規則集權限管理

在這個部分中:

應用程式

如果要停用項目,請反白顯示該項目,按一下滑鼠右鍵並選取變更狀態。 這會在停用和啟用之間切換。 需要使用支援進行疑難排解時,可使用此項目。

  1. 選取規則集的權限管理節點。
  2. 按一下滑鼠右鍵並選取應用程式 > 檔案
    「新增使用者權限管理的檔案」對話方塊隨即顯示。
  3. 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
  4. 在「開啟」對話方塊中,導覽至要新增的檔案,並按一下確定

    5. 如果需要,您可以選取下列內容:

      • 可能的話,替換環境變數
      • 使用規則運算式
      • 將檔案設為「允許的項目」。 若已選取,您還可以選擇即使檔案並非受信任所有者所擁有,仍允許執行。
  5. 引數文字方塊中輸入選用的指令列引數。 輸入 Process Explorer 中顯示的所有引數。
  6. 指令列引數會將符合條件擴展到「檔案」欄位中輸入的範圍之外。 如果新增引數,則必須滿足檔案和引數兩者才能符合。 可新增出現在處理序指令列上的任何引數 (如 flag、switch、file 和 GUID)。

拒絕的檔案

允許的檔案

結果

shutdown.exe

shutdown.exe

引數: -r -t 30

shutdown.exe 僅會在指令列使用 -r -t 30 時執行 - 其他任何由 shutdown.exe 執行的項目均會遭拒。

若要正確設定允許或拒絕的項目的引數,就必須使用與在 Process Explorer 中相同的顯示方式呈現,例如:

檔案: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

指令列: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

會設定為:

檔案: winword.exe 的絕對或相對路徑

引數: /n C:\example.docx

  1. 若要套用原則,請從「原則」區段的下拉式清單中選取原則。
  2. 您可以選取原則的下列選項:
    • 套用至子處理序
    • 套用至共用對話方塊
    • 以受信任所有者身分安裝
  3. 如果需要,请输入文件的可选说明以供将来参考。
  4. 若要將中繼資料新增到檔案,請選取中繼資料索引標籤:
  5. 若要自動完成欄位,請選取從檔案填入中繼資料

    6. 可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。

    您可以修正任何資料;選取所需的核取方塊並編輯欄位。

    如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。 啟用此選項時,代理程式會在比對檔案時驗證憑證。 按一下驗證選項以存取在檔案比對期間使用的另一組條件。

    如需詳細資訊,請參閱驗證選項

  6. 按一下新增以將檔案新增至規則集。
    檔案項目會新增至「權限管理」工作區中的「應用程式」檢視。
  1. 選取規則集的權限管理節點。
  2. 以滑鼠右鍵按一下並選取應用程式 > 資料夾
    「新增使用者權限管理的資料夾」對話方塊隨即顯示。
  3. 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
  4. 在「開啟」對話方塊中,瀏覽至要新增的資料夾,並按一下確定

    5. 如果需要,您可以選取下列內容:

    • 可能的話,替換環境變數
    • 包含子資料夾
    • 使用規則運算式
    • 將資料夾設為「允許的項目」。 若已選取,您還可以選擇即使檔案並非受信任所有者所擁有,仍允許執行。
  5. 若要套用原則,請從「原則」區段的下拉式清單中選取原則。
  6. 您可以選取原則的下列選項:
    • 套用至子處理序
    • 套用至共用對話方塊
    • 以受信任所有者身分安裝
  7. 如果需要,請輸入資料夾選用說明以供日後參考。
  8. 要向文件夹添加元数据,请选择元数据选项卡:
  9. 若要自動完成欄位,請選取從檔案填入中繼資料

    10. 可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。

    您可以修正任何資料;選取所需的核取方塊並編輯欄位。

    如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。 啟用此選項時,代理程式會在比對檔案時驗證憑證。 按一下驗證選項以存取在檔案比對期間使用的另一組條件。

    如需詳細資訊,請參閱驗證選項

  10. 按一下新增以將資料夾新增至規則集。
    資料夾項目會新增至「權限管理」工作區中的「應用程式」檢視。

可讓您指定要套用所選取原則的新檔案雜湊值。 有關新增檔案雜湊值的詳細資訊:

