Member
Отправлено 27 Февраль 2023 - 06:35
приветствую..
подскажите пожалуйста, а то не очень понятно, можно ли в контроле приложений пойти по очень простому пути и, например, создать разрешающее правило используя маски так, чтобы одним правилом разрешить запуск любых EXE из Program Files..
т.е. в конечном счете получить что-то похожее на Software Restriction Policies..
[attachment=59827:Снимок экрана 2023-02-27.png]
Newbie
Отправлено 27 Февраль 2023 - 14:06
File/Name - Имя файла, каталог или маска. Поддерживаются системные переменные окружения, стандартные маски '?', '*'. Если в параметре нет слешей, то параметр преобразовывается в вид "*\name", т.е. имя в любом каталоге, иначе интерпретируется как есть.
Примеры:
c:\abc\*
*\w_*.exe
*\w_???.exe
File/Name - <Профиль> -> Разрешающее/Запрещающее правило -> <Правило> -> Совпадение по следующим параметрам -> Метаданные исполняемого файла - > Исходное имя файла (задавать в поле Исходное имя файла).
В Вашем случае можно создать правило, в Исходное имя файла указать "C:\Program Files\*.exe".
Keep yourself alive
Отправлено 27 Февраль 2023 - 14:31
в Исходное имя файла указать "C:\Program Files\*.exe"
А искать будет непосредственно в каталоге Program Files или во всех вложенных?
Newbie
Отправлено 27 Февраль 2023 - 14:55
> А искать будет непосредственно в каталоге Program Files или во всех вложенных?
Второе. Распространила группу доверенных приложений на станцию - группа запрещает запуск почти всего. Затем создала разрешающее правило с "C:\Program Files\*.exe" - фар (C:\Program Files\Far Manager\Far.exe) запустился.
Member
Отправлено 28 Февраль 2023 - 02:05
В Вашем случае можно создать правило, в Исходное имя файла указать "C:\Program Files\*.exe".
спасибо, будем тогда тестить, а то вынуждены искать альтернативу SRP и чтобы не AppLocker..
Member
Отправлено 28 Февраль 2023 - 05:02
здрасте..
тестирую.. не работает как ожидается.. мне тут описать ситуацию, создать новую тему или в поддержку напрямую обратиться?
Newbie
Отправлено 28 Февраль 2023 - 09:36
Можем продолжить тут, можно в поддержку, как Вам удобно. От Вас потребуется подробная информация о том, какую задачу решаете в контроле приложений и что пошло не так. Затем, если так просто не получится решить - нужны будут дебажные логи с отчетом и воспроизведением.
Смотрящий
Отправлено 02 Март 2023 - 15:20
лучше тут, я тоже слушаю
Member
Отправлено 06 Март 2023 - 02:11
да, щас после праздников всех потихоньку начну работать, вернусь к вопросу..
Member
Отправлено 10 Март 2023 - 07:31
здрасте..
по вопросу:
1. создал профиль
2. в "критерии функционального анализа" включил "Запуск приложений", "Запуск скриптовых интерпретаторов", "Установка MSI-пакетов"
3. выставил ВСЕ запреты и разрешение на запуск от компании майкрософт..
4. в "Разрешающий режим" нарисовал 3 правила
Метаданные исполняемого файла - Имя фала (с "исходное имя файла" у меня exe не запускались)
C:\Windows\*.exe
C:\Program Files (x86)\*.exe
C:\Program Files\*.exe
5. notepad.exe запускается, а regedit.exe нет, хотя по схеме работы контроля приложений вроже как должно, ибо "Совпадение по разрешающим правилам" идет раньше "Совпадений по критериям функц. анализа"
--
собственно момента два:
1. с "исходное имя файла" у меня exe не запускались
2. notepad.exe запускается, а regedit.exe нет
Смотрящий
Отправлено 10 Март 2023 - 18:12
исходное имя файла. это информация из ресурсов исполняемого файла, в свойствах файла можно ее посмотреть или в редакторе ресурсов. она не всегда совпадает с именем файла на диске. к ней маски не применимы, там только полное совпадение.
