Prueba de reglas de control de aplicaciones

Una vez que agrega reglas de control de aplicaciones, debe probarlas en su red. Los errores de configuración en los conjuntos de reglas que se utilizan en una política de control de aplicaciones pueden deshabilitar un equipo o un servidor. El equipo cliente puede fallar o su comunicación con
Symantec Endpoint Protection Manager
se puede bloquear. Después de que se prueban las reglas, se aplican a su red de producción.
Paso 1: configure el conjunto de reglas en el modo de prueba.
Se prueban los conjuntos de reglas configurando el modo al modo de prueba. El modo de prueba crea una entrada de registro para indicar cuándo se aplicarían las reglas en el conjunto de reglas sin realmente aplicar la regla.
Las reglas predeterminadas usan el modo de producción de forma predeterminada. Las reglas personalizadas usan el modo de prueba de forma predeterminada. Es necesario probar los conjuntos predeterminados y personalizados de reglas.
Puede ser recomendable probar las reglas dentro del conjunto individualmente. Es posible probar las reglas individuales habilitándolas o deshabilitándolas en el conjunto de reglas.
  1. Para cambiar un conjunto de reglas al modo de prueba
  2. En la consola, abra una política de control de aplicaciones y dispositivos.
  3. En
    Política de control de aplicaciones
    , haga clic en
    Control de aplicaciones
    .
  4. En la lista
    Conjuntos de reglas de control de aplicaciones
    , haga clic en la flecha de lista desplegable en la columna
    Prueba o producción
    para el conjunto de reglas y haga clic en
    Prueba (solo reg.)
    .
Para obtener más información, consulte:
Paso 2: aplique la política de control de aplicaciones y dispositivos a los equipos en su red de prueba.
Si creó una nueva política de control de aplicaciones y dispositivos, aplique la política a los clientes en su red de prueba.Consulte:
Paso 3: supervise el registro del control de aplicaciones.
Una vez que se ejecutan los conjuntos de reglas en el modo de prueba por un período de tiempo, compruebe los registros en busca de errores. En el modo de prueba y el modo de producción, los eventos del control de aplicaciones están en el registro del control de aplicaciones en
Symantec Endpoint Protection Manager
. En los eventos del equipo cliente, los eventos de control de aplicaciones y de control de dispositivos aparecen en el registro de control.
Es posible que vea varias entradas de registro o entradas duplicadas para una única acción del control de aplicaciones. Por ejemplo, si explorer.exe intenta copiar un archivo, configura los bits de escritura y cancelación de la máscara de acceso del archivo.
Symantec Endpoint Protection
registra el evento. Si la acción de copia falla porque una regla del control de aplicaciones bloquea la acción, explorer.exe intenta copiar el archivo usando solamente el bit de cancelación en la máscara del acceso.
Symantec Endpoint Protection
registra otro evento para el intento de copia. Consulte:
Paso 4: cambie el conjunto de reglas de nuevo al modo de producción.
Cuando las reglas funcionen como se espera, cambie el conjunto de reglas de nuevo al modo de producción.