Разрешенные элементы

В этом разделе:

О разрешенных элементах

Добавьте разрешенные элементы в наборы правил для предоставления пользователям доступа к конкретным элементам без назначения им полных административных привилегий. Разрешенные элементы отображаются в списке "Разрешенные элементы" для выбранного набора правил.

Файл

Если указано имя файла, например, myapp.exe, тогда все его экземпляры будут разрешены независимо от местоположения приложения. Если файл указан с полным путем, например, \\имя_сервера\sharename\myapp.exe, тогда разрешен будет только этот экземпляр приложения. Другие экземпляры этого приложения должны соответствовать другим правилам Управление приложениями для гарантированного обеспечения выполнения.

  1. Выберите узел Управление исполняемыми файлами для набора правил.
  2. Нажмите правой кнопкой мыши и выберите Разрешено > Файл.
    Отобразится диалог "Добавить файл".
  3. На вкладке "Свойства" нажмите в текстовом поле кнопку с многоточием (...):
  4. В диалоге "Открыть" перейдите к файлу, который нужно добавить, и нажмите OK.

    5. Если необходимо, вы можете выбрать следующее:

    • Подставлять переменные среды там, где это возможно
    • Использовать регулярные выражения
  5. Введите дополнительные аргументы командной строки в текстовом поле Аргументы. Введите все аргументы по порядку для проводника процессов.
    Аргументы командной строки расширяют критерии соответствия, указанные в поле "Файл". Если добавлен аргумент, и файл и аргумент должны использоваться для проверки соответствия. Можно добавить любой аргумент, который указывается в командной строке для процесса, например, флаги, переключатели, файлы и идентификаторы.

Запрещенный файл

Разрешенный файл

Результат

shutdown.exe

shutdown.exe

Аргументы: -r -t 30

shutdown.exe работает только с параметрами "-r -t 30" в командной строке - все остальное, запускаемое командой shutdown.exe, запрещено.

Для правильной конфигурации разрешенных или запрещенных элементов они должны отображаться в обозревателе процессов, например:

Файл: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

Командная строка: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

Допустимая конфигурация:

Файл: Абсолютный или относительный путь приложения winword.exe

Аргументы: /n C:\example.docx

  1. Если необходимо, введите дополнительное описание файла для дальнейшего использования.
  2. Выберите Разрешить выполнение файла, даже если он не принадлежит доверенному владельцу для предоставления доступа к файлам пользователям, которые не являются доверенными владельцами.

    3. Проверка доверенного владения включена по умолчанию, и именно поэтому приложение всегда должно быть проверено на доверенное владение, даже если оно относится к разрешенным элементам. Хотя проверка доверенного владения может быть полностью выключена, это не рекомендуется.

  3. Выберите Игнорировать фильтрацию событий для создания всех событий независимо от установленного в диалоге Выбор событий.
  4. Для добавления метаданных в файл откройте вкладку Метаданные.
  5. Для автоматического заполнения полей выберите Заполнять метаданные из файла.

    6. Можно заполнить следующие поля: имя продукта, поставщик, название компании, описание файла, версия файла и версия продукта.

    Вы можете уточнить любые данные, установив необходимый параметр и изменив поля.

    Если включены метаданные поставщика, станет доступен следующий параметр - Проверить сертификат во время выполнения. Когда этот параметр включен, агент проверяет соответствие файла белому списку сертификата. Нажмите Параметры проверки для открытия дополнительного набора критериев, используемых при сравнении.

    Для получения дополнительной информации см. раздел Параметры проверки.

  6. Для добавления времени доступа откройте вкладку Время доступа.
  7. Периоды доступа могут назначаться только после установки параметра Выполнение файлов разрешено только в определенное время.
  8. Для применения времени доступа выберите период времени в нужном столбце дня - вы можете выделить несколько временных интервалов.
  9. Нажмите правой кнопкой мыши и выберите Новый разрешенный период, который будет отображаться затененным для указания разрешения.
  10. Повторите действия 12 - 13 для необходимого количества периодов и дней.

    11. Вы можете сконфигурировать, какие действия необходимо выполнить после выхода за пределы времени доступа в "Настройки конфигурации > Управление исполняемыми файлами > Время доступа.