Смотрящий
Отправлено 10 Март 2023 - 18:25
по остальному нужны факты. сами правила в в виде как они записаны в системе, в реестре например (экспорт HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Settings\Netting\App Control). ну и само событие блокировки, в логе dwservice оно должно быть.
Newbie
Отправлено 13 Март 2023 - 08:58
> Метаданные исполняемого файла - Имя фала (с "исходное имя файла" у меня exe не запускались)
Прошу прощения, опечаталась с "исходное имя файла", Вы все верно сделали.
Воспроизвела, буду разбираться. Сообщу, как будут результаты.
Member
Отправлено 14 Март 2023 - 07:47
> Метаданные исполняемого файла - Имя фала (с "исходное имя файла" у меня exe не запускались)
Прошу прощения, опечаталась с "исходное имя файла", Вы все верно сделали.
Воспроизвела, буду разбираться. Сообщу, как будут результаты.
о, отлично )
т.е. с меня логов пока не надо 
Смотрящий
Отправлено 14 Март 2023 - 13:37
>2. в "критерии функционального анализа" включил "Запуск приложений", "Запуск скриптовых интерпретаторов",
вот тут и кроется нюанс. regedit.exe это еще и скриптовый интерпретатор, поэтому дальше идет валидация можно ли его стартовать и исполнить его сценарий. для скриптовых интерпретаторов правила применяются не к процессу а к самим файлам которые будут исполнятся, если они есть. в общем все работает как надо. если выхотите запускать regedit просто выключите политику "Запрещать запуск REG-сценариев", а то как то странно выходит, борьба с самим собой.
Смотрящий
Отправлено 14 Март 2023 - 13:38
как всегда готов выслушать аргументы что это дичь 
Guru
Отправлено 14 Март 2023 - 14:20
если выхотите запускать regedit просто выключите политику "Запрещать запуск REG-сценариев", а то как то странно выходит, борьба с самим собой.
А если я хочу запретить запуск REG-сценариев, но не хочу запрещать запуск ручного редактора реестра?
И аналогично с cmd и прочими. Не хочу, чтобы запускались какие угодно скрипты, но хочу иметь возможность запустить консоль вручную и что-либо оттуда выполнить.
Сообщение было изменено Afalin: 14 Март 2023 - 14:20
Newbie
Отправлено 14 Март 2023 - 14:31
> И аналогично с cmd и прочими. Не хочу, чтобы запускались какие угодно скрипты, но хочу иметь возможность запустить консоль вручную и что-либо оттуда выполнить.
В этом случае даже минимальную диагностику провести нельзя, например, ping через cmd. Также из Запрещать запуск CMD/BAT-сценариев совсем не есть очевидно, что это равно запрет на запуск интерпретатора.
Member
Отправлено 15 Март 2023 - 01:41
как всегда готов выслушать аргументы что это дичь
1. точно, еще cmd.exe не запускается.. ну, однако, это и правда вызывает некоторые трудности, описаные выше Afalin, Irina Nikolaevna..
2. не подскажете, если я в теории буду запускать setup.exe чего-нибудь из разрешенного C:\Program Files\*.exe, а оно в свою очередь попытается запустить *.exe из запрещенного "запуск приложений из временных каталогв", то запуск второго зафейлится? т.е. для установки такого надо временно отключать контроль приложений на станции?
Guru
Отправлено 15 Март 2023 - 09:38
2. не подскажете, если я в теории буду запускать setup.exe чего-нибудь из разрешенного C:\Program Files\*.exe, а оно в свою очередь попытается запустить *.exe из запрещенного "запуск приложений из временных каталогв", то запуск второго зафейлится?
Ага, каждый процесс тут сам по себе. Родительский процесс конечно будет где-либо упомянут в виде pid, но на применение политик контроля приложений он не повлияет.
0 пользователей, 0 гостей, 0 скрытых
Community Forum Software by IP.Board
Владелец лицензии: Doctor Web, Ltd.
