規則集權限管理
在這個部分中:
應用程式
如果要停用項目,請反白顯示該項目,按一下滑鼠右鍵並選取變更狀態。 這會在停用和啟用之間切換。 需要使用支援進行疑難排解時,可使用此項目。
- 選取規則集的權限管理節點。
- 按一下滑鼠右鍵並選取應用程式 > 檔案。
「新增使用者權限管理的檔案」對話方塊隨即顯示。 - 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
- 在「開啟」對話方塊中,導覽至要新增的檔案,並按一下確定。
- 可能的話,替換環境變數
- 使用規則運算式
- 將檔案設為「允許的項目」。 若已選取,您還可以選擇即使檔案並非受信任所有者所擁有,仍允許執行。
- 在引數文字方塊中輸入選用的指令列引數。 輸入 Process Explorer 中顯示的所有引數。
- 指令列引數會將符合條件擴展到「檔案」欄位中輸入的範圍之外。 如果新增引數,則必須滿足檔案和引數兩者才能符合。 可新增出現在處理序指令列上的任何引數 (如 flag、switch、file 和 GUID)。
如果需要,您可以選取下列內容:
拒絕的檔案 |
允許的檔案 |
結果 |
---|---|---|
shutdown.exe |
shutdown.exe 引數: -r -t 30 |
shutdown.exe 僅會在指令列使用 -r -t 30 時執行 - 其他任何由 shutdown.exe 執行的項目均會遭拒。 |
若要正確設定允許或拒絕的項目的引數,就必須使用與在 Process Explorer 中相同的顯示方式呈現,例如:
檔案: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE
指令列: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx
會設定為:
檔案: winword.exe 的絕對或相對路徑
引數: /n C:\example.docx
- 若要套用原則,請從「原則」區段的下拉式清單中選取原則。
- 您可以選取原則的下列選項:
- 套用至子處理序
- 套用至共用對話方塊
- 以受信任所有者身分安裝
- 如果需要,请输入文件的可选说明以供将来参考。
- 若要將中繼資料新增到檔案,請選取中繼資料索引標籤:
- 若要自動完成欄位,請選取從檔案填入中繼資料。
- 按一下新增以將檔案新增至規則集。
檔案項目會新增至「權限管理」工作區中的「應用程式」檢視。
可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。
您可以修正任何資料;選取所需的核取方塊並編輯欄位。
如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。 啟用此選項時,代理程式會在比對檔案時驗證憑證。 按一下驗證選項以存取在檔案比對期間使用的另一組條件。
如需詳細資訊,請參閱驗證選項。
- 選取規則集的權限管理節點。
- 以滑鼠右鍵按一下並選取應用程式 > 資料夾。
「新增使用者權限管理的資料夾」對話方塊隨即顯示。 - 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
- 在「開啟」對話方塊中,瀏覽至要新增的資料夾,並按一下確定。
- 可能的話,替換環境變數
- 包含子資料夾
- 使用規則運算式
- 將資料夾設為「允許的項目」。 若已選取,您還可以選擇即使檔案並非受信任所有者所擁有,仍允許執行。
- 若要套用原則,請從「原則」區段的下拉式清單中選取原則。
- 您可以選取原則的下列選項:
- 套用至子處理序
- 套用至共用對話方塊
- 以受信任所有者身分安裝
- 如果需要,請輸入資料夾選用說明以供日後參考。
- 要向文件夹添加元数据,请选择元数据选项卡:
- 若要自動完成欄位,請選取從檔案填入中繼資料。
- 按一下新增以將資料夾新增至規則集。
資料夾項目會新增至「權限管理」工作區中的「應用程式」檢視。
如果需要,您可以選取下列內容:
可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。
您可以修正任何資料;選取所需的核取方塊並編輯欄位。
