Настройка критериев запуска
При настройке правила мониторинга указывается условие начала записи, состоящее из критериев запуска, объединенных логическими операторами. Каждый критерий запуска соответствует определенному состоянию системы или событию, при котором он выполняется и принимает значение
true (подробнее см. в разделе
Критерии состояния системы и критерии события). Значение условия вычисляется из текущих значений его критериев, и запись может начаться только при значении условия равном
true.
Входящие в условие начала записи критерии состояния системы используются также для управления остановкой записи. Подробнее об этом см. в разделе
Способы прекращения записи.
В правиле можно задать один или несколько критериев запуска, что позволяет начинать запись в различных ситуациях, например, при подключении устройств, запуске приложений или при срабатывании различных политик DeviceLock. Список заданных в правиле критериев запуска отображается в диалоговом окне, в котором можно добавлять, редактировать или удалять критерии из правила (см.
Диалоговое окно настройки правила).
Диалоговое окно настройки критериев запуска используется в следующих случаях:
•При добавлении критериев для данного правила можно выбрать нужный критерий из раскрывающегося списка. Затем, в зависимости от того, какой критерий выбран, в диалоговом окне появляется поле параметра для выбранного критерия.
•При редактировании критериев, указанных в правиле, в диалоговом окне отображается выбранный критерий и текущее значение его параметра. Можно просмотреть/изменить значение параметра или выбрать другой критерий взамен текущего.
Ниже приводится краткое описание критериев запуска и их параметров.
•Пользователь вошел в систему - Контролируемый пользователь вошел на компьютер или удаленно вошел в систему с помощью служб терминалов или удаленного рабочего стола, успешно пройдя проверку подлинности.
Примечание: Данный критерий по умолчанию содержится в каждом условии и не может быть удален, поэтому его нет в списке для выбора критериев. |
•Ethernet-подключение существует - К компьютеру подключен сетевой кабель.
•VPN-подключение существует - Компьютер подключен к виртуальной частной сети (VPN).
•Беспроводное подключение существует - Компьютер подключен к беспроводной сети по Wi-Fi.
•IP-адрес назначен - Сетевой интерфейс компьютера получил IP-адрес.
•IP-адрес освобожден - Сетевой интерфейс компьютера освободил свой IP-адрес.
•Процесс “<имя>” существует - На компьютере выполняется указанный процесс, запущенный контролируемым пользователем.
Настраиваемый параметр - путь и имя исполняемого файла процесса (например, c:\mypath\process.exe). В параметре можно использовать знаки подстановки: звездочку (*) вместо произвольной последовательности символов, вопросительный знак (?) вместо любого одиночного символа.
Полезный совет: Если необходимо, чтобы критерий срабатывал независимо от пути к исполняемому файлу, указывайте имя файла следующим образом: *\<имя файла>. Пример: *\excel.exe |
•Окно “<заголовок>” существует - В системе существует окно с указанным заголовком, открытое контролируемым пользователем.
Настраиваемый параметр - заголовок окна. В параметре можно использовать знаки подстановки: звездочку (*) вместо произвольной последовательности символов, вопросительный знак (?) вместо любого одиночного символа.
•Окно “<заголовок>” находится в фокусе - Окно с указанным заголовком, открытое контролируемым пользователем, активно и может получать ввод с клавиатуры и мыши.
Настраиваемый параметр - заголовок окна. В параметре можно использовать знаки подстановки: звездочку (*) вместо произвольной последовательности символов, вопросительный знак (?) вместо любого одиночного символа.
•Сработало контентно-зависимое правило “<имя>” - Контролируемый пользователь попытался отправить или получить данные, соответствующие контентно-зависимому правилу с указанным именем.
Настраиваемый параметр - имя правила. В параметре можно использовать знаки подстановки: звездочку (*) вместо произвольной последовательности символов, вопросительный знак (?) вместо любого одиночного символа.
Примечание: Данный критерий относится только к контентно-зависимым правилам управления доступом или правилам обнаружения. Он не реагирует на контентно-зависимые правила теневого копирования. |
•Сработало правило белого списка протоколов “<имя>” - Контролируемый пользователь попытался воспользоваться протоколом, который входит в белый список протоколов согласно правилу с указанным именем.
Настраиваемый параметр - имя правила. В параметре можно использовать знаки подстановки: звездочку (*) вместо произвольной последовательности символов, вопросительный знак (?) вместо любого одиночного символа.
•Сработало правило белого списка носителей “<описание>” - Контролируемый пользователь попытался получить доступ к входящему в белый список носителю с указанным описанием.
Настраиваемый параметр - описание носителя. В параметре можно использовать знаки подстановки: звездочку (*) вместо произвольной последовательности символов, вопросительный знак (?) вместо любого одиночного символа.
•Сработало правило белого списка USB-устройств “<описание>” - Контролируемый пользователь попытался получить доступ к входящему в белый список USB-устройству с указанным описанием.
Настраиваемый параметр - описание устройства. В параметре можно использовать знаки подстановки: звездочку (*) вместо произвольной последовательности символов, вопросительный знак (?) вместо любого одиночного символа.
•Устройство хранения данных присоединено - Контролируемый пользователь подключил к компьютеру устройство одного из следующих типов: Съемные устройства, MTP, iPhone-устройства, Гибкий диск, Оптический привод, ТС-устройства (подключенный диск).
•Устройство, не предназначенное для хранения данных, присоединено - Контролируемый пользователь подключил к компьютеру устройство, отличное от следующих типов: Съемные устройства, MTP, iPhone-устройства, Гибкий диск, Оптический привод, ТС-устройства (подключенный диск).
