Elementi negati
In questa sezione:
Informazioni sugli elementi negati
Aggiungere Elementi negati ai set di regole per limitare l'accesso a elementi specifici. Gli elementi negati vengono visualizzati nell'elenco Elementi negati sotto un set di regole selezionato.
Se si sta utilizzando l'opzione predefinita, che ritiene attendibili tutte le applicazioni Proprietario attendibile installate localmente, sarà necessario semplicemente aggiungere applicazioni specifiche che non si desidera vengano eseguite dagli utenti. Ad esempio, è possibile aggiungere strumenti amministrativi, come quelli di gestione e di modifica del registro di sistema.
Non è necessario utilizzare tale elenco per negare le applicazioni che non sono possedute da un amministratore, dato che sono bloccate dal controllo proprietà attendibile.
La funzionalità drag and drop di Controllo applicazioni può essere utilizzata per aggiungere file, cartelle, unità ed elementi di firma da Esplora risorse o per copiare o spostare elementi tra il nodo Elementi consentiti e i nodi Elementi negati in ciascuno dei nodi principali di configurazione.
File
Se viene specificato soltanto un nome file, ad esempio, myapp.exe, tutte le relative istanze vengono negate, indipendentemente dalla posizione dell'applicazione. Se il file viene specificato con il percorso completo, ad esempio, \\servername\sharename\myapp.exe, solo tale istanza dell'applicazione risulta negata.
- Selezionare il nodo Controllo eseguibili per un set di regole.
- Fare clic con il pulsante destro del mouse e selezionare Negato > File.
Viene visualizzata la finestra di dialogo Aggiungi un file. - Nella scheda Proprietà, fare clic sui puntini di sospensione (...) nella casella di testo:
- Nella finestra di dialogo Apri, navigare nel file che si desidera aggiungere e fare clic su OK.
Se richiesto, è possibile selezionare i seguenti elementi: - Sostituire le variabili di ambiente laddove possibile
- Usa espressione regolare
- Inserire gli argomenti opzionali della riga di comando nella casella di testo Argomenti. Inserire tutti gli argomenti mano a mano che appaiono in Process Explorer.
Gli argomenti della riga di comando estendono i criteri di corrispondenza oltre quanto viene immesso nel campo File. Se viene aggiunto un argomento, sia il file sia l'argomento devono essere soddisfatti per ottenere una corrispondenza. È possibile aggiungere qualsiasi argomento che appare sulla riga di comando per un processo, come contrassegni, interruttori, file e Guid.
File negato |
File consentito |
Risultato |
---|---|---|
shutdown.exe |
shutdown.exe Argomenti: -r -t 30 |
shutdown.exe viene eseguito solo quando -r -t 30 si trova sulla riga di comando - qualsiasi altra esecuzione di shutdown.exe viene negata. |
Per configurare correttamente gli argomenti di un elemento consentito o negato, essi devono apparire così come appaiono in Process Explorer, ad esempio:
File: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE
Riga di comando: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx
Deve essere configurato come:
File: percorso assoluto o relativo di winword.exe
Argomenti: /n C:\example.docx
- Se richiesto, inserire una descrizione opzionale del file per il proprio riferimento futuro.
- Selezionare Non mostrare messaggio di accesso negato se negato per bloccare silenziosamente il file senza che l'utente ne sia informato.
- Selezionare Ignora filtro eventi per segnalare tutti gli eventi indipendentemente da cosa è stato impostato nella Selezione eventi.
- Per aggiungere metadati al file, selezionare la scheda Metadati.
- Per compilare automaticamente i campi, selezionare Popola metadati dal file.
- Fare clic su Aggiungi per aggiungere il file agli eseguibili negati per il set di regole.
Il file viene aggiunto all'area di lavoro Elementi negati.
È possibile popolare i campi seguenti: Nome prodotto, Fornitore, Nome società, Descrizione file, Versione file e Versione prodotto.
È possibile raffinare una parte qualsiasi dei dati; selezionare la casella di controllo richiesta e modificare i campi.
Se i metadati Fornitore sono abilitati, diventa disponibile un'ulteriore opzione - Verifica certificato al runtime. Quando questa opzione viene abilitata, l'agente verifica il certificato sempre che corrisponda al file. Fare clic su Verifica opzioni per accedere a un ulteriore set di criteri, utilizzati durante la corrispondenza file.
Per ulteriori informazioni, vedere Opzioni di verifica.
Cartella
È possibile specificare una cartella completa, ad esempio, \\servername\servershare\myfolder, oltre a tutte le applicazioni all'interno di questa cartella, e a tutte le cartelle secondarie a cui è negata l'esecuzione. Non viene effettuato alcun controllo sui file all'interno della cartella, pertanto qualsiasi file copiato in questa cartella verrà negato.
Se si aggiunge un file di rete o un percorso cartella, è necessario utilizzare il nome UNC, dato che l'agente Controllo applicazioni ignora qualsiasi percorso configurato in cui la lettera di unità non corrisponde a un disco fisso locale. L'utente può accedere all'applicazione di rete attraverso una lettera di unità mappata di rete, dato che il percorso viene convertito in formato UNC prima della convalida in base alle impostazioni di configurazione. Il supporto dei caratteri jolly fornisce un livello aggiuntivo di controllo per specificare i percorsi file generici.
- Selezionare il nodo Controllo eseguibili per un set di regole.
- Fare clic con il pulsante destro del mouse e selezionare Negato > Cartella.