如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。 啟用此選項時,代理程式會在比對檔案時驗證憑證。 按一下驗證選項以存取在檔案比對期間使用的另一組條件。
如需詳細資訊,請參閱驗證選項。
可讓您指定要套用所選取原則的新檔案雜湊值。 有關新增檔案雜湊值的詳細資訊:
- 選取規則集的權限管理節點。
- 以滑鼠右鍵按一下並選取應用程式 > 檔案雜湊。
「新增使用者權限管理的檔案雜湊」對話方塊隨即顯示。 - 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
- 在「開啟」對話方塊中,瀏覽至要新增的檔案雜湊,並按一下確定。
- 將檔案雜湊值設為「允許的項目」。 選取以將檔案雜湊值新增至「允許的項目」清單。
- 在引數文字方塊中輸入選用的指令列引數。 輸入 Process Explorer 中顯示的所有引數。
- 指令列引數會將符合條件擴展到「檔案」欄位中輸入的範圍之外。 如果新增引數,則必須滿足檔案和引數兩者才能符合。 可新增出現在處理序指令列上的任何引數 (如 flag、switch、file 和 GUID)。
- 若要套用原則,請從「原則」區段的下拉式清單中選取原則。
- 您可以選取原則的下列選項:
- 套用至子處理序
- 套用至共用對話方塊
- 以受信任所有者身分安裝
- 如果需要,請輸入檔案雜湊選用說明以供日後參考。
- 已顯示檔案雜湊值,請選取重新掃描以更新檔案雜湊。
- 按一下新增以將檔案雜湊值新增至規則集。
檔案雜湊值會新增至「權限管理」工作區中的「應用程式」檢視。
- 選取規則集的權限管理節點。
- 以滑鼠右鍵按一下並選取應用程式 > 規則集合。
「規則集合選取項目」對話方塊隨即顯示。 - 針對您要新增至規則集的集合,選取新增至規則核取方塊。
- 選取集合後,您就可以指定以下設定:
- 設為允許 - 選取即可將規則集合設為允許的項目。
- 允許未受信任所有者 - 若選取設為允許,便可選擇在檔案並非受信任所有者所擁有的情況下,仍允許執行檔案。
- 套用至子處理序 - 選取即可將設定套用至所有子處理序。
- 套用至共用對話方塊 - 選取即可將設定套用至共用對話方塊。
- 以受信任所有者身分安裝 - 選取就能以受信任所有者身分安裝。
- 按一下確定,以將集合新增至「權限管理」工作區中的「應用程式」檢視。
元件
新增元件: 顯示「選取元件」對話方塊。
以支援的作業系統為條件篩選檢視,並選取您要新增至規則的控制台和嵌入式管理單元的元件名稱。
自我提升權限
啟用自我提升權限 - 選取以啟用自我提升權限並套用所需設定:
- 僅套用「自我提高權限」至下列清單所列項目
- 套用「自我提高權限」至所有項目,但下列清單所列項目除外
選項 - 顯示「自我提升權限選項」對話方塊。
自我提升權限選項
選項 | 說明 |
---|---|
將項目設為允許 | 將規則項目設為允許並覆寫任何相關聯的允許項目。 |
即使項目並非受信任所有者所擁有,仍允許執行 |
選取「將項目設為允許」時,才可使用此選項。 选择后,无论所有者是谁,都将执行所有列出的规则项目。 |
套用至子處理序 | 依預設,「自我提升權限原則」會套用至並非由子處理序所繼承的規則項目。 选择此选项可将策略应用于父进程的直接子项。 |
套用至共用對話方塊 | 當檔案或資料夾已提高權限時,提高「開啟檔案」和「儲存檔案」Windows 功能表選項的存取權限。 默认情况下,不提升任何常见对话框。 |
以受信任所有者身分安裝 | 針對由定義之應用程式所建立的所有檔案,將本機管理員設為檔案的所有者。 此选项不适用于常规应用程序,仅适用于安装程序包。 |
隱藏自我提升權限項目的「以管理員身份執行」Windows 選項 | 隱藏 Windows 捷徑功能表的「以管理員身份執行」選項。 |
- 選取規則集的權限管理節點。
- 按一下滑鼠右鍵並選取自我提升權限 > 檔案。
「新增自我提升權限的檔案」對話方塊隨即顯示。 - 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
- 在「開啟」對話方塊中,導覽至要新增的檔案,並按一下確定。
- 可能的話,替換環境變數
