Набор правил управления привилегиями
В этом разделе:
•Системные элементы управления
Приложения
Для выключения элемента выделите его, нажмите правой кнопкой мыши и выберите Изменить состояние. Так выполняется переключение между выключением и включением. Это может быть полезно во время поиска и устранения неисправностей вместе со службой поддержки.
Добавить файл
1.Выберите узел Управление привилегиями для набора правил.
2.Нажмите правой кнопкой мыши и выберите Приложение > Файл.
Отобразится диалог "Добавить файл для управления привилегиями пользователей".
3.На вкладке "Свойства" нажмите в текстовом поле кнопку с многоточием (...):
4.В диалоге "Открыть" перейдите к файлу, который нужно добавить, и нажмите OK.
Если необходимо, вы можете выбрать следующее:
•Подставлять переменные среды там, где это возможно
•Использовать регулярные выражения
•Сделать файл разрешенным элементом. Если параметр установлен, вы также можете разрешить выполнение файла, даже если он не принадлежат доверенному владельцу.
5.Введите дополнительные аргументы командной строки в текстовом поле Аргументы. Введите все аргументы по порядку для проводника процессов.
6.Аргументы командной строки расширяют критерии соответствия, указанные в поле "Файл". Если добавлен аргумент, и файл и аргумент должны использоваться для проверки соответствия. Можно добавить любой аргумент, который указывается в командной строке для процесса, например, флаги, переключатели, файлы и идентификаторы.
Примеры допустимых аргументов см. в разделе Примеры аргументов.
|
Запрещенный файл |
Разрешенный файл |
Результат |
|---|---|---|
|
shutdown.exe |
shutdown.exe Аргументы: -r -t 30 |
shutdown.exe работает только с параметрами "-r -t 30" в командной строке - все остальное, запускаемое командой shutdown.exe, запрещено. |
Для правильной конфигурации разрешенных или запрещенных элементов они должны отображаться в обозревателе процессов, например:
Файл: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE
Командная строка: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx
Допустимая конфигурация:
Файл: Абсолютный или относительный путь приложения winword.exe
Аргументы: /n C:\example.docx
1.Для применения политики выберите ее в раскрывающемся списке раздела "Политика".
2.Можно выбрать следующие параметры для политики:
•Применить к дочерним процессам
•Применить к обычным диалогам
•Установить в качестве доверенного владельца
3.Если необходимо, введите дополнительное описание файла для дальнейшего использования.
4.Для добавления метаданных в файл перейдите на вкладку Метаданные:
5.Для автоматического заполнения полей выберите Заполнять метаданные из файла.
Можно заполнить следующие поля: имя продукта, поставщик, название компании, описание файла, версия файла и версия продукта.
Вы можете уточнить любые данные, установив необходимый параметр и изменив поля.
Если включены метаданные поставщика, станет доступен следующий параметр - Проверить сертификат во время выполнения. Когда этот параметр включен, агент проверит соответствие файлу белого списка сертификатов. Нажмите Параметры проверки для открытия дополнительного набора критериев, используемых при сравнении.
Для получения дополнительной информации см. раздел Параметры проверки.
6.Нажмите Добавить для добавления файла в набор правил.
Элемент файла будет добавлен в вид "Приложения" рабочей зоны "Управление привилегиями".
Добавить папку
1.Выберите узел Управление привилегиями для набора правил.
2.Нажмите правой кнопкой мыши и выберите Приложение > Папка.
Отобразится диалог "Добавить папку" для управления привилегиями пользователей.
3.На вкладке "Свойства" нажмите в текстовом поле кнопку с многоточием (...):
4.В диалоге "Открыть" перейдите к папке, которую нужно добавить, и нажмите OK.
Если необходимо, вы можете выбрать следующее:
•Подставлять переменные среды там, где это возможно
•Включать вложенные папки
•Использовать регулярные выражения
•Сделать папку разрешенным элементом. Если параметр установлен, вы также можете разрешить выполнение файлов, даже если они не принадлежат доверенному владельцу.