  1. 選取規則集的權限管理節點。
  2. 以滑鼠右鍵按一下並選取應用程式 > 檔案雜湊
    「新增使用者權限管理的檔案雜湊」對話方塊隨即顯示。
  3. 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
  4. 在「開啟」對話方塊中,瀏覽至要新增的檔案雜湊,並按一下確定
    • 將檔案雜湊值設為「允許的項目」。 選取以將檔案雜湊值新增至「允許的項目」清單。
  5. 引數文字方塊中輸入選用的指令列引數。 輸入 Process Explorer 中顯示的所有引數。
  6. 指令列引數會將符合條件擴展到「檔案」欄位中輸入的範圍之外。 如果新增引數,則必須滿足檔案和引數兩者才能符合。 可新增出現在處理序指令列上的任何引數 (如 flag、switch、file 和 GUID)。
  7. 若要套用原則,請從「原則」區段的下拉式清單中選取原則。
  8. 您可以選取原則的下列選項:
    • 套用至子處理序
    • 套用至共用對話方塊
    • 以受信任所有者身分安裝
  9. 如果需要,請輸入檔案雜湊選用說明以供日後參考。
  10. 已顯示檔案雜湊值,請選取重新掃描以更新檔案雜湊。
  11. 按一下新增以將檔案雜湊值新增至規則集。
    檔案雜湊值會新增至「權限管理」工作區中的「應用程式」檢視。
  1. 選取規則集的權限管理節點。
  2. 以滑鼠右鍵按一下並選取應用程式 > 規則集合
    「規則集合選取項目」對話方塊隨即顯示。
  3. 針對您要新增至規則集的集合,選取新增至規則核取方塊。
  4. 選取集合後,您就可以指定以下設定:
    • 設為允許 - 選取即可將規則集合設為允許的項目。
    • 允許未受信任所有者 - 若選取設為允許,便可選擇在檔案並非受信任所有者所擁有的情況下,仍允許執行檔案。
    • 套用至子處理序 - 選取即可將設定套用至所有子處理序。
    • 套用至共用對話方塊 - 選取即可將設定套用至共用對話方塊。
    • 以受信任所有者身分安裝 - 選取就能以受信任所有者身分安裝。
  5. 按一下確定,以將集合新增至「權限管理」工作區中的「應用程式」檢視。

元件

新增元件: 顯示「選取元件」對話方塊。

以支援的作業系統為條件篩選檢視,並選取您要新增至規則的控制台和嵌入式管理單元的元件名稱。

自我提升權限

啟用自我提升權限 - 選取以啟用自我提升權限並套用所需設定:

  • 僅套用「自我提高權限」至下列清單所列項目
  • 套用「自我提高權限」至所有項目,但下列清單所列項目除外

選項 - 顯示「自我提升權限選項」對話方塊。

自我提升權限選項

選項 說明
將項目設為允許 將規則項目設為允許並覆寫任何相關聯的允許項目。
即使項目並非受信任所有者所擁有,仍允許執行

  • 選取「將項目設為允許」時,才可使用此選項。 选择后,无论所有者是谁,都将执行所有列出的规则项目。

    		•
    套用至子處理序 依預設,「自我提升權限原則」會套用至並非由子處理序所繼承的規則項目。 选择此选项可将策略应用于父进程的直接子项。
    套用至共用對話方塊 當檔案或資料夾已提高權限時,提高「開啟檔案」和「儲存檔案」Windows 功能表選項的存取權限。 默认情况下,不提升任何常见对话框。
    以受信任所有者身分安裝 針對由定義之應用程式所建立的所有檔案,將本機管理員設為檔案的所有者。 此选项不适用于常规应用程序,仅适用于安装程序包。
    隱藏自我提升權限項目的「以管理員身份執行」Windows 選項 隱藏 Windows 捷徑功能表的「以管理員身份執行」選項。
    1. 選取規則集的權限管理節點。
    2. 按一下滑鼠右鍵並選取自我提升權限 > 檔案
      「新增自我提升權限的檔案」對話方塊隨即顯示。
    3. 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
    4. 在「開啟」對話方塊中,導覽至要新增的檔案,並按一下確定

      5. 如果需要,您可以選取下列內容:

      • 可能的話,替換環境變數
      • 使用規則運算式
    5. 如果需要,請輸入資料夾選用說明以供日後參考。
    6. 選取「中繼資料」標籤。
    7. 若要自動完成欄位,請選取從檔案填入中繼資料

