Best practice per aggiungere regole del controllo applicazioni

È necessario progettare con attenzione le regole personalizzate di controllo applicazioni. Quando si aggiungono regole di controllo applicazioni, considerare quanto segue:
Best practice per le regole di controllo delle applicazioni
Best practice
Descrizione
Esempio
Considerare l'ordine delle regole
Le regole di controllo applicazioni funzionano come la maggior parte delle regole firewall in rete, in quanto entrambe utilizzano la prima funzionalità della corrispondenza di regola. Quando vengono soddisfatte più condizioni, la prima regola è l'unica che viene applicata a meno che l'azione configurata per la regola sia
Continua elaborazione di altre regole
.
Si desidera impedire a tutti gli utenti di spostare, copiare e creare i file in unità USB.
Si dispone di una regola esistente con una condizione che consente l'accesso in scrittura a un file denominato Test.doc. Si aggiunge una seconda condizione al set di regole esistente per bloccare tutte le unità USB. In questo scenario, gli utenti possono ancora creare e modificare un file Test.doc sulle chiavi USB. La condizione
Consenti accesso
a Test.doc viene prima della condizione
Blocca accesso
alle unità USB nel set di regole. La condizione
Blocca accesso
alle unità USB non viene elaborata quando si verifica la condizione che la precede nell'elenco.
Utilizzare l'azione corretta
La condizione
Tentativi di terminazione di un processo
autorizza o blocca la possibilità di un'applicazione di terminare un processo in un computer client.
La condizione non autorizza né impedisce agli utenti di arrestare un'applicazione con metodi comuni, come la selezione di Esci nel menu File.
Process Explorer è uno strumento che visualizza i processi DLL aperti o caricati e le risorse utilizzate da tali processi.
È possibile terminare Process Explorer quando cerca di terminare una data applicazione.
Utilizzare la condizione
Tentativi di terminazione di un processo
e l'azione
Termina processo
per creare questo tipo di regola. Applicare la condizione all'applicazione Process Explorer. Applicare la regola all'applicazione o alle applicazioni che non devono essere terminate da Process Explorer.
Utilizzare un solo set di regole per obiettivo
Creare un set di regole che includa tutte le azioni che permettono, bloccano o controllano una determinata attività.
Si desidera bloccare i tentativi di scrittura in tutte le unità rimovibili nonché bloccare le applicazioni che tentano di manomettere un'applicazione specifica.
Per raggiungere questi obiettivi, è necessario creare due set di regole differenti invece di uno.
Utilizzare l'azione
Termina processo
con moderazione.
L'azione
Termina processo
interrompe un processo quando il processo soddisfa la condizione configurata.
Soltanto gli amministratori in possesso di diritti avanzati devono utilizzare l'azione
Termina processo
. In genere, è necessario utilizzare l'azione
Blocca accesso
.
Si desidera terminare Winword.exe quando un processo qualsiasi avvia Winword.exe.
Creare una regola e configurarla con la condizione
Tentativi di avvio dei processi
e con l'azione
Termina processo
. La condizione viene applicata a Winword.exe e la regola viene applicata a tutti i processi.
È possibile che questa regola termini Winword.exe, ma non è questo il motivo per cui la regola esiste. Se si cerca di avviare Winword.exe da Esplora risorse, una regola con questa configurazione termina Explorer.exe, non Winword.exe. Gli utenti possono ancora eseguire Winword.exe se lo fanno direttamente. In alternativa, utilizzare l'azione
Blocca accesso
, la quale blocca il processo di destinazione o Winword.exe.
Verificare le regole prima validarle
L'opzione
Prova (solo registro)
per il set di regole registra le azioni e non le applica al computer client. Eseguire le regole in modalità di prova per un periodo di tempo accettabile prima di ritornare alla modalità di produzione. Durante questo periodo di tempo, esaminare i registri di Controllo applicazioni e verificare che le regole funzionino come previsto.
L'opzione Prova previene i potenziali incidenti che potrebbero verificarsi se non si considerassero tutte le possibilità della regola.