Правило разрешения/запрещения

Правило разрешения позволяет пользователям, группам или устройствам получать доступ к определенным элементам, таким как файлы, папки или приложения, сетевые подключения и перенаправление URL-адресов без назначения полных административных привилегий.

Правило запрета - это правило, запрещающее пользователям, группам или устройствам доступ к определенным элементам, таким как файлы, папки или приложения, сетевые подключения и перенаправление URL-адресов.

Действия создания правила:

  1. Какое правило нужно создать?
  2. Что нужно разрешить/запретить? Вы можете разрешить/запретить следующее:
  3. Когда выполняется назначение правила?
  4. Сводная информация и сохранение

Параметры 'Что'

Параметр файла/приложения позволяет создать правило, которое разрешит/запретит выполнение определенных приложений или файлов.

Для конфигурации файлов/приложений см. раздел Создание правила разрешения/запрета файла/приложения.

Select to use the SHA256 hash of a file to identify what files to allow, deny, or elevate.

Для добавления элементов правила подписи см. раздел Элемент подписи.

Функция управления сетевым доступом приложений (ANAC) имеет возможность управления исходящими сетевыми подключениями по IP-адресам, именам хостов, URL-адресам, путям UNC или портам во время обработки соответствующих правил.

Доступные типы подключений:

  • IP-адрес - установите для управления доступом для конкретных IP-адресов.

  • Сетевой ресурс - установите для управления доступом к путям UNC. Префикс \\ добавляется в поле хоста.

  • Имя хоста - установите для управления доступом к конкретному имени хоста.

Доступные параметры подключений:

  • Хост: IP-адрес или имя хоста для сетевого подключения. Зависит от выбранного типа подключения. Допускается использование универсальных символов ? и *. Для указания диапазона можно использовать - (дефис), но только если выбран IP-адрес.

    • IP-адрес должен иметь формат IP4. Например, n.n.n.n

    • Если сетевой ресурс будет выбран в качестве типа подключения, потребуется указать префикс \\.

    • Полный путь к целевому ресурсу можно ввести в поле хоста.

  • Порт: Номер порта сетевого подключения. Можно использовать в сочетании с IP-адресом или именем хоста для управления доступом к конкретному порту. В качестве части номера порта можно использовать диапазоны и значения, разделенные запятыми.
    Нажмите "Порты" для отображения списка часто используемых портов. Укажите необходимое количество портов.

  • Путь: Путь сетевого подключения. Допускается использование универсальных символов ? и *. Использование:

    • Текст содержит универсальные символы - установите для использования символов ? и * в качестве подстановочных знаков в пути. Если не выбран, ? и * будут рассматриваться как разделители URL-адресов.

    • Использовать регулярные выражения - установите для использования регулярных выражений для выбранного пути.

    • Включить подкаталоги - установите для включения подкаталогов в обработку правил.

    • Используется только в том случае, если выбран тип подключения "Сетевой ресурс".

    Путь относится только к управлению HTTP.

Для конфигурации ANAC см. раздел Создание правила разрешения/запрета сетевого подключения/управления сетевым доступом к приложениям (ANAC).

Перенаправление URL-адресов позволяет администраторам создавать правила для автоматического перенаправления пользователей при попытке доступа к указанному URL-адресу. Определив список запрещенных URL-адресов, вы сможете перенаправить любого пользователя, который попытается получить доступ к указанным URL-адресам, на страницу предупреждения по умолчанию или на особую веб-страницу. Вы также можете разрешить определенные URL-адреса, и с использованием в сочетании с перенаправлением это обеспечит дополнительную гибкость и контроль, а также позволит создать список разрешенных веб-сайтов.

* На странице "Доступ запрещен" по умолчанию отображается блокированный URL-адрес.
* Для перенаправления URL-адресов в браузерах Chrome и Edge все управляемые конечные системы должны быть частью домена.

Для конфигурации перенаправления URL-адресов см. раздел Создание правила разрешения/запрета URL-адреса.

Создание правила разрешения/запрета - Что нужно разрешить?

  1. На странице Что нужно сделать? выберите Я хочу разрешить/запретить.
  2. Нажмите Далее.
    Отобразится страница Правило разрешения/запрещения - Что нужно разрешить/запретить?.
  3. Выберите следующий параметр и нажмите Далее.
    • Файл/Приложение: Разрешите/запретите выполнение особых приложений или файлов.
  4. В Выберите источник используйте раскрывающийся список для выбора источника элементов. Возможный выбор:
    • Блокировано доверенным владельцем (только для правила разрешения): Это действие заполнит раздел Источники элементами, которые приложение App Control зарегистрировало в качестве блокированных, так как они не принадлежат доверенному владельцу.
    • Шаблоны приложений: Это действие заполнит раздел Источники списком Шаблоны приложений созданных в App Control.
    • Иначе выберите Добавить файл вручную для отображения панели Настройки элемента правил, где можно указать, для какого файла необходимо создать правило разрешения.
  5. Выберите нужные элементы. Каждый выбранный элемент будет добавлен в раздел Выбранные элементы.
    Вы можете отредактировать настройки элементов свойств и метаданных, нажав значок многоточия для открытия панели Настройки элемента правил.
  6. Нажмите Далее.
    Отобразится страница Правило разрешения/запрещения - Когда назначено?.
  7. Продолжите с действий Создание правила разрешения/запрета - Когда это назначается? и сводки
  1. На странице Что нужно сделать? выберите Я хочу разрешить/запретить.
  2. Нажмите Далее.

