使用精靈編輯現有的基底和補充應用程控原則
注意
商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。
商務用應用程控精靈可讓編輯和檢視應用程控原則比PowerShell Cmdlet更容易或手動檢視。 精靈目前支援下列編輯功能:
- 設定原則規則
- 將新的允許或封鎖檔案規則新增至現有原則
- 拿掉現有原則的允許或封鎖檔案規則
設定原則規則
頁面 Policy Rules
會載入每個設定規則所設定的編輯中原則規則。 選取按鈕會 + Advanced Options
顯示進階原則規則選項面板。 此規則群組包含對大部分使用者較不常見的其他原則規則選項。 若要編輯任何規則,請翻轉對應的原則規則狀態。 例如,若要停用稽核模式並啟用下圖中的強制執行模式,只需要按下標籤旁邊的 Audit Mode
按鈕。 設定原則規則之後,選取 [下一步] 按鈕以繼續下一個編輯階段: 新增檔案規則。
當游標置於規則標題上方時,原則規則的描述會顯示在頁面底部。 如需原則規則及其功能的完整清單,請參閱 商務用應用程控原則規則數據表。
新增檔案規則
商務用應用程控精靈可讓用戶順暢地將規則新增至其現有原則。 先前,這項新增規則工作會涉及使用新規則建立新原則,並將其與現有原則合併。
選取按鈕會 + Custom Rules
開啟 [自定義規則] 面板。 如需建立新原則檔案規則的詳細資訊,請參閱建立原則 檔案規則一節中提供的指導方針。
拿掉檔案規則
[應用程控精靈] 可讓您快速且輕鬆地從現有原則中刪除檔案規則。 若要移除任何類型的檔案規則:發行者規則、路徑規則、檔名規則或哈希規則,請選取頁面左側數據表中的 Policy Signing Rules List
規則。 選取規則會醒目提示整個數據列。 一旦反白顯示數據列,請選取數據表下方的移除圖示。 精靈會在移除檔案規則之前提示用戶確認。 拿掉之後,規則就不會再出現在原則或數據表中。
注意
移除發行者規則也會移除相關聯的檔案屬性規則。 例如,在下列 xml 區塊中,移除ID_SIGNER_CONTOSO_PUBLISHER也會移除規則ID_FILEATTRIB_LOB_APP_1和ID_FILEATTRIB_LOB_APP_2。
<Signer ID="ID_SIGNER_CONTOSO_PUBLISHER" Name="Contoso LOB Publisher CA">
<CertRoot Type="TBS" Value="0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF" />
<CertPublisher Value="Contoso IT Dept App Publisher" />
<FileAttribRef RuleID="ID_FILEATTRIB_LOB_APP_1" />
<FileAttribRef RuleID="ID_FILEATTRIB_LOB_APP_2" />
原則建立
建立原則之後,新原則會寫入與編輯中原則相同的路徑。 新的原則檔名會將原則版本附加至檔名結尾。 例如,如果編輯中的原則儲存在 MyDocuments\BasePolicy.xml
,在編輯之後,新的原則將會儲存在 MyDocuments\BasePolicy_v10.0.0.1.xml
。