配置设置可执行的控件
“配置设置可执行控件”节点包含五个选项卡:可信所有者、选项、验证、应用程序终止和访问限制。
在此部分:
可信所有者
导航到配置设置 > 可执行的控件 > 可信所有者选项卡。
- 启用受信任的所有权检查 - 选择后可启用“受信任的所有权”检查。 默认情况下会启用该功能。
- 覆盖或重命名文件时,更改文件的所有权 - 若文件由不受信任的用户(即非“可信所有者”)所覆盖,选择此选项可更改任何受信任的允许文件的所有权。
当不受信任的用户尝试重命名禁用文件并忽略拒绝的项目规则时,所有权将更改至不受信任的用户。 一旦所有权发生变化,“受信任的所有权”检查就会阻止文件执行。
注意:请勿移除所有的可信所有者。 这将导致系统上的应用程序不受信任,并且标准用户无法运行任何程序。
选择覆盖或重命名文件时,更改文件的所有权选项后应用程序控件,在覆盖或重命名时,有选择性地更改可执行文件的 NTFS 文件所有权。
非“可信所有者”的用户尝试覆盖文件而该文件由“受信任的所有权”或“允许的项目”规则允许时,如果文件内容已更改,则可能构成安全威胁。 应用程序控件 将更改覆盖文件的所有权至执行操作的用户,使文件不受信任并确保系统安全。
同样,尝试将禁用文件重命名为允许的项目名称也可能构成安全威胁。 应用程序控件 也会将这些文件的所有权更改至执行重命名操作的用户,并确保文件不受信任。
覆盖和重命名操作都已经过审核。
添加可信所有者
- 在配置设置 > 可执行的控件 > 可信所有者选项卡中,右键单击工作区域并选择添加。
- “添加可信所有者”对话框随即打开。
- 输入或浏览以选择要添加的用户名。
- 单击添加。 随后,用户与唯一 SID 将一起添加到列表中。
测试受信任的所有权
显示受信任的所有权是否有效的快速测试:
- 使用测试用户帐户引入一个或多个应用程序。
- 将一个或多个应用程序复制到用户的主驱动器或其他合适的位置,例如 System32 文件夹中的 calc.exe 或从 CD 复制的文件。
- 尝试运行复制的文件。 禁用该应用程序是因为文件归测试用户所有,而不是“可信所有者”。
您可以使用 Windows 资源管理器查看“属性”来验证文件的所有权。
选项
下表列出了所有可能的选项以及每个选项的相关说明:
|
选项 |
说明 |
|---|---|
|
默认允许本地驱动器 |
选择此选项可创建 应用程序控件 配置拒绝列表。 本地驱动器上的所有内容都是允许的,除非在拒绝的项目列表中对其进行指定,或者它不具备受信任的所有权。 取消选择此选项可将配置创建为允许列表。 本地驱动器上的所有内容均被阻止,除非在“允许的项目”列表中对其进行指定。 允许列表配置最为安全。 但是,这种类型的配置需要花费大量时间,并且会影响客户端稳定性,因为所有未指定的应用程序都被阻止了。 |
|
允许 cmd.exe 用于批处理文件 |
管理员可能会在 应用程序控件 配置中明确禁止执行 cmd.exe。 当拒绝 cmd.exe 并禁用“允许 cmd.exe 用于批处理文件”时,如果批处理文件不符合 应用程序控件 策略,则将对其进行评估和阻止。 如果未选中该选项且显式拒绝 cmd.exe,所有批处理文件被阻止,它们甚至不会被评估。 如果选择了此选项且 cmd 被显式地拒绝,则 cmd.exe 仍然无法单独运行,但批处理文件是根据 应用程序控件 规则评估的。 如果 cmd.exe 未被显式地拒绝,则无论此选项是否被选中,所有批处理文件都将运行。 |
|
在登录期间忽略限制条件 |
在登录期间,计算机可能会执行大量基本应用程序。 阻止这些可能导致计算机无法正常工作,或者完全不能工作。 因此,默认选中此项。 |
|
提取自解压 ZIP 文件 |
