Правило разрешения/запрещения
Правило разрешения позволяет пользователям, группам или устройствам получать доступ к определенным элементам, таким как файлы, папки или приложения, сетевые подключения и перенаправление URL-адресов без назначения полных административных привилегий.
Правило запрета - это правило, запрещающее пользователям, группам или устройствам доступ к определенным элементам, таким как файлы, папки или приложения, сетевые подключения и перенаправление URL-адресов.
Действия создания правила:
- Какое правило нужно создать?
- Что нужно разрешить/запретить? Вы можете разрешить/запретить следующее:
- Файл/Приложение: Реализация выполнения файла/приложения
- Сетевое подключение Реализация управления сетевым доступом приложений (ANAC) - Сетевое подключение
- URL-адрес: Реализация перенаправления URL-адресов
- Когда выполняется назначение правила?
- Сводная информация и сохранение
Параметры 'Что'

Параметр файла/приложения позволяет создать правило, которое разрешит/запретит выполнение определенных приложений или файлов.
Для конфигурации файлов/приложений см. раздел Создание правила разрешения/запрета файла/приложения.

Функция управления сетевым доступом приложений (ANAC) имеет возможность управления исходящими сетевыми подключениями по IP-адресам, именам хостов, URL-адресам, путям UNC или портам во время обработки соответствующих правил.
Доступные типы подключений:
-
IP-адрес - установите для управления доступом для конкретных IP-адресов.
-
Сетевой ресурс - установите для управления доступом к путям UNC. Префикс \\ добавляется в поле хоста.
-
Имя хоста - установите для управления доступом к конкретному имени хоста.
Доступные параметры подключений:
-
Хост: IP-адрес или имя хоста для сетевого подключения. Зависит от выбранного типа подключения. Допускается использование универсальных символов ? и *. Для указания диапазона можно использовать - (дефис), но только если выбран IP-адрес.
-
IP-адрес должен иметь формат IP4. Например, n.n.n.n
-
Если сетевой ресурс будет выбран в качестве типа подключения, потребуется указать префикс \\.
-
Полный путь к целевому ресурсу можно ввести в поле хоста.
-
-
Порт: Номер порта сетевого подключения. Можно использовать в сочетании с IP-адресом или именем хоста для управления доступом к конкретному порту. В качестве части номера порта можно использовать диапазоны и значения, разделенные запятыми.
Нажмите "Порты" для отображения списка часто используемых портов. Укажите необходимое количество портов. -
Путь: Путь сетевого подключения. Допускается использование универсальных символов ? и *. Использование:
-
Текст содержит универсальные символы - установите для использования символов ? и * в качестве подстановочных знаков в пути. Если не выбран, ? и * будут рассматриваться как разделители URL-адресов.
-
Использовать регулярные выражения - установите для использования регулярных выражений для выбранного пути.
-
Включить подкаталоги - установите для включения подкаталогов в обработку правил.
-
Используется только в том случае, если выбран тип подключения "Сетевой ресурс".
Путь относится только к управлению HTTP.
-
Для конфигурации ANAC см. раздел Создание правила разрешения/запрета сетевого подключения/управления сетевым доступом к приложениям (ANAC).

Перенаправление URL-адресов позволяет администраторам создавать правила для автоматического перенаправления пользователей при попытке доступа к указанному URL-адресу. Определив список запрещенных URL-адресов, вы сможете перенаправить любого пользователя, который попытается получить доступ к указанным URL-адресам, на страницу предупреждения по умолчанию или на особую веб-страницу. Вы также можете разрешить определенные URL-адреса, и с использованием в сочетании с перенаправлением это обеспечит дополнительную гибкость и контроль, а также позволит создать список разрешенных веб-сайтов.
* На странице "Доступ запрещен" по умолчанию отображается блокированный URL-адрес.
* Для перенаправления URL-адресов в браузерах Chrome и Edge все управляемые конечные системы должны быть частью домена.
Для конфигурации перенаправления URL-адресов см. раздел Создание правила разрешения/запрета URL-адреса.
Создание правила разрешения/запрета - Что нужно разрешить?

- На странице Что нужно сделать? выберите Я хочу разрешить/запретить.
- Нажмите Далее.
Отобразится страница Правило разрешения/запрещения - Что нужно разрешить/запретить?. - Выберите следующий параметр и нажмите Далее.
- Файл/Приложение: Разрешите/запретите выполнение особых приложений или файлов.
- В Выберите источник используйте раскрывающийся список для выбора источника элементов. Возможный выбор:
- Блокировано доверенным владельцем (только для правила разрешения): Это действие заполнит раздел Источники элементами, которые приложение App Control зарегистрировало в качестве блокированных, так как они не принадлежат доверенному владельцу.
- Шаблоны приложений: Это действие заполнит раздел Источники списком Шаблоны приложений созданных в App Control.
- Иначе выберите Добавить файл вручную для отображения панели Настройки элемента правил, где можно указать, для какого файла необходимо создать правило разрешения.
- Выберите нужные элементы. Каждый выбранный элемент будет добавлен в раздел Выбранные элементы.
Вы можете отредактировать настройки элементов свойств и метаданных, нажавдля открытия панели Настройки элемента правил.
- Нажмите Далее.
Отобразится страница Правило разрешения/запрещения - Когда назначено?. - Продолжите с действий Создание правила разрешения/запрета - Когда это назначается? и сводки

