Domande frequenti

I dati dei grafici vengono popolati dagli eventi generati da App Control. Questi dati vengono elaborati di notte, quindi i dati degli eventi vengono visualizzati il giorno successivo. Per ulteriori dettagli, vedere Panoramica App Control.

Per ottimizzare le prestazioni, i dati vengono elaborati solo al di fuori del normale orario di lavoro per il fuso orario degli ambienti. Attualmente non c'è modo di forzare l'elaborazione ad hoc dei dati degli eventi.

Per ottimizzare l'efficienza e le prestazioni, App Control conserva i dati dettagliati per 30 giorni. Tuttavia, le aggregazioni utilizzate nei grafici di performance dei prodotti vengono conservate per un periodo più lungo, consentendo di osservare le tendenze degli ultimi 6 mesi. Per maggiori dettagli, consultare i grafici delle prestazioni del prodotto.

Ciò avviene tramite i Criteri agente. Una volta pubblicata, la configurazione di App Control sarà disponibile per la selezione in un Criterio agente. I Criteri agente si trovano nel menu principale Agenti > Criteri agente. Creare o selezionare per modificare un criterio, nella sezione Funzionalità abilitare la Funzionalità App Control e selezionare la configurazione da assegnare al criterio per la distribuzione. Per ulteriori dettagli, vedere Distribuire una configurazione.

Attualmente non è possibile importare una configurazione esistente di UWM Application Control in App Control for Neurons.

Molto probabilmente il problema è dovuto al fatto che il file non è di proprietà di un proprietario attendibile. Per ulteriori dettagli sulla proprietà attendibile, consultare l'introduzione di App Control.

Se la configurazione ha il livello di sicurezza impostato sulla modalità Audit, verranno generati eventi che indicano ciò che App Control avrebbe fatto, ma non viene intrapresa alcuna azione. A tale scopo, il livello di sicurezza della configurazione deve essere impostato sulla modalità Limitata. Per ulteriori dettagli sui livelli di sicurezza, vedere Configurazioni App Control.

Se gli utenti sono Amministratori, non viene bloccato nulla. Questo perché gli Amministratori sono esenti da App Control.

Ciò è dovuto al modo in cui App Control blocca i file di script. Per gli host di script supportati, se l'eseguibile principale è bloccato, lo script stesso passerà attraverso le regole. Il blocco degli host di script supportati è controllato tramite le relative opzioni in Impostazioni di configurazione > Impostazioni avanzate > Convalida. Vedere Impostazioni configurazione per ulteriori dettagli sulla Convalida.

Se le opzioni di convalida pertinenti sono abilitate, i file di script (PS1, VB script, MSI ecc.) saranno elaborati dalle regole come qualsiasi altro eseguibile.
Ad esempio, per consentire l'esecuzione di un particolare file PS1, create una regola di autorizzazione con il nome del file c:\pathtoPS1\Script_I_Want_To_Run.ps1.
Questo script deve trovarsi in una posizione in cui l'utente non ha accesso in scrittura, altrimenti potrebbe modificare il file. In alternativa, assicurarsi che lo script sia di proprietà di un proprietario attendibile e deselezionare l'opzione Consenti l'esecuzione del file anche se non è di proprietà di un proprietario attendibile. In questo caso, se l'utente modifica il file, diventa il nuovo proprietario e il file viene bloccato per impostazione predefinita. Per ulteriori dettagli, vedere Impostazioni degli elementi della regola.

Assicurarsi che l'opzione Consenti CMD per i file batch sia attivata in Impostazioni di configurazione > Impostazioni avanzate > Convalida. Vedere Impostazioni configurazione per ulteriori dettagli sulla Convalida.

Assicurarsi che esista una regola di negazione per cmd.exe.

I file BAT verranno ora elaborati dal motore delle regole come qualsiasi altro file e saranno soggetti alla verifica della proprietà attendibile.

Un modo per farlo è attivare la registrazione degli eventi sull'endpoint. Gli eventi sollevati conterranno il nome della regola che spiega perché qualcosa è stato bloccato. Questa opzione si trova in Impostazioni di configurazione > Impostazioni di audit. Gli eventi bloccati hanno ID 9060 e 9061. Gli eventi elevati hanno un ID di 9018. Per ulteriori dettagli, vedere Impostazioni audit.