Best practice per la scelta della condizione da utilizzare per una regola

È possibile creare regole personalizzate di controllo applicazioni per impedire agli utenti di aprire applicazioni, scrivere file o di condividere file. È possibile esaminare set predefiniti di regole per semplificare le decisioni relative alla configurazione delle regole. Ad esempio, è possibile modificare il set di regole
Blocca l’esecuzione delle applicazioni
per visualizzare le modalità di utilizzo di una condizione
Tentativi di avvio dei processi
.
Condizioni tipiche da utilizzare per una regola
Regola
Condizione
Impedire agli utenti di aprire un'applicazione
È possibile bloccare un'applicazione quando soddisfa una delle seguenti condizioni:
  • Tentativi di avvio dei processi
    Ad esempio, per impedire agli utenti di trasferire file tramite FTP, è possibile aggiungere una regola che impedisce ad un utente di avviare un client FTP dal prompt dei comandi.
  • Tentativi di caricamento di DLL
    Ad esempio, se si aggiunge una regola che blocca Msvcrt.dll nel computer client, gli utenti non possono aprire Microsoft WordPad. La regola inoltre blocca qualsiasi altra applicazione che utilizza la DLL.
Impedire agli utenti di scrivere un determinato file
È possibile consentire agli utenti di aprire un file senza modificarlo. Ad esempio, un file può includere dati finanziari che i dipendenti devono visualizzare ma non modificare.
È possibile creare una regola per assegnare agli utenti l'accesso di sola lettura a un file. Ad esempio, è possibile aggiungere una regola che consente di aprire un file di testo in Blocco note ma non consente di modificarlo.
Utilizzare la condizione
Tentativi di accesso a file e cartelle
per creare questo tipo di regola.
Blocco delle condivisioni di file su computer Windows
È possibile disattivare il file locale e la condivisione di stampa nei computer Windows.
Includere le seguenti condizioni:
  • Tentativi di accesso al registro
    Aggiungere tutte le chiavi di registro relative alla protezione e alla condivisione di Windows.
  • Tentativi di avvio dei processi
    Specificare il processo di servizio del server (svchost.exe).
  • Tentativi di caricamento di DLL
    Specificare la DLL per schede di condivisione e di sicurezza (rshx32.dll, ntshrui.dll).
  • Tentativi di caricamento di DLL
    Specificare la DLL di servizio del server (srvsvc.dll).
Impostare l'azione per ogni condizione in
Blocca accesso
.
È possibile inoltre utilizzare le regole del firewall per impedire o consentire ai computer client di condividere file.
Impedire agli utenti di eseguire applicazioni peer-to-peer
È possibile impedire agli utenti di eseguire applicazioni peer-to-peer nei computer in uso.
È possibile creare una regola personalizzata con uno stato
Tentativi di avvio dei processi
. Nella condizione, è necessario specificare tutte le applicazioni peer-to-peer da bloccare, ad esempio LimeWire.exe o *.torrent. È possibile impostare l'azione per la circostanza su
Blocca accesso
. .
Utilizzare una politica di prevenzione delle intrusioni per bloccare le il traffico di rete da applicazioni peer-to-peer. Utilizzare una politica del firewall per bloccare le porte che inviano e ricevono il traffico di applicazioni peer-to-peer.
Blocco dei tentativi di scrittura su unità DVD
Il controllo dell'applicazione non ha attualmente una regola predefinita che blocca direttamente la scrittura su CD/DVD. Creare invece una regola che blocca DLL specifiche che scrivono su unità CD o DVD mediante le condizioni
Aggiungi condizione
e
Tentativi di accesso a file e cartelle
.
Creare inoltre una politica di integrità dell'host che imposti la chiave di registro Windows per il blocco dei tentativi di scrittura su unità DVD.