- На странице Что нужно сделать? выберите Я хочу разрешить/запретить.
- Нажмите Далее.
Отобразится страница Правило разрешения/запрещения - Что нужно разрешить/запретить?. - Выберите следующий параметр:
- Сетевое подключение: Разрешите/запретите определенные сетевые подключения.
- В элементе Выберите источник используйте раскрывающийся список для выбора Сетевые подключения.
- В разделе "Сетевое подключение" укажите тип подключения и введите соответствующий хост, порты или путь для настройки данных подключения:
- IP-адрес: Для разрешения/запрета IP-адреса или диапазона IP-адресов.
- Сетевой ресурс: Для разрешения/запрета сетевого ресурса. Введите путь к сетевому ресурсу в поле хоста.
- Имя хоста: Для разрешения/запрета хоста. Введите имя хоста.
- IP-адрес: Для разрешения/запрета IP-адреса или диапазона IP-адресов.
- Нажмите Добавить > Далее.
Отобразится страница Правило разрешения/запрещения - Когда назначено?. - Продолжите с действий Создание правила разрешения/запрета - Когда это назначается? и сводки

- На странице Что нужно сделать? выберите Я хочу разрешить/запретить.
- Нажмите Далее.
Отобразится страница Правило разрешения/запрещения - Что нужно разрешить/запретить?. - Выберите следующий параметр:
- URL-адрес: Разрешите/запретите определенные URL-адреса.
- В элементе Выберите источник используйте раскрывающийся список для выбора URL-адреса.
- В поле "URL-адреса" укажите URL-адрес, к которому необходимо разрешить/запретить доступ.
- (Необязательно): Правило запрета: Выберите нужный параметр для отображения с запретом доступа:
Показывать страницу предупреждений по умолчанию для Application Control в случае запрета URL-адреса
Показывать особую страницу в случае запрета URL-адреса
Введите URL-адрес, который вы хотите отобразить.
- Нажмите Добавить > Далее.
Отобразится страница Правило разрешения/запрещения - Когда назначено?. - Продолжите с действий Создание правила разрешения/запрета - Когда это назначается? и сводки
Создание правила разрешения/запрета - Когда это назначается? и сводки

- В диалоге Выберите источник используйте раскрывающийся список для выбора источника элементов - все выбранные или добавленные источники будут отображаться в разделе Выбранные элементы. Возможный выбор:
- Группы AD: Будут перечислены названия отображений и групп AD, и вы можете использовать поиск и фильтр для сужения результатов поиска. Иначе вы можете вручную добавить группу, нажав Добавить вручную.
- Пользователи AD: Введите домен\имя пользователя и нажмите Добавить.
- Пользователи App Control: Имя пользователя, для которого ПО App Control зарегистрировало событие. Выберите нужных пользователей.
- Группы компьютеров: Введите группу компьютеров, например: CN=ComputerGroup. Если нужно включить вложенные группы, выполните поиск вложенных групп. Нажмите Добавить.
- Орг. подразделения устройства: Введите организационное подразделение, например: OU=Corporation. Если нужно включить вложенные организационные подразделения, выберите Включая вложенные OU. Нажмите Добавить.
- Устройства: Будут перечислены имена устройств и хостов, обнаруженных платформой Neurons - для уточнения списка можно воспользоваться поиском и фильтром. Иначе можно вручную добавить устройство, нажав Добавить вручную.
- IP-адреса: Введите IP-адреса и выберите, нужно ли сверять регулярные выражения с IP-адресами. Нажмите Добавить.
Пример:- 192.168.0.1: выбор клиентского устройства с IP-адресом 192.168.0.1
- 192.168.0.*: выбор клиентских устройств с IP-адресами 192.168.0.<any>
- 192.168.0.15-25 - выбор всех клиентских устройств в диапазоне IP-адресов от 192.168.0.15 до 192.168.0.25
- Иначе выберите Все для создания правила для группы "Все" - в нее войдут все пользователи системы на устройстве, на котором успешно развернута конфигурация (за исключением администраторов).
- После завершения действий с выбранными элементами: Нажмите Далее.
Отобразится страница Сохранение правила и его сводки. - Введите Имя правила и укажите описание (необязательно).
- В поле Категории введите дополнительный тег категории для правила.
Можно добавить существующую категорию или создать новую. Категории, назначенные правилу, отображаются в таблице Правила конфигурации.- Для добавления: Нажмите в поле Категории для отображения раскрывающегося списка существующих категорий и выберите нужные.
- Для создания: Нажмите в поле Категории, введите новый тег категории и нажмите вне поля для создания и сохранения категории.
- По умолчанию правило имеет статус Активно - если пока не нужно активировать правило, выключите статус правила.
- Нажмите Сохранить для сохранения правила и возврата к конфигурации, где оно будет отображено в разделе Правила.
Иначе нажмите Сохранить и добавить другое для сохранения правила и возврата на страницу Что нужно сделать? для создания другого правила для конфигурации. - После добавления в конфигурацию всех правил нажмите Сохранить для сохранения конфигурации в виде черновика. Или нажмите Сохранить и опубликовать для сохранения версии конфигурации.
После публикации конфигурация станет доступна для назначения в политику.