Как запретить работу установленных программ. Как запретить отправку данных.

Не секрет, что использование некоторых программ сильно вредит процессу производства, поскольку отвлекает работников от их профессиональной деятельности. Вместо того, чтобы активно отдохнуть, работники играют в компьютерные игры, смотрят новости и общаются в соцсетях. Глаза их устают, а силы не восстанавливаются. Пора положить этому конец.

С другой стороны, на предприятии достаточно секретов, и поэтому необходимо запретить отсылку данных через электронную почту или другим способом.

Предлагаем Вашему вниманию уникальную технологию блокировки нежелательных программ и также технологию ограничения доступа к определенным файлам. Мы включили в программу программу StaffCounter для Windows специальный модуль, который дополнит контроль эффективной защитой.

Запускаем от имени администратора программу StaffCounter из рабочей папки и открываем Опции. Переходим на последнюю закладку — DLP.

В разделе [Main] включаем флаг EnableProcessControl

EnableProcessControl=1

Этот параметр включает контроль над процессами.

Далее, переходим в раздел [ProcessRules]

В этом разделе мы создаем правила для каждого установленного приложения. Программу можно запретить, а можно ограничить ей права для работы с файлами определенного размера и местоположения.

Описание правила для каждой программы должно начинаться с поля newrule. Все поля до следующего newrule относятся к этому процессу. Значение поля может быть произвольным, но лучше связать его с названием заинтересованной программы. Например

newrule=~~~~MyProgram~~~~~  ;

Затем идет поле imagePath. Здесь следует указать путь к exe-файлу программы. (NT-путь. Можно использовать Wildcard (?*) )

imagePath=*\Application\chrome.exe    ;  пример — путь к программе Google Chrome

Далее следуют правила контроля.

allow|deny=%MinSize%:%Path%  ;

где

%Path% — это путь к файлам и папкам, которые будет использовать программа

%MinSize% — это минимальный размер файла, когда это правило начнет действовать.

Пример1: запрет программе Gogole Chrome работать с пользовательскими файлами любого размера

newrule=——Chrome———
imagePath=*\Application\Chrome.exe
allow = 0:*\Windows\*
allow = 0:*\AppData\*
allow = 0:*\Roaming\*
allow = 0:*\Chrome\*
allow = 0:*\ProgramData\*
allowExeCreation=0
deny = 0:*

Только системные каталоги останутся доступными для этой программы. Хитрый хакер конечно сможет найти лазейку — например создать на рабочем столе папку Chrome, и туда поместить отправляемые файлы. Для того чтобы решить эту проблему, следует прописать полные адреса разрешенных директорий.

Правило по умолчанию, действующее для всех остальных каталогов и файлов всех размеров, должно стоять последним.

allowExeCreation=1           ; Отключает для этого процесса проверку на создание EXE (при DisableExeCreation=1)

Пример работы программы: запрет на отправку файла по почте

Пример 2: аналогичный запрет на отправку файлов для программ Mozilla Firefox и Skype.

newrule=——Firefox———
imagePath=*\firefox.exe
allow = 0:*\Windows\*
allow = 0:*\Mozilla Firefox\*
allow = 0:*\AppData\*
allow = 0:*\AppData\Roaming\Mozilla\Firefox\*
allow = 0:*\ProgramData\*
allowExeCreation = 0
deny = 0:*

newrule=——Skipe———
imagePath=*\Skype.exe
allow = 0:*\Windows\*
allow = 0:*\Program Files (x86)\Skype\*
allow = 0:*\AppData\*
allow = 0:*\ProgramData\*
allow = 0:*\AppData\Roaming\Skype\*
allowExeCreation = 0
deny = 0:*

Как составить такое правило для других программ? В первую очередь следует узнать месторасположение программы и заполнить поле imagePath. В папках AppData и ProgramData программы хранят свои настройки для данного пользователя. В папке Windows содержатся системные библиотеки. Рядом с самой программой в ее рабочей папке могут находиться ее модули.  Поэтому эти папки следует разрешить. Если программа не запускается и сообщает о недостающем компоненте, следует его найти по имени и также добавить его месторасположение в список разрешенных объектов. Остальные папки следует запретить.

 

Пример 3: запрет программе Калькулятор использовать файлы не из директории Windows

[ProcessRules]

newrule=——calc——

imagePath=*\Windows\System32\calc.exe — путь к файлу

allow = 0:*\Windows

deny  = *  ; —  запрещено пользоваться всем остальным.

Пример 4: полный запрет на запуск программы MSPaint:

newrule=——paint——

imagePath=*\Windows\System32\mspaint.exe

deny  = *

Важные замечания:

  1. Перед удалением программы StaffCоunter следует отключить защиту ;
  2. Если вы собираетесь поручить другому администратору настройку функций защиты, добавьте его имя в разделе [Admins];
  3. Для установки защиты на Windows 7 и Windows 2008 следует установить последние обновления безопасности от Microsoft.