允许的项目

1. 选择规则集的可执行的控件节点。
2. 右键单击并选择允许 > 文件。
   将显示“添加文件”对话框。
3. 在“属性”选项卡中，单击文本框中的省略号 (...)：
4. 在“打开”对话框中，导航到要添加的文件，然后单击确定。

如果需要，您可以选择以下内容：



• 在可能的情况下，替换环境变量
• 使用正则表达式
5. 在参数文本框中输入可选的命令行参数。 输入 Process Explorer 中显示的所有参数。
   命令行参数将匹配条件扩展到“文件”字段中输入的范围之外。 如果添加了参数，则必须满足文件和参数才能进行匹配。 可以添加显示在进程命令行上的任何参数，比如 flag、switch、file 和 Guid。

有关有效参数的示例，请参阅参数示例。

拒绝的文件	允许的文件	结果
shutdown.exe	shutdown.exe 参数： -r -t 30	shutdown.exe 只有在命令行上显示“-r -t 30”时运行 - 由 shutdown.exe 运行的任何其他内容都将遭到拒绝。

要正确配置允许或拒绝项目的参数，参数必须像在 Process Explorer 中那样显示，例如：

文件： C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

命令行："C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

将配置为：

文件：winword.exe 的绝对路径或相对路径

参数：/n C:\example.docx

1. 如果需要，请输入文件的可选说明以供将来参考。
2. 选择允许文件运行，即使它不属于可信所有者，以向非可信所有者的用户提供对文件的访问权限。

默认情况下会启用受信任的所有权检查，因此应用程序即便是允许的项目，也必须始终能通过受信任的所有权检查，但上述设置允许您绕过此操作。 尽管可以完全禁用受信任的所有权检查，但不建议这样做。

3. 选择忽略事件筛选以引发所有事件，不管事件选择中如何设置。
4. 要向文件添加元数据，请选择元数据选项卡。
5. 要自动填写字段，请选择从文件写入元数据。

可以填充以下字段：产品名称、供应商、公司名称、文件描述、文件版本和产品版本。

您可以优化任何数据；选择所需的复选框并编辑相关字段。

如果启用供应商元数据，则可以使用另一个选项 - 在运行时验证证书。 启用此选项后，代理会在证书与文件匹配时验证证书。 单击验证选项以访问在文件匹配期间使用的另一组条件。

有关详细信息，请参阅验证选项。

6. 要添加访问时间，请选择访问时间选项卡。
7. 只有在选中仅允许文件在特定时间运行的情况下，才能对访问时间段进行分配。
8. 要应用访问时间，请在所需的日期列中选择时间段，可以突出显示多个时间段。
9. 右键单击并选择新建允许的时间段，该时间段将变为阴影，表明已被允许。
10. 重复步骤 12 和 13，获取所需的时间段和日期。

选择“配置设置 > 可执行的控件 > 存取时间”，即可配置超出访问时间应采取的操作。

11. 要添加应用程序限制，请选择应用程序限制选项卡。
12. 选择启用应用程序限制
13. 输入用户在会话期间可以运行应用程序的实例数量。 例如，如果限制设置为 1，并且用户有 1 个实例正在运行，那么在尝试运行第 2 个实例时，系统将不会允许其运行。 注意：这适用于以每个用户为基础，而不是以每台计算机为基础的情况。
14. 单击添加将文件添加到规则集的允许的可执行文件。
    文件将添加到“允许的项目”工作区。

1. 选择规则集的可执行的控件节点。
2. 右键单击并选择允许 > 文件夹。
   将显示“添加文件夹”对话框。
3. 在“属性”选项卡中，单击文本框中的省略号 (...)：
4. 在“打开”对话框中，导航到要添加的文件夹，然后单击确定。

如果需要，您可以选择以下内容：



• 在可能的情况下，替换环境变量
• 使用正则表达式
• 包括子文件夹
5. 如果需要，请输入文件夹的可选说明以供将来参考。
6. 选择允许文件运行，即使它不属于可信所有者，以向非可信所有者的用户提供对文件的访问权限。