      8. 可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。

      您可以修正任何資料;選取所需的核取方塊並編輯欄位。

      如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。 啟用此選項時,代理程式會在比對檔案時驗證憑證。 按一下驗證選項以存取在檔案比對期間使用的另一組條件。

      如需詳細資訊,請參閱驗證選項

    8. 按一下新增以將檔案新增至規則集。
      檔案項目會新增至「權限管理」工作區中的「自我提升權限」檢視。
    1. 選取規則集的權限管理節點。
    2. 按一下滑鼠右鍵並選取自我提升權限 > 資料夾
      「新增自我提升權限的資料夾」對話方塊隨即顯示。
    3. 內容索引標籤中,按一下文字方塊中的省略符號 (...):
    4. 在「開啟」對話方塊中,瀏覽至要新增的資料夾,並按一下確定

      5. 如果需要,您可以選取下列內容:

      • 可能的話,替換環境變數
      • 使用規則運算式
      • 包含子資料夾
    5. 如果需要,請輸入資料夾選用說明以供日後參考。
    6. 選取中繼資料索引標籤。
    7. 若要自動完成欄位,請選取從檔案填入中繼資料

      8. 可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。

      您可以修正任何資料;選取所需的核取方塊並編輯欄位。

      如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。 啟用此選項時,代理程式會在比對檔案時驗證憑證。 按一下驗證選項以存取在檔案比對期間使用的另一組條件。

      如需詳細資訊,請參閱驗證選項

    8. 按一下新增以將資料夾新增至規則集。
      資料夾項目會新增至「權限管理」工作區中的「自我提升權限」檢視。
    1. 選取規則集的權限管理節點。
    2. 按一下滑鼠右鍵並選取自我提升權限 > 檔案雜湊值
      「新增自我提高權限的檔案雜湊」對話方塊隨即顯示。
    3. 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
    4. 在「開啟」對話方塊中,瀏覽至要新增的檔案雜湊,並按一下確定
    5. 如果需要,請輸入檔案雜湊選用說明以供日後參考。
    6. 已顯示檔案雜湊值,請選取重新掃描以更新檔案雜湊。
    7. 按一下新增以將檔案雜湊值新增至規則集。
      檔案雜湊值項目會新增至「權限管理」工作區中的「自我提升權限」檢視。
    1. 選取規則集的權限管理節點。
    2. 以滑鼠右鍵按一下並選取自我提高權限 > 規則集合
      「規則集合選取項目」對話方塊隨即顯示。 所有權限管理規則集合都會列出。
    3. 針對您要新增至規則集的集合,選取新增至規則核取方塊。
    4. 按一下確定,以將集合新增至「權限管理」工作區中的「應用程式」檢視。

    系統控制項

    使用系統控制項控制執行下列任何動作的能力。 “系统控件”可用于提升或限制对指定项目的访问权限。

    • 解除安裝控制項目: 使用此選項,可在規則條件相符時允許或限制解除安裝已安裝的應用程式。 通过定义要控制的应用程序,可以配置“卸载控制项目”。 通过应用进一步验证,可以指定发布者名称和特定的应用程序版本。若要允許或限制某一發行者的所有應用程式,請於「應用程式」欄位輸入 * 號加上發行者的名稱。
    • 服務控制項目: 使用此選項來選取在「規則」條件相符時,可以修改、停止、啟動和重新啟動的服務。

      • 代理服务是唯一停止后无法重新启动的服务。

      服務控制項目是透過指定顯示名稱和/或內部名稱來設定。 在不同的本地化作業系統中,服務顯示名稱可能有所不同,而內部名稱則保持不變。 因此,如果此組態將用於不同的地區設定,建議您僅使用內部名稱。

    • 事件記錄控制項目: 使用此選項來選取在「規則」條件相符時,可以或不能清除哪些事件記錄。 事件記錄控制項目是透過選取記錄名稱或要控制之記錄來進行設定。
    • 處理序終止控制項目: 使用此選項來防止所有使用者 (包括管理員) 終止特定處理序 (如防毒軟體)。 用户仍然可以直接停止进程,例如在应用程序 UI 中单击关闭,但无法强制终止进程,例如从任务管理器的“详细信息”选项卡中结束任务。 可以指定单个文件,也可以指定特定文件夹中的所有进程。

      • 可选择添加元数据,为匹配文件和文件夹增添附加条件。

    相關主題

    權限管理

    組態設定權限管理