Elementi consentiti

In questa sezione:

Informazioni sugli elementi consentiti

Aggiungere elementi consentiti ai set di regole per concedere agli utenti l'accesso a elementi specifici senza fornire loro privilegi amministrativi completi. Gli elementi consentiti vengono visualizzati nell'elenco Elementi consentiti sotto un set di regole selezionato:

File

Se viene specificato soltanto un nome file, ad esempio, myapp.exe, tutte le relative istanze vengono consentite, indipendentemente dalla posizione dell'applicazione. Se il file viene specificato con il percorso completo, ad esempio, \\servername\sharename\myapp.exe, solo tale istanza dell'applicazione risulta consentita. Altre istanze di questa applicazione devono soddisfare altre regole di Controllo applicazioni affinché venga concessa loro l'esecuzione.

  1. Selezionare il nodo Controllo eseguibili per un set di regole.
  2. Fare clic con il pulsante destro del mouse e selezionare Consentito > File.
    Viene visualizzata la finestra di dialogo Aggiungi un file.
  3. Nella scheda Proprietà, fare clic sui puntini di sospensione (...) nella casella di testo:
  4. Nella finestra di dialogo Apri, navigare nel file che si desidera aggiungere e fare clic su OK.

    5. Se richiesto, è possibile selezionare i seguenti elementi:

    • Sostituire le variabili di ambiente laddove possibile
    • Usa espressione regolare
  5. Inserire gli argomenti opzionali della riga di comando nella casella di testo Argomenti. Inserire tutti gli argomenti mano a mano che appaiono in Process Explorer.
    Gli argomenti della riga di comando estendono i criteri di corrispondenza oltre quanto viene immesso nel campo File. Se viene aggiunto un argomento, sia il file sia l'argomento devono essere soddisfatti per ottenere una corrispondenza. È possibile aggiungere qualsiasi argomento che appare sulla riga di comando per un processo, come contrassegni, interruttori, file e Guid.

File negato

File consentito

Risultato

shutdown.exe

shutdown.exe

Argomenti: -r -t 30

shutdown.exe viene eseguito solo quando -r -t 30 si trova sulla riga di comando - qualsiasi altra esecuzione di shutdown.exe viene negata.

Per configurare correttamente gli argomenti di un elemento consentito o negato, essi devono apparire così come appaiono in Process Explorer, ad esempio:

File: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

Riga di comando: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

Deve essere configurato come:

File: percorso assoluto o relativo di winword.exe

Argomenti: /n C:\example.docx

  1. Se richiesto, inserire una descrizione opzionale del file per il proprio riferimento futuro.
  2. Selezionare Consenti l'esecuzione del file anche se non è posseduto da un proprietario attendibile per fornire accesso al file a un utente che non rappresenta il proprietario attendibile.

    3. Per impostazione predefinita, il controllo proprietà attendibile viene abilitato, pertanto un'applicazione deve sempre superare il controllo proprietà attendibile, anche se l'applicazione è un elemento consentito, questa impostazione consente all'utente di bypassarlo. Nonostante il controllo della proprietà attendibile possa essere disabilitato completamente, non è consigliato.

  3. Selezionare Ignora filtro eventi per segnalare tutti gli eventi indipendentemente da cosa è stato impostato nella Selezione eventi.
  4. Per aggiungere metadati al file, selezionare la scheda Metadati.
  5. Per compilare automaticamente i campi, selezionare Popola metadati dal file.

    6. È possibile popolare i campi seguenti: Nome prodotto, Fornitore, Nome società, Descrizione file, Versione file e Versione prodotto.

    È possibile raffinare una parte qualsiasi dei dati; selezionare la casella di controllo richiesta e modificare i campi.

    Se i metadati Fornitore sono abilitati, diventa disponibile un'ulteriore opzione - Verifica certificato al runtime. Quando questa opzione viene abilitata, l'agente verifica il certificato sempre che corrisponda al file. Fare clic su Verifica opzioni per accedere a un ulteriore set di criteri, utilizzati durante la corrispondenza file.

    Per ulteriori informazioni, vedere Opzioni di verifica.

  6. Per aggiungere orari di accesso, selezionare la scheda Orari di accesso.
  7. I periodi di accesso possono essere assegnati solo quando si seleziona Consentire l'esecuzione dei file solo in determinati orari.
  8. Per applicare orari di accesso, selezionare il periodo di tempo sulla colonna giorno richiesta, quindi sarà possibile evidenziare più slot orari.
  9. Fare clic con il pulsante destro del mouse e selezionare Nuovo periodo consentito, il periodo diventa sfumato per indicare che è consentito.
  10. Ripetere i passaggi 12-13 per tutti gli slot temporali e i giorni richiesti.

