Правило разрешения/запрещения

Параметр файла/приложения позволяет создать правило, которое разрешит/запретит выполнение определенных приложений или файлов.

Для конфигурации файлов/приложений см. раздел Создание правила разрешения/запрета файла/приложения.

Функция управления сетевым доступом приложений (ANAC) имеет возможность управления исходящими сетевыми подключениями по IP-адресам, именам хостов, URL-адресам, путям UNC или портам во время обработки соответствующих правил.

Доступные типы подключений:

• IP-адрес - установите для управления доступом для конкретных IP-адресов.

• Сетевой ресурс - установите для управления доступом к путям UNC. Префикс \\ добавляется в поле хоста.

• Имя хоста - установите для управления доступом к конкретному имени хоста.

Доступные параметры подключений:

• Хост: IP-адрес или имя хоста для сетевого подключения. Зависит от выбранного типа подключения. Допускается использование универсальных символов ? и *. Для указания диапазона можно использовать - (дефис), но только если выбран IP-адрес.

  • IP-адрес должен иметь формат IP4. Например, n.n.n.n

  • Если сетевой ресурс будет выбран в качестве типа подключения, потребуется указать префикс \\.

  • Полный путь к целевому ресурсу можно ввести в поле хоста.

• Порт: Номер порта сетевого подключения. Можно использовать в сочетании с IP-адресом или именем хоста для управления доступом к конкретному порту. В качестве части номера порта можно использовать диапазоны и значения, разделенные запятыми.
  Нажмите "Порты" для отображения списка часто используемых портов. Укажите необходимое количество портов.

• Путь: Путь сетевого подключения. Допускается использование универсальных символов ? и *. Использование:

  • Текст содержит универсальные символы - установите для использования символов ? и * в качестве подстановочных знаков в пути. Если не выбран, ? и * будут рассматриваться как разделители URL-адресов.

  • Использовать регулярные выражения - установите для использования регулярных выражений для выбранного пути.

  • Включить подкаталоги - установите для включения подкаталогов в обработку правил.

  • Используется только в том случае, если выбран тип подключения "Сетевой ресурс".

  Путь относится только к управлению HTTP.

Для конфигурации ANAC см. раздел Создание правила разрешения/запрета сетевого подключения/управления сетевым доступом к приложениям (ANAC).

Перенаправление URL-адресов позволяет администраторам создавать правила для автоматического перенаправления пользователей при попытке доступа к указанному URL-адресу. Определив список запрещенных URL-адресов, вы сможете перенаправить любого пользователя, который попытается получить доступ к указанным URL-адресам, на страницу предупреждения по умолчанию или на особую веб-страницу. Вы также можете разрешить определенные URL-адреса, и с использованием в сочетании с перенаправлением это обеспечит дополнительную гибкость и контроль, а также позволит создать список разрешенных веб-сайтов.

* На странице "Доступ запрещен" по умолчанию отображается блокированный URL-адрес.
* Для перенаправления URL-адресов в браузерах Chrome и Edge все управляемые конечные системы должны быть частью домена.

Для конфигурации перенаправления URL-адресов см. раздел Создание правила разрешения/запрета URL-адреса.

1. На странице Что нужно сделать? выберите Я хочу разрешить/запретить.
2. Нажмите Далее.
   Отобразится страница Правило разрешения/запрещения - Что нужно разрешить/запретить?.
3. Выберите следующий параметр и нажмите Далее.
   • Файл/Приложение: Разрешите/запретите выполнение особых приложений или файлов.
4. В Выберите источник используйте раскрывающийся список для выбора источника элементов. Возможный выбор:
• Блокировано доверенным владельцем (только для правила разрешения): Это действие заполнит раздел Источники элементами, которые приложение App Control зарегистрировало в качестве блокированных, так как они не принадлежат доверенному владельцу.
• Шаблоны приложений: Это действие заполнит раздел Источники списком Шаблоны приложений созданных в App Control.
• Иначе выберите Добавить файл вручную для отображения панели Настройки элемента правил, где можно указать, для какого файла необходимо создать правило разрешения.
5. Выберите нужные элементы. Каждый выбранный элемент будет добавлен в раздел Выбранные элементы.
   Вы можете отредактировать настройки элементов свойств и метаданных, нажав для открытия панели Настройки элемента правил.
6. Нажмите Далее.
   Отобразится страница Правило разрешения/запрещения - Когда назначено?.
7. Продолжите с действий Создание правила разрешения/запрета - Когда это назначается? и сводки
   

1. На странице Что нужно сделать? выберите Я хочу разрешить/запретить.
2. Нажмите Далее.
   
