使用向导编辑现有基本和补充应用控制策略
注意
适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性。
与 PowerShell cmdlet 或手动相比,使用适用于企业的应用控件向导,可以更轻松地编辑和查看应用控制策略。 向导当前支持以下编辑功能:
- 配置策略规则
- 向现有策略添加新的允许或阻止文件规则
- 删除现有策略上的允许或阻止文件规则
配置策略规则
页面 Policy Rules 加载时会根据设置的规则配置编辑中策略规则。
+ Advanced Options选择该按钮会显示高级策略规则选项面板。 此规则分组包含大多数用户不太常见的其他策略规则选项。 若要编辑任何规则,请翻转相应的策略规则状态。 例如,若要在下图中禁用审核模式并启用强制模式,只需按下标签旁边的 Audit Mode 按钮。 配置策略规则后,选择“下一步”按钮继续下一阶段的编辑: 添加文件规则。
将光标置于规则标题上方时,策略规则的说明会显示在页面底部。 有关策略规则及其功能的完整列表,请参阅 适用于企业的应用控制策略规则表。
添加文件规则
企业应用控制向导允许用户将规则无缝添加到其现有策略。 以前,此规则添加任务涉及使用新规则创建新策略,并将其与现有策略合并。
选择该按钮将 + Custom Rules 打开“自定义规则”面板。 有关创建新策略文件规则的详细信息,请参阅 创建策略文件规则部分中提供的准则。
删除文件规则
应用控制向导可以快速轻松地从现有策略中删除文件规则。 若要删除任何类型的文件规则:发布者规则、路径规则、文件名规则或哈希规则,请在页面左侧的表中选择该规则 Policy Signing Rules List 。 选择规则会突出显示整行。 突出显示行后,选择表下方的删除图标。 在删除文件规则之前,向导会提示用户确认。 删除后,该规则不再显示在策略或表中。
注意
删除发布者规则也会删除关联的文件属性规则。 例如,在下面的 xml 块中,删除ID_SIGNER_CONTOSO_PUBLISHER也会删除规则ID_FILEATTRIB_LOB_APP_1和ID_FILEATTRIB_LOB_APP_2。
<Signer ID="ID_SIGNER_CONTOSO_PUBLISHER" Name="Contoso LOB Publisher CA">
<CertRoot Type="TBS" Value="0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF" />
<CertPublisher Value="Contoso IT Dept App Publisher" />
<FileAttribRef RuleID="ID_FILEATTRIB_LOB_APP_1" />
<FileAttribRef RuleID="ID_FILEATTRIB_LOB_APP_2" />
策略创建
创建策略后,新策略将写入与编辑中策略相同的路径。 新策略文件名将策略版本追加到文件名的末尾。 例如,如果编辑中的策略保存在 MyDocuments\BasePolicy.xml,编辑后,新策略将保存在 MyDocuments\BasePolicy_v10.0.0.1.xml。