默认情况下会启用受信任的所有权检查，因此应用程序即便是允许的项目，也必须始终能通过受信任的所有权检查，但上述设置允许您绕过此操作。 尽管可以完全禁用受信任的所有权检查，但不建议这样做。

7. 选择忽略事件筛选以引发所有事件，不管事件选择中如何设置。
8. 要向文件夹添加元数据，请选择元数据选项卡：
9. 要自动填写字段，请选择从文件写入元数据。

可以填充以下字段：产品名称、供应商、公司名称、文件描述、文件版本和产品版本。

您可以优化任何数据；选择所需的复选框并编辑相关字段。

如果启用供应商元数据，则可以使用另一个选项 - 在运行时验证证书。 启用此选项后，代理会在证书与文件匹配时验证证书。 单击验证选项以访问在文件匹配期间使用的另一组条件。

有关详细信息，请参阅验证选项。

10. 要添加访问时间，请选择访问时间选项卡。
11. 只有在选中仅允许文件在特定时间运行的情况下，才能对访问时间段进行分配。
12. 要应用访问时间，请在所需的日期列中选择时间段，可以突出显示多个时间段。
13. 右键单击并选择新建允许的时间段，该时间段将变为阴影，表明已被允许。
14. 重复步骤 12 和 13，获取所需的时间段和日期。

选择“配置设置 > 可执行的控件 > 存取时间”，即可配置超出访问时间应采取的操作。

15. 单击添加将文件夹添加到规则集的允许的可执行文件夹。
    文件夹将添加到“允许”工作区。

使您能够指定允许的可执行驱动器。

1. 选择规则集的可执行的控件节点。
2. 右键单击并选择允许 > 驱动器。
   将显示“添加驱动器”对话框。
3. 输入要允许的驱动器号和说明。
4. 单击添加将驱动器项添加到允许的可执行文件列表中。

使您可以通过文件哈希添加允许的可执行项目。

1. 选择规则集的可执行的控件节点。
2. 右键单击并选择允许 > 文件哈希。
   “文件哈希”对话框随即打开。
3. 在“属性”选项卡中，单击文本框中的省略号 (...)：
4. 在“打开”对话框中，导航到要添加的文件哈希，然后单击确定。
5. 在参数文本框中输入可选的命令行参数。 输入 Process Explorer 中显示的所有参数。
   命令行参数将匹配条件扩展到“文件”字段中输入的范围之外。 如果添加了参数，则必须满足文件和参数才能进行匹配。 可以添加显示在进程命令行上的任何参数，比如 flag、switch、file 和 Guid。
6. 如果需要，请输入文件哈希的可选说明以供将来参考。
7. 显示文件哈希值后，选择重新扫描以更新文件哈希。
8. 选择忽略事件筛选以引发所有事件，不管事件选择中如何设置。
9. 要添加访问时间，请选择访问时间选项卡。
10. 只有在选中仅允许文件在特定时间运行的情况下，才能对访问时间段进行分配。
11. 要应用访问时间，请在所需的日期列中选择时间段，可以突出显示多个时间段。
12. 右键单击并选择新建允许的时间段，该时间段将变为阴影，表明已被允许。
13. 重复步骤 12 和 13，获取所需的时间段和日期。

选择“配置设置 > 可执行的控件 > 存取时间”，即可配置超出访问时间应采取的操作。

14. 单击添加将文件哈希添加到规则集的允许的文件哈希项目。
    文件哈希项目将添加到“允许”工作区。

1. 选择规则集的可执行的控件节点。
2. 右键单击并选择允许 > 规则集合。
   “规则集合选择”对话框随即打开。
3. 选择要添加到规则集的规则集合的添加到规则复选框。
4. 选择规则集合后，您可以选择：
• 允许不可信所有者 - 即使文件未由可信所有者拥有，也允许文件运行。
• 忽略事件筛选 - 不管事件选择中如何设置，都会引发所有事件。
5. 单击确定将规则集合添加到规则集的允许的规则集合中。
   规则集合将添加到“允许”工作区。