組態設定可執行檔控制項
組態設定可執行檔控制項節點包含五個索引標籤,分別是受信任所有者、選項、驗證、應用程式終止和存取限制。
在這個部分中:
受信任所有者
導覽至組態設定 > 可執行檔控制項 > 受信任所有者索引標籤。
- 啟用受信任擁有權檢查 - 選擇以啟用受信任擁有權檢查。 預設為選取。
- 覆盖或重命名文件时,更改文件的所有权 - 若文件由不受信任的用户(即非“可信所有者”)所覆盖,选择此选项可更改任何受信任的允许文件的所有权。
当不受信任的用户尝试重命名禁用文件并忽略拒绝的项目规则时,所有权将更改至不受信任的用户。 一旦所有权发生变化,“受信任的所有权”检查就会阻止文件执行。
注意: 請勿移除所有「受信任所有者」。 这将导致系统上的应用程序不受信任,并且标准用户无法运行任何程序。
若已選取當檔案遭到覆寫或重新命名時,變更檔案的擁有權選項,應用程式控制項 會在可執行檔案遭到覆寫或重新命名時選擇性變更其 NTFS 檔案擁有權。
非“可信所有者”的用户尝试覆盖文件而该文件由“受信任的所有权”或“允许的项目”规则允许时,如果文件内容已更改,则可能构成安全威胁。 應用程式控制項 将更改覆盖文件的所有权至执行操作的用户,使文件不受信任并确保系统安全。
同样,尝试将禁用文件重命名为允许的项目名称也可能构成安全威胁。 應用程式控制項 也会将这些文件的所有权更改至执行重命名操作的用户,并确保文件不受信任。
覆盖和重命名操作都已经过审核。
新增受信任所有者
- 在組態設定 > 可執行檔控制項 > 受信任所有者索引標籤中,以滑鼠右鍵按一下工作區域並選取新增。
- 「新增受信任所有者」對話方塊隨即顯示。
- 輸入或瀏覽以選取要新增的使用者名稱。
- 按一下增加。 使用者現已與唯一 SID 一同新增至清單。
測試受信任擁有權
可證實受信任擁有權是否正常運作的快速測試:
- 使用测试用户帐户引入一个或多个应用程序。
- 将一个或多个应用程序复制到用户的主驱动器或其他合适的位置,例如 System32 文件夹中的 calc.exe 或从 CD 复制的文件。
- 尝试运行复制的文件。 禁用该应用程序是因为文件归测试用户所有,而不是“可信所有者”。
您可以使用 Windows 资源管理器查看“属性”来验证文件的所有权。
選項
下表列出了所有可能選項及各個選項的功能說明:
選項 |
說明 |
---|---|
依預設設定為允許本機磁碟機 |
選取此選項以製作 應用程式控制項 組態拒絕清單。 本地驱动器上的所有内容都是允许的,除非在拒绝的项目列表中对其进行指定,或者它不具备受信任的所有权。 取消選取此選項以將組態製作成允許清單。 除非在「允許的項目」清單中指定,否則將封鎖本機磁碟上的所有內容。 允許清單組態最為安全。 但是,这种类型的配置需要花费大量时间,并且会影响客户端稳定性,因为所有未指定的应用程序都被阻止了。 |
允許 cmd.exe 執行批次檔案 |
管理員應在其 應用程式控制項 組態中明確禁止 cmd.exe。 在已拒絕 cmd.exe 且已停用「允許 cmd.exe 執行批次檔案」的情況下,於批次檔案違反 應用程式控制項 原則時,將會對批次檔案進行評估及封鎖。 如果未选中该选项且显式拒绝 cmd.exe,所有批处理文件被阻止,它们甚至不会被评估。 如果选择了此选项且 cmd 被显式地拒绝,则 cmd.exe 仍然无法单独运行,但批处理文件是根据 應用程式控制項 规则评估的。 如果 cmd.exe 未被显式地拒绝,则无论此选项是否被选中,所有批处理文件都将运行。 |
在登入期間忽略限制 |
在登录期间,计算机可能会执行大量基本应用程序。 阻止这些可能导致计算机无法正常工作,或者完全不能工作。 因此,默认选中此项。 |
解開自動解壓縮 ZIP 檔案 |