    11. È possibile configurare quale azione intraprendere quando gli Orari di accesso vengono superati nelle Impostazioni di configurazione > Controllo eseguibili >Tempi di accesso

  11. Per aggiungere limiti alle applicazioni, selezionare la scheda Limiti applicazioni.
  12. Selezionare Abilita limiti alle applicazioni
  13. Inserire il numero di istanze di esecuzione di un'applicazione da parte di un utente durante una sessione. Ad esempio, se il limite viene impostato a 1, e l'utente presenta 1 istanza in esecuzione e quindi cerca di eseguire una seconda istanza, essa non sarà consentita. Nota: ciò risulta applicabile sulla base del singolo utente, non della macchina.
  14. Fare clic su Aggiungi per aggiungere il file agli eseguibili consentiti per il set di regole.
    Il file viene aggiunto all'area di lavoro Elementi consentiti.

Cartella

È possibile specificare una cartella completa, ad esempio, \\servername\servershare\myfolder, oltre a tutte le applicazioni all'interno di questa cartella, e a tutte le cartelle secondarie, se richieste, di cui è consentita l'esecuzione. Non viene effettuato alcun controllo sui file all'interno della cartella, pertanto qualsiasi file copiato in questa cartella potrà essere eseguito. Selezionare Includi cartelle secondarie per includere tutte le directory sotto quella specificata. Se si aggiunge un file di rete o un percorso cartella, è necessario utilizzare il nome UNC, dato che l'agente Controllo applicazioni ignora qualsiasi percorso configurato in cui la lettera di unità non corrisponde a un disco fisso locale. L'utente può accedere all'applicazione di rete attraverso una lettera di unità mappata di rete, dato che il percorso viene convertito in formato UNC prima della convalida in base alle impostazioni di configurazione. Per aggiungere automaticamente variabili di ambiente, selezionare Sostituisci variabili di ambiente laddove possibile nelle finestre di dialogo Aggiungi un file o Aggiungi una cartella. Ciò rende i percorsi più generici per l'applicazione su computer diversi. Il supporto dei caratteri jolly fornisce un livello aggiuntivo di controllo per specificare i percorsi file generici.

  1. Selezionare il nodo Controllo eseguibili per un set di regole.
  2. Fare clic con il pulsante destro del mouse e selezionare Consentito > Cartella.
    Viene visualizzata la finestra di dialogo Aggiungi una cartella.
  3. Nella scheda Proprietà, fare clic sui puntini di sospensione (...) nella casella di testo:
  4. Nella finestra di dialogo Apri, navigare nella cartella che si desidera aggiungere e fare clic su OK.

    5. Se richiesto, è possibile selezionare i seguenti elementi:

    • Sostituire le variabili di ambiente laddove possibile
    • Usa espressione regolare
    • Includi cartelle secondarie
  5. Se richiesto, inserire una descrizione opzionale della cartella per il proprio riferimento futuro.
  6. Selezionare Consenti l'esecuzione del file anche se non è posseduto da un proprietario attendibile per fornire accesso al file a un utente che non rappresenta il proprietario attendibile.

    7. Per impostazione predefinita, il controllo proprietà attendibile viene abilitato, pertanto un'applicazione deve sempre superare il controllo proprietà attendibile, anche se l'applicazione è un elemento consentito, questa impostazione consente all'utente di bypassarlo. Nonostante il controllo della proprietà attendibile possa essere disabilitato completamente, non è consigliato.

  7. Selezionare Ignora filtro eventi per segnalare tutti gli eventi indipendentemente da cosa è stato impostato nella Selezione eventi.
  8. Per aggiungere metadati alla cartella, selezionare la scheda Metadati:
  9. Per compilare automaticamente i campi, selezionare Popola metadati dal file.

    10. È possibile popolare i campi seguenti: Nome prodotto, Fornitore, Nome società, Descrizione file, Versione file e Versione prodotto.

    È possibile raffinare una parte qualsiasi dei dati; selezionare la casella di controllo richiesta e modificare i campi.

    Se i metadati Fornitore sono abilitati, diventa disponibile un'ulteriore opzione - Verifica certificato al runtime. Quando questa opzione viene abilitata, l'agente verifica il certificato sempre che corrisponda al file. Fare clic su Verifica opzioni per accedere a un ulteriore set di criteri, utilizzati durante la corrispondenza file.

    Per ulteriori informazioni, vedere Opzioni di verifica.

  10. Per aggiungere orari di accesso, selezionare la scheda Orari di accesso.
  11. I periodi di accesso possono essere assegnati solo quando si seleziona Consentire l'esecuzione dei file solo in determinati orari.
  12. Per applicare orari di accesso, selezionare il periodo di tempo sulla colonna giorno richiesta, quindi sarà possibile evidenziare più slot orari.
  13. Fare clic con il pulsante destro del mouse e selezionare Nuovo periodo consentito, il periodo diventa sfumato per indicare che è consentito.
  14. Ripetere i passaggi 12-13 per tutti gli slot temporali e i giorni richiesti.