5.Для применения политики выберите ее в раскрывающемся списке раздела "Политика".
6.Можно выбрать следующие параметры для политики:
•Применить к дочерним процессам
•Применить к обычным диалогам
•Установить в качестве доверенного владельца
7.Если необходимо, введите дополнительное описание папки для дальнейшего использования.
8.Для добавления метаданных в папку перейдите на вкладку Метаданные:
9.Для автоматического заполнения полей выберите Заполнять метаданные из файла.
Можно заполнить следующие поля: имя продукта, поставщик, название компании, описание файла, версия файла и версия продукта.
Вы можете уточнить любые данные, установив необходимый параметр и изменив поля.
Если включены метаданные поставщика, станет доступен следующий параметр - Проверить сертификат во время выполнения. Когда этот параметр включен, агент проверит соответствие файлу белого списка сертификатов. Нажмите Параметры проверки для открытия дополнительного набора критериев, используемых при сравнении.
Для получения дополнительной информации см. раздел Параметры проверки.
10.Нажмите Добавить для добавления папки в набор правил.
Элемент папки будет добавлен в вид "Приложение" рабочей зоны "Управление привилегиями".
Добавить хэш файла
Позволяет вам указать новый хэш файла, для которого будет применена выбранная политика. Для получения подробной информации о добавлении хэша файла.
1.Выберите узел Управление привилегиями для набора правил.
2.Нажмите правой кнопкой мыши и выберите Приложение > Хеш файла.
Отобразится диалог "Добавить хэш файла" для управления привилегиями пользователей.
3.На вкладке "Свойства" нажмите в текстовом поле кнопку с многоточием (...):
4.В диалоге "Открыть" перейдите к хэшу файлу, который нужно добавить, и нажмите OK.
•Сделайте хэш файла разрешенным элементом. Выберите для добавления хэша файла для списка разрешенных элементов.
5.Введите дополнительные аргументы командной строки в текстовом поле Аргументы. Введите все аргументы по порядку для проводника процессов.
6.Аргументы командной строки расширяют критерии соответствия, указанные в поле "Файл". Если добавлен аргумент, и файл и аргумент должны использоваться для проверки соответствия. Можно добавить любой аргумент, который указывается в командной строке для процесса, например, флаги, переключатели, файлы и идентификаторы.
7.Для применения политики выберите ее в раскрывающемся списке раздела "Политика".
8.Можно выбрать следующие параметры для политики:
•Применить к дочерним процессам
•Применить к обычным диалогам
•Установить в качестве доверенного владельца
9.Если необходимо, введите дополнительное описание хэша файла для дальнейшего использования.
10.Значение хэша файла будет отображено - выберите Повторить сканирование для обновления хэша файла.
11.Нажмите Добавить для добавления хэша файла в набор правил.
Элемент хеша файла будет добавлен в вид "Приложение" рабочей зоны "Управление привилегиями".
Добавить коллекцию правил
1.Выберите узел Управление привилегиями для набора правил.
2.Нажмите правой кнопкой мыши и выберите Приложение > Коллекция правил.
Отобразится диалог выбора коллекции правил.
3.Установите параметр Добавить в правило для коллекций, которые нужно поместить в набор правил.
4.После выбора коллекции вы можете указать следующие настройки:
•Разрешить - выберите, чтобы сделать коллекцию правил разрешенным элементом.
•Разрешить ненадежного владельца - если установлен параметр Сделать разрешенным, вы можете выбрать его для разрешения выполнения файлов, даже если они не принадлежат доверенному владельцу.
•Применить к дочерним процессам - выберите для применения настроек ко всем дочерним процессам.
•Применить к обычным диалогам - выберите для применения к обычным диалогам.
•Установить в качестве доверенного владельца - выберите для установки в качестве доверенного владельца.
5.Нажмите OK для добавления коллекций в вид "Приложения" в рабочей зоне "Управление привилегиями".
Компоненты
Добавить комментарий - ыотображает диалог "Выберите компоненты".
