共用方式為


使用精靈建立新的補充原則

注意

商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性

從 Windows 10 1903 版開始,商務用應用程控支援在裝置上建立多個作用中原則。 一或多個補充原則可讓客戶擴充 應用程控基底原則 ,以提高原則的信任圈。 補充原則只能擴充一個基底原則,但多個補充可以擴充相同的基底原則。 使用補充原則時,允許基底或其任何補充原則所允許的應用程式執行。

您可以透過 應用程控設計指南來存取應用程控的必要條件資訊。 此頁面概述建立補充應用程控原則、設定原則選項,以及簽署者和檔案規則的步驟。

擴充基本原則

在 [新增原則] 頁面上選擇補充原則類型之後,就可以使用原則名稱和檔案對話框欄位來命名和儲存補充原則。 下一個步驟需要選取要擴充的基底原則。 若要擴充基底原則,基底必須允許補充原則。 [應用程控精靈] 會驗證基底原則是否允許補充,並顯示下列確認。

基底原則允許補充原則。

如果未針對補充原則設定基底原則,精靈會嘗試將原則轉換為可補充的原則。 成功之後,精靈會顯示對話框,示範是否已完成新增允許補充原則規則。

精靈會確認修改基底原則。

精靈偵測到無法補充的原則,例如另一個補充原則,並顯示下列錯誤。 只能補充基底原則。 如需補充原則的詳細資訊,請參閱我們的 多重原則一文

精靈偵測到不正確的基底原則。

設定原則規則

啟動頁面時,原則規則會根據上一頁選擇的基底原則自動啟用/停用。 大部分的補充原則規則都是繼承自基底原則。 精靈會自動剖析基底原則,並設定必要的補充原則規則以符合基底原則規則。 繼承的原則規則會呈現灰色,而且無法在使用者介面中修改。

當游標放在規則標題上時,規則的簡短描述會顯示在頁面底部。

可設定的補充原則規則描述

補充原則只能設定三個原則規則。 下表描述每個原則規則,從最左邊的數據行開始。 選取 [+ 進階選項] 標籤會顯示原則規則的另一個數據行,即進階原則規則。

規則選項 描述
Intelligent Security Graph 授權 使用此選項可自動允許具有「已知良好」信譽的應用程式,如Microsoft的 Intelligent Security Graph (ISG) 所定義。
Managed Installer 使用此選項可自動允許軟體發佈解決方案所安裝的應用程式,例如已定義為受控安裝程式的 Microsoft Configuration Manager。
停用運行時間 FilePath 規則保護 此選項會停用預設運行時間檢查,只允許只有系統管理員可寫入之路徑的 FilePath 規則。

Windows 允許模式的規則選項 UI。

建立自定義檔案規則

應用程控原則中的檔案規則會指定識別和信任應用程式的層級。 檔案規則是在應用程控原則中定義信任的主要機制。 選取 [+ 自定義規則] 會開啟自定義檔案規則條件面板,以建立和自定義原則的目標檔案規則。 精靈支援四種類型的檔案規則:

發行者規則

發行者文件規則類型會使用程式代碼簽署憑證鏈結中的屬性來建立檔案規則的基礎。 一旦選取要作為規則關閉基礎的檔案,稱為 參考檔案,請使用滑桿來指出規則的特定性。 下表顯示滑桿放置、對應的商務用應用程控規則層級與其描述之間的關聯性。 數據表和UI滑桿的位置越低,規則的特性就越高。

規則條件 應用程控規則層級 描述
發行 CA PCACertificate 最高可用的憑證會新增至簽署者。 此憑證通常是 PCA 憑證,跟證書下方的一個層級。 此憑證所簽署的任何檔案都受到影響。
發行者 發行者 此規則是分葉憑證的 PCACertificate 規則和一般名稱 (CN) 的組合。 由主要 CA 簽署但具有特定公司分葉的任何檔案,例如設備驅動器發行者,都受到影響。
檔案版本 SignedVersion 此規則是 PCACertificate 和 Publisher 規則以及版本號碼的組合。 來自指定發行者且版本在或高於指定版本的任何專案都受到影響。
檔案名稱 FilePublisher 最具體的。 檔名、發行者和 PCA 憑證的組合,以及最低版本號碼。 來自發行者且具有指定名稱且大於或等於指定版本的檔案會受到影響。

自定義 filepublisher 檔案規則建立。

Filepath 規則

Filepath 規則不會提供與明確簽署者規則相同的安全性保證,因為它們是以可變動的訪問許可權為基礎。 若要建立 filepath 規則,請使用 [ 流覽 ] 按鈕選取檔案。

檔案屬性規則

精靈支持根據已驗證的文件屬性建立 檔名規則 。 例如,當應用程式及其相依性 (例如,DLL) 可能全都共用相同的產品名稱時,檔名規則就很有用。 此規則層級可讓使用者根據產品名稱檔名輕鬆地建立目標原則。 若要選取要建立規則的文件屬性,請將精靈上的滑桿移至所需的屬性。 下表描述要建立規則的每個支援文件屬性。

規則層級 說明
原始檔名 指定二進位檔的原始檔名,或第一次建立檔案的名稱。
檔案描述 指定二進位檔開發人員所提供的檔案描述。
產品名稱 指定二進位檔隨附的產品名稱。
內部名稱 指定二進位檔的內部名稱。

自訂檔案屬性規則。

檔案哈希規則

最後,精靈支援使用檔案的哈希建立檔案規則。 雖然此層級是特定的,但維護目前產品版本的哈希值可能會造成額外的系統管理額外負荷。 每次更新二進位檔案時雜湊值就會變更,因此需要更新原則。 根據預設,如果無法使用指定的檔案規則層級建立檔案規則,精靈會使用檔案哈希作為後援。

刪除簽署規則

頁面左側的數據表會記載範本中的允許和拒絕規則,以及您建立的任何自定義規則。 您可以從規則清單資料表中選取規則,從原則中刪除規則。 一旦醒目提示規則,請按數據表下方的 [刪除] 按鈕。 系統會再次提示您再次確認。 選 Yes 取即可從原則和規則數據表中移除規則。

下一步