Erweiterte Einstellungen

Erweiterte Einstellungen werden über das Menüband "Verwalten" aufgerufen. Sie ermöglichen Ihnen das Zuweisen lokaler Einstellungen zur Application Control-Konfigurationsdatei. Geben Sie die erforderlichen lokalen Komponenten mithilfe der Registerkarten "Richtlinieneinstellungen" und " Benutzerdefinierte Einstellungen" an.

In diesem Abschnitt werden folgende Themen behandelt:

Richtlinieneinstellungen

Application Control Richtlinieneinstellungen sind im Dialogfeld "Erweiterte Einstellungen" verfügbar. Sie beinhalten allgemeine Application Control-Einstellungen, die sich auf alle Anforderungen zum Ausführen von Anwendungen und Prozessen anwenden lassen.

Allgemeine Funktionen

Option Beschreibung
Lokale Laufwerke standardmäßig als zulässig festlegen Die Konfigurationsstandardeinstellung für lokale Laufwerke ist eine Negativliste, d. h. alle Elemente, die sich auf dem lokalen Laufwerk befinden, sind zulässig, es sei denn, sie bestehen die Prüfung auf vertrauenswürdigen Besitz nicht oder sind in einer Liste vom Typ Verweigerte Elemente enthalten. Deaktivieren Sie diese Option, um die Konfiguration als Positivliste festzulegen, sodass alle Elemente auf dem lokalen Laufwerk blockiert werden, es sei denn, sie sind in einer Liste vom Typ Zulässige Elemente enthalten.
cmd.exe für Batchdateien zulassen Administratoren sollten die Datei "cmd.exe" in ihrer Application Manager-Konfiguration explizit unterbinden. Wenn "cmd.exe" verweigert wird und die Option "cmd.exe" für Batchdateien zulassen deaktiviert ist, werden Batchdateien überprüft und blockiert, falls Sie der Application Manager-Richtlinie nicht entsprechen. Falls die Option nicht ausgewählt ist und "cmd.exe" explizit verweigert wird, werden alle Batchdateien blockiert, ohne überhaupt geprüft zu werden. Falls diese Option aktiviert ist und "cmd" explizit verweigert wird, kann "cmd.exe" dennoch eigenständig ausgeführt werden, jedoch werden alle Batchdateien mit den Application Control-Regeln abgeglichen. Falls "cmd.exe" nicht explizit verweigert wird, werden alle Batchdateien ausgeführt, unabhängig davon, ob diese Option aktiviert ist oder nicht.
Einschränkungen bei Anmeldung ignorieren Während der Anmeldung führt der Computer unter Umständen eine Reihe wichtiger Anwendungen aus. Das Blockieren dieser Anwendungen kann dazu führen, dass der Computer nicht ordnungsgemäß oder überhaupt nicht funktioniert. Daher ist diese Option standardmäßig aktiviert.
Selbstextrahierende ZIP-Dateien extrahieren Eine selbstextrahierende Datei ist eine ausführbare Datei, die eine ZIP-Datei sowie ein kleines Programm zum Entpacken dieser ZIP-Datei enthält. Diese Dateien werden manchmal als Alternative zu MSI-Dateien zum Installieren einer Anwendung verwendet. Viele Administratoren bevorzugen es, Anwendungen nur über MSI-Dateien zu installieren.

Es werden nur selbstextrahierende EXE-Dateien unterstützt, die mit der ZIP-Spezifikation formatiert wurden. Weitere Informationen finden Sie unter ZIP-Spezifikationen.

