Контроль приложений

Функция «Контроль приложений» управляет запуском приложений на компьютерах пользователей, что позволяет выполнить политику безопасности организации при использовании приложений и снижает риск заражения компьютера, ограничивая доступ к ним.

Для перехода в модуль «Контроль приложений» необходимо выполнить следующие действия:

  1. В списке источников открыть карточку необходимого источника типа «IEL».

  2. В карточке источника выбрать настройку «Контроль приложений» (см. Рисунок – Настройка «Контроль приложений»).

../../../_images/iel.rp.application-control.1.png

Рисунок – Настройка «Контроль приложений»

Список файлов и директорий, подлежащих контролю приложений, представлен в формате таблицы и состоит из следующих столбцов:

  • «Путь к файлу/папке» – содержит путь к файлу или директории источника событий;

  • «Статус» – отображает состояние записи.

В столбце «Статус» могут отображаться следующие состояния:

  • «Не сохранено» – данный статус присваивается автоматически после ручного добавления пути. При закрытии экранной формы, путь с этим статусом исчезнет из списка;

  • «Новый» – данный статус присваивается автоматически после добавления пути с помощью режима обучения;

  • «Разрешен» – данный путь или папка доступны для открытия, просмотра или запуска;

  • «Запрещен» – данный статус присваивается автоматически, в случае нарушения целостности файла/папки. При переводе статуса на «Разрешен», произойдёт пересчёт контрольных сумм.

В столбце «Контроль целостности файла/папки» (см. Контроль целостности белого списка) могут отображаться следующие состояния:

  • «Включено» – выбранный путь добавлен в список «Контроль целостности»;

  • «Выключено» – выбранный путь не добавлен в список «Контроль целостности».

Добавление пути к файлу/директории

Для ручного указания списка файлов и директорий, запуск которых разрешён в системе, необходимо выполнить следующие действия:

  1. Перейти к настройке «Контроль приложений» необходимого источника типа «IEL» (см. Рисунок – Настройка «Контроль приложений»).

  2. Установить флажок в чек-бокс параметра «Включить контроль приложений».

  3. При необходимости снять флажок с чек-бокса параметра «Разрешить пользователю root игнорировать правила белого списка», чтобы не позволять пользователю root игнорировать правила, добавленные в список.

  4. Нажать кнопку «Добавить» на панели инструментов. В открывшемся окне проводника выбрать необходимую директорию или файл и нажать кнопку «Выбрать» (см. Рисунок – Выбор файла/директории).

    Примечание

    В связи с особенностью обработки операционной системой символических ссылок есть вероятность того, что система позволит запустить исполняемый файл, отсутствующий в белом списке. Рекомендуется добавлять в список и прямые ссылки, и символические ссылки на них, если такие имеются.

../../../_images/iel.rp.application-control.2.1.png

Рисунок – Выбор файла/директории

  1. Нажать кнопку «Сохранить» в правом верхнем углу экрана.

После сохранения внесённых изменений появится соответствующее уведомление.

Примечание

Разрешения распространяются на вложенные директории. Например, если разрешен путь «/usr», то разрешены «/usr/bin», «/usr/bin/su» и так далее.

Путь к директории/файлу не будет добавлен в контроль целостности, если путь к вышестоящей директории уже находится в списке.

Удаление пути к файлу/директории

Для удаления путей к файлу или директории следует:

  1. Выбрать необходимый элемент, установив флажок в чек-бокс элемента.

  2. Нажать кнопку «Удалить» на панели инструментов.

  3. Подтвердить удаление, нажав кнопку «Удалить» во всплывающем окне.

Примечание

Удаление следующих директорий может привести к частичной или полной неработоспособности ОС и ARMA IEL:

  • «/usr» – содержит приложения, библиотеки, документацию и другие файлы;

  • «/root» – директория администратора, в которой обычно хранятся файлы и конфигурации, относящиеся к администратору ОС;

  • «/lib/systemd/system» – содержит скрипт для запуска службы «system ctl».