Отфильтруйте вид по поддерживаемой операционной системе и выберите имя панели управления, и компонентов снапинов управления, которые вы хотите добавить в правило.
Самоповышение доверия
Включить самоповышение доверия - выберите для включения самоповышения доверия и применения необходимой настройки:
•Только применять самоповышение к элементам следующего списка
•Применять самоповышение ко всем элементам, кроме тех, что в следующем списке
Параметры - отображает диалог параметров самоповышения доверия.
Параметры самоповышения доверия
| Параметр | Описание |
|---|---|
| Разрешить элементы | Сделайте элементы правил разрешенными элементами и перезапишите любые связанные разрешенные элементы. |
| Разрешить выполнение элементов, даже если они не принадлежат доверенному владельцу |
Этот параметр доступен после выбора "Разрешить элементы". После выбора все элементы правила будут выполняться независимо от владельца. |
| Применить к дочерним процессам | По умолчанию политика самоповышения доверия применяется к элементам правил, не наследуемым дочерними процессами. Установите параметр для непосредственного применения политики к дочернему элементу родительского процесса. |
| Применить к обычным диалогам | Выполните повышение уровня доступа для параметров меню Windows для открытия и сохранения файлов, когда файл или папка получили повышение доверия. По умолчанию никакие общие диалоги не имеют повышения доверия. |
| Установить в качестве доверенного владельца | Сделайте локального администратора владельцем всех файлов, создаваемых указанным приложением. Этот параметр не применяется к обычным приложениям - только к пакетам установщиков. |
| Скрыть параметр Windows, 'Выполнить от имени администратора', для элементов с самоповышением доверия | Скройте параметр 'Выполнить от имени администратора' в меню ярлыка Windows |
Добавить файл для самоповышения доверия
1.Выберите узел Управление привилегиями для набора правил.
2.Нажмите правой кнопкой мыши и выберите Самоповышение доверия > Файл.
Отобразится диалог "Добавить файл для самоповышения доверия".
3.На вкладке "Свойства" нажмите в текстовом поле кнопку с многоточием (...):
4.В диалоге "Открыть" перейдите к файлу, который нужно добавить, и нажмите OK.
Если необходимо, вы можете выбрать следующее:
•Подставлять переменные среды там, где это возможно
•Использовать регулярные выражения
5.Если необходимо, введите дополнительное описание папки для дальнейшего использования.
6.Выберите вкладку "Метаданные".
7.Для автоматического заполнения полей выберите Заполнять метаданные из файла.
Можно заполнить следующие поля: имя продукта, поставщик, название компании, описание файла, версия файла и версия продукта.
Вы можете уточнить любые данные, установив необходимый параметр и изменив поля.
Если включены метаданные поставщика, станет доступен следующий параметр - Проверить сертификат во время выполнения. Когда этот параметр включен, агент проверит соответствие файлу белого списка сертификатов. Нажмите Параметры проверки для открытия дополнительного набора критериев, используемых при сравнении.
Для получения дополнительной информации см. раздел Параметры проверки.
8.Нажмите Добавить для добавления файла в набор правил.
Элемент файла будет добавлен вид "Самоповышение доверия" рабочей зоны "Управление привилегиями".
Добавить папку для самоповышения доверия
1.Выберите узел Управление привилегиями для набора правил.
2.Нажмите правой кнопкой мыши и выберите Самоповышение доверия > Папка.
Отобразится диалог "Добавить папку для самоповышения доверия".
3.На вкладке "Свойства" нажмите в текстовом поле кнопку с многоточием (...):
4.В диалоге "Открыть" перейдите к папке, которую нужно добавить, и нажмите OK.
Если необходимо, вы можете выбрать следующее:
•Подставлять переменные среды там, где это возможно
•Использовать регулярные выражения
•Включать вложенные папки
5.Если необходимо, введите дополнительное описание папки для дальнейшего использования.
6.Выберите вкладку "Метаданные".
7.Для автоматического заполнения полей выберите Заполнять метаданные из файла.
