Aggiunta di regole personalizzate al Controllo applicazioni

Se i set predefiniti di regole non soddisfano i requisiti, aggiungere nuovi set di regole e nuove regole. È anche possibile modificare i set predefiniti di regole installati con la politica.
  • Il set di regole è il contenitore che raccoglie una o più regole che consentono o bloccano un'azione.
  • Le regole contenute nei set definiscono uno o più processi o applicazioni. È anche possibile escludere il monitoraggio di un processo.
  • Ogni regola include le condizioni e le azioni applicabili a un determinato processo o a diversi processi. Per ogni condizione, è possibile configurare le azioni da eseguire quando la condizione viene soddisfatta. È possibile configurare le applicazioni cui applicare le regole ed è anche possibile (facoltativo) configurarle per escludere l'azione su altre applicazioni.
Utilizzare i seguenti passaggi per aggiungere regole dell’applicazione personalizzate:
Passaggio 1: Aggiunta di set di regole e regole personalizzate
È buona norma creare un set di regole che includa tutte le azioni che consentono, bloccano e monitorano una determinata attività. D'altra parte, è necessario creare più set di regole in caso di molteplici attività. Ad esempio, se si desidera bloccare i tentativi di scrittura su tutte le unità rimovibili e bloccare le applicazioni dal manomettere una specifica applicazione, è necessario creare due set di regole. Aggiungere e attivare tutti i set di regole di cui si ha bisogno.
Ad esempio, BitTorrent è un protocollo di comunicazione che viene utilizzato per la condivisione file peer-to-peer e non è sicuro. BitTorrent distribuisce film, giochi, musica e altri file. BitTorrent è uno dei metodi più semplici per distribuire le minacce. Il malware è nascosto dentro i file condivisi sulle reti peer-to-peer. È possibile utilizzare il controllo applicazioni per bloccare l'accesso al protocollo di BitTorrent. È inoltre possibile utilizzare l'autenticazione peer-to-peer e la prevenzione delle intrusioni. Blocco di un computer remoto tramite la configurazione dell'autenticazione peer-to-peer
È necessario considerare l'ordine delle regole e delle loro condizioni quando sono configurate per evitare conseguenze inaspettate. In genere è preferibile che questa attività venga eseguita solo da amministratori avanzati.
Per aggiungere set di regole e regole personalizzati
  1. Aprire una politica di controllo delle applicazioni.
  2. Nel pannello
    Controllo applicazioni
    , sotto l’elenco dei set predefiniti di regole, fare clic su
    Aggiungi
    .
    Per modificare un set di regole predefinito, selezionarlo e fare clic su
    Modifica
    . Ad esempio, per monitorare le applicazioni che accedono al protocollo di BitTorrent, selezionare
    Blocca l'esecuzione di programmi da unità rimovibili [AC2]
    .
  3. Nella finestra di dialogo
    Aggiungi set di regole di controllo applicazioni
    , digitare un nome e una descrizione per il set di regole.
  4. In Regole, selezionare
    Regola 1
    e nella scheda
    Proprietà
    , digitare un nome e una descrizione significativi per la regola.
    Per aggiungere un'ulteriore regola, fare clic su
    Aggiungi
    >
    Aggiungi regola
    .
Passaggio 2: definire l'applicazione o il processo per la regola
Ogni regola deve monitorare almeno un applicazione o un processo sul computer client. È possibile inoltre escludere determinate applicazioni dalla regola.
Per definire l’applicazione o il processo per la regola
  1. Selezionare la regola e nella scheda
    Proprietà
    , accanto a
    Applica questa regola ai seguenti processi
    , fare clic
    Aggiungi
    .
  2. Nella finestra di dialogo
    Aggiungi definizione processo
    , digitare il nome del processo o dell'applicazione, come
    bittorrent.exe
    .
    Se si desidera utilizzare la regola per tutte le applicazioni tranne quelle di un set specifico, in questo passaggio è possibile definire un carattere jolly per tutte le voci (*). Elencare, quindi, le applicazioni che devono essere ritenute delle eccezioni accanto a
    Non applicare questa regola ai seguenti processi
    .
