应用程序行为控制(共7页).docx

精选优质文档-倾情为你奉上北京信诺时代科技发展有限公司文档名字XX项目2012/2/23文档信息：文档名称公司内部IT管理项目采购计划保密级别商密文档版本编号11文档管理编号管理人刘鹏涛制作人刘鹏涛制作日期2012-02-04复审人何凯复审日期扩散范围公司内部版本纪录版本编号版本日期修改者说明1.02012年2月04日刘鹏涛新建配置应用程序与设备控制策略的应用程序控制创建新规则集并向其添加规则1 创建一个新的应用程序与设备控制策略。2 在“应用程序控制”窗格中，单击“添加”。3 在“添加应用程序控制规则集”对话框中，如果不想将有关此规则集的事件记入日志，请取消选中“启用记录”。记录在默认情况下是启用的。4 在“规则集名称”文本框中，更改此规则集的默认名称。5 在“说明”字段中，键入说明。6 在“规则名称”文本框中更改规则的默认名称，然后键入对规则的说明。7 如果不想立即启用此新规则，请取消选中“启用此规则”。8 若要添加另一规则，请单击“添加”，再单击“添加规则”。9 单击“确定”。创建规则集和规则后，应定义该规则应应用到的应用程序。如有必要，还应定义应排除在该规则应用范围之外的任何应用程序。然后，就可以向该规则添加条件，并配置在满足这些条件时要采取的操作。将条件添加到规则1 在“应用程序控制”窗格中，单击已创建的规则集，然后单击“编辑”。2 在“编辑应用程序控制规则集”对话框中，单击要将条件添加到的规则。3 在“条件”列表下，单击“添加”，然后单击“添加条件”。4 选择下列其中一项条件： 注册表访问尝试 文件和文件夹访问尝试 启动进程尝试 终止进程尝试 加载 DLL 尝试如果需要，您可以在规则中添加、配置和删除条件。配置条件属性1 在“编辑应用程序控制规则集”对话框中，单击要应用的条件。2 必要时，可以更改“名称”文本框中的默认名称，也可以选择添加说明。3 如果您要立即启用此条件，请选中“启用此条件”。4 在“应用于下列实体”（其中 <实体> 表示进程、注册表项、文件和文件夹、DLL 等）的右侧，单击“添加”。5 在“添加实体定义”对话框中，配置下列其中一组选项： 对于“注册表访问尝试”，键入注册表项名称及其值名和数据。单击“使用通配符匹配 (支持 * 和 ?)”或“使用正则表达式匹配”。 对于“文件和文件夹访问尝试”，键入文件或文件夹的名称。单击“使用通配符匹配 (支持 * 和 ?)”或“使用正则表达式匹配”。如果有需要，选中特定驱动器类型来匹配在上面运行的文件和文件夹。如果有需要，选中“只匹配以下设备 ID 类型上的文件”，然后在文本字段中键入设备 ID 类型，或单击“选择”，从“设备选择”对话框的列表中选择设备 ID 类型，从而仅匹配在该 ID 类型的设备上运行的进程。 对于“启动进程尝试”，键入进程名称。单击“使用通配符匹配 (支持 * 和 ?)”或“使用正则表达式匹配”。如果有需要，选中特定驱动器类型来匹配在上面运行的进程。如果有需要，选中“只匹配在以下设备 ID 类型上运行的进程”，然后在文本字段中键入设备 ID 类型，或单击“选择”，从“设备选择”对话框的列表中选择设备 ID 类型，从而仅匹配在该 ID 类型的设备上运行的进程。如果有需要，选中“选项”，以根据文件指纹匹配进程，并且只匹配具有指定参数的进程。您可以选择要完全匹配参数，或使用正则表达式匹配。 对于“终止进程尝试”或“加载 DLL 尝试”，键入进程名称。单击“使用通配符匹配 (支持 * 和 ?)”或“使用正则表达式匹配”。如果有需要，选中特定驱动器类型来匹配在上面运行的进程。如果有需要，选中“只匹配在以下设备 ID 类型上运行的进程”，然后在文本字段中键入设备 ID 类型，或单击“选择”，从“设备选择”对话框的列表中选择设备 ID 类型，从而仅匹配在该 ID 类型的设备上运行的进程。如果有需要，单击“选项”，以根据文件指纹匹配进程。6 单击“确定”。7 在“请勿将此规则应用于下列进程”窗格的右侧，单击“添加”，然后根据需要重复此配置。用于排除的选项与用于包括的选项相同。8 单击适当的控件来进行选择，并在文本框中输入所有必要信息。