“权限管理”规则集
在此部分:
应用程序
要禁用项目,请突出显示项目,右键单击,并选择更改状态。 这会在禁用和启用之间切换。 当需要使用“支持”进行故障排除时,这可能很有用。
添加文件
- 针对规则集,选择权限管理节点。
- 右键单击并选择应用程序 > 文件。
将显示“为用户权限管理添加文件”对话框。 - 在“属性”选项卡中,单击文本框中的省略号 (...):
- 在“打开”对话框中,导航到要添加的文件,然后单击确定。
- 在可能的情况下,替换环境变量
- 使用正则表达式
- 将文件设为允许的项目。 如果选择,您还可选择允许文件运行,即便文件不是由可信所有者所有。
- 在参数文本框中,输入可选的命令行参数。 输入 Process Explorer 中显示的所有参数。
- 命令行参数将匹配条件扩展到“文件”字段中输入的范围之外。 如果添加了参数,则必须满足文件和参数才能进行匹配。 可以添加显示在进程命令行上的任何参数,比如 flag、switch、file 和 Guid。
如果需要,您可以选择以下内容:
有关有效参数的示例,请参阅参数示例。
|
拒绝的文件 |
允许的文件 |
结果 |
|---|---|---|
|
shutdown.exe |
shutdown.exe 参数: -r -t 30 |
shutdown.exe 只有在命令行上显示“-r -t 30”时运行 - 由 shutdown.exe 运行的任何其他内容都将遭到拒绝。 |
要正确配置允许或拒绝项目的参数,参数必须像在 Process Explorer 中那样显示,例如:
文件: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE
命令行:"C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx
将配置为:
文件:winword.exe 的绝对路径或相对路径
参数:/n C:\example.docx
- 要应用策略,请从“策略”部分的下拉列表中选择策略。
- 您可以为策略选择以下选项:
- 应用到子进程
- 应用到常见对话框
- 作为可信所有者安装
- 如果需要,请输入文件的可选说明以供将来参考。
- 要向文件添加元数据,请选择元数据选项卡:
- 要自动填写字段,请选择从文件写入元数据。
- 单击添加,将文件添加至规则集。
文件项目已添加至“权限管理”工作区的“应用”视图。
可以填充以下字段:产品名称、供应商、公司名称、文件描述、文件版本和产品版本。
您可以优化任何数据;选择所需的复选框并编辑相关字段。
如果启用供应商元数据,则可以使用另一个选项 - 在运行时验证证书。 启用此选项后,代理会在证书与文件匹配时验证证书。 单击验证选项以访问在文件匹配期间使用的另一组条件。
有关详细信息,请参阅验证选项。
添加文件夹
- 针对规则集,选择权限管理节点。
- 右键单击并选择应用程序 > 文件夹。
将显示“为用户权限管理添加文件夹”对话框。 - 在“属性”选项卡中,单击文本框中的省略号 (...):
- 在“打开”对话框中,导航到要添加的文件夹,然后单击确定。
- 在可能的情况下,替换环境变量
- 包括子文件夹
- 使用正则表达式
- 将文件夹设为允许的项目。 如果选择,您还可选择允许文件运行,即便文件不是由可信所有者所有。
- 要应用策略,请从“策略”部分的下拉列表中选择策略。
- 您可以为策略选择以下选项:
- 应用到子进程
- 应用到常见对话框
- 作为可信所有者安装
- 如果需要,请输入文件夹的可选说明以供将来参考。
- 要向文件夹添加元数据,请选择元数据选项卡:
- 要自动填写字段,请选择从文件写入元数据。
- 单击添加,将文件夹添加至规则集。
文件夹项目已添加至“权限管理”工作区的“应用”视图。
如果需要,您可以选择以下内容:
可以填充以下字段:产品名称、供应商、公司名称、文件描述、文件版本和产品版本。
您可以优化任何数据;选择所需的复选框并编辑相关字段。
