将自定义规则添加到应用程序控制

如果默认规则集不符合您的要求,可添加新的规则集和规则。您也可以修改随策略安装的预定义规则集。
  • 规则集是容纳一个或多个用于允许或禁止操作的规则的容器。
  • 规则集中的规则定义一项或多项进程或应用程序。您也可以排除应用程序,使其不受监控。
  • 每个规则包括应用于一项或多项特定进程的条件和操作。对于各项条件,您可以配置匹配条件时要采取的操作。您可以配置规则只应用于某些应用程序,也可以配置规则排除操作应用于其他应用程序。
使用以下步骤自行添加应用程序规则:
步骤 1:添加自定义规则集和规则
最佳做法是创建一个规则集,包括允许、禁止和监控一项指定任务的所有操作。另一方面,如果您有多个任务,则应创建多个规则集。例如,如果要禁止尝试写入所有可移动驱动器且禁止应用程序篡改特定应用程序,则应创建两个规则集。您可以根据需要添加和启用任意数量的规则集和规则。
例如,BitTorrent 是一种用于对等文件共享的通信协议,然而它并不安全。BitTorrent 分发电影、游戏、音乐和其他文件。它是分发威胁的其中一种最简单的方法。恶意软件隐藏在对等网络上共享的文件中。您可以使用应用程序控制禁止对 BitTorrent 协议的访问,也可以使用对等身份验证和入侵防护。通过配置对等验证禁止远程计算机
配置规则时考虑规则的顺序及其条件,以免出现意外结果。通常,只应由高级管理员执行此任务。
添加自定义规则集和规则
  1. 打开应用程序控制策略。
  2. 在“
    应用程序控制
    ”面板中,在默认规则集的列表下单击“
    添加
    ”。
    要修改一个预定义规则集,请选择它并单击“
    编辑
    ”。例如,要监视访问 BitTorrent 协议的应用程序,请选择“
    禁止运行可移动驱动器中的程序 [AC2]
    ”。
  3. 在“
    添加应用程序控制规则集
    ”对话框中,键入规则集的名称和说明。
  4. 在“规则”下选择“
    规则 1
    ”,然后在“
    属性
    ”选项卡上,为规则键入有意义的名称和说明。
    要添加其他规则,请单击“
    添加
    ”>“
    添加规则
    ”。
步骤 2:定义此规则的应用程序或进程
每条规则必须至少包含一个在客户端计算机上受监视的应用程序或进程。您还可以从规则中排除特定应用程序。
定义此规则的应用程序或进程
  1. 选择此规则后,在“
    属性
    ”选项卡的“
    将此规则应用于下列进程
    ”旁边,单击“
    添加
    ”。
  2. 在“
    添加进程定义
    ”对话框中,键入应用程序名称或进程名称,例如
    bittorrent.exe
    如果要将规则应用于一组特定应用程序以外的其他所有应用程序,可在此步骤中针对所有应用程序定义一个通配符 (*)。然后在“
    请勿将此规则应用于下列进程
    ”旁边列出需例外对待的应用程序。
  3. 单击“
    确定
    ”。
    启用此规则
    ”复选框默认为选中。如果取消选中此选项,则此规则不会应用。
步骤 3:向规则添加条件和操作
条件控制试图在客户端计算机上运行的应用程序或进程的行为。每种条件类型都拥有自己的属性来指定该条件所搜索的目标。
每种条件在为 true 时都拥有对进程所采取的特定操作。除“终止进程”操作以外,其他操作始终应用于您为“规则”而非“条件”所定义的进程。
警告
:“
终止进程
”操作将终止调用者进程或发出该请求的应用程序。调用者进程是您在规则而非条件中定义的进程。其他操作对在条件中定义的目标进程起作用。
条件
说明
注册表访问尝试
允许或禁止对客户端计算机的注册表设置的访问。
文件和文件夹访问尝试
允许或禁止对客户端计算机上的已定义文件或文件夹的访问。
启动进程尝试
允许或禁止在客户端计算机上启动进程。
终止进程尝试
允许或禁止在客户端计算机上终止进程。例如,您可能需要阻止特定的应用程序被停止。
警告
:“
终止进程尝试
”条件是指目标进程。如果对 Symantec Endpoint Protection 或其他重要进程使用“
终止进程尝试
”条件,则使用“终止进程”操作终止尝试终止 Symantec Endpoint Protection 的进程。
加载 DLL 尝试
允许或禁止在客户端计算机上加载 DLL。
  1. 在“
    规则
    ”下,选择已添加的规则,单击“
    添加
    ”>“
    添加条件
    ”,然后选择条件。
    例如,单击“
    启动进程尝试
    ”可添加客户端计算机访问 BitTorrent 协议时的条件。
  2. 在“
    属性
    ”选项卡上,选择是否应启动的进程:
    • 若要指定需启动的进程,请执行以下操作:
      在“
      应用于下列
      实体
      ”旁边,单击“
      添加
      ”。
    • 若要禁止进程启动,请执行以下操作:
      在“
      请勿应用于下列进程
      ”旁边,单击“
      添加
      ”。
  3. 在“
    添加
    实体
    定义
    ”对话框中,键入进程名称、DLL 或注册表项。
    例如,要添加 BitTorrent,请键入其文件路径和可执行文件,例如:
    C:\Users\UserName\AppData\Roaming\BitTorrent
    要将条件应用于特定文件夹中的所有进程,最佳做法是使用
    folder_name
    \* 或
    folder_name
    \*\*。一个星号即包括指定文件夹中的全部文件和文件夹。使用
    folder_name
    \*\* 可包括指定文件夹中所的各个文件和文件夹,以及各个子文件夹中的各个文件和文件夹。
  4. 单击“
    确定
    ”。
  5. 在此条件的“
    操作
    ”选项卡上,选择要采取的操作。
    例如,要禁止 Textpad 尝试启动 Firefox,请单击“
    禁止访问
    ”。
  6. 选中“
    启用记录
    ”和“
    通知用户
    ”,并添加您希望客户端计算机用户查看的消息。
    例如,键入
    Textpad tries to launch Firefox
  7. 单击“
    确定
    ”。
    新的规则集随即便会出现,并配置为处于测试模式。您应先测试新的规则集,然后再将它们应用于您的客户端计算机。