Правила конфигурации

Конфигурации приложения App Control можно создавать с помощью правил, которые затем проверяются на конечной системе после попыток пользователя выполнить файл - это дополняет проверку доверенного владения.

Правила приложения App Control не относятся к администраторам.

Для активации правил на конечных системах необходимо установить уровень безопасности конфигурации С ограничением.

Для группирования элементов можно создать Шаблоны приложений. Шаблоны приложений можно использовать во время создания или редактирования правил для простоты заполнения списка исходных элементов.

Типы правил

Правила используются для группировки действий общего условия. Выберите тип действия для создаваемого правила.

Разрешить: Правило разрешения открывает доступ к определенным элементам, которые могут быть ограничены.

Отклонить: Правило запрета отменяет доступ к определенным элементам.

Повысить: Правило повышения прав предоставляет привилегии доступа для приложений или компонентов пользователю, не являющемуся администратором.

Доверенный поставщик: Правило доверенного поставщика дает разрешения для запуска указанному поставщику и элементу, если элемент имеет действительную цифровую подпись.

Создание правила

Вы можете создать правило в конфигурации или нажав диаграмму на странице обзора:

Вариант 1 - Создание правила на странице "Конфигурации"

  1. Перейдите в App Control > Конфигурации.
    Появится страница Конфигурации.
  2. В таблице найдите конфигурацию, в которую нужно добавить правило, а затем в столбце Действия нажмите значок многоточия для открытия меню действий.
  3. Нажмите Правка.
    Появится страница Редактирование конфигурации.
  4. Иначе можно выбрать просмотр конфигурации перед редактированием - на странице "Конфигурации" нажмите Имя конфигурации
    Появится страница Конфигурация.
    Нажмите кнопку Правка.
    Появится страница Редактирование конфигурации.
  5. В таблице Правила нажмите + Добавить новое правило.
    Отобразится Конфигурация: <name>.
  6. Выберите тип создаваемого правила и выполните инструкции соответствующей темы:

Вариант 2 - Создание правила на странице 'Обзор' (диаграмма ненадежных владельцев)

Вы можете создать правило разрешения файлов, которые были зарегистрированы ненадежными владельцами как исполняемые.

  1. Перейдите в App Control > Обзор.
    Появится страница Обзор.
  2. Нажмите диаграмму Приложения, выполненные ненадежными владельцами.
    Отобразится страница Приложения, выполненные ненадежными владельцами.
  3. В таблице найдите файл для создания правила, а затем в столбце Действия нажмите для открытия меню параметров.
  4. Нажмите + Создать правило.
    Появится диалог Выбор конфигурации.
  5. Выберите конфигурацию, которую нужно создать, и добавьте в нее правило.
  6. Нажмите Создать правило.
    Отобразится страница Конфигурация для выбранной конфигурации.
  7. Выполните процедуру создания правила разрешения.

Вариант 3 - Создание правила на странице 'Обзор' (диаграмма повышения привилегий)

Вы можете создать правило повышения прав для файлов, которые были зарегистрированы как исполняемые с повышенными привилегиями.

  1. Перейдите в App Control > Обзор.
    Появится страница Обзор.
  2. Нажмите диаграмму Приложения, выполненные с повышением привилегий.
    Отобразится страница Приложения, выполненные с повышением привилегий.
  3. В таблице найдите файл для создания правила повышения прав, а затем в столбце Действия нажмите для открытия меню параметров.
  4. Нажмите + Создать правило.
    Появится диалог Выбор конфигурации.
  5. Выберите конфигурацию, которую нужно создать, и добавьте в нее правило.
  6. Нажмите Создать правило.
    Отобразится страница Конфигурация для выбранной конфигурации.
  7. Выполните процедуру создания правила повышения прав.

Настройки элемента правил

Панель Настройки элементов правил может быть открыта на странице правила Что? > значок раздела Выбранные элементы > значок > Правка.

