新增和測試攔截 DLL 的規則

您可能會想防止使用者開啟特定應用程式。攔截使用者開啟應用程式的方法之一,就是攔截應用程式執行所需的 DLL。若要攔截 DLL,您可以建立攔截 DLL 載入的規則。當使用者嘗試開啟應用程式時,即無法開啟應用程式。
例如,Msvcrt.dll 檔案包含用來執行如 Microsoft WordPad 等多項 Windows 應用程式的程式碼。如果您新增規則來攔截用戶端電腦上的 Msvcrt.dll,就無法開啟 Microsoft WordPad
以「重視安全性」為前提撰寫的某些應用程式可能會將 DLL 植入解讀為惡意動作。請採取因應措施來攔截植入或移除 DLL。
  1. 若要新增攔截 DLL 的規則,請開啟應用程式控制政策,然後在「
    應用程式控制
    」窗格中按下「
    新增
    」。
  2. 在「
    應用程式控制規則集
    」的「
    規則
    」清單下方,按下
    「新增」>「新增規則」
  3. 在「
    屬性
    」標籤的「
    規則名稱
    」文字方塊中,輸入「
    攔截使用者開啟 Microsoft Wordpad
    」。
  4. 在「
    套用此規則至下列程序
    」右側,按下「
    新增
    」。
  5. 在「
    新增程序定義
    」對話方塊的「
    要比對的程序名稱
    」下方,輸入
    C:\Program Files\Windows NT\Accessories\wordpad.exe
    ,然後按下「
    確定
    」。
  6. 在「
    應用程式控制規則集
    」對話方塊的「
    規則
    」清單下方,按下
    「新增」>「新增條件」>「載入 DLL 嘗試」
  7. 在「
    屬性
    」標籤的「
    敘述
    」文字方塊中,輸入「
    已攔截 DLL
    」。
  8. 在「
    套用至下列 DLL
    」右側,按下「
    新增
    」。
  9. 在「
    新增 DLL 定義
    」對話方塊中,將
    MSVCRT.dll
    輸入「
    要比對的 DLL 名稱
    」群組方塊的文字方塊中,然後按下「
    確定
    」。
  10. 在「
    應用程式控制規則集
    」對話方塊的「
    動作
    」標籤上,按下「
    攔截存取
    」、「
    啟用記錄
    」和「
    通知使用者
    」。
  11. 在「
    通知使用者
    」下方,輸入「
    應無法載入 WordPad
    」。
  12. 按兩次「
    確定
    」,然後將政策指派給用戶端電腦群組。
    測試規則。
  13. 若要新增規則來攔截 DLL,請嘗試在用戶端電腦上開啟 Microsoft WordPad。