Рекомендации по добавлению правил управления приложениями

Пользовательские правила управления приложениями должны быть тщательно запланированы. При добавлении правил управления приложениями придерживайтесь следующих рекомендуемых подходов.
Рекомендуемые подходы для правил управления приложениями
Рекомендуемый подход
Описание
Пример
Учитывайте порядок правил
Правила управления приложениями, как и большинство правил брандмауэра на уровне сети, используют функцию первого совпадения. Если удовлетворяется несколько условий, то применяется только первое правило, если для правила не настроено действие
Продолжать обработку остальных правил
.
Допустим, требуется запретить всем пользователям перемещать, копировать и создавать файлы на накопителях USB.
Существует правило с условием, предоставляющим права доступа на запись для файла Test.doc. Затем в существующий набор правил было добавлено второе условие для блокировки всех накопителей USB. В данном случае пользователи по-прежнему могут создавать и изменять файл Test.doc на накопителях USB. В наборе правил условие
Разрешить доступ
на запись в Test.doc находится перед условием
Блокировать доступ
на запись на накопители USB в наборе правил. Условие
Блокировать доступ
на запись на накопители USB не обрабатывается, если выполняется предшествующее условие в списке.
Правильно выбирайте действие
Условие
Попытки завершения процессов
служит для разрешения или блокировки возможности приложения завершить вызывающий процесс на клиентском компьютере.
Это условие не может разрешать или запрещать пользователям останавливать работу приложения обычными методами, например при помощи пункта "Выход" в меню "Файл".
Средство Process Explorer служит для отображения открытых или загруженных процессов DLL, а также ресурсов, которые ими используются.
Может потребовать завершить Process Explorer при его попытке блокировать определенное приложение.
Для создания правила такого типа воспользуйтесь условием
Попытки завершения процесса
и действием
Завершить процесс
. Условие применяется для приложения Process Explorer. Следует применить правило к приложениям, которые не требуется завершать с помощью Process Explorer.
Используйте один набор правил для одной задачи
Создайте один набор правил, содержащий все действия для разрешения, блокирования или отслеживания конкретной задачи.
Допустим, необходимо заблокировать попытки записи на все съемные носители, а также приложения, пытающиеся внести изменения в определенное приложение.
Для этого лучше создать не один, а два набора правил.
Используйте действие
Завершить процесс
только при необходимости
Действие
Завершить процесс
останавливает вызывающий процесс, если он удовлетворяет заданному условию.
Действием
Завершить процесс
следует пользоваться только опытным администраторам. Обычно вместо этого следует использовать действие
Заблокировать доступ
.
Например, необходимо завершать Winword.exe каждый раз, когда Winword.exe запускается каким-либо процессом.
Создайте правило и настройте его для условия
Попытки запуска процесса
и действия
Завершить процесс
. Затем условие применяется к Winword.exe, а правило — ко всем процессам.
Это правило должно было бы завершать процесс Winword.exe, однако на самом деле этого не происходит. При попытке запуска Winword.exe из Проводника Windows правило завершает процесс Explorer.exe, а не Winword.exe. Пользователи по-прежнему могут запускать Winword.exe, но только напрямую. В этом случае лучше использовать действие
Запретить доступ
, которое блокирует целевой процесс (Winword.exe).
Проверяйте правила перед использованием
Параметр
Тест (только в журнал)
для наборов правил не применяется к действиям на клиентском компьютере, а регистрирует их в журнале. Перед тем как переключить правила обратно в рабочий режим, выполните их несколько раз в тестовом режиме. В течение этого периода времени просматривайте журналы управления приложениями и проверяйте, что правила работают должным образом.
Параметр "Тест" позволяет сократить количество ошибок, которые могут возникнуть, если учтены не все возможные сценарии правила.