Свойства

  • Отображаемое имя: Введите имя файла, которое должно отображаться в столбце "Имя" таблицы "Правила".
  • Файл: Введите файл или путь, для которого нужно применить правило. Для сравнения нескольких файлов можно использовать универсальные символы, например, C:\Program Files\*.exe будет соответствовать всем файлам .exe в папке Program Files.
    Используемые типы файлов: exe, bat, cmd, vbs, wsf, js, msi, msp, ps1 и reg.
    • Использовать регулярные выражения: Выберите для использования регулярных выражений во время сравнения файла или пути.
  • Аргументы: Введите все аргументы по порядку для проводника процессов.
    Аргументы командной строки расширяют критерии соответствия, указанные в поле "Файл". Если добавлен аргумент, и файл и аргумент должны использоваться для проверки соответствия. Можно добавить любой аргумент, который указывается в командной строке для процесса, например, флаги, переключатели, файлы и идентификаторы.
    Можно использовать регулярные выражения.
    Запрещенный файлРазрешенный файлРезультат
    shutdown.exeshutdown.exe
    Аргументы: -r -t 30    		shutdown.exe работает только с параметрами "-r -t 30" в командной строке, а все остальное, запускаемое командой shutdown.exe, запрещено.

    Для правильной конфигурации разрешенных или запрещенных элементов они должны отображаться так же, как в обозревателе процессов, например:

    Файл: C:\Windows\System32\shutdown.exe

    Командная строка: C:\Windows\System32\shutdown.exe -r -t 30

    Допустимая конфигурация:

    Файл: Абсолютный или относительный путь приложения shutdown.exe

    Аргументы: -r -t 30

  • Описание: Если нужно, введите описание.
  • Параметры: Доступные параметры зависят от типа правила.
    • Разрешить выполнение файла, даже если он не принадлежит доверенному владельцу: Используется только для элемента правила разрешения.
      По умолчанию проверка доверенного владения всегда включена, и поэтому приложениям нужно ее пройти, даже если они разрешены. Выберите этот вариант, если вам необходимо предоставить пользователю доступ к элементу, который не принадлежит доверенному владельцу.
    • Не отображать сообщение о запрещении доступа: Используется только для элемента правила запрещения.
      Этот параметр используется, если нужно запретить доступ к элементу без оповещения и не отображать пользователю сообщение о запрете доступа.
      Сообщения настраиваются в разделе Конфигурация настроек сообщений.
  • Политика: Используется только для элемента правила повышения прав.
    • Применить к дочерним процессам: По умолчанию политика самоповышения прав применяется к элементам правил, не наследуемым дочерними процессами. Установите параметр для непосредственного применения политики к дочернему элементу родительского процесса.
    • Применить к обычным диалогам: Выполните повышение уровня доступа для параметров меню Windows для открытия и сохранения файлов, когда файл или папка получили повышение прав.

      Для запрета пользователям изменять файловую систему с привилегиями администратора этот параметр должен быть выключен.

    • Установить в качестве доверенного владельца: Сделайте локального администратора владельцем всех элементов, создаваемых указанным приложением. Этот параметр не применяется к обычным приложениям - только к пакетам установщиков.
    • Запрашивать у пользователя перед повышением: Выберите для предварительного отображения запроса конечному пользователю перед самостоятельным повышение прав.
      Сообщения настраиваются в разделе Конфигурация настроек сообщений.
      • Требуется указать причину перед повышением: Выберите для запроса у пользователя причины повышения.

Вкладка 'Метаданные'

  • Название продукта: Название продукта.
    • Использовать регулярные выражения: Выберите для использования регулярных выражений во время сравнения названия продукта.
  • Поставщик: Название поставщика, связанное с подписью, если файл имеет цифровую подпись.
    • Использовать регулярные выражения: Выберите для использования регулярных выражений во время сравнения названия поставщика.
    • Проверять сертификат во время выполнения: Установите этот параметр для проверки сертификата поставщика во время его сверки с файлом.
      Кроме того, будет выполнена проверка целостности файла, чтобы убедиться в его подлинности.

      Это может повлиять на производительность, если часто запускаются файлы большого размера.

  • Название компании: Название создавшей файл компании.
    • Использовать регулярные выражения: Выберите для использования регулярных выражений во время сравнения названия компании.
  • Описание файла: Описания файла.
    • Использовать регулярные выражения: Выберите для использования регулярных выражений во время сравнения описания файла.
  • Версия файла Диапазон сравниваемых версий файла.
    • Мин: Минимальный номер версии файла, указанный в правиле проверки.
    • Макс: Максимальный номер версии файла, указанный в правиле проверки.
  • Версия продукта Диапазон сравниваемых версий продукта.
    • Мин: Минимальный номер версии, указанный в правиле проверки.
    • Макс: Максимальный номер версии файла, указанный в правиле проверки.

См. также:

Правило разрешения/запрещения

Правило повышения прав

Правило доверенного поставщика