  3. Fare clic su
    OK
    .
    La casella di controllo
    Attiva questa regola
    è attivata per impostazione predefinita. Se si deseleziona questa opzione, la regola non viene applicata.
Passaggio 3: aggiungere condizioni e azioni a una regola
Le condizioni controllano il comportamento dell'applicazione o del processo che tenta di eseguire il computer client. Ogni tipo di condizione ha delle proprietà che specificano cosa sta cercando la condizione.
Ogni condizione ha le sue azioni specifiche per gestire il processo quando la condizione è vera. Eccezione fatta per l'azione Termina il processo, le azioni si applicano sempre al processo definito dall'utente per la regola e non per la condizione.
Avviso
: l’azione
Termina processo
termina il processo chiamante o l'applicazione che ha generato la richiesta. Il processo chiamante è il processo definito dall'utente nella regola e non nella condizione. Le altre azioni agiscono sul processo di destinazione, definito nella condizione.
Condizione
Descrizione
Tentativi di accesso al registro
Consente o blocca l'accesso alle impostazioni del registro di sistema di un computer client.
Tentativi di accesso a file e cartelle
Consente o blocca l'accesso ai file o alle cartelle specificate nel computer client.
Tentativi di avvio dei processi
Consente o blocca la capacità di avviare un processo in un computer client.
Tentativi di terminazione di un processo
Consente o blocca la capacità di terminare un processo in un computer client Ad esempio, è possibile bloccare l'arresto di un'applicazione particolare.
Avviso
: la condizione
Tentativo di terminazione di un processo
fa riferimento al processo di destinazione. Se si utilizza la condizione
Termina tentativi di processo
su Symantec Endpoint Protection o su un altro processo importante e si utilizza l'azione Termina processo per interrompere il processo che tenta di interrompere la protezione di Symantec Endpoint.
Tentativi di caricamento di DLL
Consente o blocca la capacità di caricare una DLL in un computer client.
  1. In
    Regole
    , selezionare la regola aggiunta, fare clic su
    Aggiungi
    >
    Aggiungi condizione
    e scegliere una condizione.
    Ad esempio, fare clic su
    Tentativi di avvio dei processi
    per aggiungere una condizione quando il computer client accede al protocollo di BitTorrent.
  2. Nella scheda
    Proprietà
    , selezionare il processo che deve o non deve essere avviato:
    • Per specificare un processo da avviare:
      Accanto ad
      Applica alla seguente
      entità
      , fare clic su
      Aggiungi
      .
    • Per escludere un processo dall’avvio:
      Accanto a
      Non applicare ai seguenti processi
      , fare clic su
      Aggiungi
      .
  3. Nella finestra di dialogo
    Aggiungi la definizione dell'
    entità
    , digitare il nome del processo, il DLL o la chiave di registro.
    Ad esempio, per aggiungere BitTorrent, digitarne il percorso del file e dell'eseguibile, come ad esempio:
    C:\Users\UserName\AppData\Roaming\BitTorrent
    Quando viene applicata una condizione a tutte le entità in una particolare cartella, la procedura consigliata consiste nell'utilizzare
    folder_name
    \* o
    folder_name
    \*\*. Un asterisco include tutti i file e le cartelle nella cartella nominata. Utilizzare
    folder_name
    \*\ per includere ogni file e cartella nella cartella nominata, oltre ai file e alle cartelle in ogni sottocartella.
  4. Fare clic su
    OK
    .
  5. Nella scheda
    Azioni
    della condizione, selezionare un'azione da eseguire.
    Ad esempio, per bloccare Textpad se cerca di avviare Firefox, fare clic su
    Blocca accesso
    .
  6. Selezionare
    Attiva registrazione
    e
    Notifica utente
    , quindi aggiungere il messaggio che si desidera venga visualizzato dall'utente del computer client.
    Ad esempio, digitare
    Textpad tenta di avviare Firefox
    .
  7. Fare clic su
    OK
    .
    Viene visualizzato il nuovo set di regole, configurato per la modalità di prova. Prima di applicare i nuovi set di regole ai computer client, è necessario provarli.