Настройки конфигурации приложения Application Control

Вы можете сконфигурировать функциональность Application Control в редакторе конфигураций Application Control. Это доступно из нескольких мест на консоли Security Controls.

Создать > Конфигурация управления приложениями

Нажмите правой кнопкой мышы "Конфигурации Application Control", а затем выберите "Новая конфигурация управления приложениями"

Создать > Политика агентов > Application Control > Создать.

Имейте в виду, что это назначит конфигурацию для политики после сохранения.

Самый верхний узел функции настроек конфигурации содержит три вкладки:

Функции

Алгоритм хэширования

Дополнительные настройки

Функции

Выберите для включения следующих функций Application Control для этой конфигурации:

Управление исполняемыми файлами

Управление привилегиями

Управление браузером

Управление исполняемыми файлами

Управление исполняемыми файлами работает с использованием конфигурации:

Доверенное владение - во время обработки правила выполняется процесс проверки доверенного владения файлов и папок для подтверждения владения элементами в соответствии со списком указанных доверенных владельцев в конфигурации.

Уровни безопасности - указание уровней ограничений для неавторизованных исполняемых файлов.

Разрешенные и запрещенные элементы - предоставление или запрет доступа к конкретным элементам, применяемым для набора привил.

Управление привилегиями

Управление привилегиями позволяет вам создавать повторно используемые политики управления привилегиями, которые могут быть ассоциированы с любыми наборами правил и могут повышать или ограничивать доступ к файлам, папкам, дискам, хэшам файлов и компонентам Панели управления. Более точный уровень управления позволяет вам назначать конкретные привилегии для отладки или установки программного обеспечения, или для установки уровней интеграции для управления взаимодействием различных продуктов, таких как Microsoft Outlook и Microsoft Word.

Компонент управления привилегиями содержит четыре основные функции:

  • Управление повышением привилегий для приложений.
  • Управление повышением привилегий для компонентов Панели управления и фрагментов управления.
  • Управление снижением привилегий для приложений.
  • Управление снижением привилегий для компонентов Панели управления и фрагментов управления.

Управление браузером

Используйте эту функцию для автоматического перенаправления пользователей, когда они пытаются открыть указанный URL-адрес. Определив список запрещенных URL-адресов, вы сможете перенаправить любого пользователя, который попытается получить доступ к указанным URL-адресам, на страницу предупреждения по умолчанию или на особую веб-страницу. Вы также можете разрешить определенные URL-адреса, которые в сочетании с перенаправлениями обеспечивают дополнительную гибкость и управление, а также позволяют создать список разрешенных веб-сайтов.

Перед конфигурацией этой функции для Internet Explorer нужно включить расширения сторонних компаний с помощью настроек Интернета на каждой конечной системе. Иначе это может быть применено с помощью групповой политики.

Перенаправление URL-адресов совместимо с Internet Explorer 8, 9, 10 и 11. Во время использования Chrome все управляемые конечные системы должны быть частью домена.

Алгоритм хэширования

Предоставленный хэш файла позволяет точно идентифицировать файл в соответствии с его фактическим содержимым. Каждый файл обрабатывается в зависимости от его содержимого и цифрового хеша, который может быть связан с созданным отпечатком пальца. Управление приложениями делает доступными хэши отраслевых стандартов SHA-1, SHA-256 и Adler-32. Если файл был изменен, то хэш также изменяется.

Цифровой хэш является исключительным методом проверки безопасности вследствие его точности. Он идентифицирует каждый файл независимо от всех других факторов, кроме самого файла. Например, администратор получает цифровой хэш для всех исполняемых файлов на компьютере и записывает его. Затем пользователь пытается запустить приложение. Вычисляется цифровой хэш приложения, и затем сравнивается с записанными значениями. Если будет обнаружено соответствие, приложение получает возможность выполнения, а в противном случае оно запрещается. Эта методология также обеспечивает "защиту нулевого дня", поскольку она не только препятствует использованию новых приложений, но и блокирует любые приложения, зараженные вредоносным ПО.

Хотя хеширование файлов обеспечивают защиту, аналогичную доверенному владению, вы также должны подумать об использовании средств управления временем и безопасностью. Приложения постоянно обновляются с уровнями продукта, исправлениями ошибок и уязвимостей. Это означает, что все ассоциированные файлы также постоянно обновляются. Таким образом, например, если к продукту Microsoft Office применяется уровень продукта, то для работы обновленных компонентов теперь необходимо создать новые цифровые хеши обновленных файлов. Убедитесь, что они доступны, когда доступно обновление, чтобы избежать простоев. Кроме того, рекомендуется удалить старый хэш.

Дополнительные настройки

Дополнительные настройки позволяют вам конфигурировать параметры, которые будут применяться на управляемых конечных системах после развертывания конфигурацииУправление приложениями. Если установлена новая конфигурация, содержащая новые расширенные настройки, все ранее существующие на конечной системе дополниельные настройки будут удалены.

На вкладке "Дополнительные настройки" нажмите правой кнопкой мыши в рабочей области и выберите Добавить для отображения списка доступных расширенных настроек. Настройки используются во время развертывания конфигурации на управляемых конечных системах.

Родственные темы

Об управлении исполняемыми файлами

Управление привилегиями

Об управлении браузерами

Настройки конфигурации управления исполняемыми файлами

Настройки конфигурации управления привилегиями