Mithilfe der Option Selbstextrahierende ZIP-Dateien extrahieren lässt sich eine verweigerte ausführbare Datei, bei der er sich um eine selbstextrahierende ZIP-Datei handelt, mit dem ZIP Extractor entpacken. Ist diese Option deaktiviert (Standardeinstellung), unterliegt die Datei der normalen Regelverarbeitung, wenngleich sie eine ausführbare Datei ist. Nachdem der Inhalt extrahiert wurde, unterliegt der ausführbare Inhalt weiterhin der normalen Prüfung auf vertrauenswürdigen Besitz. Die Ausführung des Inhalts wird verhindert, wenn es sich beim Benutzer nicht um einen vertrauenswürdigen Besitzer handelt. Dies ist sinnvoll für Szenarien, in denen eine selbstextrahierende ZIP-Datei nicht ausführbaren Inhalt enthält, etwa ein Dokument, das der Benutzer benötigt. Diese Option ist standardmäßig deaktiviert und die selbstextrahierende ZIP-Datei wird wie eine normale ausführbare Datei behandelt. Ihre Ausführung (d. h. das Extrahieren ihres Inhalts) kann entsprechend der normalen Regelverarbeitung verhindert werden.
Einschränkungen bei Active Setup ignorieren Standardmäßig unterlegen alle Anwendungen, die beim Active Setup ausgeführt werden, den Application Control-Regeln. Wählen Sie diese Option aus, um diese Anwendungen in der Active Setup-Phase von den Regelprüfungen auszunehmen.
Dateien auf entfernbaren Medien verweigern Deaktivieren Sie diese Option, um die Einschränkungen für entfernbare Medien aufzuheben. Entfernbare Medien sind diejenigen, die durch den Aufruf "GetDriveType" als solche bestimmt werden. Aufgrund der Beschaffenheit entfernbarer Medien kann sich der Laufwerkbuchstabe ändern, je nachdem, wie der Endpunkt eingerichtet ist. Beispiel: Auf einem Computer kann das Laufwerk für entfernbare Medien E: lauten, während es auf einem anderen Computer F: heißt.

Dateien auf Netzwerkfreigaben verweigern

Die Konfigurationsstandardeinstellung für Netzwerkfreigaben ist eine Positivliste. D. h. alle Elemente der Netzwerkfreigabe werden verweigert, es sei denn, sie sind in einer Liste vom Typ Zulässige Elemente enthalten. Deaktivieren Sie diese Option, um die Konfiguration als Negativliste festzulegen, sodass alle Elemente der Netzwerkfreigabe zulässig sind, es sei denn, sie bestehen die Prüfung auf vertrauenswürdigen Besitz nicht oder sind in einer Liste vom Typ Verweigerte Elemente enthalten.

Validierung

Option Beschreibung
Systemprozesse validieren Wählen Sie diese Option aus, um alle Dateien zu validieren, die vom Systembenutzer ausgeführt werden. Die Aktivierung dieser Option wird nicht empfohlen. Da sich bei Aktivierung das Validierungsvolumen auf dem Endpunktcomputer erhöhen würde, könnte es sein, dass die Ausführung wichtiger Anwendungen blockiert wird. Wenn diese Option ausgewählt ist, werden alle durch das System gestarteten ausführbaren Dateien der Regelvalidierung unterzogen.
WSH-Skripte validieren (Windows Script Host) Wenn diese Option ausgewählt ist, werden alle Befehlszeileninhalte von Skripten, die mit "wscript" oder "cscript" ausgeführt wurden, der Regelvalidierung unterzogen.

Über Skripte können Viren und bösartige Codes eingeschleust werden. Es wird empfohlen, WSH-Skripte zu validieren.

MSI-Pakete validieren (Windows Installer) MSI-Dateien sind die Standardmethode für das Installieren von Windows-Anwendungen. Es wird empfohlen, Benutzern die eigenständige Installation von MSI-Anwendungen nicht zu erlauben. Wenn diese Option ausgewählt ist, werden alle MSI-Dateien der Regelvalidierung unterzogen. Ist diese Option deaktiviert, wird nur das Windows-Installationsprogramm "msiexec.exe" selbst von der Application Control-Regelverarbeitung validiert, jedoch nicht die MSI-Datei, die über das Programm ausgeführt werden soll.
Registrierungsdateien validieren Wählen Sie diese Option aus, um die Regelvalidierung für "regedit.exe" und "regini.exe" zu aktivieren. Ist diese Option deaktiviert, werden "regedit.exe" und "regini.exe" nicht mehr standardmäßig blockiert. Darüber hinaus werden das .reg-Skript und die von ihm auszuführenden Dateien "regedit.exe" und "regini.exe" nicht mehr durch die Application Control-Regelverarbeitung validiert.

Es wird davon abgeraten, Benutzern den Zugriff auf die Registrierung oder die Registrierungsdateien zu erlauben.