自解压文件是可执行文件,其中包含一个 ZIP 文件和一个用于解压它的小程序。 这些文件有时作为替代方法,以通过 MSI 文件安装应用程序。 许多管理员希望仅使用 MSI 文件安装应用程序。 仅支持使用 ZIP 规范格式化的自解压 EXE。 有关其他信息,请参阅 ZIP 规范 解压自解压 ZIP 文件选项允许被拒绝的可执行文件(即自解压 ZIP 文件)由 ZIP 解压器进行解压。 如果取消选择此选项(默认设置),则该文件将和可执行文件一样受一般规则处理的约束。 当将内容解压出来后,其所包含的任何可执行内容仍然要受常规受信任的所有权检查的约束,并且当用户为非可信所有者时无法执行。 当自解压 ZIP 文件可能包含不可执行文件(比如用户需要的文档)时,这非常有用。 默认情况下,将取消选择此选项,自解压 ZIP 文件将被视为标准可执行文件,并将基于一般规则处理情况阻止其执行(因此解压其内容)。 |
|
在智能安装期间忽略限制条件 |
默认情况下,在智能安装期间运行的所有应用程序都受 应用程序控件 规则的约束。 选择此选项可使这些应用程序在智能安装期间无需接受规则检查。 |
|
拒绝可移除介质上的文件 |
取消选择此选项可移除对可移动介质的限制。 可移动介质是什么,完全由对 GetDriveType 的调用决定。 由于可移动介质的性质,驱动器号可能会根据端点的设置方式而改变。 例如:在一台计算机上,可移动介质驱动器可能被识别为 E 盘,而在另一台计算机上,则可能被识别为 F 盘: |
|
拒绝网络共享中的文件 |
网络共享的默认配置是一个允许名单,即拒绝网络共享中的所有内容,除非相关内容列于允许的项目列表中。 取消选择此选项可将配置创建为拒绝列表,即允许网络共享中的所有内容,相关内容未通过受信任的所有权检查或列于拒绝的项目列表中的除外。 |
验证
下表列出了所有验证选项以及说明。
|
选项 |
说明 |
|---|---|
|
验证系统进程 |
选择此选项可验证系统用户执行的任何文件。 请注意,不建议选择此选项,因为它会增加端点计算机上发生的验证量,并阻止关键应用程序运行。 选择此选项意味着系统启动的所有可执行文件都受规则验证的约束。 |
|
验证 WSH (Windows 脚本宿主)脚本 |
选择此选项将指定:使用 wscript 或 cscript 运行的脚本的命令行内容受规则验证的约束。 脚本可以引入病毒和恶意代码。 建议验证 WSH 脚本。 |
|
验证 MSI (Windows 安装程序)包 |
MSI 文件是安装 Windows 应用程序的标准方法。 建议用户不要随意安装 MSI 应用程序。 选择此选项意味着所有 MSI 均受规则验证的约束。 取消选择此选项意味着只有 Windows 安装程序本身即 msiexec.exe 是通过 应用程序控件 规则处理验证的,而非它尝试运行的 MSI 文件。 |
|
验证注册表文件 |
选择此选项可启用 regedit.exe 和 regini.exe 的规则验证。 取消选择此选项意味着 regedit.exe 和 regini.exe 不再被默认阻止。 此外,.reg 脚本、regedit.exe 和 regini.exe 尝试运行时不再通过 应用程序控件 规则处理进行验证。 不建议允许用户访问注册表或注册表文件。 |
|
验证 PowerShell 脚本 |
当启用时,该设置将拒绝 powershell.exe 和 powershell_ise.exe。 但是,如果在命令行中发现 PowerShell 脚本(PS1 文件),则需要对其进行全面的规则检查,以确定其是否针对提升、运行或拒绝进行配置。 |
|
验证 Java 归档 |
当启用时,该设置将拒绝 java.exe 和 javaw.exe。 但是,如果在命令行中发现 Java 存档(JAR 文件),则需要对其进行全面的规则检查,以确定其被允许还是被拒绝。 |
应用程序终止
应用程序终止允许您控制触发条件和行为,可终止受管端点上的应用。 您可以轻松地终止应用程序,并允许用户在关闭之前保存工作或者强制终止。
默认情况下禁用应用程序终止。 要启用该功能,请在配置“配置设置 > 可执行的控件 > 应用程序终端”选项卡上选择启用应用程序终止。
用于终止应用程序的触发器包括:
- 应用新配置
- 计算机 IP 地址更改
- 连接设备已更改
当触发器被激活时,将根据规则对进程进行评估,以确定应用程序是否需要终止。 未评估具备自授权的规则与仅审计安全级别,因为自授权规则允许用户自由决定应用程序控制,且仅审计规则不应用 应用程序控件 控制。
