Контроль программ

• Запуск приложений — модуль отслеживает запуск приложений.

• Установка приложений — модуль отслеживает установку и удаление приложений.

Запуск приложений

По умолчанию события запуска/завершения приложений не фиксируются в БД. Для включения данного типа события необходимо проделать следующие действия:

1. Зайти под root и включить данный тип событий:

sudo su
echo "APP_RUN_EVENTS=True" >> /etc/staffcop/config

2. Перезагрузить staffcop:

staffcop restart

Теперь события будут обрабатываться сервером.

Мониторинг приложений — Контроль

Это правило может исключить из перехвата события, которые выполняются автоматически или заданы системных администратором на конечных станциях, уменьшая при этом нагрузку на сервер Staffcop Enterprise.

Запретить — запрет сбора событий генерируемого указанным исполняемым файлом, приложением или списка приложений.

Разрешить — разрешение на отслеживание событий для приложений, перечисленных в списке. Не указанные в списке приложения не отслеживаются.

Настройка для Linux

Для агентов Linux приложения можно добавить в исключения двумя способами:

• по канонизированному абсолютному пути исполняемого файла,

• по имени приложения в графическом интерфейсе (GUI) через WM_CLASS.

Канонизированный абсолютный путь

При настройке исключений укажите в Сетевом мониторинге — Приложения канонизированный абсолютный путь исполняемого файла.

Канонизированный путь — это фактическое расположение исполняемого файла без учета символических ссылок.

Чтобы определить полный путь к исполняемому файлу, запустите приложение и выполните команду:

realpath /proc/$(pgrep -n <имя_процесса>)/exe

Пример для Firefox:

realpath /proc/$(pgrep -n firefox)/exe

В выводе будет указан полный путь, например:

/snap/firefox/3836/usr/lib/firefox/firefox

Имя приложения по WM_CLASS

Доступно с версии агента 0.17.45-august.

Вместо пути можно указать имя приложения, которое определяется в графический сервере X11 через атрибут WM_CLASS. Он помогает системе различать приложения с одинаковыми бинарными именами или разными путями установки. Это удобно, если бинарные пути отличаются на разных дистрибутивах.

Чтобы узнать WM_CLASS приложения:

1. Запустите приложение.

2. Выполните команду:

xprop | grep WM_CLASS

3. Курсор примет вид прицела. Кликните по окну приложения.

4. В выводе появится WM_CLASS, которое содердит два значения, например:

WM_CLASS(STRING) = "google-chrome", "Google-chrome"

Первое значение — instance name (имя экземпляра окна). Второе значение — class name (имя класса приложения).

Для исключений используйте второе значение Google-chrome, включая заглавные буквы.

Альтернативный способ: имя WM_CLASS можно найти в логах агента:

sudo /usr/share/staff/agent log | grep _wm_class

Вывод покажет имя приложения, которое можно указать в исключениях.

Внимание

Linux различает регистр символов: Google-chrome и google-chrome считаются разными именами.

Исключение по имени GUI-приложения не распространяется на его фоновые или дочерние процессы без интерфейса. Чтобы игнорировать их события, задайте отдельное исключение.

Мониторинг приложений — Блокировка

Внимание

Перед применением правил на всех компьютерах протестируйте их на нескольких устройствах.

Формат записи

Формат записи приложений в списках Блокировать и Разрешить — строки и подстроки.

Например, вы можете внести в Блокировать подстроку em32\no из пути System32\notepad.exe. В результате агент заблокирует C:\Windows\System32\notepad.exe и другие содержащие подстроку процессы.

Опасно

Не используйте строки из 1–2 символов, чтобы не нарушить работу системы. Для блокировки таких приложений укажите полный путь. Например, вместо t.exe укажите C:\Program Files\t.exe.

Блокировка

Блокировать — блокирует запуск приложений по имени в формате строки и подстроки. Доступ к приложениям вне списка разрешен.

Пример работы блокировки

Допустим, списки содержат:

• Блокировать — три строки: mspaint.exe, a.exe, tb.exe;
  

• Разрешить — пустой.

Запущенный процесс	Причина блокировки	Результат
C:\Windows\System32\mspaint.exe	совпадение с правилом mspaint.exe	Заблокирован
D:\test\mspaint.exe	совпадение с правилом mspaint.exe	Заблокирован
C:\Windows\System32\testA.exe	правило a.exe— подстрока процесса	Заблокирован
D:\test\a.exe	совпадение с правилом a.exe	Заблокиран
D:\test\b.exe	совпадений с правилами нет	Разрешен

Разрешить

Разрешить — содержит приложения, запуск которых разрешен. Все остальные приложения блокируются.

Опасно

Список Разрешить может нарушить работу ОС.
При добавлении хотя бы одного приложения в список разрешенных система автоматически заблокирует все остальные программы, включая системные.

Чтобы система работала корректно, обязательно добавьте в список ключевые системные процессы.

Последнее обновление: 26.11.25