Запрещенные элементы

В этом разделе:

О запрещенных элементах

Добавляйте запрещенные элементы в наборы правил для ограничения доступа к определенным элементам. Запрещенные элементы отображаются в списке "Запрещенные элементы" для выбранного набора правил.

Если вы используете вариант по умолчанию, который примеяется для доверия всем локально установленным приложениям доверенного владельца, вам лишь нужно добавить определенные приложения, которые не должны запускаться пользователями. Например, вы можете добавить средства администрирования, такие как инструменты управления и редактирования реестра.

Вам не нужно использовать этот список для запрещения приложений, которые не принадлежат администратору, поскольку они будут блокированы функцией проверки доверенного владения.

Функция перемещения в Управление приложениями может использоваться для добавления файлов, папок, дисков и элементов подписей из Проводника Windows или для копирования или перемещения элементов между разрешенными и запрещенными элементами в каждой основной конфигурации.

Файл

Если указано имя файла, например, myapp.exe, тогда все его экземпляры будут запрещены независимо от местоположения приложения. Если файл указан с полным путем, например, \\имя_сервера\sharename\myapp.exe, тогда запрещен будет только этот экземпляр приложения.

  1. Выберите узел Управление исполняемыми файлами для набора правил.
  2. Нажмите правой кнопкой мыши и выберите Запрещено > Файл.
    Отобразится диалог "Добавить файл".
  3. На вкладке "Свойства" нажмите в текстовом поле кнопку с многоточием (...):
  4. В диалоге "Открыть" перейдите к файлу, который нужно добавить, и нажмите OK.
    Если необходимо, вы можете выбрать следующее:
    • Подставлять переменные среды там, где это возможно
    • Использовать регулярные выражения
  5. Введите дополнительные аргументы командной строки в текстовом поле Аргументы. Введите все аргументы по порядку для проводника процессов.
    Аргументы командной строки расширяют критерии соответствия, указанные в поле "Файл". Если добавлен аргумент, и файл и аргумент должны использоваться для проверки соответствия. Можно добавить любой аргумент, который указывается в командной строке для процесса, например, флаги, переключатели, файлы и идентификаторы.

Запрещенный файл

Разрешенный файл

Результат

shutdown.exe

shutdown.exe

Аргументы: -r -t 30

shutdown.exe работает только с параметрами "-r -t 30" в командной строке - все остальное, запускаемое командой shutdown.exe, запрещено.

Для правильной конфигурации разрешенных или запрещенных элементов они должны отображаться в обозревателе процессов, например:

Файл: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

Командная строка: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

Допустимая конфигурация:

Файл: Абсолютный или относительный путь приложения winword.exe

Аргументы: /n C:\example.docx

  1. Если необходимо, введите дополнительное описание файла для дальнейшего использования.
  2. Выберите Не отображать сообщение о запрещении доступа для автоматической блокировки файла, не информируя об этом пользователя.
  3. Выберите Игнорировать фильтрацию событий для создания всех событий независимо от установленного в диалоге Выбор событий.
  4. Для добавления метаданных в файл откройте вкладку Метаданные.
  5. Для автоматического заполнения полей выберите Заполнять метаданные из файла.

    6. Можно заполнить следующие поля: имя продукта, поставщик, название компании, описание файла, версия файла и версия продукта.

    Вы можете уточнить любые данные, установив необходимый параметр и изменив поля.

    Если включены метаданные поставщика, станет доступен следующий параметр - Проверить сертификат во время выполнения. Когда этот параметр включен, агент проверяет соответствие файла белому списку сертификата. Нажмите Параметры проверки для открытия дополнительного набора критериев, используемых при сравнении.

    Для получения дополнительной информации см. раздел Параметры проверки.

  6. Нажмите Добавить для добавления файла в список запрещенных исполняемых файлов для набора правил.
    Файл будет добавлен в рабочую зону "Запрещенные элементы".

Папка

Можно указать полный путь папки, например, \\servername\servershare\myfolder, и все ее приложения и вложенные папки будут запрещены. Не выполняется никаких проверок файлов в папке, и поэтому любой файл, скопированный в эту папку, будет запрещен.

Если вы добавите сетевой файл или путь папки, вы должны использовать имя UNC, так как агент Управление приложениями игнорирует любые пути, которые сконфигурированы с буквами дисков, отличных от локальных фиксированных дисков. Пользователь может получить доступ к сетевому приложению с помощью буквы сетевого диска после преобразования пути в формат UNC перед его сравнением с настройками конфигурации. Универсальные символы обеспечивают дополнительный уровень управления для указания путей конкретных файлов.