- 使用規則運算式
- 如果需要,請輸入資料夾選用說明以供日後參考。
- 選取「中繼資料」標籤。
- 若要自動完成欄位,請選取從檔案填入中繼資料。
- 按一下新增以將檔案新增至規則集。
檔案項目會新增至「權限管理」工作區中的「自我提升權限」檢視。
如果需要,您可以選取下列內容:
可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。
您可以修正任何資料;選取所需的核取方塊並編輯欄位。
如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。 啟用此選項時,代理程式會在比對檔案時驗證憑證。 按一下驗證選項以存取在檔案比對期間使用的另一組條件。
如需詳細資訊,請參閱驗證選項。
- 選取規則集的權限管理節點。
- 按一下滑鼠右鍵並選取自我提升權限 > 資料夾。
「新增自我提升權限的資料夾」對話方塊隨即顯示。 - 在內容索引標籤中,按一下文字方塊中的省略符號 (...):
- 在「開啟」對話方塊中,瀏覽至要新增的資料夾,並按一下確定。
- 可能的話,替換環境變數
- 使用規則運算式
- 包含子資料夾
- 如果需要,請輸入資料夾選用說明以供日後參考。
- 選取中繼資料索引標籤。
- 若要自動完成欄位,請選取從檔案填入中繼資料。
- 按一下新增以將資料夾新增至規則集。
資料夾項目會新增至「權限管理」工作區中的「自我提升權限」檢視。
如果需要,您可以選取下列內容:
可以填入下列欄位: 產品名稱、廠商、公司名稱、檔案說明、檔案版本和產品版本。
您可以修正任何資料;選取所需的核取方塊並編輯欄位。
如果已啟用廠商中繼資料,則其他選項可供使用 - 在執行階段驗證憑證。 啟用此選項時,代理程式會在比對檔案時驗證憑證。 按一下驗證選項以存取在檔案比對期間使用的另一組條件。
如需詳細資訊,請參閱驗證選項。
- 選取規則集的權限管理節點。
- 按一下滑鼠右鍵並選取自我提升權限 > 檔案雜湊值。
「新增自我提高權限的檔案雜湊」對話方塊隨即顯示。 - 在「內容」標籤中,按一下文字方塊中的省略符號 (...):
- 在「開啟」對話方塊中,瀏覽至要新增的檔案雜湊,並按一下確定。
- 如果需要,請輸入檔案雜湊選用說明以供日後參考。
- 已顯示檔案雜湊值,請選取重新掃描以更新檔案雜湊。
- 按一下新增以將檔案雜湊值新增至規則集。
檔案雜湊值項目會新增至「權限管理」工作區中的「自我提升權限」檢視。
- 選取規則集的權限管理節點。
- 以滑鼠右鍵按一下並選取自我提高權限 > 規則集合。
「規則集合選取項目」對話方塊隨即顯示。 所有權限管理規則集合都會列出。 - 針對您要新增至規則集的集合,選取新增至規則核取方塊。
- 按一下確定,以將集合新增至「權限管理」工作區中的「應用程式」檢視。
系統控制項
使用系統控制項控制執行下列任何動作的能力。 “系统控件”可用于提升或限制对指定项目的访问权限。
- 解除安裝控制項目: 使用此選項,可在規則條件相符時允許或限制解除安裝已安裝的應用程式。 通过定义要控制的应用程序,可以配置“卸载控制项目”。 通过应用进一步验证,可以指定发布者名称和特定的应用程序版本。若要允許或限制某一發行者的所有應用程式,請於「應用程式」欄位輸入 * 號加上發行者的名稱。
- 服務控制項目: 使用此選項來選取在「規則」條件相符時,可以修改、停止、啟動和重新啟動的服務。
- 事件記錄控制項目: 使用此選項來選取在「規則」條件相符時,可以或不能清除哪些事件記錄。 事件記錄控制項目是透過選取記錄名稱或要控制之記錄來進行設定。
- 處理序終止控制項目: 使用此選項來防止所有使用者 (包括管理員) 終止特定處理序 (如防毒軟體)。 用户仍然可以直接停止进程,例如在应用程序 UI 中单击关闭,但无法强制终止进程,例如从任务管理器的“详细信息”选项卡中结束任务。 可以指定单个文件,也可以指定特定文件夹中的所有进程。
代理服务是唯一停止后无法重新启动的服务。
服務控制項目是透過指定顯示名稱和/或內部名稱來設定。 在不同的本地化作業系統中,服務顯示名稱可能有所不同,而內部名稱則保持不變。 因此,如果此組態將用於不同的地區設定,建議您僅使用內部名稱。
可选择添加元数据,为匹配文件和文件夹增添附加条件。