Sprawdzone metody dodawania reguł kontroli aplikacji

Niestandardowe reguły kontroli aplikacji należy pieczołowicie zaplanować. Podczas dodawania reguł kontroli aplikacji należy pamiętać o następujących sprawdzonych metodach.
Sprawdzone metody dotyczące reguł kontroli aplikacji
Sprawdzona metoda
Opis
Przykład
Sprawdzenie kolejności reguł
Reguły kontroli aplikacji działają podobnie jak większość sieciowych reguł zapory, ponieważ używają funkcji dopasowania pierwszej reguły. Gdy spełnione są warunki wielu reguł, stosowana jest tylko pierwsza z tych reguł, chyba że skonfigurowane dla niej działanie to działanie
Kontynuuj przetwarzanie pozostałych reguł
.
Administrator chce uniemożliwić wszystkim użytkownikom przenoszenie, kopiowanie i tworzenie plików na dyskach USB.
Administrator ma istniejącą regułę z warunkiem zezwalającym na dostęp do zapisu do pliku o nazwie Test.doc. Administrator dodaje drugi warunek do istniejącej reguły, powodujący blokowanie wszelkich dysków USB. W tym scenariuszu użytkownicy nadal mogą tworzyć i modyfikować plik Test.doc na dyskach USB. Warunek
Zezwalaj na dostęp
do pliku Test.doc jest przetwarzany przed warunkiem
Blokuj dostęp
do dysków USB w tym zestawie reguł. Warunek
Blokuj dostęp
do dysków USB nie zostanie przetworzony, jeśli spełniony zostanie warunek poprzedzający go na liście.
Użyć odpowiedniego działania
Warunek
Próby zakończenia procesów
daje lub blokuje aplikacji możliwość zakończenia wywołania procesu na komputerze klienckim.
Warunek nie umożliwia ani nie uniemożliwia użytkownikom zatrzymywania aplikacji zwykłymi metodami, takimi jak kliknięcie polecenie Zakończ w menu Plik.
Narzędzie Process Explorer wyświetla procesy otwarte lub załadowane z bibliotek DLL oraz zasoby używane przez procesy.
Można kończyć narzędzie Process Explorer, gdy próbuje zakończyć określoną aplikację.
W celu utworzenia tego typu reguły należy użyć warunku
Próby zakończenia procesów
i działania
Zakończ proces
. Warunek należy zastosować do aplikacji Process Explorer. Regułę należy zastosować do aplikacji, których narzędzie Process Explorer ma nie kończyć.
Użycie jednego zestawu reguł dla każdego celu
Utworzyć jeden zestaw reguł uwzględniający wszystkie działania zezwalające, blokujące i monitorujące dane zadanie.
Administrator chce blokować próby zapisu na wszystkich dyskach wymiennych oraz uniemożliwiać aplikacjom naruszanie integralności określonej aplikacji.
Aby osiągnąć te cele, należy utworzyć dwa różne zestawy reguł zamiast jednego zestawu reguł.
Działania
Zakończ proces
należy używać z umiarem
Działanie
Zakończ proces
wymusza zakończenie wywołania procesu, gdy proces spełnia skonfigurowany warunek.
Tylko zaawansowani administratorzy powinni stosować warunek
Zakończ proces
. Zazwyczaj należy użyć działania
Blokuj dostęp
.
Administrator chce zakończyć każdy proces Winword.exe uruchomiony przez dowolny proces.
Tworzy regułę i konfiguruje dla niej warunek
Próby uruchomienia procesu
oraz działanie
Zakończ proces
. Warunek zostaje zastosowany do programu Winword.exe, a reguła do wszystkich procesów.
Wydawałoby się, że reguła spowoduje zakończenie procesu Winword.exe, ale ta reguła działa inaczej. Jeśli użytkownik spróbuje uruchomić program Winword.exe z Eksploratora Windows, reguła o tej konfiguracji zakończy proces Explorer.exe, a nie Winword.exe. Użytkownicy nadal mogą korzystać z pliku Winword.exe, jeśli uruchomią go bezpośrednio. Zamiast skorzystaj z działania
Zablokuj dostęp
, które blokuje proces docelowy lub Winword.exe.
Przetestuj zasady przed zastosowaniem ich w produkcji
Opcja
Test (tylko rejestruj)
dla zestawów reguł jedynie rejestruje działania i nie ma zastosowania do działań na komputerze klienckim. Uruchom reguły w trybie testowym przez pewien dozwolony czas przed przełączeniem ich do trybu produkcyjnego. Przez ten czas należy oceniać dzienniki Kontroli aplikacji i sprawdzać, czy reguły działają zgodnie z oczekiwaniami.
Opcja testuj zmniejsza szansę wystąpienia wypadków, które mogłyby powstać w wyniku nieuwzględnienia wszystkich możliwości reguły.