Конфигурации App Control

Конфигурация App Control содержит настройки правил для управления конечными системами. Файлы конфигураций устанавливаются на управляемых конечных системах и служат в качестве контрольного списка политик агента App Control для оценки обработки запросов на выполнение файлов. После запуска файла приложение App Control перехватывает запрос и выполняет проверку конфигурации для поиска соответствующего правила сверки и требуемого действия. Также могут использоваться другие политики по умолчанию, указанные в конфигурации, например, способы отображения сообщений.

После создания или изменения конфигурации ее необходимо сохранить и опубликовать. Вы можете назначить конфигурацию политике - после начала процесса развертывания состояние конфигурации будет изменено на "Активно", а правила после их успешного развертывания начнут действовать на конечных системах.

Уровни безопасности

Уровень безопасности конфигурации определяет уровень ограничений на конечных системах. Доступные уровни:

  • Без ограничений: Для приложений нет ограничений, и разрешены любые действия. Это может быть полезно для временного выключения ПО App Control без его удаления.
  • Только аудит: Это настройка по умолчанию. Для приложений нет ограничений, но все действия, относящиеся к доверенному владению, политике конфигурации и соответствию правилам регистрируются и сообщаются в приложении App Control.
  • С ограничением: Ограничения устанавливаются правилами конфигурации. Действия могут быть ограничены для определенных приложений, пользователей, групп и устройств.

Настройки конфигурации по умолчанию

Приложение App Control готово к управлению параметрами безопасности сразу после установки и конфигурации политики агентов на управляемых конечных системах. После создания новой конфигурации ее можно использовать сразу без настройки. Если уровень безопасности конфигурации имеет установку С ограничением, конфигурация блокирует любой файл с владельцем без доверия и запретит пользователям не администраторам доступ к исполняемым файлам в незащищенных местоположениях, включая сетевые ресурсы и съемные носители, вместе с настройками политики защиты по умолчанию.

Настройки политики защиты по умолчанию

  • Перед предоставлением доступа все запросы для запуска приложений и процессов проверяются на соответствие правилам App Control.
  • Члены группы локальных администраторов имеют неограниченный доступ к приложениям.
  • Если приложение CMD имеет явное правило запрета, тогда команда CMD блокируется, за исключением случаев запуска разрешенных командных файлов.
  • Архивы MSI, WSH, Java и файлы реестра проверяются на соответствие правилам App Control.
  • Во время разрешенных установок допускается запускать любые файлы exe и dll.
  • Администраторы и лица без административных прав не могут читать, копировать, редактировать и удалить файл конфигурации App Control непосредственно на конечной системе.

Состояния конфигурации

  • Публикация: Конфигурация находится в процессе публикации.
  • Опубликовано: Конфигурация сохранена и опубликована. Она доступна для назначения политике агента.
  • Ошибка публикации: Произошла ошибка публикации конфигурации.
  • Назначено: Конфигурация назначена политике агента.
  • Активно: Конфигурация назначена политике агента, и начат процесс развертывания на конечных системах.
  • Удаление публикации: Выполняется удаление публикации конфигурации.
  • Не опубликовано: Конфигурация не была опубликована.
  • Ошибка удаления публикации: Произошла ошибка удаления публикации конфигурации.
  • Опубликовано ранее: Конфигурация была заменена.

Предупреждения

Предупреждения будут относиться к одному из следующих оповещений:

  • Для конфигурации, связанной с политикой, требуется обновления схемы.
  • В политике, связанной с конфигурацией, неправильно установлена настройка перезагрузки. Вы должны выбрать Запрашивать перезагрузку, когда необходимо в разделе Настройки политики агента.

Схемы

Если для версии конфигурации необходимо обновление схемы, в столбце Предупреждения отобразится предупреждение. Нажмите значок - отобразится страница Редактировать конфигурацию с баннером предупреждения, содержащим информацию о необходимости обновить схему. Нажмите Обновить схему - отобразится диалог Обновить схему > нажмите Обновить схему.

Вы можете изменить конфигурацию и сохранить черновик без обновления схемы, но не сможете сохранить и опубликовать конфигурацию, пока схема не будет обновлена.

