Настройки агента: Application Control

Сервис > Безопасность и соответствие > Настройки агента > Безопасность > Endpoint security > Управление приложениями (Tools > Security and Compliance > Agent settings > Security > Endpoint security > Application control)

Используйте это диалог для создания и изменения настроек управления приложениями защиты конечных систем (EPS) (файл конфигурации). При создании настроек EPS сначала определяется общие требования и действия, а затем добавляются конкретные сертификации файлов. Можно создать любое количество настроек EPS, а также изменять их в любое время.

Если требуется изменить настройки EPS по умолчанию для устройства без переустановки агента EPS или повторного развертывания полной конфигурации агента, внесите необходимые изменения в любые из параметров в данном диалоговом окне настроек, назначьте новые настройки задаче изменения настроек и затем выполните развертывание этой задачи изменения настроек на целевых устройствах.

В этом диалоговом окне находятся следующие страницы:

Страница общих настроек

Используйте эту страницу для наименования вашей настройки приложения Application Control. Выберите Установить по умолчанию (Set as default), если это то, что вам необходимо.

Страница "Защита приложений" (Application protection)

Используйте данную страницу, чтобы задать общие настройки защиты и действия для системы EPS.

  • Включить защиту действий приложения (Enable application behavior protection): Включает защиту EPS, что разрешает запуск всех программ (кроме случаев, когда работа программы угрожает безопасности системы) в соответствии с предварительно заданными правилами защиты. Файлам программ можно предоставлять специальные права с помощью списков доверенных файлов, настраивая пользовательские сертификации файлов. Функция защиты EPS отслеживает поведение приложений (разрешено ли приложению изменять другой исполняемый файл, изменять реестр и т. д.) и применяет правила безопасности.
    • Предотвращать шифрование (MBR) (Prevent master boot record (MBR) encryption): Блокируйте доступ к основной загрузочной записи (MBR), помогая защитить клиентов от программ-вымогателей, которые могут зашифровать MBR.
    • Авто-обнаруживать и помещать в черный список вредоносные программы (Auto-detect and blacklist crypto-ransomware): Агент EPS будет отслеживать процесс шифрования и, если оно будет обнаружено, EPS остановит процесс, попытается удалить его из списка автозагрузки, а затем добавит в список запрещений. EPS будет обнаруживать процессы шифрования по мере возможности, но скорее всего, некоторые файлы будут зашифрованы до того, как процесс будет остановлен. Мы рекомендуем использовать правила защиты файлов для их защиты от шифрования вредоносными программами.

О защите приложений: Страница "Правила защиты файлов" (File protection rules)

Используйте данную страницу для просмотра правил защиты файлов, управления ими и назначения им приоритетов. Правила защиты файлов представляют собой набор ограничений, которые предотвращают выполнение исполняемыми программами определенных действий над заданными файлами. С помощью правил защиты файлов можно разрешать и запрещать осуществление любой программой доступа, изменения, создания и выполнения по отношению к любому файлу.

По умолчанию включены следующие правила:

  • Защитить файлы Word, PowerPoint и Excel от шифрования вымогателями (Protect Word, PowerPoint and Excel files from being encrypted by a ransomware): Когда этот параметр установлен, ПО Endpoint Security будет разрешать только процессам Word, PowerPoint и Excel изменять файлы Word, PowerPoint и Excel (пользователи по-прежнему смогут копировать/вставлять эти файлы). Если вредоносное ПО работает на конечной системе, оно не сможет зашифровать эти типы файлов. В случае атаки программы-вымогателя администратор сможет удаленно управлять зараженным устройством и скопировать нетронутые документы в безопасное место, обеспечивая более быстрое восстановление, поскольку конечный пользователь получит последнюю версию своих файлов без необходимости их восстановления из старой резервной копии.
  • Предотвращать выполнение сценариев из Word, PowerPoint или Excel (Prevent script execution from Word, PowerPoint, or Excel): Распространенный метод заражения конечных систем - убеждение конечного пользователя запустить макрокоманду внутри документа Word или Excel. В большинстве случаев макрокоманда запускает PowerShell или другой сценарий, который загружает вредоносное ПО на устройство. Когда этот параметр установлен, ПО Endpoint Security будет запрещать выполнение макрокоманд в PowerShell, Visual Basic и других сценариях. В результате, если конечный пользователь запустит макрокоманду, содержащую сценарий, последний не будет запущен, что блокирует запуск вредоносной программы. Сама макрокоманда продолжит работать.

На данной странице доступны следующие дополнительные параметры:

  • Правила защиты (Protection rules): Отображение списка предварительно заданных (используемых по умолчанию) правил защиты файлов, предоставленных Ivanti, а также всех созданных вами правил защиты файлов.
    • Имя правила (Rule name): Идентификация правила защиты файлов.
    • Ограничения (Restrictions): Отображение определенных действий программ над файлами, которые ограничены правилом защиты файлов.
    • Программы (Programs): Отображение исполняемых программ, защищенных правилом защиты файлов.
  • Вниз\Вверх (Move Up \ Down): Определяет приоритет правила защиты файлов, а именно, чем выше правило защиты файлов расположено в списке, тем больший приоритет оно имеет. Например, можно создать правило, ограничивающее для программы доступ к определенному файлу или типу файлов и их изменение, а затем создать другое правило, которое разрешает исключение из указанного ограничения для одной или нескольких программ. Пока второе правило находится в списке выше первого, оно применяется.
  • Сброс (Reset): Восстановление предварительно заданных (используемых по умолчанию) правил защиты файлов, предоставленных Ivanti.
  • Добавить (Add): Открытие диалогового окна "Настройка правила защиты файлов" (Configure file protection rule), в котором можно добавлять и удалять программы и файлы и задавать ограничения.
  • Правка (Edit): Открытие диалогового окна "Настройка правила защиты файлов" (Configure file protection rule), в котором можно изменить существующее правило защиты файлов.
  • Исключить (Delete): Удаление правила защиты файлов из базы данных главного сервера.

