拒絕的項目
在這個部分中:
關於拒絕的項目
將拒絕的項目新增至規則集以限制特定項目的存取。 拒絕的項目會在選取的規則集下的「拒絕的項目」清單中顯示。
如果您使用默认选项,信任所有本地安装的可信所有者应用程序,则您只需添加不想让用户运行的特定应用程序。 例如,您可以新增管理工具,像是管理與登錄編輯工具等。
您不需要使用此列表来拒绝不属于管理员的应用程序,因为它们会被受信任的所有权检查阻止。
應用程式控制項 拖放功能可用于从 Windows 资源管理器添加文件、文件夹、驱动器和签名项目,或者在每个主配置节点的“允许的项目”节点与“拒绝的节点”之间复制或移动项目。
檔案
如果只是指定文件名,例如 myapp.exe,则无论应用程序的位置如何,都将拒绝此文件的所有实例。 如果指定文件的完整路径,例如 \\servername\sharename\myapp.exe,则仅拒绝应用程序的此实例。
- 選取規則集的可執行檔控制項節點。
- 以滑鼠右鍵按一下並選取已拒絕 > 檔案。
「新增檔案」對話方塊隨即顯示。 - 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
- 在「開啟」對話方塊中,導覽至要新增的檔案,並按一下確定。
如果需要,您可以選取下列內容: - 可能的話,替換環境變數
- 使用規則運算式
- 在引數文字方塊中輸入選用的指令列引數。 輸入 Process Explorer 中顯示的所有引數。
指令列引數會將符合條件擴展到「檔案」欄位中輸入的範圍之外。 如果新增引數,則必須滿足檔案和引數兩者才能符合。 可新增出現在處理序指令列上的任何引數 (如 flag、switch、file 和 GUID)。
拒絕的檔案 |
允許的檔案 |
結果 |
---|---|---|
shutdown.exe |
shutdown.exe 引數: -r -t 30 |
shutdown.exe 僅會在指令列使用 -r -t 30 時執行 - 其他任何由 shutdown.exe 執行的項目均會遭拒。 |
若要正確設定允許或拒絕的項目的引數,就必須使用與在 Process Explorer 中相同的顯示方式呈現,例如:
檔案: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE
指令列: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx
會設定為:
檔案: winword.exe 的絕對或相對路徑
引數: /n C:\example.docx
- 如果需要,请输入文件的可选说明以供将来参考。
- 選取遭到拒絕時,不要顯示存取遭拒訊息,以靜默的方式封鎖檔案而不另行通知使用者。
- 選取忽略事件篩選以引發所有事件,而不考慮事件選取項目內已進行的設置。
- 若要將中繼資料新增到檔案,請選取中繼資料索引標籤。
- 若要自動完成欄位,請選取從檔案填入中繼資料。
- 按一下新增將檔案新增到規則集的「拒絕的可執行檔」中。
該檔案會新增至「拒絕的項目」工作區域。
可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。
您可以修正任何資料;選取所需的核取方塊並編輯欄位。
如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。 啟用此選項時,代理程式會在比對檔案時驗證憑證。 按一下驗證選項以存取在檔案比對期間使用的另一組條件。
如需詳細資訊,請參閱驗證選項。
資料夾
可以指定整个文件夹,例如 \\servername\servershare\myfolder,则此文件夹中的所有应用程序和所有子文件夹都会被拒绝。 不會對資料夾中的檔案進行檢查,因此任何複製至此資料夾的檔案均會遭到拒絕。
如果添加网络文件或文件夹,则您必须使用 UNC 名称,因为 應用程式控制項 代理会忽略驱动器号未配置为本地固定磁盘的任何路径。 用户可通过网络映射的驱动器号来访问网络应用程序,因为在针对配置设置验证路径之前会将路径转换为 UNC 格式。 通配符支持为指定通用文件路径提供另一层控制。