Viene visualizzata la finestra di dialogo Aggiungi una cartella. - Nella scheda Proprietà, fare clic sui puntini di sospensione (...) nella casella di testo:
- Nella finestra di dialogo Apri, navigare nella cartella che si desidera aggiungere e fare clic su OK.
Se richiesto, è possibile selezionare i seguenti elementi: - Sostituire le variabili di ambiente laddove possibile
- Usa espressione regolare
- Includi cartelle secondarie
- Se richiesto, inserire una descrizione opzionale della cartella per il proprio riferimento futuro.
- Selezionare Non mostrare messaggio di accesso negato se negato per bloccare automaticamente la cartella senza che l'utente ne sia informato.
- Selezionare Ignora filtro eventi per segnalare tutti gli eventi indipendentemente da cosa è stato impostato nella Selezione eventi.
- Per aggiungere metadati alla cartella, selezionare la scheda Metadati:
- Per compilare automaticamente i campi, selezionare Popola metadati dal file.
- Fare clic su Aggiungi per aggiungere la cartella agli eseguibili negati per il set di regole.
La cartella viene aggiunta all'area di lavoro Negati.
È possibile popolare i campi seguenti: Nome prodotto, Fornitore, Nome società, Descrizione file, Versione file e Versione prodotto.
È possibile raffinare una parte qualsiasi dei dati; selezionare la casella di controllo richiesta e modificare i campi.
Se i metadati Fornitore sono abilitati, diventa disponibile un'ulteriore opzione - Verifica certificato al runtime. Quando questa opzione viene abilitata, l'agente verifica il certificato sempre che corrisponda al file. Fare clic su Verifica opzioni per accedere a un ulteriore set di criteri, utilizzati durante la corrispondenza file.
Per ulteriori informazioni, vedere Opzioni di verifica.
Unità
È possibile specificare un'unità completa, ad esempio; W, in modo da negare l'esecuzione di tutte le applicazioni su questa unità, cartelle secondarie incluse. Non viene effettuato alcun controllo sui file nell'unità, pertanto qualsiasi file copiato in qualsiasi cartella su questa unità viene negato.
Consente di specificare le unità eseguibili negate.
- Selezionare il nodo Controllo eseguibili per un set di regole.
- Fare clic con il pulsante destro del mouse e selezionare Negato > Unità.
Viene visualizzata la finestra di dialogo Aggiungi un'unità. - Inserire la lettera di unità che si desidera negare e una descrizione.
- Selezionare Non mostrare messaggio di accesso negato se negato per bloccare silenziosamente l'unità senza che l'utente ne sia informato.
- Fare clic su Aggiungi per aggiungere l'elemento dell'unità all'elenco di eseguibili negati.
File Hash
È possibile aggiungere un file insieme a un hash digitale del file. Ciò assicura che venga negato solo quel particolare file, ma da qualsiasi posizione.
Consente di aggiungere elementi eseguibili negati mediante un hash file.
- Selezionare il nodo Controllo eseguibili per un set di regole.
- Fare clic con il pulsante destro del mouse e selezionare Negato > Hash file.
Viene visualizzata la finestra di dialogo Aggiungi un hash file. - Nella scheda Proprietà, fare clic sui puntini di sospensione (...) nella casella di testo:
- Nella finestra di dialogo Apri, navigare nell'hash file che si desidera aggiungere e fare clic su OK.
- Inserire gli argomenti opzionali della riga di comando nella casella di testo Argomenti. Inserire tutti gli argomenti mano a mano che appaiono in Process Explorer.
Gli argomenti della riga di comando estendono i criteri di corrispondenza oltre quanto viene immesso nel campo File. Se viene aggiunto un argomento, sia il file sia l'argomento devono essere soddisfatti per ottenere una corrispondenza. È possibile aggiungere qualsiasi argomento che appare sulla riga di comando per un processo, come contrassegni, interruttori, file e Guid. - Se richiesto, inserire una descrizione opzionale dell'hash del file per il proprio riferimento futuro.
- Viene visualizzato il valore hash del file, selezionare Ripeti analisi per aggiornare l'hash del file.
- Selezionare Non mostrare messaggio di accesso negato se negato per bloccare silenziosamente il file senza che l'utente ne sia informato.
- Selezionare Ignora filtro eventi per segnalare tutti gli eventi indipendentemente da cosa è stato impostato nella Selezione eventi.
- Fare clic su Aggiungi per aggiungere l'hash file agli elementi Hash file negati per il set di regole.
L'elemento hash file viene aggiunto all'area di lavoro Negati.
Raccolta regole
Raccolte regole può contenere qualsiasi numero e combinazione di elementi, ad esempio, File, Cartella, Unità, Firma e Rete per una particolare applicazione. Tutti i file vengono negati.
- Selezionare il nodo Controllo eseguibili per un set di regole.
- Fare clic con il pulsante destro del mouse e selezionare Negato > Raccolta regole.
Viene visualizzata la finestra di dialogo Selezione raccolta regole. - Selezionare la casella di controllo Aggiungi alla regola per le raccolte da aggiungere al set di regole.
- Una volta selezionata una raccolta è possibile selezionare:
- Nega in modo silenzioso - blocca gli elementi senza visualizzare alcun messaggio.
- Ignora filtro eventi - segnala tutti gli eventi indipendentemente da quanto impostato nella Selezione eventi.
- Fare clic su OK per aggiungere le raccolte alle Raccolte regole negate per il set di regole.
La raccolta regole viene aggiunta all'area di lavoro Negati.