  11. Для добавления лимитов приложений откройте вкладку Лимиты приложений.
  12. Выберите Включить лимиты приложений
  13. Укажите количество экземпляров приложений, которые могут быть запущены пользователем во время сеанса. Например, если предельное значение равно 1, и пользователь запустил 1 экземпляр приложения, а затем пытался открыть второй, это будет запрещено. Примечание. Это применяется по-отдельности для пользователей, а не для компьютеров.
  14. Нажмите Добавить для добавления файла в список разрешенных исполняемых файлов для набора правил.
    Файл будет добавлен в рабочую зону "Разрешенные элементы".

Папка

Можно указать полный путь папки, например, \\имя_сервера\servershare\myfolder, и все ее приложения и вложенные папки внутри этой папки будут разрешены. Никаких проверок файлов не будет выполняться в папке, и поэтому любой файл, скопированный в эту папку, будет разрешен. Выберите включение вложенных папок для добавления всех каталогов внутри указанного каталога. Если вы добавите сетевой файл или путь папки, вы должны использовать имя UNC, так как агент Управление приложениями игнорирует любые пути, которые сконфигурированы с буквами дисков, отличных от локальных фиксированных дисков. Пользователь может получить доступ к сетевому приложению с помощью буквы сетевого диска после преобразования пути в формат UNC перед его сравнением с настройками конфигурации. Для автоматического применения переменных среды выбирайте замену переменных среды там, где это возможно в диалогах "Добавить файл" или "Добавить папку". Это делает пути более общими для применения на различных компьютерах. Универсальные символы обеспечивают дополнительный уровень управления для указания путей конкретных файлов.

  1. Выберите узел Управление исполняемыми файлами для набора правил.
  2. Нажмите правой кнопкой мыши и выберите Разрешено > Папка.
    Отобразится диалог "Добавить папку".
  3. На вкладке "Свойства" нажмите в текстовом поле кнопку с многоточием (...):
  4. В диалоге "Открыть" перейдите к папке, которую нужно добавить, и нажмите OK.

    5. Если необходимо, вы можете выбрать следующее:

    • Подставлять переменные среды там, где это возможно
    • Использовать регулярные выражения
    • Включать вложенные папки
  5. Если необходимо, введите дополнительное описание папки для дальнейшего использования.
  6. Выберите Разрешить выполнение файла, даже если он не принадлежит доверенному владельцу для предоставления доступа к файлам пользователям, которые не являются доверенными владельцами.

    7. Проверка доверенного владения включена по умолчанию, и именно поэтому приложение всегда должно быть проверено на доверенное владение, даже если оно относится к разрешенным элементам. Хотя проверка доверенного владения может быть полностью выключена, это не рекомендуется.

  7. Выберите Игнорировать фильтрацию событий для создания всех событий независимо от установленного в диалоге Выбор событий.
  8. Для добавления метаданных в папку перейдите на вкладку Метаданные:
  9. Для автоматического заполнения полей выберите Заполнять метаданные из файла.

    10. Можно заполнить следующие поля: имя продукта, поставщик, название компании, описание файла, версия файла и версия продукта.

    Вы можете уточнить любые данные, установив необходимый параметр и изменив поля.

    Если включены метаданные поставщика, станет доступен следующий параметр - Проверить сертификат во время выполнения. Когда этот параметр включен, агент проверяет соответствие файла белому списку сертификата. Нажмите Параметры проверки для открытия дополнительного набора критериев, используемых при сравнении.

    Для получения дополнительной информации см. раздел Параметры проверки.

  10. Для добавления времени доступа откройте вкладку Время доступа.
  11. Периоды доступа могут назначаться только после установки параметра Выполнение файлов разрешено только в определенное время.
  12. Для применения времени доступа выберите период времени в нужном столбце дня - вы можете выделить несколько временных интервалов.
  13. Нажмите правой кнопкой мыши и выберите Новый разрешенный период, который будет отображаться затененным для указания разрешения.
  14. Повторите действия 12 - 13 для необходимого количества периодов и дней.