NOTE: Правила защиты файлов хранятся в файле FILEWALL.XML, расположенном в: ProgramFiles\Landesk\ManagementSuite\ldlogon\AgentBehaviors\EPS_Behavior.ZIP

О защите приложений: Использование дополнительных возможностей и белых списков: Страницы "Дополнительно" (Advanced)

Используйте данную страницу для настройки режима работы защиты EPS.

  • Режим отслеживания действий приложений (Application behavior mode): Указывает режим защиты, используемый при включении защиты EPS. Выберите один из следующих режимов работы:
    • Блокировка (Blocking): Нарушения безопасности блокируются И записываются в файле журнала действий на главном сервере.
    • Изучение (Learning): Разрешены все нарушения безопасности приложений, но при этом отслеживается (или изучается) поведение приложений, а полученные сведения отправляются назад в базу данных главного сервера в список доверенных файлов. Используйте этот режим работы для обнаружения поведения приложений на конкретном устройстве или наборе устройств, а затем используйте полученные сведения для настройки политик EPS перед развертыванием и внедрением защиты EPS в сети.
    • Только ведение журнала (Log only): Нарушения безопасности разрешаются И записываются в файле журнала действий на главном сервере.
    • Скрытая (Silent): Нарушения безопасности блокируются и НЕ записываются в файле журнала действий на главном сервере

Страница 'О белых списках' (About the Whitelisting)

  • Включить защиту с помощью белого списка (Enable whitelist protection): Если этот параметр установлен, разрешается запуск только тех приложений, которые указаны в списке доверенных файлов и в сертификации файлов которых включен параметр разрешения выполнения.
  • Запретить использовать Windows для изменения или удаления исполняемых файлов (Проводник Prevent Windows Explorer from modifying or deleting executable files): Этот параметр используется если необходимо запретить использовать Windows для изменения или удаления исполняемых файлов.
  • Использовать "хорошую репутацию" файлов, если они есть в списке доверенных файлов (Treat "good reputation" files as if they are in the associated trusted files list): Если этот параметр установлен, обеспечивается автоматическое доверие для файлов, которые находятся в базе данных Ivanti и известны как доверенные файлы. Для получения дополнительной информации см. раздел Использование репутации файлов для ограничения приложений.
  • Использовать "плохую репутацию" файлов, если они есть в черном списке (Treat "bad reputation" files as if they are in the blacklist): Запрещает доступ к файлам, которые находятся в базе данных Ivanti как плохие файлы.

Диалог "Настройка правила защиты файлов" (Configure file protection rule)

Используйте данную страницу для настройки правил защиты файлов.

  • Имя правила (Rule name): Описательное имя правила защиты файлов.
  • Отслеживаемые программы
    • Все программы (All programs): Запрет всем исполняемым программам выполнять выбранные ниже действия для выбранных ниже файлов.
    • Перечисленные программы (Programs named): Применение выбранных ниже ограничений только к перечисленным исполняемым программам.
    • Применить, если процесс, это последовательность выполнения (Apply if process is in the execution chain): Программы могут запускать другие программы. Если отслеживаемая программа находится в цепочке выполнения, примените правило, даже если отслеживаемая программа не является программой, обращающейся к защищенным файлам.
    • Разрешать доверенные файлы для пропуска правила (Allow trusted files to bypass rule): Разрешение исполняемым программам, относящимся к списку сертифицированных файлов, обходить ограничения, связанные с данным правилом защиты файлов.
    • Добавить (Add): Используется для выбора программ, ограничиваемых правилом защиты файлов. Можно использовать имена файлов и символы шаблона.
    • Правка (Edit): Используется для изменения имени программы.
    • Исключить (Delete): Удаление программы из списка.
  • Защищенные файлы
    • Любой файл (Any file): Защита всех файлов от указанных выше программ в соответствии с их ограничениями.
    • Файлы с именами (Files named): Защита только файлов, указанных в данном списке.
    • Добавить (Add): Позволяет выбирать файл или файлы, защищаемые правилом. Можно использовать имена файлов или символы шаблона.
    • Правка (Edit): Используется для изменения имени файла.
    • Исключить (Delete): Удаление файла из списка.
    • Применить к подкаталогам (Apply to sub-directories too): Распространение действия правил защиты файлов на все подкаталоги указанного каталога.
    • Применять только для файлов, загруженных из Интернета (Apply only to files downloaded from the internet): Только загруженные из Интернета файлы будут защищены от отслеживаемых программ.
  • Ограничение действий с защищенными файлами
    • Доступ для чтения (Read access): Предотвращение доступа указанных выше программ к защищенным файлам.
    • Изменение (Modification): Предотвращение внесения изменений указанными выше программами в защищенные файлы.
    • Создание (Creation): Предотвращение создания файлов указанными выше программами.
    • Выполнение (Execution): Предотвращение запуска защищенных файлов указанными выше программами.