Melhores práticas para adição de regras de controle de aplicativos

Você deve planejar suas regras personalizadas de controle de aplicativos com cuidado. Quando você adicionar regras de controle de aplicativos, mantenha em mente as seguintes melhores práticas:
Melhores práticas para regras de controle de aplicativos
Melhores práticas
Descrição
Exemplo
Considere a ordem da regra
As regras do controle de aplicativos funcionam de maneira semelhante à maioria das regras de firewall com base em rede, pois ambas usam a primeira regra correspondente. Quando vários condições forem verdadeiras, a primeira regra será a única a ser aplicada a menos que a ação configurada para a regra seja
Continuar processando outras regras
.
Você deseja impedir que todos os usuários movam, copiem e criem arquivos em unidades USB.
Você tem uma regra existente com uma condição que permite o acesso de gravação a um arquivo chamado Test.doc. Você adiciona uma segunda condição a este conjunto de regras existente para bloquear todas as unidades USB. Neste cenário, os usuários podem ainda criar e modificar o arquivo Teste.doc em unidades USB. A condição
Permitir acesso
para Test.doc vem antes da condição
Bloquear acesso
para unidades USB no conjunto de regras. A condição
Bloquear acesso
para unidades USB não será processada quando a condição que a preceder na lista for verdadeira.
Usar a ação direita
A condição
Encerrar tentativas de processo
permite ou bloqueia a capacidade de um aplicativo de encerrar o processo de chamada em um computador cliente.
A condição não permite nem impede que os usuários interrompam um aplicativo pelos métodos usuais, como clicar em Sair no menu Arquivo.
O Process Explorer é uma ferramenta que exibe os processos de DLL que foram abertos ou carregados e quais recursos são usados pelos processos.
Convém encerrar o Process Explorer quando ele tentar encerrar um aplicativo específico.
Use a condição
Encerrar tentativas de processo
e a ação
Encerrar processo
para criar este tipo de regra. Você aplica a condição ao aplicativo Process Explorer. Você aplica a regra ao aplicativo ou aos aplicativos que você não quer que o Process Explorer encerre.
Usar um conjunto de regras por objetivo
Crie um conjunto de regras que inclua todas as ações que permitem, bloqueiam ou monitoram uma dada tarefa.
Você quer bloquear tentativas de gravação em todas as unidades removíveis e impedir que aplicativos interfiram em um aplicativo específico.
Para realizar esses objetivos, é necessário criar dois conjuntos de regras diferentes em vez de um conjunto de regras.
Usar a ação
Encerrar processo
com cuidado
A ação
Encerrar processo
encerra um processo de chamada quando este atender à condição configurada.
Apenas administradores avançados devem usar a ação
Encerrar processo
. Tipicamente, é necessário usar a ação
Bloquear acesso
.
Você deseja encerrar o Winword.exe sempre que um processo iniciá-lo.
Você cria e configura uma regra com a condição
Iniciar tentativas de processo
e a ação
Encerrar processo
. Você aplica a condição ao Winword.exe e aplica a regra a todos os processos.
Você pode esperar que esta regra encerre o Winword.exe, mas isso não é o que a regra faz. Se você tentar iniciar o Winword.exe pelo Windows Explorer, uma regra com esta configuração encerrará o Explorer.exe, não o Winword.exe. Os usuários ainda podem executar o Winword.exe se o iniciarem diretamente. Em vez disso, use a ação
Bloquear acesso
, que bloqueia o processo de destino, ou Winword.exe.
Testar regras antes de colocá-las em produção
A opção
Teste (log somente)
para conjuntos de regras registra em log somente as ações e não aplica as ações ao computador cliente. Execute as regras no modo de teste por algum período de tempo aceitável para que você possa alternar novamente ao modo de produção. Durante esse período de tempo, analise os logs do controle de aplicativos e verifique se as regras funcionam como previsto.
A opção de teste reduz os acidentes potenciais que você poderia causar não considerando todas as possibilidades da regra.Consulte:
Mais informações