如果启用供应商元数据,则可以使用另一个选项 - 在运行时验证证书。 启用此选项后,代理会在证书与文件匹配时验证证书。 单击验证选项以访问在文件匹配期间使用的另一组条件。
有关详细信息,请参阅验证选项。
添加文件哈希
可为将要应用的所选策略指定新的文件哈希。 添加文件哈希的详细信息。
- 针对规则集,选择权限管理节点。
- 右键单击并选择应用程序 > 文件哈希。
随即显示“为用户权限管理添加文件哈希”对话框。 - 在“属性”选项卡中,单击文本框中的省略号 (...):
- 在“打开”对话框中,导航到要添加的文件哈希,然后单击确定。
- 将文件哈希设为允许的项目。 选择将文件哈希添加至“允许的项目”列表。
- 在参数文本框中,输入可选的命令行参数。 输入 Process Explorer 中显示的所有参数。
- 命令行参数将匹配条件扩展到“文件”字段中输入的范围之外。 如果添加了参数,则必须满足文件和参数才能进行匹配。 可以添加显示在进程命令行上的任何参数,比如 flag、switch、file 和 Guid。
- 要应用策略,请从“策略”部分的下拉列表中选择策略。
- 您可以为策略选择以下选项:
- 应用到子进程
- 应用到常见对话框
- 作为可信所有者安装
- 如果需要,请输入文件哈希的可选说明以供将来参考。
- 显示文件哈希值后,选择重新扫描以更新文件哈希。
- 单击添加,将文件哈希添加至规则集。
文件哈希项目已添加至“权限管理”工作区的“应用”视图。
添加规则集合
- 针对规则集,选择权限管理节点。
- 右键单击并选择应用程序 > 规则集合。
“规则集合选择”对话框随即打开。 - 选择要添加到规则集的规则集合的添加到规则复选框。
- 选择集合之后,可以指定下列设置:
- 设置为允许 - 选择该项,将规则集合设置为允许项目。
- 允许不可信所有者 - 如果选择允许,您将选择允许文件运行,即使文件由不可信所有者所拥有亦不例外。
- 应用到子进程 - 选择将设置应用到所有子进程。
- 应用到常见对话框 - 选择将设置应用到常见对话框。
- 作为可信所有者安装 - 选择此项,以作为可信所有者进行安装。
- 单击确认,将集合添加到“权限管理”工作区的“应用程序”视图。
组件
添加组件 - 显示“选择组件”对话框。
按支持的操作系统来筛选视图,并选择您想要添加至规则的控制面板和管理单元组件的名称。
自行提升
启用自行提升 - 选择以启动自行提升,并应用所需的设置:
- 仅将自行提升应用于以下列表中的项目
- 将自行提升应用于除以下列表中以外的所有项目
选项 - 显示“自行提升选项”对话框。
“自行提升”选项
| 选项 | 说明 |
|---|---|
| 将项目设为允许 | 将规则项目设为允许,并覆盖所有关联的允许项目。 |
| 即使文件未由可信所有者拥有,也允许项目运行 |
当选中“将项目设为允许”时,此选项可用。 选择后,无论所有者是谁,都将执行所有列出的规则项目。 |
| 应用到子进程 | 默认情况下,应用于规则项目的“自行提升策略”不会被子进程继承。 选择此选项可将策略应用于父进程的直接子项。 |
| 应用到常见对话框 | 当文件或文件夹已提升时,提升对于“打开文件”和“保存文件”Windows 菜单选项的访问权限。 默认情况下,不提升任何常见对话框。 |
| 作为可信所有者安装 | 将本地管理员设为定义应用程序创建的所有文件的所有者。 此选项不适用于常规应用程序,仅适用于安装程序包。 |
| 隐藏“自行提升”项目的“以管理员身份运行”Windows 选项 | 从 Windows 快捷菜单,隐藏“以管理员身份运行”选项。 |
为“自行提升”添加文件
- 针对规则集,选择权限管理节点。
- 右键单击并选择自行提升 > 文件。
随即显示“为自行提升添加文件”对话框。 - 在“属性”选项卡中,单击文本框中的省略号 (...):
- 在“打开”对话框中,导航到要添加的文件,然后单击确定。
- 在可能的情况下,替换环境变量
- 使用正则表达式
