Контроль программ¶

Запуск приложений — модуль отслеживает запуск приложений.
Установка приложений — модуль отслеживает установку и удаление приложений.
Уведомление о попытках запуска — включает уведомления о попытках запуска заблокированных приложений из правила Мониторинг приложения — Блокировка.

Запуск приложений ¶

По умолчанию события запуска/завершения приложений не фиксируются в БД. Для включения данного типа события необходимо проделать следующие действия:

Зайти под root и включить данный тип событий:

sudo su
echo "APP_RUN_EVENTS=True" >> /etc/staffcop/config

Перезагрузить staffcop:

staffcop restart

Теперь события будут обрабатываться сервером.

Мониторинг приложений — Контроль ¶

Это правило может исключить из перехвата события, которые выполняются автоматически или заданы системных администратором на конечных станциях, уменьшая при этом нагрузку на сервер Staffcop Enterprise.

Запретить — запрет сбора событий, который генерирует указанный исполняемый файл, приложение или список приложений.

Разрешить — разрешение на отслеживание событий для приложений, перечисленных в списке. Не указанные в списке приложения не отслеживаются.

Примечание

В настройках исключений рекомендуется заполнять только один список Исключить (черный список) или Разрешить (белый список). Одновременное заполнение обоих полей может привести к неопределенному поведению.

Настройка исключений для Linux-агента ¶

В Linux‑агенте Staffcop исключения работают иначе, чем в Windows.

Исключения запрещают внедрение модуля мониторинга (preloader) в процессы приложений для более стабильной работы, а не отключают мониторинг программы полностью. При этом Linux‑агент продолжает фиксировать события: скриншоты экрана, нажатия клавиш, сетевой трафик и пр.

Подробные инструкции по настройке исключений — в статье Настройка исключений для Linux‑агента.

Мониторинг приложений — Блокировка ¶

Внимание

Перед применением правил на всех компьютерах протестируйте их на нескольких устройствах.

Формат записи¶

Формат записи приложений в списках Блокировать и Разрешить — строки и подстроки.

Например, вы можете внести в Блокировать подстроку em32\no из пути System32\notepad.exe. В результате агент заблокирует C:\Windows\System32\notepad.exe и другие содержащие подстроку процессы.

Опасно

Не используйте строки из 1–2 символов, чтобы не нарушить работу системы. Для блокировки таких приложений укажите полный путь. Например, вместо t.exe укажите C:\Program Files\t.exe.

Блокировка¶

Блокировать — блокирует запуск приложений по имени в формате строки и подстроки. Доступ к приложениям вне списка разрешен.

Пример работы блокировки¶

Допустим, списки содержат:

Блокировать — три строки: mspaint.exe, a.exe, tb.exe;
Разрешить — пустой.

Запущенный процесс	Причина блокировки	Результат
`C:\Windows\System32\mspaint.exe`	совпадение с правилом `mspaint.exe`	Заблокирован
`D:\test\mspaint.exe`	совпадение с правилом `mspaint.exe`	Заблокирован
`C:\Windows\System32\testA.exe`	правило `a.exe`— подстрока процесса	Заблокирован
`D:\test\a.exe`	совпадение с правилом `a.exe`	Заблокиран
`D:\test\b.exe`	совпадений с правилами нет	Разрешен

Разрешить¶

Разрешить — содержит приложения, запуск которых разрешен. Все остальные приложения блокируются.

Опасно

Список Разрешить может нарушить работу ОС.
При добавлении хотя бы одного приложения в список разрешенных система автоматически заблокирует все остальные программы, включая системные.

Чтобы система работала корректно, обязательно добавьте в список ключевые системные процессы.

Последнее обновление: 20.04.26