將自訂規則新增至應用程式控制

如果預設規則集不符合您的需求,請新增規則集與規則。您可以修改隨政策安裝的預先定義的規則集。
  • 規則集是一個配置區,其中包含一或多個允許或攔截動作的規則。
  • 規則集中的規則則定義一或多個程序或應用程式。您也可以排除不要監控的程序。
  • 每個規則包含要套用至特定程序的條件和動作。對於各項條件,您可以架構符合條件時要採取的動作。您可以架構規則只套用於某些應用程式,也可以架構規則排除動作套用於其他應用程式。
使用下列步驟來自行新增應用程式規則:
步驟 1:新增自訂規則集和規則
最佳實務準則是建立一個規則集,並在其中納入所有允許、攔截和監控指定工作的動作。另一方面,如果您有多個工作,則應該建立多個規則集。例如,如果您想要攔截所有嘗試寫入抽取式磁碟機的動作,並且想要攔截對特定應用程式進行篡改的應用程式,則應該建立兩個規則集。您可以按需新增及啟用任何數目的規則集與規則。
例如,BitTorrent 是一項用於點對點檔案共用的通訊協定,其本身並不安全。BitTorrent 會散佈電影、遊戲、音樂和其他檔案。BitTorrent 可謂散佈威脅最簡單的方法之一。惡意軟體會隱藏在透過點對點網路來共用的檔案內。您可以使用應用程式控制來攔截對 BitTorrent 通訊協定的存取。您也可以使用點對點驗證和入侵預防。透過架構點對點驗證攔截遠端電腦
架構規則及其條件時,請考慮順序問題,以免發生無法預期的結果。此工作通常只應由進階管理員執行。
新增自訂規則集和規則
  1. 開啟應用程式控制政策。
  2. 在「
    應用程式控制
    」面板的預設規則集清單下方,按下「
    新增
    」。
    若要修改預先定義的規則集,請將其選取,然後按下「
    編輯
    」。例如,若要監控存取 BitTorrent 通訊協定的應用程式,請選取「
    攔截從抽取式磁碟機執行程式 [AC2]
    」。
  3. 在「
    新增應用程式控制規則集
    」對話方塊中,為規則集輸入名稱和敘述。
  4. 在「規則」下方,選取「
    規則 1
    」,然後在「
    屬性
    」標籤上,為規則輸入有意義的名稱和敘述。
    若要新增其他規則,請按下「
    新增
    」>「
    新增規則
    」。
步驟 2:為規則定義應用程式或程序
每項規則均必須包含至少一個要在用戶端電腦上監控的應用程式或程序。您還可以從規則中排除特定應用程式。
為規則定義應用程式或程序
  1. 選取規則後,在「
    屬性
    」標籤的「
    套用此規則至下列程序
    」旁邊,按下「
    新增
    」。
  2. 在「
    新增程序定義
    」對話方塊中,輸入應用程式名稱或程序名稱,例如
    bittorrent.exe
    如果您想將這項規則套用至某組應用程式以外的其他所有應用程式,請在這個步驟中定義代表全部之意的萬用字元 (*)。然後,在「
    請勿套用此規則至下列程序
    」旁邊,列出需要當作例外的應用程式。
  3. 按下「
    確定
    」。
    啟用此規則
    」核取方塊預設為啟用狀態。如果取消核取此選項,則不會套用規則。
步驟 3:將條件和動作新增至規則
條件可控制嘗試在用戶端電腦上執行的應用程式或程序的行為。每種條件類型均有專屬的屬性來指定條件要尋找的情況。
每個條件均各自設有當條件成立時,要對程序採取的特定動作。動作 (「終止程序」動作除外) 一律會套用至您為「規則」 (而非「條件」) 定義的程序。
警告
:「
終止
」程序動作會終止呼叫者程序或是提出要求的應用程式。呼叫者程序是您在規則中 (而非在條件中) 定義的程序。對目標程序執行的其他動作則在條件中定義。
條件
說明
登錄存取嘗試
允許或攔截對用戶端電腦上登錄設定的存取
檔案和資料夾存取嘗試
允許或攔截對用戶端電腦上所定義檔案或資料夾的存取
啟動程序嘗試
允許或攔截在用戶端電腦上啟動程序的動作。
終止程序嘗試
允許或攔截在用戶端電腦上終止程序的動作。例如,您可能需要攔截將特定應用程式停止的動作。
警告
:「
終止程序嘗試
」條件會參考「目標」程序。如果您對 Symantec Endpoint Protection 或其他重要程序使用「
終止程序嘗試
」條件,然後使用「終止程序」動作來刪除嘗試刪除 Symantec Endpoint Protection 的程序。
載入 DLL 嘗試
允許或攔截在用戶端電腦載入 DLL 的動作。
  1. 在「
    規則
    」下,選取您新增的規則,按下「
    新增
    」>「
    新增條件
    」,然後選擇條件。
    例如,按下「
    啟動程序嘗試
    」,即可新增要在用戶端電腦存取 BitTorrent 通訊協定時套用的條件。
  2. 在「
    屬性
    」標籤上,選取應該或不應該啟動的程序:
    • 指定要啟動的程序:
      在「
      套用至下列
      實體
      」旁邊,按一下「
      新增
      」。
    • 排除不要啟動的程序:
      在「
      請勿套用至下列程序
      」旁邊,按下「
      新增
      」。
  3. 在「
    新增
    實體
    定義
    」對話方塊中,輸入程序名稱、DLL 或登錄機碼。
    例如,若要新增 BitTorrent,請輸入其檔案路徑和可執行檔,例如:
    C:\Users\UserName\AppData\Roaming\BitTorrent
    若要將條件套用至特定資料夾中的所有程序,最佳實務準則是使用
    folder_name
    \* 或
    folder_name
    \*\*。一個星號即包括指名資料夾中全部的檔案和資料夾。使用
    folder_name
    可包含指名資料夾中各個檔案和資料夾,以及各個子資料夾中各個檔案和資料夾。
  4. 按下「
    確定
    」。
  5. 在條件的「
    動作
    」標籤上,選取要採取的動作。
    例如,若要在 Textpad 嘗試啟動 Firefox 時加以攔截,請按下「
    攔截存取
    」。
  6. 核取「
    啟用記錄
    」和「
    通知使用者
    」,然後新增要向用戶端電腦使用者顯示的訊息。
    例如,輸入
    Textpad tries to launch Firefox
  7. 按下「
    確定
    」。
    此時會顯示新規則集,並會針對測試模式架構此規則集。您應該先測試新規則集,再將其套用至用戶端電腦。