Добавление пользовательских правил к управлению приложениями

Если наборы правил по умолчанию не отвечают вашим требованиям, можно создать новые наборы и правила. Также можно изменить предопределенные наборы правил, установленные вместе с политикой.
  • Набор правил представляет собой контейнер с правилами, который разрешает или блокирует действие.
  • Правила в наборах правил определяют один или несколько процессов или приложений. Также можно исключать процессы из мониторинга.
  • Каждое правило содержит условия и действия, применимые к определенному процессу или процессам. Для каждого условия можно задать действие, выполняемое в случае соблюдения этого условия. Можно задать набор приложений, к которым применяется правило, либо исключить отдельные приложения из области действия правила.
Выполните указанные ниже действия, чтобы добавить собственные правила приложения:
Шаг 1. Добавьте правила и пользовательские наборы правил
Рекомендуется создавать набор правил, содержащий все действия для разрешения, блокирования и отслеживания той или иной задачи. С другой стороны, следует создать несколько наборов правил при наличии некоторого количества задач. Например, необходимо заблокировать попытки записи на все съемные носители, а также приложения, пытающиеся внести изменения в определенное приложение. В этом случае необходимо создать два набора правил. Количество наборов правил и самих правил не ограничено.
Например, BitTorrent — это незащищенный протокол одноранговой связи, предназначенный для совместного использования файлов. BitTorrent используется для распространения фильмов, игр, аудиозаписей и прочих файлов. BitTorrent является одним из самых простых способов распространения угроз. Вредоносные программы скрываются внутри общих файлов в одноранговых сетях. С помощью средств управления приложениями можно запретить доступ к протоколу BitTorrent. Также можно настроить одноранговую аутентификацию и функцию предотвращения вторжений. Блокировка удаленного компьютера путем настройки одноранговой аутентификации
Во избежание непредвиденных последствий учитывайте порядок правил и соответствующих условий при настройке правил. Как правило, эта задача выполняется только администраторами с расширенными правами.
Как добавить правила и пользовательские наборы правил
  1. Откройте политику управления приложениями.
  2. На панели
    Управление приложениями
    перейдите к списку наборов правил по умолчанию и нажмите кнопку
    Добавить
    .
    Чтобы изменить предопределенный набор правил, выберите его и нажмите
    Изменить
    . Например, для мониторинга приложений, запрашивающих доступ к протоколу BitTorrent, выберите
    Блокировать запуск программ со съемных носителей [AC2]
    .
  3. В диалоговом окне
    Добавить набор правил управления приложениями
    введите имя и описание набора правил.
  4. В разделе Правила выберите
    Правило 1
    и на вкладке
    Свойства
    введите информативное имя и описание правила.
    Для добавления дополнительного правила нажмите
    Добавить
    >
    Добавить правило
    .
Шаг 2. Укажите приложение или процесс для правила
С каждом правилом должно быть связано по крайней мере одно приложение или процесс на клиентском компьютере. Отдельные приложения можно исключить из правила.
Как указать приложение или процесс для правила
  1. Когда правило выбрано, на вкладке
    Свойства
    рядом с пунктом
    Применить правило к следующим процессам
    нажмите
    Добавить
    .
  2. В диалоговом окне
    Добавить описание процесса
    введите имя приложения или процесса, например
    bittorrent.exe
    .
    Чтобы примерить правило ко всем приложениям из определенного набора приложений, введите подстановочный символ (*). Рядом с полем
    Не применять правило к следующим процессам
    укажите приложения-исключения.
  3. Нажмите кнопку
    ОК
    .
    Флажок
    Включить правило
    по умолчанию установлен. Если этот флажок снят, правило не применяется.
Шаг 3. Добавьте условия и действия в правило
Условия контролируют попытки запуска приложения или процесса на клиентском компьютере. Каждый тип условия обладает собственным набором свойств.
Каждому условию соответствует собственный набор определенных действий, которые должны быть предприняты в случае выполнения условия. Действия всегда относятся к процессу, заданному в правиле, а не условии, за исключением действия "Прервать процесс".
Предупреждение.
Действие
Прервать процесс
завершает процесс инициатора или приложение, отправившее запрос. Процесс инициатора — это процесс, заданный в правиле, а не в условии. Остальные действия выполняются для целевого процесса, заданного в условии.
Условие
Описание
Попытки обращения к реестру
Разрешает или блокирует доступ к параметрам реестра на клиентском компьютере.
Попытки обращения к файлам и папкам
Разрешает или блокирует доступ к отдельным файлам и папкам на клиентском компьютере.
Попытки запуска процессов
Разрешает или блокирует запуск процесса на клиентском компьютере.
Попытки завершения процессов
Разрешает или блокирует завершение процесса на клиентском компьютере Например, можно запретить завершать работу отдельного приложения.
Предупреждение!
Условие
Попытка завершения процесса
относится к целевому процессу. Если вы используете условие
Попытка завершения процесса
в Symantec Endpoint Protection или другом важном процессе, а затем используете действие "Прервать процесс", чтобы заврешить процесс, который пытается завершить работу Symantec Endpoint Protection.
Попытки загрузки DLL
Разрешает или блокирует загрузку DLL на клиентский компьютер.
  1. В разделе
    Правила
    выберите добавленное правило, нажмите
    Добавить
    >
    Добавить условие
    , затем выберите условие.
    Например, нажмите
    Попытки запуска процессов
    , чтобы добавить условие для попыток обращения клиентского компьютера к протоколу BitTorrent.
  2. На вкладке
    Свойств
    а выберите процесс, который должен или не должен запускаться:
    • Чтобы разрешить запуск процесса:
      Рядом с пунктом
      Применить к следующим
      объектам
      нажмите кнопку
      Добавить
      .
    • Как исключить процесс из процедуры запуска:
      Рядом с
      Исключить следующие процессы
      нажмите
      Добавить
      .
  3. В диалоговом окне
    Добавить
    определение
    объекта
    введите имя процесса, файла DLL или раздела реестра.
    Например, для добавления BitTorrent введите путь и имя файла, например:
    C:\Users\UserName\AppData\Roaming\BitTorrent
    В случае если условие необходимо применить ко всем объектам в определенной папке, рекомендуется использовать формат
    имя_папки
    \* или
    имя_папки
    \*\*. Одна звездочка означает, что условие применяется ко всем файлам и папкам в указанной папке. Формат
    имя_папки
    \*\* означает, что добавляется также содержимое всех подпапок.
  4. Нажмите кнопку
    ОК
    .
  5. На вкладке
    Действия
    для условия выберите требуемое действие.
    Например, чтобы заблокировать Textpad при попытках запуска Firefox, нажмите
    Запретить доступ
    .
  6. Установите флажки
    Включить запись в журнал
    и
    Уведомить пользователя
    , затем добавьте сообщение, которое должно отображаться на клиентском компьютере.
    Например, введите
    Textpad пытается запустить Firefox
    .
  7. Нажмите кнопку
    ОК
    .
    Появится новый набор правил, настроенный для тестового режима. Перед использованием новых наборов правил в клиентских компьютерах необходимо протестировать их.