    15. Вы можете сконфигурировать, какие действия необходимо выполнить после выхода за пределы времени доступа в "Настройки конфигурации > Управление исполняемыми файлами > Время доступа.

  15. Нажмите Добавить для добавления папки в список "Разрешено" для использования папок для набора правил.
    Папка будет добавлена в рабочую зону "Разрешено".

Диск

Можно указать диск полностью, например W, и все приложения будут разрешены на этом диске, включая вложенные папки. Проверка файлов на диске не будет выполняться, и поэтому любые файлы, скопированные в любую папку на этом диске, будут разрешены.

Позволяет вам указать разрешенные для использования диски.

  1. Выберите узел Управление исполняемыми файлами для набора правил.
  2. Нажмите правой кнопкой мыши и выберите Разрешено > Диск.
    Отобразится диалог "Добавить диск".
  3. Укажите букву диска для разрешения и описание.
  4. Нажмите Добавить для добавления элемента диска в список "Разрешенные исполняемые файлы".

Хеш файла

Файл может быть добавлен с цифровым хэшем. Это гарантирует, что только этот конкретный файл может быть запущен из любого места.

Позволяет вам добавлять разрешенные исполняемые элементы с помощью хэша файлов.

  1. Выберите узел Управление исполняемыми файлами для набора правил.
  2. Нажмите правой кнопкой мыши и выберите Разрешено > Хеш файла.
    Отобразится "Добавить хэш файла".
  3. На вкладке "Свойства" нажмите в текстовом поле кнопку с многоточием (...):
  4. В диалоге "Открыть" перейдите к хэшу файлу, который нужно добавить, и нажмите OK.
  5. Введите дополнительные аргументы командной строки в текстовом поле Аргументы. Введите все аргументы по порядку для проводника процессов.
    Аргументы командной строки расширяют критерии соответствия, указанные в поле "Файл". Если добавлен аргумент, и файл и аргумент должны использоваться для проверки соответствия. Можно добавить любой аргумент, который указывается в командной строке для процесса, например, флаги, переключатели, файлы и идентификаторы.
  6. Если необходимо, введите дополнительное описание хэша файла для дальнейшего использования.
  7. Значение хэша файла будет отображено - выберите Повторить сканирование для обновления хэша файла.
  8. Выберите Игнорировать фильтрацию событий для создания всех событий независимо от установленного в диалоге Выбор событий.
  9. Для добавления времени доступа откройте вкладку Время доступа.
  10. Периоды доступа могут назначаться только после установки параметра Выполнение файлов разрешено только в определенное время.
  11. Для применения времени доступа выберите период времени в нужном столбце дня - вы можете выделить несколько временных интервалов.
  12. Нажмите правой кнопкой мыши и выберите Новый разрешенный период, который будет отображаться затененным для указания разрешения.
  13. Повторите действия 12 - 13 для необходимого количества периодов и дней.

    14. Вы можете сконфигурировать, какие действия необходимо выполнить после выхода за пределы времени доступа в "Настройки конфигурации > Управление исполняемыми файлами > Время доступа.

  14. Нажмите Добавить для добавления хэша файла в список "Разрешенные элементы хэшей" для набора правил.
    Элемент хеша файла будет добавлен в рабочую зону "Разрешено".

Коллекция правил

Вы можете добавить коллекцию правил в список разрешенных элементов для любого набора правил.

  1. Выберите узел Управление исполняемыми файлами для набора правил.
  2. Нажмите правой кнопкой мыши и выберите Разрешено > Коллекция правил.
    Отобразится диалог выбора коллекции правил.
  3. Установите параметр Добавить в правило для коллекций, которые нужно поместить в набор правил.
  4. После выбора коллекции вы можете:
    • Разрешить ненадежного владельца - разрешает выполнение файлов, даже если они не принадлежат доверенному владельцу.
    • Игнорировать фильтрацию событий - формирует все события независимо от установленного в диалоге Выбор событий.
  5. Нажмите OK для добавления коллекций в список "Разрешенные коллекции правил" для набора правил.
    Коллекции правил будет добавлена в рабочую зону "Разрешено".

Родственные темы

Запрещенные элементы