При попытке удаления любой из этих директорий появится уведомление «Опасное действие! Удаление выбранного пути может нарушить работу операционной системы и IEL. Вы действительно хотите совершить действие?». В случае необходимости удаления директории подтвердите действие, нажав кнопку «Удалить» (см. Рисунок – Удаление критических директорий).

../../../_images/iel.rp.application-control.3.1.png

Рисунок – Удаление критических директорий

  1. Для подтверждения изменений нажмите кнопку «Сохранить» в правом верхнем углу окна.

Режим обучения

Режим обучения для функции «Контроль приложений» автоматически сканирует запущенное ПО, давая пользователю возможность включить используемые приложения в белый список. Для использования режима обучения необходимо выполнить следующие действия:

  1. Перейти к настройке «Контроль приложений» необходимого источника типа «IEL».

  2. Убедиться в отсутствии флажка в чек-боксе параметра «Включить контроль приложений».

  3. При необходимости ввести в поле «Промежуток времени для режима обучения» временной диапазон в формате «чч:мм:сс». Доступный диапазон от 00:01:00 до 23:59:59.

  4. Нажать кнопку «Запустить» (см. Рисунок – Запуск режима обучения).

../../../_images/iel.rp.application-control.1.1.png

Рисунок – Запуск режима обучения

Примечание

Запуск режима обучения при наличии несохранённых изменений в списке файлов и директорий приведёт к сохранению этих изменений. В этом случае после нажатия кнопки «Запустить» появится окно c уведомлением «Запуск режима обучения приведёт к сохранению экранной формы. Вы уверены, что хотите совершить данное действие?».

  1. Когда обучение закончится, будет выведено соответствующее уведомление, а в область Белый список добавятся пути к исполняемым файлам процессов, выполнявшихся в период действия режима обучения. В поле Статус для таких путей будет значение Новый. Чтобы открыть пути для просмотра и запуска, следует выбрать их, установив флажки в чек-боксы, и нажать кнопку «Разрешить» (см. Рисунок – Обучение завершено).

../../../_images/iel.rp.application-control.1.2.png

Рисунок – Обучение завершено

  1. После того как все необходимые пути разрешены, установите флажок в чек-бокс параметра «Включить контроль приложений».

При необходимости принудительного завершения режима обучения следует нажать кнопку «Остановить» (см. Рисунок – Остановка режима обучения).

Примечание

Режим обучения позволяет найти пути до приложений, которые еще не попапли в белый список.

../../../_images/iel.rp.application-control.1.3.png

Рисунок – Остановка режима обучения

В случае изменения IP-адреса Центра Управления или перезапуска IEL во время активированного режима обучения, будет выполнена остановка режима обучения, без его автоматического возобновления.

Контроль целостности белого списка

Существует возможность включения контроля целостности для белого списка приложений. Для включения необходимо выполнить следующие действия:

  1. Выделить необходимую строку или строки таблицы.

  2. На панели инструментов нажать кнопку «Включить» (см. Рисунок – Включение КЦ).

../../../_images/iel.rp.application-control.4.1.png

Рисунок – Включение КЦ

В случае если модуль «Контроль целостности» был выключен, в появившемся окне (см. Рисунок – Включение модуля КЦ) необходимо подтвердить включение модуля, нажав кнопку «Активировать».

../../../_images/iel.rp.application-control.4.2.png

Рисунок – Включение модуля КЦ

  1. Нажать кнопку «Сохранить» в правом верхнем углу экрана.

После включения контроля целостности выбранные записи будут добавлены в список контроля целостности, статусы записей в белом списке изменятся на «Включено» (см. Рисунок – Статус КЦ).

../../../_images/iel.rp.application-control.4.3.png

Рисунок – Статус КЦ

Для выключения контроля целостности необходимо выбрать запись или записи и нажать кнопку «Выключить» на панели инструментов. При выключении путь будет удалён из списка контролируемых модулем «Контроль целостности».

Примечание

Существует возможность включить запись в белый список, если её по какой-либо причине заблокировал модуль «Контроль целостности». Для этого необходимо выбрать запись и нажать кнопку «Разрешить».