Verifica delle regole di controllo applicazioni

Dopo aver creato regole personalizzate di controllo applicazioni, è necessario provarle nella rete. Gli errori di configurazione negli insiemi di regole utilizzati in una Politica di controllo delle applicazioni possono disattivare un computer o un server. Il computer client può cessare di funzionare o la comunicazione con
Symantec Endpoint Protection Manager
essere bloccata. Dopo aver testato le regole, applicarle alla rete di produzione.
Passaggio 1: impostare il set di regole sulla modalità di prova
Per verificare i set di regole, impostare la modalità di prova. La modalità di prova crea una voce di registro per indicare i casi in cui le regole del set di regole si applicano senza realmente applicare la regola.
Per impostazione predefinita, le regole utilizzano la modalità di produzione. Per impostazione predefinita. le regole personalizzate utilizzano la modalità di prova. Verificare i set predefiniti di regole e personalizzati.
È possibile verificare le regole del set una alla volta. È possibile verificare regole singole attivandole o disattivandole nel set di regole.
  1. Modifica di un set di regole in modalità test
  2. Nella console, aprire una politica di controllo delle applicazioni e delle periferiche.
  3. In
    Politica controllo applicazioni
    , fare clic su
    Controllo applicazione
    .
  4. Nell’elenco
    Set di regole di controllo applicazioni
    , fare clic sulla freccia giù nella colonna
    Prova/Produzione
    per il set di regole e fare clic su
    Prova (solo registro)
    .
Passaggio 2: applicare la politica di controllo delle applicazioni e delle periferiche ai computer nella rete di prova
Se si crea una nuova politica di controllo delle applicazioni e delle periferiche, è necessario applicare la politica ai client nella rete di prova.
Passaggio 3: monitorare il registro Controllo applicazioni
Dopo avere eseguito i set di regole in modalità di prova per un periodo di tempo, è possibile verificare la presenza di eventuali errori nei registri. Sia nella modalità di prova che in quella di produzione, gli eventi del controllo delle applicazioni sono nel registro del controllo delle applicazioni in
Symantec Endpoint Protection Manager
. Nel computer client, gli eventi di Controllo applicazioni e di Controllo periferiche vengono visualizzati nel Registro controllo.
è possibile che siano presenti voci di registro duplicate o multiple per una singola azione di controllo applicazioni. Ad esempio, se explorer.exe tenta di copiare un file, imposta i bit di cancellazione e di scrittura della maschera di accesso del file.
Symantec Endpoint Protection
registra l'evento. Se l'azione di copia non riesce perché una regola del controllo applicazioni blocca l'azione, explorer.exe tenta di copiare il file utilizzando solo i bit di cancellazione nella maschera di accesso.
Symantec Endpoint Protection
registra un altro evento per il tentativo di copia.
Passaggio 4: impostare il set di regole sulla modalità di produzione
Quando le regole funzionano nel modo previsto, impostare di nuovo la modalità di produzione per il set di regole.