配置应用程序终止的触发条件
|
选项 |
说明 |
|---|---|
|
应用配置 |
选择根据应用的配置终止应用程序 |
|
计算机 IP 地址已更改 |
选择在计算机的 IP 地址发生更改时终止应用程序,例如,在安全环境和不安全环境之间移动。 请参见示例。 |
|
连接设备已更改 |
选择在连接设备发生更改时终止应用程序,例如,在同一会话中从台式机更改为笔记本电脑。 |
示例:计算机 IP 地址已更改
当 IP 地址更改时,使用“应用程序终止”终止应用程序。 例如,当 IP 地址超出公司的 IP 范围时。
步骤 1 - 设置“应用程序终止”选项
- 在配置设置 > 可执行的控件 > 应用程序终止选项卡中,启用应用程序终止。
- 选择计算机 IP 地址已更改选项。
- 定义在应用程序终止时采取以下哪些操作:
- 显示初始警告消息
- 关闭应用程序
- 终止应用程序
您可以选择所有三个选项,然后设置每个操作之间等待的时间(以秒为单位),最长为 120 秒。
步骤 2 - 针对办公室工作设置设备规则
此步骤设置工作办公室所允许的 IP 地址范围。
- 在导航窗格中选择规则集节点。
- 选择设备,然后右键单击以显示快捷菜单。
- 选择添加设备规则集。
在设备节点下创建子节点。 - 单击以重命名新节点,或突出显示,右键单击 > 重命名。
- 输入直观的名称,比如,在办公室。
- 在工作区右键单击,将设备添加到规则集。 选择主机名或 IP 地址。
- 添加客户端设备对话框随即打开。
- 输入允许的 IP 地址范围并单击添加。
步骤 3 - 针对不在办公室的情况设置设备规则
此步骤设置不允许的 IP 地址范围,比如,当从其他位置使用 VPN 时。
- 按照在步骤 2 所执行的方式,通过这些步骤创建新的设备规则集。
- 输入直观的名称,比如不在办公室。
- 在工作区右键单击,并选择添加客户端设备。
- 将显示添加客户端设备对话框。
请执行以下操作之一:
- 输入不允许的 IP 地址范围。
- 输入 *.*.*.* 表示所有其他 IP 地址。
- 单击添加。
步骤 4 - 保存配置
单击保存配置。
配置应用程序终止时采取的操作
|
选项 |
说明 |
|---|---|
|
显示初始警告消息 |
显示初始警告消息,通知用户拒绝的应用程序将被关闭,应及时保存任何工作。 可使用等待秒数... 指定关闭时间。 选项。 请将此选项与“关闭应用程序”和“终止应用程序”选项一起使用。 如果没有与这些选项一起使用,将显示一条消息,且拒绝的应用程序将不会关闭。 |
|
关闭应用程序 |
根据初始警告消息关闭应用程序,允许用户保存其工作。 |
|
终止应用程序 |
在未向用户发出警告消息的情况下终止拒绝的应用程序。 |
|
每个操作之间等待的秒数 |
指定操作之间的时间段(以秒为单位),以及关闭和终止操作之间的时间。 最长时间段为 120 秒。 |
存取时间
如果应用程序已超过允许的访问时间,则可指定要采取的操作;例如,您还可以指定是允许用户在关闭应用程序之前保存工作,还是在出现警告时直接关闭应用程序:
显示初始警告消息 - 选择此选项可在应用程序超出时间限制时,向用户显示初始警告消息。 通常,这会为用户保存工作并关闭应用程序留出时间。 请将此选项与“关闭应用程序”和“终止应用程序”选项一起使用。 如果不与这些选项一起使用,则系统只会显示一条消息,应用程序也不会关闭。
关闭应用程序 - 选择此选项即可向应用程序发送关闭消息。 大多数应用程序在收到关闭消息时都会自动为用户留出保存工作的时间。 选择此选项时,请一并选择显示初始警告消息选项。
终止应用程序 - 立即终止应用程序,不为用户留出保存工作的时间。 此选项通常在应用程序已收到关闭消息但未能终止之后使用。 无论是否选择显示初始警告消息,应用程序都将终止。
每个操作之间等待的秒数 - 指定每个选定终止选项之间的等待秒数。 例如,如果用户选择三个终止选项,然后选择等待 20 秒,那么系统会先显示警告消息,20 秒后再显示关闭消息,然后再过 20 秒后终止应用程序。 默认设置为 60 秒。
可以为文件、文件夹和文件哈希允许的项目指定访问时间。