   Отобразится страница Правило разрешения/запрещения - Что нужно разрешить/запретить?.
3. Выберите следующий параметр:
   • Сетевое подключение: Разрешите/запретите определенные сетевые подключения.
4. В элементе Выберите источник используйте раскрывающийся список для выбора Сетевые подключения.
5. В разделе "Сетевое подключение" укажите тип подключения и введите соответствующий хост, порты или путь для настройки данных подключения:
   • IP-адрес: Для разрешения/запрета IP-адреса или диапазона IP-адресов.
     
   • Сетевой ресурс: Для разрешения/запрета сетевого ресурса. Введите путь к сетевому ресурсу в поле хоста.
   • Имя хоста: Для разрешения/запрета хоста. Введите имя хоста.
6. Нажмите Добавить > Далее.
   Отобразится страница Правило разрешения/запрещения - Когда назначено?.
7. Продолжите с действий Создание правила разрешения/запрета - Когда это назначается? и сводки
   

1. На странице Что нужно сделать? выберите Я хочу разрешить/запретить.
2. Нажмите Далее.
   
   Отобразится страница Правило разрешения/запрещения - Что нужно разрешить/запретить?.
3. Выберите следующий параметр:
   • URL-адрес: Разрешите/запретите определенные URL-адреса.
4. В элементе Выберите источник используйте раскрывающийся список для выбора URL-адреса.
5. В поле "URL-адреса" укажите URL-адрес, к которому необходимо разрешить/запретить доступ.
6. (Необязательно): Правило запрета: Выберите нужный параметр для отображения с запретом доступа:

   • Показывать страницу предупреждений по умолчанию для Application Control в случае запрета URL-адреса

   • Показывать особую страницу в случае запрета URL-адреса

     • Введите URL-адрес, который вы хотите отобразить.

7. Нажмите Добавить > Далее.
   Отобразится страница Правило разрешения/запрещения - Когда назначено?.
8. Продолжите с действий Создание правила разрешения/запрета - Когда это назначается? и сводки
   

1. В диалоге Выберите источник используйте раскрывающийся список для выбора источника элементов - все выбранные или добавленные источники будут отображаться в разделе Выбранные элементы. Возможный выбор:
   • Группы AD: Будут перечислены названия отображений и групп AD, и вы можете использовать поиск и фильтр для сужения результатов поиска. Иначе вы можете вручную добавить группу, нажав Добавить вручную.
   • Пользователи AD: Введите домен\имя пользователя и нажмите Добавить.
   • Пользователи App Control: Имя пользователя, для которого ПО App Control зарегистрировало событие. Выберите нужных пользователей.
   • Группы компьютеров: Введите группу компьютеров, например: CN=ComputerGroup. Если нужно включить вложенные группы, выполните поиск вложенных групп. Нажмите Добавить.
   • Орг. подразделения устройства: Введите организационное подразделение, например: OU=Corporation. Если нужно включить вложенные организационные подразделения, выберите Включая вложенные OU. Нажмите Добавить.
   • Устройства: Будут перечислены имена устройств и хостов, обнаруженных платформой Neurons - для уточнения списка можно воспользоваться поиском и фильтром. Иначе можно вручную добавить устройство, нажав Добавить вручную.
   • IP-адреса: Введите IP-адреса и выберите, нужно ли сверять регулярные выражения с IP-адресами. Нажмите Добавить.
     
     Пример:
     • 192.168.0.1: выбор клиентского устройства с IP-адресом 192.168.0.1
     • 192.168.0.*: выбор клиентских устройств с IP-адресами 192.168.0.<any>
     • 192.168.0.15-25 - выбор всех клиентских устройств в диапазоне IP-адресов от 192.168.0.15 до 192.168.0.25
       
       
   • Иначе выберите Все для создания правила для группы "Все" - в нее войдут все пользователи системы на устройстве, на котором успешно развернута конфигурация (за исключением администраторов).
2. После завершения действий с выбранными элементами: Нажмите Далее.
   
   Отобразится страница Сохранение правила и его сводки.
3. Введите Имя правила и укажите описание (необязательно).
4. В поле Категории введите дополнительный тег категории для правила.
   
   Можно добавить существующую категорию или создать новую. Категории, назначенные правилу, отображаются в таблице Правила конфигурации.
   • Для добавления: Нажмите в поле Категории для отображения раскрывающегося списка существующих категорий и выберите нужные.
   • Для создания: Нажмите в поле Категории, введите новый тег категории и нажмите вне поля для создания и сохранения категории.
5. По умолчанию правило имеет статус Активно - если пока не нужно активировать правило, выключите статус правила.
6. Нажмите Сохранить для сохранения правила и возврата к конфигурации, где оно будет отображено в разделе Правила.
   
   Иначе нажмите Сохранить и добавить другое для сохранения правила и возврата на страницу Что нужно сделать? для создания другого правила для конфигурации.
7. После добавления в конфигурацию всех правил нажмите Сохранить для сохранения конфигурации в виде черновика. Или нажмите Сохранить и опубликовать для сохранения версии конфигурации.
   После публикации конфигурация станет доступна для назначения в политику.