应用程序行为控制.docxVIP

配置应用程序与设备控制策略的应用程序控制创建新规则集并向其添加规则1 创建一个新的应用程序与设备控制策略。2 在“应用程序控制”窗格中，单击“添加”。3 在“添加应用程序控制规则集”对话框中，如果不想将有关此规则集的事件记入日志，请取消选中“启用记录”。记录在默认情况下是启用的。4 在“规则集名称”文本框中，更改此规则集的默认名称。5 在“说明”字段中，键入说明。6 在“规则名称”文本框中更改规则的默认名称，然后键入对规则的说明。7 如果不想立即启用此新规则，请取消选中“启用此规则”。8 若要添加另一规则，请单击“添加”，再单击“添加规则”。9 单击“确定”。创建规则集和规则后，应定义该规则应应用到的应用程序。如有必要，还应定义应排除在该规则应用范围之外的任何应用程序。然后，就可以向该规则添加条件，并配置在满足这些条件时要采取的操作。将条件添加到规则1 在“应用程序控制”窗格中，单击已创建的规则集，然后单击“编辑”。2 在“编辑应用程序控制规则集”对话框中，单击要将条件添加到的规则。3 在“条件”列表下，单击“添加”，然后单击“添加条件”。4 选择下列其中一项条件：■注册表访问尝试■文件和文件夹访问尝试■启动进程尝试■终止进程尝试■加载 DLL 尝试如果需要，您可以在规则中添加、配置和删除条件。配置条件属性1 在“编辑应用程序控制规则集”对话框中，单击要应用的条件。2 必要时，可以更改“名称”文本框中的默认名称，也可以选择添加说明。3 如果您要立即启用此条件，请选中“启用此条件”。4 在“应用于下列实体”（其中 实体 表示进程、注册表项、文件和文件夹、DLL 等）的右侧，单击“添加”。5 在“添加实体定义”对话框中，配置下列其中一组选项：■对于“注册表访问尝试”，键入注册表项名称及其值名和数据。单击“使用通配符匹配 (支持 * 和 ?)”或“使用正则表达式匹配”。■对于“文件和文件夹访问尝试”，键入文件或文件夹的名称。单击“使用通配符匹配 (支持 * 和 ?)”或“使用正则表达式匹配”。如果有需要，选中特定驱动器类型来匹配在上面运行的文件和文件夹。如果有需要，选中“只匹配以下设备 ID 类型上的文件”，然后在文本字段中键入设备 ID 类型，或单击“选择”，从“设备选择”对话框的列表中选择设备 ID 类型，从而仅匹配在该 ID 类型的设备上运行的进程。■对于“启动进程尝试”，键入进程名称。单击“使用通配符匹配 (支持 * 和 ?)”或“使用正则表达式匹配”。如果有需要，选中特定驱动器类型来匹配在上面运行的进程。如果有需要，选中“只匹配在以下设备 ID 类型上运行的进程”，然后在文本字段中键入设备 ID 类型，或单击“选择”，从“设备选择”对话框的列表中选择设备 ID 类型，从而仅匹配在该 ID 类型的设备上运行的进程。如果有需要，选中“选项”，以根据文件指纹匹配进程，并且只匹配具有指定参数的进程。您可以选择要完全匹配参数，或使用正则表达式匹配。■对于“终止进程尝试”或“加载 DLL 尝试”，键入进程名称。单击“使用通配符匹配 (支持 * 和 ?)”或“使用正则表达式匹配”。如果有需要，选中特定驱动器类型来匹配在上面运行的进程。如果有需要，选中“只匹配在以下设备 ID 类型上运行的进程”，然后在文本字段中键入设备 ID 类型，或单击“选择”，从“设备选择”对话框的列表中选择设备 ID 类型，从而仅匹配在该 ID 类型的设备上运行的进程。如果有需要，单击“选项”，以根据文件指纹匹配进程。6 单击“确定”。7 在“请勿将此规则应用于下列进程”窗格的右侧，单击“添加”，然后根据需要重复此配置。用于排除的选项与用于包括的选项相同。8 单击适当的控件来进行选择，并在文本框中输入所有必要信息。9 单击“确定”。设置条件的属性后，您需要配置匹配条件时采取的操作。配置匹配条件时要采取的操作1 在“编辑应用程序控制规则集”对话框中，单击要配置操作的条件。2 在“操作”选项卡上，运行下列其中一项操作：■对于“启动进程尝试”条件和“终止进程尝试”条件，请单击下列其中一个选项：继续处理其他规则、允许访问、拒绝访问或终止进程。■对于“DLL 访问尝试”条件，单击下列其中一个选项：继续处理其他规则、允许访问、拒绝访问或终止进程。■对于“注册表访问尝试”条件和“文件和文件夹访问尝试”条件，您可以配置两组操作。其中一组会在出现读取尝试时应用，另一组会在出现创建、删除或写入尝试时应用。在“读取尝试”下，单击下列其中一个选项：继续处理其他规则、允许访问、拒绝访问或终止进程。3 如果需要，选中“启用记录”，然后选择要分配至所记录实体的严重性等级。4 必要时，选中“通知用户”，然后键入要让用户看见的文本属性。5 重复步骤 2 至 4，针对“创建、删除或写入尝试”配置相同