9 单击“确定”。设置条件的属性后，您需要配置匹配条件时采取的操作。配置匹配条件时要采取的操作1 在“编辑应用程序控制规则集”对话框中，单击要配置操作的条件。2 在“操作”选项卡上，运行下列其中一项操作： 对于“启动进程尝试”条件和“终止进程尝试”条件，请单击下列其中一个选项：继续处理其他规则、允许访问、拒绝访问或终止进程。 对于“DLL 访问尝试”条件，单击下列其中一个选项：继续处理其他规则、允许访问、拒绝访问或终止进程。 对于“注册表访问尝试”条件和“文件和文件夹访问尝试”条件，您可以配置两组操作。其中一组会在出现读取尝试时应用，另一组会在出现创建、删除或写入尝试时应用。在“读取尝试”下，单击下列其中一个选项：继续处理其他规则、允许访问、拒绝访问或终止进程。3 如果需要，选中“启用记录”，然后选择要分配至所记录实体的严重性等级。4 必要时，选中“通知用户”，然后键入要让用户看见的文本属性。5 重复步骤 2 至 4，针对“创建、删除或写入尝试”配置相同的选项。6 单击“确定”。将规则应用到特定应用程序1 在“编辑应用程序控制规则集”对话框中，单击要应用的规则。2 如果您要将一个应用程序配置为规则应用的对象，则在“将此规则应用于下列进程”右侧，单击“添加”。3 在“添加进程定义”对话框中，配置以下项： 键入要求其匹配此规则的应用程序的名称。 单击“使用通配符匹配 (支持 * 和 ?)”或“使用正则表达式比对”，以匹配名称。 如果有需要，选中对其上进程进行匹配的特定驱动器类型。 如果有需要，选中“只匹配在以下设备 ID 类型上运行的进程”，然后在文本字段中键入设备 ID 类型，或单击“选择”，从“设备选择”对话框的列表中选择设备 ID 类型，从而仅匹配在该 ID 类型的设备上运行的进程。 如果有需要，可选中“选项”，以便根据文件指纹匹配进程，以及只匹配具有指定参数的进程。您可以选择要完全匹配参数，或使用正则表达式匹配。4 单击“确定”。您可以重复步骤 2 至 4 以添加所需数量的应用程序。5 如果您要配置一个或多个应用程序排除在规则应用范围之外，则在“请勿将此规则应用于下列进程”右侧，单击“添加”。如果需要，可重复此配置过程排除多个应用程序。将规则应用于特定应用程序时，如果您定义要排除的应用程序，也会出现相同的选项。6 定义应用程序完毕时，单击“确定”。更改应用程序控制规则集的应用顺序1 在控制台中，单击“策略”。2 在“查看策略”窗格中，单击“应用程序与设备控制”。3 单击要编辑的策略。4 在“任务”下，选择“编辑策略”。5 单击“应用程序控制”。6 单击要移动的应用程序控制规则集。7 单击“上移”或“下移”，更改其在列表中的优先级。8 针对要重新安排优先级的各个规则集，重复前两项步骤。9 单击“确定”。在应用程序与设备控制策略中禁用应用程序控制规则集1 在控制台中，单击“策略”。2 在“查看策略”下，单击“应用程序与设备控制”。3 单击要禁用其中规则集的策略。4 在“任务”下，选择“编辑策略”。5 单击“应用程序控制”。6 针对要禁用的规则集，取消选中旁边的复选框。7 单击“确定”。您现在已经禁用一个规则集，并没有禁用整个策略。禁用应用程序与设备控制策略中的个别规则1 在控制台中，单击“策略”。2 在“查看策略”下，单击“应用程序与设备控制”。3 单击要禁用其中规则的策略。4 在“任务”下，选择“编辑策略”。5 单击“应用程序控制”。6 单击要禁用其中规则的规则集，然后单击“编辑”。7 在“规则”下的规则列表中，单击要禁用的规则。8 在“属性”选项卡上，取消选中“启用此规则”。9 在“编辑应用程序控制规则集”对话框中，单击“确定”。10 单击“确定”。您现在已经禁用一个子规则，并没有禁用整个策略或规则集。更改应用程序控制规则集的模式1 在控制台中，单击“策略”。2 在“查看策略”下，单击“应用程序与设备控制”。3 单击包括所需更改应用程序控制规则集的策略。4 单击“编辑策略”。5 单击“应用程序控制”。6 单击要更改的规则集。7 在“测试/正式”下，单击对应的下拉列表箭头显示模式列表。8 单击新模式。9 单击“确定”。专心-专注-专业