應用程式行為指令檔阻止

檔案保護規則能夠阻止惡意軟體或勒索軟體最常用來感染端點的方法 - 使用者遭誘騙 (通常透過網路釣魚電子郵件) 而開啟附件或從網際網路下載包含惡意軟體的檔案。這其中大多數的檔案使用者都是遭誘騙而開啟已知類型的檔案，例如有巨集的 Word 文件、.JS (JavaScript) 檔案，以及其他類型的指令檔。

使用檔案保護規則後，即可設定規則避免使用者使用 .JS 檔案和其他指令檔 (請注意，這不會限制使用者在瀏覽器中使用 JavaScript)。阻止使用指令檔 (大部份的使用者不需要使用) 後，即可消除大部份的此類攻擊載體。

使用者很可能不需要在電腦上執行指令檔；不過，在某些情況下，合法的第三方應用程式可能需要執行指令檔。因此，建議您在學習模式中開始使用檔案保護規則 (亦即，將應用程式行為模式設定為學習)。在此模式中，EPS 代理程式將學習哪些應用程式執行指令檔，並且在您變更為阻止模式時不阻止這些應用程式的使用。

例如，使用檔案保護規則後，即可設定下列規則: 不允許 WSCRIPT 和 CSCRIPT 執行 *.JS 檔案。強制執行後，使用者將無法使用 Microsoft 指令檔引擎 (WSCRIPT/CSCRIPT) 執行 .JS 檔案。務必啟用「允許略過信任的檔案規則」選項，以便對於在學習期間使用 WSCRIPT 執行 .JS 檔案所搜尋的應用程式避開此保護。

執行鏈和網際網路來源阻止

2017.1 的檔案保護規則加入了兩個新選項，即使指令檔是包含在 zip 檔內，也能夠阻止使用者從瀏覽器或郵件執行指令檔。

• 如果處理序在執行鏈中即套用
• 套用於僅從網際網路下載的檔案

啟用如果處理序在執行鏈中即套用選項時，受監控的程式即為「執行鏈」中的任何程式。例如，如果使用者執行 Chrome 並開啟使用 Chrome 下載的 .JS 檔案 (亦即，使用者按兩下 Chrome 下載的 .JS 檔案) 後，執行鏈即為 Chrome > WSCRIPT > .JS。啟用此選項時，「受監控的程序」會是 Chrome，「受保護的檔案」會是 *.JS。這可確保從 Chrome 執行的任何 JS 檔案均受阻止。

2017.1 有一個現成的新檔案保護規則，能夠避免從瀏覽器或郵件應用程式執行指令檔。此項規則可避免一組經過界定的瀏覽器郵件程式執行 CMD、CSCRIPT、WSCRIPT 和 PowerShell。這能夠阻止瀏覽器或郵件應用程式嘗試執行指令檔 (這僅適用於在瀏覽器「外部」的指令檔，不適用於對於網站在瀏覽器中執行的 JavaScript)。

指令檔包含在 zip 檔中，而使用者使用原生 Windows ZIP 解壓縮程式 (而非第三方應用程式) 將 zip 解壓縮時，使用如果處理序在執行鏈中即套用通常不會阻止指令檔執行。不過，使用者使用 WINZIP 開啟附件 zip 檔，然後執行 zip 檔內部的指令檔時，此項規則可阻止 zip 檔。

若要解決上述問題，可使用第二個選項套用於僅從網際網路下載的檔案。瀏覽器下載的每個檔案預設會由瀏覽器標示「從網際網路下載」旗標。即使複製該檔案，檔案仍會保留此旗標 (請注意，此旗標僅適用於 NTFS 檔案系統上的檔案)。啟用此選項時，規則僅適用於已啟用此旗標的檔案。

現成的新規則使用此功能避免瀏覽器從網際網路下載的檔案執行指令檔 (「避免存取下載的指令檔」)。使用者從網際網路下載 zip 檔時，如果 zip 包含指令檔 (.BAT、.CMD、.JS、.VBS)，即使是使用原生 Windows zip 應用程式將 zip 解壓縮，而且即使後來將檔案儲存到磁碟並解壓縮，也都會阻止指令檔執行。

若要啟用檔案保護規則中的執行鏈或網際網路來源選項

1. 按一下工具 > 安全性和遵從性 > 代理程式組態。
2. 在代理程式設定 > 我的代理程式設定> 安全性 > 端點安全下的樹狀結構中，以滑鼠右鍵按一下應用程式檔案清單並按一下新增，或按兩下現有設定。
3. 在預設原則頁上，選取要修改的應用程式控制設定並進行編輯。
4. 在檔案保護規則頁上，修改或新增所需的規則。
5. 您將看見規則組態頁出現如果處理序在執行鏈中即套用選項和套用於僅從網際網路下載的檔案選項。