    15. È possibile configurare quale azione intraprendere quando gli Orari di accesso vengono superati nelle Impostazioni di configurazione > Controllo eseguibili >Tempi di accesso

  15. Fare clic su Aggiungi per aggiungere la cartella agli eseguibili consentiti per il set di regole.
    La cartella viene aggiunta all'area di lavoro Elementi consentiti.

Unità

È possibile specificare un'unità completa, ad esempio; W, in modo da consentire l'esecuzione di tutte le applicazioni su questa unità, cartelle secondarie incluse. Non viene effettuato alcun controllo sui file nell'unità, pertanto qualsiasi file copiato in qualsiasi cartella su questa unità può essere eseguito.

Consente di specificare le unità eseguibili consentite.

  1. Selezionare il nodo Controllo eseguibili per un set di regole.
  2. Fare clic con il pulsante destro del mouse e selezionare Consentito > Unità.
    Viene visualizzata la finestra di dialogo Aggiungi un'unità.
  3. Inserire la lettera di unità che si desidera consentire e una descrizione.
  4. Fare clic su Aggiungi per aggiungere l'elemento dell'unità all'elenco di eseguibili consentiti.

File Hash

È possibile aggiungere un file insieme a un hash digitale del file. Ciò assicura che venga eseguito solo quel particolare file, ma da qualsiasi posizione.

Consente di aggiungere elementi eseguibili consentiti mediante un hash file.

  1. Selezionare il nodo Controllo eseguibili per un set di regole.
  2. Fare clic con il pulsante destro del mouse e selezionare Consentito > Hash file.
    Viene visualizzata la finestra di dialogo Aggiungi un hash file.
  3. Nella scheda Proprietà, fare clic sui puntini di sospensione (...) nella casella di testo:
  4. Nella finestra di dialogo Apri, navigare nell'hash file che si desidera aggiungere e fare clic su OK.
  5. Inserire gli argomenti opzionali della riga di comando nella casella di testo Argomenti. Inserire tutti gli argomenti mano a mano che appaiono in Process Explorer.
    Gli argomenti della riga di comando estendono i criteri di corrispondenza oltre quanto viene immesso nel campo File. Se viene aggiunto un argomento, sia il file sia l'argomento devono essere soddisfatti per ottenere una corrispondenza. È possibile aggiungere qualsiasi argomento che appare sulla riga di comando per un processo, come contrassegni, interruttori, file e Guid.
  6. Se richiesto, inserire una descrizione opzionale dell'hash del file per il proprio riferimento futuro.
  7. Viene visualizzato il valore hash del file, selezionare Ripeti analisi per aggiornare l'hash del file.
  8. Selezionare Ignora filtro eventi per segnalare tutti gli eventi indipendentemente da cosa è stato impostato nella Selezione eventi.
  9. Per aggiungere orari di accesso, selezionare la scheda Orari di accesso.
  10. I periodi di accesso possono essere assegnati solo quando si seleziona Consentire l'esecuzione dei file solo in determinati orari.
  11. Per applicare orari di accesso, selezionare il periodo di tempo sulla colonna giorno richiesta, quindi sarà possibile evidenziare più slot orari.
  12. Fare clic con il pulsante destro del mouse e selezionare Nuovo periodo consentito, il periodo diventa sfumato per indicare che è consentito.
  13. Ripetere i passaggi 12-13 per tutti gli slot temporali e i giorni richiesti.

    14. È possibile configurare quale azione intraprendere quando gli Orari di accesso vengono superati nelle Impostazioni di configurazione > Controllo eseguibili >Tempi di accesso

  14. Fare clic su Aggiungi per aggiungere l'hash file agli elementi Hash file consentiti per il set di regole.
    L'elemento hash file viene aggiunto all'area di lavoro Consentiti.

Raccolta regole

È possibile aggiungere una raccolta regole agli elementi consentiti per qualsiasi set di regole.

  1. Selezionare il nodo Controllo eseguibili per un set di regole.
  2. Fare clic con il pulsante destro del mouse e selezionare Consentito > Raccolta regole.
    Viene visualizzata la finestra di dialogo Selezione raccolta regole.
  3. Selezionare la casella di controllo Aggiungi alla regola per le raccolte da aggiungere al set di regole.
  4. Una volta selezionata una raccolta è possibile selezionare:
    • Consenti proprietario non attendibile - consente l'esecuzione di file anche se non sono posseduti da un proprietario attendibile.
    • Ignora filtro eventi - segnala tutti gli eventi indipendentemente da quanto impostato nella Selezione eventi.
  5. Fare clic su OK per aggiungere le raccolte alle Raccolte regole consentite per il set di regole.
    La raccolta regole viene aggiunta all'area di lavoro Consentiti.

Argomenti correlati

Elementi negati