允許的項目
在這個部分中:
關於允許的項目
新增允許的項目至規則集,以便授予使用者存取特定項目的權限,而無需提供相應完整的管理權限。 允許的項目會在選取的規則集下的「允許的項目」清單中顯示:
檔案
若僅指定了檔案名稱 (例如 myapp.exe),則無論應用程式位於何處,會一律允許所有此類執行個體。 若使用完整路徑指定檔案,例如: \\servername\sharename\myapp.exe,則僅會允許該應用程式的此一執行個體。此应用程序的其他实例需要满足其他 應用程式控制項 规则才会被准予执行。
- 選取規則集的可執行檔控制項節點。
- 以滑鼠右鍵按一下並選取已允許 > 檔案。
「新增檔案」對話方塊隨即顯示。 - 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
- 在「開啟」對話方塊中,導覽至要新增的檔案,並按一下確定。
- 可能的話,替換環境變數
- 使用規則運算式
- 在引數文字方塊中輸入選用的指令列引數。 輸入 Process Explorer 中顯示的所有引數。
指令列引數會將符合條件擴展到「檔案」欄位中輸入的範圍之外。 如果新增引數,則必須滿足檔案和引數兩者才能符合。 可新增出現在處理序指令列上的任何引數 (如 flag、switch、file 和 GUID)。
如果需要,您可以選取下列內容:
拒絕的檔案 |
允許的檔案 |
結果 |
---|---|---|
shutdown.exe |
shutdown.exe 引數: -r -t 30 |
shutdown.exe 僅會在指令列使用 -r -t 30 時執行 - 其他任何由 shutdown.exe 執行的項目均會遭拒。 |
若要正確設定允許或拒絕的項目的引數,就必須使用與在 Process Explorer 中相同的顯示方式呈現,例如:
檔案: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE
指令列: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx
會設定為:
檔案: winword.exe 的絕對或相對路徑
引數: /n C:\example.docx
- 如果需要,请输入文件的可选说明以供将来参考。
- 選取即使檔案並非受信任所有者所擁有,仍允許執行,以便讓不是受信任所有者的使用者有權存取檔案。
- 選取忽略事件篩選以引發所有事件,而不考慮事件選取項目內已進行的設置。
- 若要將中繼資料新增到檔案,請選取中繼資料索引標籤。
- 若要自動完成欄位,請選取從檔案填入中繼資料。
- 若要新增存取時間,請選取存取時間索引標籤。
- 只有在勾選僅允許在部分時間執行檔案之後才能指派存取期間。
- 若要套用存取時間,請在所需的天數欄選取期間,您可以反白顯示多個時段。
- 以滑鼠右鍵按一下並選取新增允許期間,當期間加上陰影時即表示已允許。
- 視您需要的時段和天數重複步驟 12-13。
- 若要新增應用程式限制,請選取應用程式限制索引標籤。
- 選取啟用應用程式限制
- 輸入使用者於工作階段可執行的應用程式執行個體數量。 例如,若限制設定為 1,且使用者正在執行 1 個執行個體並嘗試執行第 2 個執行個體時,系統將不會允許執行該執行個體。 注意: 這僅適用於以使用者為基礎的情況,不適用於以電腦為基礎的情況。
- 按一下新增將檔案新增到規則集的「允許的可執行檔」中。
該檔案會新增至「允許的項目」工作區域。
預設情況下,受信任擁有權檢查已啟用,因此應用程式必須一律通過受信任擁有權檢查,即便應用程式是允許的項目亦然,此設定可允許您略過該檢查。 儘管可徹底停用受信任擁有權檢查,但不建議您這麼做。
可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。
您可以修正任何資料;選取所需的核取方塊並編輯欄位。
如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。 啟用此選項時,代理程式會在比對檔案時驗證憑證。 按一下驗證選項以存取在檔案比對期間使用的另一組條件。
如需詳細資訊,請參閱驗證選項。
您可以在組態設定 > 可執行檔控制項 >存取時間中設定,當超過存取時間時要採取何種動作。
資料夾
可指定允許執行的完整資料夾 (例如 \\servername\servershare\myfolder),以及此資料夾內的所有應用程式,以及所有子資料夾 (如果需要)。 系統不會對資料夾中的檔案進行檢查,因此任何複製至此資料夾的檔案均會獲准執行。 選取包含子資料夾以包含指定目錄下的所有目錄。 如果添加网络文件或文件夹,则您必须使用 UNC 名称,因为 應用程式控制項 代理会忽略驱动器号未配置为本地固定磁盘的任何路径。 用户可通过网络映射的驱动器号来访问网络应用程序,因为在针对配置设置验证路径之前会将路径转换为 UNC 格式。 要自动应用环境变量,请在添加文件或添加文件夹对话框中选择在可能的情况下,替换环境变量。 这样会使路径更通用,以适用于不同的计算机。 通配符支持为指定通用文件路径提供另一层控制。
