选择哪些条件用于规则的最佳做法

您可以添加自定义应用程序控制规则和条件,以防止用户打开应用程序、写入文件或共享文件。您可以查看默认规则集以帮助确定如何设置规则。例如,您可以编辑“
禁止应用程序运行
”规则集以查看如何使用“
启动进程尝试
”条件。
用于规则的典型条件
规则
条件
防止用户打开应用程序
当应用程序满足下列条件之一时,您可以禁止它:
  • 启动进程尝试
    例如,若要防止用户传输 FTP 文件,您可以添加禁止用户从命令提示符启动 FTP 客户端的规则。
  • 加载 DLL 尝试
    例如,如果您添加在客户端计算机上禁止 Msvcrt.dll 的规则,则用户将无法打开 Microsoft WordPad。此规则还会禁止使用 DLL 的任何其他应用程序。
防止用户写入特定文件
您可能希望用户打开某个文件,但不能修改此文件。例如,某一文件可能包含员工应查看但不应编辑的财务数据。
您可以创建向用户授予文件的只读访问权限的规则。例如,您可以添加允许您在记事本中打开文本文件而不允许您编辑此文件的规则。
对此类型的规则使用“
文件和文件夹访问尝试
”条件。
禁止在 Windows 计算机上共享文件
您可以在 Windows 计算机上禁用本地文件和打印共享。
包括下列条件:
  • 注册表访问尝试
    添加所有相关的 Windows 安全和共享注册表项。
  • 启动进程尝试
    指定服务器服务进程 (svchost.exe)。
  • 加载 DLL 尝试
    指定“安全性”和“共享”选项卡的 DLL(rshx32.dll、ntshrui.dll)。
  • 加载 DLL 尝试
    指定服务器服务 DLL (srvsvc.dll)。
您可以将各个条件的操作设置为“
禁止访问
”。
您还可以使用防火墙规则禁止或允许客户端计算机共享文件。
防止用户运行对等应用程序
您可以防止用户在其计算机上运行对等应用程序。
您可以使用“
启动进程尝试
”条件创建自定义规则。在此条件下,您必须指定要禁止的所有对等应用程序,例如,LimeWire.exe 或 *.torrent。您可以将此条件的操作设置为“
禁止访问
” 。
使用入侵防护策略禁止来自对等应用程序的网络通信。使用防火墙策略禁止收发对等应用程序通信的端口。
禁止对 DVD 驱动器的写入尝试
目前,应用程序控制没有直接禁止 CD/DVD 写入的默认规则。但是,您可以使用“
添加条件
”和“
文件和文件夹访问尝试
”条件创建一个规则,以便禁止特定 DLL 写入 CD 或 DVD 驱动器。
您还应创建用于设置 Windows 注册表项的主机完整性策略,以便禁止对 DVD 驱动器的写入尝试。