Создание конфигурации

Для создания конфигурации App Control:

  1. Перейдите в App Control > Конфигурации.
    Появится страница Конфигурации.
  2. Нажмите Создать конфигурацию.
    Появится страница Новая конфигурация.
  3. Введите Имя для конфигурации. Если нужно, введите описание.
  4. Установите Уровень безопасности для определения ограничений, которые будут иметь правила конфигурации для пользователей, групп или устройств.
    Вы можете оставить для конфигурации Уровень безопасности по умолчанию: Только аудит - это активирует доверенное владение на конечных системах с конфигурацией.
    Иначе можно установить для уровня безопасности значение С ограничением и создать правила управления использованием приложений на конечных системах с помощью правил разрешения, запрещения, повышения прав и доверенного поставщика, а также настроить параметры сообщений приложения App Control, которые будут отображаться для конечных пользователей после запрета запуска приложений приложением App Control. Для получения дополнительной информации о создании правил конфигурации см. раздел Правила конфигурации.
  5. Нажмите Создать для сохранения конфигурации.
    Появится страница Редактирование конфигурации.
  6. Нажмите Добавить новое правило для создания правил в вашей конфигурации и определения, нужно ли разрешить, запретить, повысить права определенным элементам или назначить их доверенному поставщику. Для получения дополнительной информации о создании правил см. раздел Правила конфигурации.
  7. Откройте вкладку Настройки для конфигурации настроек сообщений, расширенных настроек и параметров аудита для конфигурации. Для получения дополнительной информации о настройках см. раздел Настройки конфигурации.
  8. Нажмите Сохранить для создания черновика конфигурации или нажмите Сохранить и опубликовать для сохранения версии конфигурации.
    Конфигурация должна быть опубликована, чтобы ее можно было назначить политике и развернуть на конечных системах.
  9. Конфигурация отобразится в таблице конфигураций.

Действия

В таблице представлены все неархивированные конфигурации. Следующие действия доступны для каждой конфигурации:

  • Просмотр: Используется для просмотра конфигурации.
  • Правка: Используется для редактирования конфигурации - текущая версия будет сохранена как черновик, а все остальные версии останутся без изменений. Если черновика нет, новый черновик будет создан на основе последней версии. Это недоступно для конфигураций, находящихся в состоянии Публикация.
  • Публиковать черновик: Используется для публикации черновика - он станет версией 1 - после каждой последующей публикации черновика номер версии будет увеличиваться. Это доступно только для конфигураций с черновиками.
  • Удалить публикацию: Используется для отмены публикации последней версии конфигурации. Это доступно только для конфигураций с состоянием Опубликовано и не назначенным политикам. Удаленные публикации не будут доступны для выбора в политике агента.
  • Архив: Используется для неокончательного удаления конфигурации. Конфигурация более не будет доступна для использования и не может быть восстановлена. Это доступно только для черновиков или для последней версии с удаленной публикацией.

Просмотр конфигураций

Для просмотра конфигурации перейдите App Control > Конфигурации. Нажмите Имя конфигурации или в столбце Действия нажмите значок значок многоточия, а затем выберите Просмотр.

Вы можете просмотреть правила и настройки, а также использовать две следующие вкладки:

История

Используется для просмотра списка всех версий конфигурации, создателя версии и ее состояния.

Политики

Просмотрите количество политик агентов, с которыми связана конфигурация, и количество конечных систем агентов, на которых была установлена конфигурация.

Здесь перечислены имена связанных политик. Значок указывает, что процесс перезагрузки политики неверно сконфигурирован. Для приложения App Control необходимо установить для параметра Автоматическое обновление агента значение Запрашивать перезагрузку, если это необходимо. См. раздел Автоматическое обновление агента.

Для просмотра ассоциированной политики нажмите значок значок многоточия в столбце Действия для нужной политики, а затем выберите Просмотр. Отобразится страница Агенты > Политики агента > Политика агента. Здесь вы можете увидеть возможности App Control, изменить соответствующую конфигурацию и настройки перезагрузки.