自解压文件是可执行文件,其中包含一个 ZIP 文件和一个用于解压它的小程序。 这些文件有时作为替代方法,以通过 MSI 文件安装应用程序。 有為數眾多的管理員偏好僅透過 MSI 檔案來安裝應用程式。 僅支援使用 ZIP 規格格式化的自動解壓縮 EXE。 有关其他信息,请参阅 ZIP 规范 解開自動解壓縮 ZIP 檔案選項,可允許由 ZIP 解壓縮程式解開拒絕的可執行檔案,可執行檔案是自動解壓縮 ZIP 檔案。 如果取消选择此选项(默认设置),则该文件将和可执行文件一样受一般规则处理的约束。 当将内容解压出来后,其所包含的任何可执行内容仍然要受常规受信任的所有权检查的约束,并且当用户为非可信所有者时无法执行。 当自解压 ZIP 文件可能包含不可执行文件(比如用户需要的文档)时,这非常有用。 默认情况下,将取消选择此选项,自解压 ZIP 文件将被视为标准可执行文件,并将基于一般规则处理情况阻止其执行(因此解压其内容)。 |
在 Active Setup 期間忽略限制 |
默认情况下,在智能安装期间运行的所有应用程序都受 應用程式控制項 规则的约束。 选择此选项可使这些应用程序在智能安装期间无需接受规则检查。 |
拒絕卸除式媒體上的檔案 |
取消选择此选项可移除对可移动介质的限制。 可移动介质是什么,完全由对 GetDriveType 的调用决定。 由于可移动介质的性质,驱动器号可能会根据端点的设置方式而改变。 例如:在一台计算机上,可移动介质驱动器可能被识别为 E 盘,而在另一台计算机上,则可能被识别为 F 盘: |
網路共用中拒絕的檔案 |
網路共用的預設組態為允許清單,表示拒絕網路共用上的所有資料,除非相關資料列於允許的項目清單中。 取消選取此選項可將組態製作成拒絕清單,表示允許網路共用內的所有資料,除非相關資料未通過受信任擁有權檢查,或是列於拒絕的項目清單中。 |
驗證
下表列出了所有驗證選項及其說明。
選項 |
說明 |
---|---|
驗證系統處理序 |
选择此选项可验证系统用户执行的任何文件。 请注意,不建议选择此选项,因为它会增加端点计算机上发生的验证量,并阻止关键应用程序运行。 选择此选项意味着系统启动的所有可执行文件都受规则验证的约束。 |
驗證 WSH (Windows Script Host) 指令碼 |
選取此選項,即指定使用 wscript 或 cscript 執行之指令碼的指令列內容需進行規則驗證。 脚本可以引入病毒和恶意代码。 建议验证 WSH 脚本。 |
驗證 MSI (Windows Installer) 套件 |
MSI 文件是安装 Windows 应用程序的标准方法。 建议用户不要随意安装 MSI 应用程序。 选择此选项意味着所有 MSI 均受规则验证的约束。 取消选择此选项意味着只有 Windows 安装程序本身即 msiexec.exe 是通过 應用程式控制項 规则处理验证的,而非它尝试运行的 MSI 文件。 |
驗證登錄檔案 |
选择此选项可启用 regedit.exe 和 regini.exe 的规则验证。 取消选择此选项意味着 regedit.exe 和 regini.exe 不再被默认阻止。 此外,嘗試執行的 .reg 指令碼、regedit.exe 和 regini.exe 亦不再由 應用程式控制項 規則處理進行驗證。 不建议允许用户访问注册表或注册表文件。 |
驗證 PowerShell 指令碼 |
当启用时,该设置将拒绝 powershell.exe 和 powershell_ise.exe。 然而,若在指令列上找到 PowerShell 指令碼 (PS1 檔案),則需進行完整的規則檢查,確認是否已設定供提高權限、允許或拒絕。 |
驗證 Java 封存 |
当启用时,该设置将拒绝 java.exe 和 javaw.exe。 然而,若在指令列上找到 Java 封存 (JAR 檔案),則需進行完整的規則檢查,確認是允許還是拒絕它。 |
應用程式終止
「應用程式終止」允許您控制託管端點上應用程式終止作業的觸發程序和行為。 您可以恰當地終止應用程式,可允許使用者在關閉之前儲存目前工作,或是強制終止。
默认情况下禁用应用程序终止。 若要啟用功能,請於「組態設定 > 可執行檔控制項 > 應用程式終止」索引標籤中選取啟用應用程式終止。
用于终止应用程序的触发器包括:
- 应用新配置
- 计算机 IP 地址更改
- 连接设备已更改
