新增應用程式控制規則時的最佳實務準則

您應該審慎規劃自訂應用程式控制規則。建立應用程式控制規則時,請記住以下最佳實務準則。
應用程式控制規則的最佳實務準則
最佳實務準則
說明
範例
考慮規則順序
應用程式控制規則的運作方式類似於大多數網路型防火牆規則,兩者都是使用第一個規則相符的功能。如果滿足多個條件時﹐第一個規則會是套用的唯一規則﹐除非為此規則架構的動作為「
繼續處理其他規則
」。
您希望防止所有使用者在 USB 磁碟機上移動﹑複製和建立檔案。
您具有一個現有規則﹐該規則具有一個條件允許寫入存取名為 Test.doc 的檔案。您可以將第二個條件新增至這個現有規則集,以攔截所有 USB 磁碟機。在這種情況下,使用者仍可以建立和修改 USB 磁碟上的 Test.doc 檔案。在規則集中,「
允許存取
」Test.doc 的條件會在「
攔截存取
」USB 磁碟機的條件之前。當滿足清單中「
攔截存取
」USB 磁碟機的條件前面的條件時,便不會處理這個條件。
使用正確的動作
終止程序嘗試
」條件會允許或攔截應用程式在用戶端電腦上終止呼叫程序的動作。
此條件不會允許或攔截使用者採用平常的方法停止應用程式﹐例如按下「檔案」功能表中的「結束」。
Process Explorer 是一項工具,可顯示已開啟或載入的 DLL 程序,以及程序使用哪些資源。
您可能希望在 Process Explorer 嘗試終止特定應用程式時終止 Process Explorer。
使用「
終止程序嘗試
」條件和「
終止程序
」動作建立此類型的規則。您可以將此條件套用至 Process Explorer 應用程式。您可以將此規則套用至您不希望 Process Explorer 終止的一個或多個應用程式。
每個目標使用一個規則集
建立一個規則集,並在其中納入所有允許、攔截或監控特定工作的動作。
您希望攔截嘗試寫入所有的卸除式磁碟機﹐並且希望攔截應用程式篡改特定應用程式。
若要實現這些目標,應該建立兩個不同的規則集,而不是建立單一規則集。
謹慎使用「
終止程序
」動作
當呼叫程序滿足所架構的條件時,「
終止程序
」動作會刪除該程序。
只有進階管理員才可使用「
終止程序
」動作。通常﹐您應該改用「
攔截存取
」動作。
您希望在任何程序啟動 Winword.exe 時隨時終止 Winword.exe。
您可以建立一個規則﹐並使用「
啟動程序嘗試
」條件和「
終止程序
」動作架構此規則。您將條件套用於 Winword.exe,並且將規則套用於全部的程序。
您可能希望此規則終止 Winword.exe﹐但此規則未執行這個動作。如果您嘗試從「Windows 檔案總管」啟動 Winword.exe,包含此組態的規則會終止 Explorer.exe,而非 Winword.exe。如果使用者直接啟動 Winword.exe,則仍可執行該程式。請改用「
攔截存取
」動作來攔截目標程序,或 Winword.exe。
在將規則投入生產環境之前先測試規則
規則集的「
測試 (只記錄)
」選項僅會記錄動作,而不會將動作套用至用戶端電腦。在將規則切換回生產模式之前,請先以測試模式執行規則達某段可接受的時間長度。在此期間,可檢閱應用程式控制日誌,並確認規則是否會按計劃運作。
測試選項將會減少因未考量規則的所有可能性而引起的潛在意外。