- 選取規則集的可執行檔控制項節點。
- 以滑鼠右鍵按一下並選取已拒絕 > 資料夾。
将显示“添加文件夹”对话框。 - 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
- 在「開啟」對話方塊中,瀏覽至要新增的資料夾,並按一下確定。
如果需要,您可以選取下列內容: - 可能的話,替換環境變數
- 使用規則運算式
- 包含子資料夾
- 如果需要,請輸入資料夾選用說明以供日後參考。
- 選取遭到拒絕時,不要顯示存取遭拒訊息,以靜默的方式封鎖資料夾而不另行通知使用者。
- 選取忽略事件篩選以引發所有事件,而不考慮事件選取項目內已進行的設置。
- 要向文件夹添加元数据,请选择元数据选项卡:
- 若要自動完成欄位,請選取從檔案填入中繼資料。
- 按一下新增將資料夾新增到規則集的「拒絕的可執行檔資料夾」中。
該資料夾會新增至「已拒絕」工作區域。
可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。
您可以修正任何資料;選取所需的核取方塊並編輯欄位。
如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。 啟用此選項時,代理程式會在比對檔案時驗證憑證。 按一下驗證選項以存取在檔案比對期間使用的另一組條件。
如需詳細資訊,請參閱驗證選項。
磁碟機
您可以指定整个驱动器,例如 W,则此驱动器中的所有应用程序,包括子文件夹,都将被拒绝。 系统不会对此驱动器中的文件进行任何检查,因此复制到此驱动器中任何文件夹的任何文件都会被拒绝。
可讓您指定拒絕的可執行磁碟機。
- 選取規則集的可執行檔控制項節點。
- 以滑鼠右鍵按一下並選取已拒絕 > 磁碟機。
将显示“添加驱动器”对话框。 - 輸入要拒絕的磁碟機代號及說明。
- 選取遭到拒絕時,不要顯示存取遭拒訊息,以靜默的方式封鎖磁碟機而不另行通知使用者。
- 按一下新增以將磁碟機項目新增至拒絕的可執行檔清單。
檔案雜湊
除了文件的数字哈希,还可以添加文件。 此舉可確保僅會拒絕該特定檔案,而非來自任何其他位置的檔案。
可讓您按檔案雜湊新增拒絕的可執行項目。
- 選取規則集的可執行檔控制項節點。
- 以滑鼠右鍵按一下並選取已拒絕 > 檔案雜湊。
「新增檔案雜湊」對話方塊隨即顯示。 - 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
- 在「開啟」對話方塊中,瀏覽至要新增的檔案雜湊,並按一下確定。
- 在引數文字方塊中輸入選用的指令列引數。 輸入 Process Explorer 中顯示的所有引數。
指令列引數會將符合條件擴展到「檔案」欄位中輸入的範圍之外。 如果新增引數,則必須滿足檔案和引數兩者才能符合。 可新增出現在處理序指令列上的任何引數 (如 flag、switch、file 和 GUID)。 - 如果需要,請輸入檔案雜湊選用說明以供日後參考。
- 已顯示檔案雜湊值,請選取重新掃描以更新檔案雜湊。
- 選取遭到拒絕時,不要顯示存取遭拒訊息,以靜默的方式封鎖檔案而不另行通知使用者。
- 選取忽略事件篩選以引發所有事件,而不考慮事件選取項目內已進行的設置。
- 按一下新增將檔案雜湊新增到規則集的「拒絕的檔案雜湊」項目中。
該檔案雜湊項目會新增至「已拒絕」工作區域
規則集合
規則集合可包含任意數量項目與項目組合,例如: 特定應用程式的檔案、資料夾、磁碟機、簽章與網路。所有文件都被拒绝。
- 選取規則集的可執行檔控制項節點。
- 以滑鼠右鍵按一下並選取已拒絕 > 規則集合。
「規則集合選取項目」對話方塊隨即顯示。 - 針對您要新增至規則集的集合,選取新增至規則核取方塊。
- 在選取集合之後,您可以選取:
- 無提示拒絕 - 封鎖項目且不會顯示任何訊息。
- 忽略事件篩選 - 引發所有事件,而不考慮事件選取項目內已進行的設置。
- 按一下確定將集合新增到規則集的「拒絕的規則集合」中。
該規則集合會新增至「已拒絕」工作區域。