使用商務用應用程控原則來控制特定外掛程式、載入巨集和模組
注意
商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。
您可以使用商務用應用程控原則來控制應用程式,以及控制特定外掛程式、載入巨集和模組是否可以從特定應用程式執行, (例如企業營運應用程式或瀏覽器) :
方法 | 指導方針 |
---|---|
您可以從只有特定應用程式才可執行的外掛程式、增益集和模組清單進行作業。 其他應用程式會被封鎖而無法執行。 | 使用 New-CIPolicyRule 與 -AppID 選項。 |
此外,您可以從您想要在特定應用程式中封鎖的外掛程式、載入巨集或模組清單中運作。 其他應用程式則可正常執行。 | 使用New-CIPolicyRule 與-AppID 和-Deny 選項。 |
例如,若要將規則新增至名為 「Lamna_FullyManagedClients_Audit.xml」 的應用程控原則,以允許 ERP1.exe 執行 addin1.dll 和 addin2.dll,Lamna 的企業資源規劃 (ERP) 應用程式,請執行下列命令。 在第二個命令中, += 是用來將第二個規則新增至 $rule 變數:
$rule = New-CIPolicyRule -DriverFilePath '.\temp\addin1.dll' -Level FileName -AppID '.\ERP1.exe'
$rule += New-CIPolicyRule -DriverFilePath '.\temp\addin2.dll' -Level FileName -AppID '.\ERP1.exe'
另一個範例是,若要建立禁止 addin3.dll在 Microsoft Word 中執行的商務用應用程控原則,請執行下列命令。 您必須在指定的 -Deny
應用程式中包含封鎖指定載入巨集的選項。 擁有您想要的所有規則之後,您可以使用 Merge-CIPolicy Cmdlet 將它們合併到現有的應用程控原則,如下所示:
$rule += New-CIPolicyRule -DriverFilePath '.\temp\addin3.dll' -Level FileName -Deny -AppID '.\winword.exe'
Merge-CIPolicy -OutputFilePath .\Lamna_FullyManagedClients_Audit.xml -PolicyPaths .\Lamna_FullyManagedClients_Audit.xml -Rules $rule