- 選取規則集的可執行檔控制項節點。
- 以滑鼠右鍵按一下並選取已允許 > 資料夾。
将显示“添加文件夹”对话框。 - 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
- 在「開啟」對話方塊中,瀏覽至要新增的資料夾,並按一下確定。
- 可能的話,替換環境變數
- 使用規則運算式
- 包含子資料夾
- 如果需要,請輸入資料夾選用說明以供日後參考。
- 選取即使檔案並非受信任所有者所擁有,仍允許執行,以便讓不是受信任所有者的使用者有權存取檔案。
- 選取忽略事件篩選以引發所有事件,而不考慮事件選取項目內已進行的設置。
- 要向文件夹添加元数据,请选择元数据选项卡:
- 若要自動完成欄位,請選取從檔案填入中繼資料。
- 若要新增存取時間,請選取存取時間索引標籤。
- 只有在勾選僅允許在部分時間執行檔案之後才能指派存取期間。
- 若要套用存取時間,請在所需的天數欄選取期間,您可以反白顯示多個時段。
- 以滑鼠右鍵按一下並選取新增允許期間,當期間加上陰影時即表示已允許。
- 視您需要的時段和天數重複步驟 12-13。
- 按一下新增將資料夾新增到規則集的「允許的可執行檔資料夾」中。
該資料夾會新增至「允許的」工作區域。
如果需要,您可以選取下列內容:
預設情況下,受信任擁有權檢查已啟用,因此應用程式必須一律通過受信任擁有權檢查,即便應用程式是允許的項目亦然,此設定可允許您略過該檢查。 尽管可以完全禁用受信任的所有权检查,但不建议这样做。
可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。
您可以修正任何資料;選取所需的核取方塊並編輯欄位。
如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。 啟用此選項時,代理程式會在比對檔案時驗證憑證。 按一下驗證選項以存取在檔案比對期間使用的另一組條件。
如需詳細資訊,請參閱驗證選項。
您可以在組態設定 > 可執行檔控制項 >存取時間中設定,當超過存取時間時要採取何種動作。
磁碟機
您可以指定完整磁碟機 (例如 W),而且此磁碟機上的所有應用程式 (包括子資料夾) 均會獲准執行。 系統不會對磁碟機內的檔案進行檢查,因此複製至此磁碟機上任何資料夾的任何檔案均會獲准執行。
可讓您指定允許的可執行磁碟機。
- 選取規則集的可執行檔控制項節點。
- 以滑鼠右鍵按一下並選取已允許 > 磁碟機。
将显示“添加驱动器”对话框。 - 輸入要允許的磁碟機代號及說明。
- 按一下新增以將磁碟機項目新增至允許的可執行檔清單。
檔案雜湊
除了文件的数字哈希,还可以添加文件。 这样确保仅可执行特定文件,而非来自任何位置的文件。
可讓您新增允許的檔案雜湊可執行項目。
- 選取規則集的可執行檔控制項節點。
- 以滑鼠右鍵按一下並選取已允許 > 檔案雜湊。
「新增檔案雜湊」對話方塊隨即顯示。 - 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
- 在「開啟」對話方塊中,瀏覽至要新增的檔案雜湊,並按一下確定。
- 在引數文字方塊中輸入選用的指令列引數。 輸入 Process Explorer 中顯示的所有引數。
指令列引數會將符合條件擴展到「檔案」欄位中輸入的範圍之外。 如果新增引數,則必須滿足檔案和引數兩者才能符合。 可新增出現在處理序指令列上的任何引數 (如 flag、switch、file 和 GUID)。 - 如果需要,請輸入檔案雜湊選用說明以供日後參考。
- 已顯示檔案雜湊值,請選取重新掃描以更新檔案雜湊。
- 選取忽略事件篩選以引發所有事件,而不考慮事件選取項目內已進行的設置。
- 若要新增存取時間,請選取存取時間索引標籤。
- 只有在勾選僅允許在部分時間執行檔案之後才能指派存取期間。
- 若要套用存取時間,請在所需的天數欄選取期間,您可以反白顯示多個時段。
- 以滑鼠右鍵按一下並選取新增允許期間,當期間加上陰影時即表示已允許。
- 視您需要的時段和天數重複步驟 12-13。
- 按一下新增將檔案雜湊新增到規則集的「允許的檔案雜湊項目」中。
該檔案雜湊項目會新增至「允許的」工作區域。
您可以在組態設定 > 可執行檔控制項 >存取時間中設定,當超過存取時間時要採取何種動作。
規則集合
您可以將規則集合新增至任何規則集的允許項目。
- 選取規則集的可執行檔控制項節點。
- 以滑鼠右鍵按一下並選取已允許 > 規則集合。
「規則集合選取項目」對話方塊隨即顯示。 - 針對您要新增至規則集的集合,選取新增至規則核取方塊。
- 在選取集合之後,您可以選取:
- 允許未受信任所有者 - 即使檔案並非受信任所有者所擁有,仍允許執行。
- 忽略事件篩選 - 引發所有事件,而不考慮事件選取項目內已進行的設置。
- 按一下確定將集合新增到規則集的「允許的規則集合」中。
該規則集合會新增至「允許的」工作區域。