- 如果需要,请输入文件夹的可选说明以供将来参考。
- 选择“元数据”选项卡。
- 要自动填写字段,请选择从文件写入元数据。
- 单击添加,将文件添加至规则集。
文件项目已添加至“权限管理”工作区的“自行提升”视图。
如果需要,您可以选择以下内容:
可以填充以下字段:产品名称、供应商、公司名称、文件描述、文件版本和产品版本。
您可以优化任何数据;选择所需的复选框并编辑相关字段。
如果启用供应商元数据,则可以使用另一个选项 - 在运行时验证证书。 启用此选项后,代理会在证书与文件匹配时验证证书。 单击验证选项以访问在文件匹配期间使用的另一组条件。
有关详细信息,请参阅验证选项。
为“自行提升”添加文件夹
- 针对规则集,选择权限管理节点。
- 右键单击并选择自行提升 > 文件夹。
随即显示“为自行提升添加文件夹”对话框。 - 在属性选项卡中,单击文本框中的省略号 (...):
- 在“打开”对话框中,导航到要添加的文件夹,然后单击确定。
- 在可能的情况下,替换环境变量
- 使用正则表达式
- 包括子文件夹
- 如果需要,请输入文件夹的可选说明以供将来参考。
- 选择元数据选项卡。
- 要自动填写字段,请选择从文件写入元数据。
- 单击添加,将文件夹添加至规则集。
文件夹项目已添加至“权限管理”工作区的“自行提升”视图。
如果需要,您可以选择以下内容:
可以填充以下字段:产品名称、供应商、公司名称、文件描述、文件版本和产品版本。
您可以优化任何数据;选择所需的复选框并编辑相关字段。
如果启用供应商元数据,则可以使用另一个选项 - 在运行时验证证书。 启用此选项后,代理会在证书与文件匹配时验证证书。 单击验证选项以访问在文件匹配期间使用的另一组条件。
有关详细信息,请参阅验证选项。
为“自行提升”添加文件哈希
- 针对规则集,选择权限管理节点。
- 右键单击并选择自行提升 > 文件哈希。
随即显示“为自行提升添加文件哈希”对话框。 - 在“属性”选项卡中,单击文本框中的省略号 (...):
- 在“打开”对话框中,导航到要添加的文件哈希,然后单击确定。
- 如果需要,请输入文件哈希的可选说明以供将来参考。
- 显示文件哈希值后,选择重新扫描以更新文件哈希。
- 单击添加,将文件哈希添加至规则集。
文件哈希项目已添加至“权限管理”工作区的“自行提升”视图。
为“自行提升”添加规则集合
- 针对规则集,选择权限管理节点。
- 右键单击并选择自行提升 > 规则集合。
“规则集合选择”对话框随即打开。 随即列出所有权限管理规则集合。 - 选择要添加到规则集的规则集合的添加到规则复选框。
- 单击确认,将集合添加到“权限管理”工作区的“应用程序”视图。
系统控件
使用“系统控件”来控制执行下列任何操作的能力。 “系统控件”可用于提升或限制对指定项目的访问权限。
- 卸载控件项目:在规则条件匹配时,使用此选项可允许或限制已安装应用程序的卸载。 通过定义要控制的应用程序,可以配置“卸载控制项目”。 通过应用进一步验证,可以指定发布者名称和特定的应用程序版本。 要允许或限制发布者的所有应用程序,请在“应用程序”字段中输入 * 及发布者名称。
- 服务控件项目:在规则条件匹配时,使用此选项可选择修改、停止、启动和重新启动哪些服务。
- 活动日志控件项目:该选项用于选择能否在规则条件匹配时清除活动日志。 选择日志名称或要控制的日志,可以配置“事件日志控制项目”。
- 进程终止控件项目:此选项可用于防止所有用户(包括管理员)终止防病毒软件等进程。 用户仍然可以直接停止进程,例如在应用程序 UI 中单击关闭,但无法强制终止进程,例如从任务管理器的“详细信息”选项卡中结束任务。 可以指定单个文件,也可以指定特定文件夹中的所有进程。
代理服务是唯一停止后无法重新启动的服务。
指定显示名称和/或内部名称,以配置服务控件项目。 不同本地化操作系统的服务显示名称可能有所不同,但内部名称保持不变。 因此,如果将在不同地区使用该配置,建议仅使用内部名称。
可选择添加元数据,为匹配文件和文件夹增添附加条件。