添加应用程序控制规则的最佳做法

您应当仔细规划自定义应用程序控制规则。添加应用程序控制规则时,请注意以下最佳做法。
应用程序控制规则的最佳做法
最佳做法
说明
示例
考虑规则顺序
应用程序控制规则在工作原理上与大多数基于网络的防火墙规则相似,因为两者都使用首个规则匹配功能。如果满足多个条件,第一个规则将成为应用的唯一规则,除非为此规则配置的操作为“
继续处理其他规则
”。
您希望防止所有用户在 USB 驱动器上移动、复制和创建文件。
您具有一个现有规则,该规则具有允许名为 Test.doc 的文件的写入权限的条件。您可以向此现有规则集添加另一个条件以便禁止所有 USB 驱动器。在这种情况中,用户仍然能够在 USB 驱动器上创建和修改 Test.doc 文件。Test.doc 的“
允许访问
”条件在规则集中位于 USB 驱动器的“
禁止访问
”条件之前。当满足列表中 USB 驱动器的“
禁止访问
”条件前面的条件时,将不会处理 USB 驱动器的“禁止访问”条件。
使用正确操作
终止进程尝试
”条件允许或禁止应用程序终止在客户端计算机上的调用进程。
此条件不会允许或禁止用户采用常规方法停止应用程序,例如,单击“文件”菜单中的“退出”。
Process Explorer 是一个工具,用于显示已打开或已加载的 DLL 进程,以及这些进程使用的资源。
您可能希望在 Process Explorer 尝试终止特定应用程序时终止 Process Explorer。
使用“
终止进程尝试
”条件和“
终止进程
”操作创建此类型的规则。您可以对 Process Explorer 应用程序应用此条件。您可以将此规则应用于您不希望 Process Explorer 终止的一个或多个应用程序。
每个目标各使用一个规则集
创建一个规则集,包括允许、禁止和监视一项指定任务的所有操作。
您希望禁止尝试写入所有可移动驱动器,且禁止应用程序篡改特定应用程序。
要实现这些目标,您应创建两个不同的规则集,而不是创建一个。
谨慎使用“
终止进程
”操作
当调用进程满足配置的条件时,“
终止进程
”操作将终止此进程。
只有高级管理员才应使用“
终止进程
”操作。通常,您应当改用“
禁止访问
”操作。
您希望在任何进程启动 Winword.exe 时随时终止 Winword.exe。
您可以创建一个规则,并使用“
启动进程尝试
”条件和“
终止进程
”操作配置此规则。您将条件应用于 Winword.exe,并且将规则应用于全部的进程。
您可能希望此规则终止 Winword.exe,但此规则未执行此操作。如果您尝试从 Windows 资源管理器启动 Winword.exe,包括此配置的规则会终止 Explorer.exe,而非 Winword.exe。如果用户直接启动 Winword.exe,则仍可运行它。在这种情况下,应使用“
禁止访问
”操作,以禁止目标进程或 Winword.exe。
将规则应用于生产环境之前对其进行测试
规则集的“
测试 (仅记录)
”选项记录操作,但不会将操作应用于客户端计算机。在测试模式中运行规则一段可接受的时间后,再切换回“生产”模式。在此时间段内,请查看应用程序控制日志并验证规则是否按计划运行。
测试选项将减少因未考虑规则所有可能性而导致的潜在事故。