Можно заполнить следующие поля: имя продукта, поставщик, название компании, описание файла, версия файла и версия продукта.
Вы можете уточнить любые данные, установив необходимый параметр и изменив поля.
Если включены метаданные поставщика, станет доступен следующий параметр - Проверить сертификат во время выполнения. Когда этот параметр включен, агент проверит соответствие файлу белого списка сертификатов. Нажмите Параметры проверки для открытия дополнительного набора критериев, используемых при сравнении.
Для получения дополнительной информации см. раздел Параметры проверки.
8.Нажмите Добавить для добавления папки в набор правил.
Элемент папки будет добавлен в вид "Самоповышение доверия" рабочей зоны "Управление привилегиями".
Добавить хэш файла для самоповышения доверия
1.Выберите узел Управление привилегиями для набора правил.
2.Нажмите правой кнопкой мыши и выберите Самоповышение доверия > Хеш файла.
Отобразится диалог "Добавить хэш файла для самоповышения доверия".
3.На вкладке "Свойства" нажмите в текстовом поле кнопку с многоточием (...):
4.В диалоге "Открыть" перейдите к хэшу файлу, который нужно добавить, и нажмите OK.
5.Если необходимо, введите дополнительное описание хэша файла для дальнейшего использования.
6.Значение хэша файла будет отображено - выберите Повторить сканирование для обновления хэша файла.
7.Нажмите Добавить для добавления хэша файла в набор правил.
Элемент хеша файла будет добавлен в вид "Самоповышение доверия" рабочей зоны "Управление привилегиями".
Добавить коллекцию правил для самоповышения доверия
1.Выберите узел Управление привилегиями для набора правил.
2.Нажмите правой кнопкой мыши и выберите Самоповышение доверия > Коллекция правил.
Отобразится диалог выбора коллекции правил. Будут показаны все коллекции правила управления привилегиями.
3.Установите параметр Добавить в правило для коллекций, которые нужно поместить в набор правил.
4.Нажмите OK для добавления коллекций в вид "Приложения" в рабочей зоне "Управление привилегиями".
Системные элементы управления
Используйте возможности элементов системного управления для выполнения любых следующих действий. Параметры управления могут использоваться для повышения или ограничения доступа к указанному элементу.
•Удалить элемент управления: Используйте этот параметр для разрешения или запрета удаления установленных приложений, если были выполнены условия правила. Элементы управления удалением сконфигурированы с помощью определения управляемых приложений. Дальнейшая проверка может использоваться для цели с именем издателя и определенных версий приложения. Для разрешения или запрещения всех приложений издателя введите * в поле "Приложение" вместе с наименованием издателя.
•Элемент управления службами: Используйте этот параметр для выбора служб, которые могут быть изменены, остановлены, запущены и перезапущены после выполнения соответствия условий правил.
Служба агента является единственной службой, которую нельзя перезапустить после остановки.
Элементы управления службами могут быть сконфигурированы посредством указания отображаемого имени и/или внутреннего имени. Отображаемое имя службы может отличаться в разных локализованных операционных системах, но внутреннее имя останется прежним. Поэтому, если эта конфигурация будет работать с другими языковыми настройками, рекомендуется использовать только внутреннее имя.
•Элемент управления журнала событий: Используйте этот параметр для выбора журналов событий, которые будут или не будут очищены при выполнении условий правила. Конфигурация элементов управления журнала событий выполняется посредством выбора имени управляемого журнала или журналов.
•Элемент управления прекращением процессов: Используйте этот параметр для защиты процессов, таких как антивирусное ПО, от прекращения работы любыми пользователями, включая администраторов. Пользователи по-прежнему могут корректно останавливать процессы, например, нажав кнопку закрытия в пользовательском интерфейсе приложения, но они не могут принудительно завершить процесс, например, завершить задачу на вкладке "Информация" в Диспетчере задач. Может быть указан отдельный файл или выбраны все процессы в конкретной папке.
Кроме того, вы можете добавить метаданные для включения дополнительных критериев для соответствующих файлов и папок.