  1. Выберите узел Управление исполняемыми файлами для набора правил.
  2. Нажмите правой кнопкой мыши и выберите Запрещено > Папка.
    Отобразится диалог "Добавить папку".
  3. На вкладке "Свойства" нажмите в текстовом поле кнопку с многоточием (...):
  4. В диалоге "Открыть" перейдите к папке, которую нужно добавить, и нажмите OK.
    Если необходимо, вы можете выбрать следующее:
    • Подставлять переменные среды там, где это возможно
    • Использовать регулярные выражения
    • Включать вложенные папки
  5. Если необходимо, введите дополнительное описание папки для дальнейшего использования.
  6. Выберите Не отображать сообщение о запрещении доступа для автоматической блокировки папки, не информируя об этом пользователя.
  7. Выберите Игнорировать фильтрацию событий для создания всех событий независимо от установленного в диалоге Выбор событий.
  8. Для добавления метаданных в папку перейдите на вкладку Метаданные:
  9. Для автоматического заполнения полей выберите Заполнять метаданные из файла.

    10. Можно заполнить следующие поля: имя продукта, поставщик, название компании, описание файла, версия файла и версия продукта.

    Вы можете уточнить любые данные, установив необходимый параметр и изменив поля.

    Если включены метаданные поставщика, станет доступен следующий параметр - Проверить сертификат во время выполнения. Когда этот параметр включен, агент проверяет соответствие файла белому списку сертификата. Нажмите Параметры проверки для открытия дополнительного набора критериев, используемых при сравнении.

    Для получения дополнительной информации см. раздел Параметры проверки.

  10. Нажмите Добавить для добавления папки в список запрещенных для использования папок для набора правил.
    Папка будет добавлена в рабочую зону "Запрещено".

Диск

Можно указать диск полностью, например W, и все приложения на этом диске, включая вложенные папки, будут запрещены. Проверка файлов на диске не будет выполняться, и поэтому любые файлы, скопированные в любую папку на этом диске, будут запрещены.

Позволяет вам указать запрещенные для использования диски.

  1. Выберите узел Управление исполняемыми файлами для набора правил.
  2. Нажмите правой кнопкой мыши и выберите Запрещено > Диск.
    Отобразится диалог "Добавить диск".
  3. Укажите букву диска для запрещения и описание.
  4. Выберите Не отображать сообщение о запрещении доступа для автоматической блокировки диска, не информируя об этом пользователя.
  5. Нажмите Добавить для добавления элемента диска в список запрещенных исполняемых файлов.

Хеш файла

Файл может быть добавлен с цифровым хэшем. Это гарантирует, что только этот конкретный файл будет запрещен для запуска из любого места.

Позволяет вам добавлять запрещенные исполняемые элементы с помощью хэша файлов.

  1. Выберите узел Управление исполняемыми файлами для набора правил.
  2. Нажмите правой кнопкой мыши и выберите Запрещено > Хеш файла.
    Отобразится "Добавить хэш файла".
  3. На вкладке "Свойства" нажмите в текстовом поле кнопку с многоточием (...):
  4. В диалоге "Открыть" перейдите к хэшу файлу, который нужно добавить, и нажмите OK.
  5. Введите дополнительные аргументы командной строки в текстовом поле Аргументы. Введите все аргументы по порядку для проводника процессов.
    Аргументы командной строки расширяют критерии соответствия, указанные в поле "Файл". Если добавлен аргумент, и файл и аргумент должны использоваться для проверки соответствия. Можно добавить любой аргумент, который указывается в командной строке для процесса, например, флаги, переключатели, файлы и идентификаторы.
  6. Если необходимо, введите дополнительное описание хэша файла для дальнейшего использования.
  7. Значение хэша файла будет отображено - выберите Повторить сканирование для обновления хэша файла.
  8. Выберите Не отображать сообщение о запрещении доступа для автоматической блокировки файла, не информируя об этом пользователя.
  9. Выберите Игнорировать фильтрацию событий для создания всех событий независимо от установленного в диалоге Выбор событий.
  10. Нажмите Добавить для добавления хэша файла в список запрещенных элементов хэшей для набора правил.
    Элемент хеша файла будет добавлен в рабочую зону "Запрещено".

Коллекция правил

Коллекции правил могут содержать любое количество и комбинацию элементов, например, файл, папка, диск, подпись и сеть для конкретного приложения. Все их файлы будут запрещены.

  1. Выберите узел Управление исполняемыми файлами для набора правил.
  2. Нажмите правой кнопкой мыши и выберите Запрещено > Коллекция правил.
    Отобразится диалог выбора коллекции правил.
  3. Установите параметр Добавить в правило для коллекций, которые нужно поместить в набор правил.
  4. После выбора коллекции вы можете:
    • Автоматический запрет - блокирует элементы без отображения каких-либо сообщений.
    • Игнорировать фильтрацию событий - формирует все события независимо от установленного в диалоге Выбор событий.
  5. Нажмите OK для добавления коллекций в список "Запрещенные коллекции правил" для набора правил.
    Коллекция правил будет добавлена в рабочую зону "Запрещено".

Родственные темы

Разрешенные элементы