    Отобразится страница Правило разрешения/запрещения - Что нужно разрешить/запретить?.
  3. Выберите следующий параметр:
    • Сетевое подключение: Разрешите/запретите определенные сетевые подключения.
  4. В элементе Выберите источник используйте раскрывающийся список для выбора Сетевые подключения.
  5. В разделе "Сетевое подключение" укажите тип подключения и введите соответствующий хост, порты или путь для настройки данных подключения:
    • IP-адрес: Для разрешения/запрета IP-адреса или диапазона IP-адресов.
    • Сетевой ресурс: Для разрешения/запрета сетевого ресурса. Введите путь к сетевому ресурсу в поле хоста.
    • Имя хоста: Для разрешения/запрета хоста. Введите имя хоста.
  6. Нажмите Добавить > Далее.
    Отобразится страница Правило разрешения/запрещения - Когда назначено?.
  7. Продолжите с действий Создание правила разрешения/запрета - Когда это назначается? и сводки
  1. На странице Что нужно сделать? выберите Я хочу разрешить/запретить.
  2. Нажмите Далее.

    Отобразится страница Правило разрешения/запрещения - Что нужно разрешить/запретить?.
  3. Выберите следующий параметр:
    • URL-адрес: Разрешите/запретите определенные URL-адреса.
  4. В элементе Выберите источник используйте раскрывающийся список для выбора URL-адреса.
  5. В поле "URL-адреса" укажите URL-адрес, к которому необходимо разрешить/запретить доступ.
  6. (Необязательно): Правило запрета: Выберите нужный параметр для отображения с запретом доступа:

    • Показывать страницу предупреждений по умолчанию для Application Control в случае запрета URL-адреса

    • Показывать особую страницу в случае запрета URL-адреса

      • Введите URL-адрес, который вы хотите отобразить.

  7. Нажмите Добавить > Далее.
    Отобразится страница Правило разрешения/запрещения - Когда назначено?.
  8. Продолжите с действий Создание правила разрешения/запрета - Когда это назначается? и сводки

Создание правила разрешения/запрета - Когда это назначается? и сводки

  1. В диалоге Выберите источник используйте раскрывающийся список для выбора источника элементов - все выбранные или добавленные источники будут отображаться в разделе Выбранные элементы. Возможный выбор:
    • Группы AD: Будут перечислены названия отображений и групп AD, и вы можете использовать поиск и фильтр для сужения результатов поиска. Иначе вы можете вручную добавить группу, нажав Добавить вручную.
    • Пользователи AD: Введите домен\имя пользователя и нажмите Добавить.
    • Пользователи App Control: Имя пользователя, для которого ПО App Control зарегистрировало событие. Выберите нужных пользователей.
    • Группы компьютеров: Введите группу компьютеров, например: CN=ComputerGroup. Если нужно включить вложенные группы, выполните поиск вложенных групп. Нажмите Добавить.
    • Орг. подразделения устройства: Введите организационное подразделение, например: OU=Corporation. Если нужно включить вложенные организационные подразделения, выберите Включая вложенные OU. Нажмите Добавить.
    • Устройства: Будут перечислены имена устройств и хостов, обнаруженных платформой Neurons - для уточнения списка можно воспользоваться поиском и фильтром. Иначе можно вручную добавить устройство, нажав Добавить вручную.
    • Группы Entra ID: отображает коллекцию пользователей, устройств или групп, синхронизированных с Microsoft Entra ID. Для настройки и синхронизации групп Entra ID см. раздел Настройка Entra ID.
    • Пользователи Entra ID: отображает список пользователей, которые синхронизированы из Microsoft Entra ID. Для синхронизации и настройки пользователей Entra ID см. раздел Настройка Entra ID.
    • IP-адреса: Введите IP-адреса и выберите, нужно ли сверять регулярные выражения с IP-адресами. Нажмите Добавить.

      Пример:
      • 192.168.0.1: выбор клиентского устройства с IP-адресом 192.168.0.1
      • 192.168.0.*: выбор клиентских устройств с IP-адресами 192.168.0.<any>
      • 192.168.0.15-25 - выбор всех клиентских устройств в диапазоне IP-адресов от 192.168.0.15 до 192.168.0.25

    • Сценарий: правила сценариев позволяют создавать особые правила с помощью PowerShell или VBScript для динамического разрешения, отклонения или повышения эффективности функции управления приложений. Дополнительная информация о добавлении правил сценариев приведена в разделе Правило сценариев.
    • Иначе выберите Все для создания правила для группы "Все" - в нее войдут все пользователи системы на устройстве, на котором успешно развернута конфигурация (за исключением администраторов).
  2. После завершения действий с выбранными элементами: Нажмите Далее.

    Отобразится страница Сохранение правила и его сводки.
  3. Введите Имя правила и укажите описание (необязательно).
  4. В поле Категории введите дополнительный тег категории для правила.

    Можно добавить существующую категорию или создать новую. Категории, назначенные правилу, отображаются в таблице Правила конфигурации.
    • Для добавления: Нажмите в поле Категории для отображения раскрывающегося списка существующих категорий и выберите нужные.
    • Для создания: Нажмите в поле Категории, введите новый тег категории и нажмите вне поля для создания и сохранения категории.
  5. По умолчанию правило имеет статус Активно - если пока не нужно активировать правило, выключите статус правила.
  6. Нажмите Сохранить для сохранения правила и возврата к конфигурации, где оно будет отображено в разделе Правила.

    Иначе нажмите Сохранить и добавить другое для сохранения правила и возврата на страницу Что нужно сделать? для создания другого правила для конфигурации.
  7. После добавления в конфигурацию всех правил нажмите Сохранить для сохранения конфигурации в виде черновика. Или нажмите Сохранить и опубликовать для сохранения версии конфигурации.
    После публикации конфигурация станет доступна для назначения в политику.