启用供应商元数据,则可以使用另一个选项 - 在运行时验证证书。 启用此选项后,代理会在证书与文件匹配时验证证书。 单击验证选项以访问在文件匹配期间使用的另一组条件。

    有关详细信息,请参阅验证选项

  6. 单击添加将文件添加到规则集的拒绝的可执行文件。
    文件将添加到“拒绝的项目”工作区。

文件夹

可以指定整个文件夹,例如 \\servername\servershare\myfolder,则此文件夹中的所有应用程序和所有子文件夹都会被拒绝。 系统不会对此文件夹中的文件进行任何检查,因此复制到此文件夹中的任何文件都将被拒绝。

如果添加网络文件或文件夹,则您必须使用 UNC 名称,因为 应用程序控件 代理会忽略驱动器号未配置为本地固定磁盘的任何路径。 用户可通过网络映射的驱动器号来访问网络应用程序,因为在针对配置设置验证路径之前会将路径转换为 UNC 格式。 通配符支持为指定通用文件路径提供另一层控制。

  1. 选择规则集的可执行的控件节点。
  2. 右键单击并选择拒绝 > 文件夹
    将显示“添加文件夹”对话框。
  3. 在“属性”选项卡中,单击文本框中的省略号 (...):
  4. 在“打开”对话框中,导航到要添加的文件夹,然后单击确定
    如果需要,您可以选择以下内容:
    • 在可能的情况下,替换环境变量
    • 使用正则表达式
    • 包括子文件夹
  5. 如果需要,请输入文件夹的可选说明以供将来参考。
  6. 选择拒绝时不显示访问被拒绝的消息以静默阻止文件夹,而不通知用户。
  7. 选择忽略事件筛选以引发所有事件,不管事件选择中如何设置。
  8. 要向文件夹添加元数据,请选择元数据选项卡:
  9. 要自动填写字段,请选择从文件写入元数据

    10. 可以填充以下字段:产品名称、供应商、公司名称、文件描述、文件版本和产品版本。

    您可以优化任何数据;选择所需的复选框并编辑相关字段。

    如果启用供应商元数据,则可以使用另一个选项 - 在运行时验证证书。 启用此选项后,代理会在证书与文件匹配时验证证书。 单击验证选项以访问在文件匹配期间使用的另一组条件。

    有关详细信息,请参阅验证选项

  10. 单击添加将文件夹添加到规则集的拒绝的可执行文件夹。
    文件夹将添加到“拒绝”工作区。

驱动器

您可以指定整个驱动器,例如 W,则此驱动器中的所有应用程序,包括子文件夹,都将被拒绝。 系统不会对此驱动器中的文件进行任何检查,因此复制到此驱动器中任何文件夹的任何文件都会被拒绝。

使您可以指定拒绝的可执行驱动器。

  1. 选择规则集的可执行的控件节点。
  2. 右键单击并选择拒绝 > 驱动器
    将显示“添加驱动器”对话框。
  3. 输入要拒绝的驱动器号和说明。
  4. 选择拒绝时不显示访问被拒绝的消息以静默阻止驱动器,而不通知用户。
  5. 单击添加将驱动器项添加到拒绝的可执行文件列表中。

文件哈希

除了文件的数字哈希,还可以添加文件。 这样可确保仅拒绝特定文件,而非来自任何位置的文件。

使您可以通过文件哈希添加拒绝的可执行项目。

  1. 选择规则集的可执行的控件节点。
  2. 右键单击并选择拒绝 > 文件哈希
    “文件哈希”对话框随即打开。
  3. 在“属性”选项卡中,单击文本框中的省略号 (...):
  4. 在“打开”对话框中,导航到要添加的文件哈希,然后单击确定
  5. 参数文本框中输入可选的命令行参数。 输入 Process Explorer 中显示的所有参数。
    命令行参数将匹配条件扩展到“文件”字段中输入的范围之外。 如果添加了参数,则必须满足文件和参数才能进行匹配。 可以添加显示在进程命令行上的任何参数,比如 flag、switch、file 和 Guid。
  6. 如果需要,请输入文件哈希的可选说明以供将来参考。
  7. 显示文件哈希值后,选择重新扫描以更新文件哈希。
  8. 选择拒绝后不显示拒绝访问消息以静默阻止文件,而不通知用户。
  9. 选择忽略事件筛选以引发所有事件,不管事件选择中如何设置。
  10. 单击添加将文件哈希添加到规则集的拒绝的文件哈希项目。
    文件哈希项目将添加到“拒绝”工作区

规则集合

规则集合可包含任何数量的项目和项目的任何组合,例如特定应用程序的文件、文件夹、驱动器、签名和网络。 所有文件都被拒绝。

  1. 选择规则集的可执行的控件节点。
  2. 右键单击并选择拒绝 > 规则集合
    “规则集合选择”对话框随即打开。
  3. 选择要添加到规则集的规则集合的添加到规则复选框。
  4. 选择规则集合后,您可以选择:
    • 静默拒绝 - 阻止项目,而不显示任何消息。
    • 忽略事件筛选 - 不管事件选择中如何设置,都会引发所有事件。
  5. 单击确定将规则集合添加到规则集的拒绝的规则集合中。
    规则集合将添加到“拒绝”工作区。

相关主题

允许的项目