当触发器被激活时,将根据规则对进程进行评估,以确定应用程序是否需要终止。 未评估具备自授权的规则与仅审计安全级别,因为自授权规则允许用户自由决定应用程序控制,且仅审计规则不应用 應用程式控制項 控制。
設定應用程式終止的觸發程序
選項 |
說明 |
---|---|
應用配置 |
選取便會依據套用的組態終止應用程式 |
電腦 IP 位址已變更 |
選取便會在電腦 IP 位址變更時終止應用程式,例如,在安全與不安全環境之間移動的情況。 請參閱範例。 |
連接設備已更改 |
選取便會在連線裝置已變更時終止應用程式,例如,在相同工作階段內從桌上型電腦變更為筆記型電腦的情況。 |
範例: 電腦 IP 位址已變更
当 IP 地址更改时,使用“应用程序终止”终止应用程序。 例如,当 IP 地址超出公司的 IP 范围时。
- 於組態設定 > 可執行檔控制項 > 應用程式終止索引標籤中啟用應用程式終止。
- 選取電腦 IP 位址已變更選項。
- 定義在終止時要採取下列哪項動作:
- 顯示初始警告消息
- 關閉應用程式
- 終止應用程式
您可以選取全部三個選項並設定各動作之間間隔的等候秒數,最長為 120 秒。
此步骤设置工作办公室所允许的 IP 地址范围。
- 在導覽窗格中選取規則集節點。
- 選取裝置並以滑鼠右鍵按一下顯示捷徑功能表。
- 選取新增裝置規則集。
在裝置節點下建立子節點。 - 對新節點按一下以重新命名,或是將其反白並以滑鼠右鍵按一下 > 重新命名。
- 输入直观的名称,比如,在办公室。
- 以滑鼠右鍵按一下工作區域,將裝置新增至規則集。 選取主機名稱或 IP 位址。
- 新增用戶端裝置對話方塊隨即顯示。
- 輸入允許的 IP 位址範圍,然後按一下新增。
此步骤设置不允许的 IP 地址范围,比如,当从其他位置使用 VPN 时。
- 與您在步驟 2 所做的相同,完成這些步驟以建立新的裝置規則集。
- 输入直观的名称,比如不在办公室。
- 以滑鼠右鍵按一下工作區域,並選取新增用戶端裝置。
- 新增用戶端裝置對話方塊隨即顯示。
執行下列其中一項:
- 输入不允许的 IP 地址范围。
- 输入 *.*.*.* 表示所有其他 IP 地址。
- 按一下新增。
按一下儲存組態。
設定應用程式終止時採取的行動
選項 |
說明 |
---|---|
顯示初始警告消息 |
顯示初始警告訊息以通知使用者遭拒絕的應用程式即將關閉,並請儲存所有工作。 可使用等待秒數... 選項來指定關閉時間选项。 與關閉應用程式和終止應用程式選項一起使用。 如果没有与这些选项一起使用,将显示一条消息,且拒绝的应用程序将不会关闭。 |
關閉應用程式 |
在顯示初始警告訊息之後關閉應用程式,會讓使用者有時間儲存其工作。 |
終止應用程式 |
不給使用者發出警告訊息,直接終止遭拒絕的應用程式。 |
每個動作之間等待的秒數 |
指定各動作之間的時間期間 (以秒為單位),以及關閉與終止之間的時間。 最长时间段为 120 秒。 |
存取時間
如果應用程式已超過允許的存取時間,您可以指定要採取什麼應對措施;例如,您可以指定是否允許使用者在關閉應用程式前儲存其工作,還是僅在警告時關閉應用程式:
显示初始警告消息 - 选择此选项可在应用程序超出时间限制时,向用户显示初始警告消息。 通常,这会为用户保存工作并关闭应用程序留出时间。 與「關閉應用程式」和「終止應用程式」選項一起使用。 如果不与这些选项一起使用,则系统只会显示一条消息,应用程序也不会关闭。
关闭应用程序 - 选择此选项即可向应用程序发送关闭消息。 大多数应用程序在收到关闭消息时都会自动为用户留出保存工作的时间。 选择此选项时,请一并选择显示初始警告消息选项。
终止应用程序 - 立即终止应用程序,不为用户留出保存工作的时间。 此选项通常在应用程序已收到关闭消息但未能终止之后使用。 无论是否选择显示初始警告消息,应用程序都将终止。
每個動作之間的等候秒數 - 指定距離所選終止選項每個的等候秒數。 例如,若使用者選用了全部三種終止選項並選取 20 秒,則警告訊息便會顯示,接著在 20 秒後會關閉訊息,而最後再過 20 秒應用程式便會終止。 預設值設定為 60 秒。
可針對檔案、資料夾與檔案雜湊允許的項目指定存取時間。