共用方式為


使用精靈編輯現有的基底和補充應用程控原則

注意

商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性

商務用應用程控精靈可讓編輯和檢視應用程控原則比PowerShell Cmdlet更容易或手動檢視。 精靈目前支援下列編輯功能:

  • 設定原則規則
  • 將新的允許或封鎖檔案規則新增至現有原則
  • 拿掉現有原則的允許或封鎖檔案規則

設定原則規則

頁面 Policy Rules 會載入每個設定規則所設定的編輯中原則規則。 選取按鈕會 + Advanced Options 顯示進階原則規則選項面板。 此規則群組包含對大部分使用者較不常見的其他原則規則選項。 若要編輯任何規則,請翻轉對應的原則規則狀態。 例如,若要停用稽核模式並啟用下圖中的強制執行模式,只需要按下標籤旁邊的 Audit Mode 按鈕。 設定原則規則之後,選取 [下一步] 按鈕以繼續下一個編輯階段: 新增檔案規則

設定原則規則。

當游標置於規則標題上方時,原則規則的描述會顯示在頁面底部。 如需原則規則及其功能的完整清單,請參閱 商務用應用程控原則規則數據表

新增檔案規則

商務用應用程控精靈可讓用戶順暢地將規則新增至其現有原則。 先前,這項新增規則工作會涉及使用新規則建立新原則,並將其與現有原則合併。

選取按鈕會 + Custom Rules 開啟 [自定義規則] 面板。 如需建立新原則檔案規則的詳細資訊,請參閱建立原則 檔案規則一節中提供的指導方針。

拿掉檔案規則

[應用程控精靈] 可讓您快速且輕鬆地從現有原則中刪除檔案規則。 若要移除任何類型的檔案規則:發行者規則、路徑規則、檔名規則或哈希規則,請選取頁面左側數據表中的 Policy Signing Rules List 規則。 選取規則會醒目提示整個數據列。 一旦反白顯示數據列,請選取數據表下方的移除圖示。 精靈會在移除檔案規則之前提示用戶確認。 拿掉之後,規則就不會再出現在原則或數據表中。

在編輯期間從原則中移除檔案規則。

注意

移除發行者規則也會移除相關聯的檔案屬性規則。 例如,在下列 xml 區塊中,移除ID_SIGNER_CONTOSO_PUBLISHER也會移除規則ID_FILEATTRIB_LOB_APP_1和ID_FILEATTRIB_LOB_APP_2。

<Signer ID="ID_SIGNER_CONTOSO_PUBLISHER" Name="Contoso LOB Publisher CA">
  <CertRoot Type="TBS" Value="0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF" />
  <CertPublisher Value="Contoso IT Dept App Publisher" />
  <FileAttribRef RuleID="ID_FILEATTRIB_LOB_APP_1" />
  <FileAttribRef RuleID="ID_FILEATTRIB_LOB_APP_2" />

原則建立

建立原則之後,新原則會寫入與編輯中原則相同的路徑。 新的原則檔名會將原則版本附加至檔名結尾。 例如,如果編輯中的原則儲存在 MyDocuments\BasePolicy.xml,在編輯之後,新的原則將會儲存在 MyDocuments\BasePolicy_v10.0.0.1.xml

下一步