Внимание: Данный критерий не запускает запись активности пользователя при подключении USB HID-устройств (клавиатуры, мыши и т.п.). |
•Компьютер простаивает <число> сек. - Компьютер не заблокирован и на нем нет активности контролируемого пользователя в течение указанного времени.
В параметре указывается количество секунд бездействия пользователя, после которого данный критерий считается выполненным. Значение параметра должно составлять 3 или более секунд.
Примечание: Параметр
Приостановить запись при неактивности не действует на правила, содержащие данный критерий в условии начала записи. Такие правила не приостанавливают запись по истечении времени, заданного этим параметром. |
•Доступ на чтение к “<имена>” запрещен - DeviceLock заблокировал попытку контролируемого пользователя получить данные из-за отказа в доступе к одному из указанных устройств/протоколов или в соответствии с одной из указанных настроек безопасности.
В параметре указываются имена устройств, протоколов и/или настроек безопасности. Требуемые имена можно выбрать из выпадающего списка.
•Доступ на запись к “<имена>” запрещен - DeviceLock заблокировал попытку контролируемого пользователя отправить данные из-за отказа в доступе к одному из указанных устройств/протоколов.
В параметре указываются имена устройств и/или протоколов. Требуемые имена можно выбрать из выпадающего списка.
Подробнее о некоторых критериях запуска
Значение критерия Устройство хранения данных присоединено равно true до тех пор, пока к компьютеру присоединено хотя бы одно устройство любого из следующих типов:
•Съемное устройство - Например, подключена USB-флешка.
•MTP - Например, подключен USB-медиаплеер.
•iPhone-устройства - Подключен iPhone или iPad.
•Оптический привод - В дисковод вставлен оптический диск.
•Гибкий диск - В дисковод вставлена дискета.
•ТС-устройства (подключенный диск) - Жесткий/съемный/оптический диск подключен в сеансе удаленного рабочего стола или приложения на сервере виртуализации (Remote Desktop Server, Citrix XenDesktop/XenApp и т.п.).
Критерий Устройство хранения данных присоединено принимает значение false, если к компьютеру не присоединено ни одного устройства какого-либо из перечисленных выше типов.
В случае доступа к устройствам критерий Доступ на чтение к “<имена>” запрещен принимает значение true, при попытке выполнить какое-либо из следующих запрещенных действий:
•Действия, для запрета которых используются “основные” права доступа Чтение, Чтение с подключенного диска, Доступ к последовательному порту, Доступ к USB-устройствам, Буфер обмена входящий текст / входящие изображения / входящие аудио данные / входящие файлы / входящие неизвестные данные (см.
Группа прав “Основные”).
•Действия, для запрета которых используются “специальные разрешения” Чтение календаря / контакта / электронной почты / вложения / избранного / файла / медиа-данных / бэкапа / заметки / БД Pocket Access / задачи / расхода / документа / неидентифицированного содержимого (см.
Группа прав “Специальные разрешения”).
В случае доступа к протоколам критерий Доступ на чтение к “<имена>” запрещен принимает значение true при попытке выполнить какое-либо из следующих запрещенных действий:
•Действия, для запрета которых используются права доступа Отправка/получение данных, Отправка/получение данных (веб), Поиск, Входящие файлы, Входящие звонки (см.
Права доступа для протоколов).
•Действия, запрещенные в соответствии с настройками безопасности (при условии, что в параметре критерия установлены соответствующие флажки):
•Блокировать нераспознанный исходящий SSL-трафик - В параметре критерия необходимо установить флажок SSL.
•Блокировать URL, содержащие IP-адреса - В параметре критерия необходимо установить флажки IP (TCP) и/или IP (UDP) в зависимости от того, на какие транспортные протоколы (TCP / UDP) должен реагировать данный критерий.
•Блокировать прокси трафик - В параметре критерия необходимо установить флажки Proxy (HTTP), Proxy (SOCKS4) и/или Proxy (SOCKS5) в зависимости от того, на прокси-серверы каких типов (HTTP / SOCKS4 / SOCKS5) должен реагировать данный критерий.
•Блокировать трафик Tor-браузера - В параметре критерия необходимо установить флажок Tor-браузер.
В случае доступа к устройствам критерий Доступ на запись к “<имена>” запрещен принимает значение true при попытке выполнить какое-либо из следующих запрещенных действий:
•Действия, для запрета которых используются “основные” права доступа Запись, Форматирование, Печать, Копирование в буфер обмена, Запись на подключенный диск, Буфер обмена исходящий текст / исходящие изображения / исходящие аудио данные / исходящие файлы / исходящие неизвестные данные (см.
Группа прав “Основные”).
•Действия, для запрета которых используются “специальные разрешения” Запись календаря / контакта / электронной почты / вложения / избранного / файла / медиа-данных / бэкапа / заметки / БД Pocket Access / задачи / расхода / документа / неидентифицированного содержимого, Копирование текста / изображения / аудио данных / файла / неидентифицированного содержимого / экрана (см.
Группа прав “Специальные разрешения”).
Критерий Доступ на запись к “<имена>” запрещен не действует при запрете доступа к следующим устройствам: Blackberry-устройства, Bluetooth, ИК-порт, Параллельный порт, Последовательный порт, ТС-устройства в случае запрета на Доступ к последовательному порту или запрета на Доступ к USB-устройствам, а также WiFi. Для старта записи по запрету доступа к этим устройствам можно использовать критерий Доступ на чтение к “<имена>” запрещен.
В случае доступа к протоколам критерий
Доступ на запись к “<имена>” запрещен принимает значение
true при попытке выполнить какое-либо из действий, для запрета которых используются права доступа Исходящие сообщения, Исходящие файлы, POST-запросы, Исходящие звонки (см.
Права доступа для протоколов).