PowerShell-Skripte validieren Wenn diese Option aktiviert ist, werden die Dateien "powershell.exe" und "powershell_ise.exe" verweigert. Wird jedoch ein PowerShell-Skript (PS1-Datei) in der Befehlszeile gefunden, wird sie einer vollständigen Regelprüfung unterzogen, um festzustellen, ob sie für erweiterte Rechte konfiguriert, zulässig oder verweigert ist.
Java-Archive validieren Wenn diese Option aktiviert ist, werden die Dateien "java.exe" und "javaw.exe" verweigert. Wird jedoch ein Java-Archiv (JAR-Datei) in der Befehlszeile gefunden, wird sie einer vollständigen Regelprüfung unterzogen, um festzustellen, ob sie zulässig oder verweigert ist.

Funktionalität

Option Beschreibung
Zugriffskontrolle für Anwendungen aktivieren Aktivieren Sie diese Option, um die Zugriffskontrolle für Anwendungen zu verwenden.Deaktivieren Sie die Option, um ausführbare Dateien nicht zu validieren oder sie zu blockieren.
Zugriffskontrolle für Anwendungsnetzwerk aktivieren Wählen Sie diese Option aus, um die Funktion "Zugriffskontrolle für Anwendungsnetzwerk" zu aktivieren.Deaktivieren Sie die Option, um ausgehende Netzwerkverbindungen nicht zu validieren oder zu blockieren.
Verwaltung von Benutzerrechten aktivieren Wählen Sie diese Option aus, um die Funktion "Verwaltung von Benutzerrechten" zu aktivieren. Deaktivieren Sie die Option, wenn Sie keine Richtlinien für Benutzerberechtigungen anwenden möchten. Bei Deaktivieren der Option können alle Anwendungen mit den standardmäßig vom Betriebssystem gewährten Berechtigungen ausgeführt werden. Application Control ignoriert etwaige Einträge im Abschnitt "Benutzerberechtigungen" der Regeln und nimmt keine Änderungen an den Benutzerberechtigungen vor.
URL-Umleitung aktivieren Wählen Sie diese Option aus, um die Funktion "URL-Umleitung" zu aktivieren. Wenn Sie diese Option deaktivieren, werden konfigurierte Umleitungen ignoriert und Benutzer werden nicht umgeleitet, wenn sie eine verdächtige oder unerwünschte URL eingeben. Ebenso werden von Ihnen als zulässig konfigurierte URLs nicht ausgeführt. Wenn Sie diese Option deaktivieren, hat dies dieselbe Wirkung als wären keine Elemente in der Richtlinie "Browser-Kontrolle" festgelegt und diese Funktion aktiviert. Wenn Sie diese Funktion deaktivieren, werden die Browsererweiterungen deaktiviert. Siehe auch Browser-Kontrolle.

Signaturen

Optionen Beschreibung
Algorithmus Wählen Sie den Algorithmustyp aus. Es stehen drei Optionen zur Verfügung:
  • SHA1
  • SHA256
  • Adler32

Benutzerdefinierte Einstellungen

Mithilfe von benutzerdefinierten Einstellungen können Sie zusätzliche Einstellungen konfigurieren, die bei Bereitstellung einer Application Control-Konfiguration auf verwaltete Endpunkte angewendet werden. Wird eine neue Konfiguration mit neuen benutzerdefinierten Einstellungen bereitgestellt, werden die auf dem Endpunkt bereits vorhandenen benutzerdefinierten Einstellungen gelöscht.

Verwalten benutzerdefinierter Einstellungen

  1. Öffnen Sie eine Konfiguration in der Application Control-Konsole und navigieren Sie zum Menüband "Verwalten".
  2. Klicken Sie auf Erweiterte Einstellungen und wählen Sie die Registerkarte Benutzerdefinierte Einstellungen aus.

    Das Dialogfeld "Erweiterte Einstellungen konfigurieren" wird angezeigt.

  3. Wählen Sie die Registerkarte "Erweiterte Einstellungen" aus und klicken Sie auf Hinzufügen, um die Liste der erweiterten Einstellungen anzuzeigen.
  4. Wählen Sie die Einstellungen aus, die Sie konfigurieren möchten, und klicken Sie auf OK.

  5. Die ausgewählten Einstellungen werden zum Dialogfeld "Erweiterte Einstellungen konfigurieren" hinzugefügt.

    Hinzugefügte Einstellungen werden auf dem Endpunkt konfiguriert. Auf dem Endpunkt bereits vorhandene Einstellungen werden jedoch verwendet.

  6. Stellen Sie die Werte nach Bedarf ein.
  7. Klicken Sie auf OK.

Die Einstellungen werden angewendet, wenn die Konfiguration auf Ihren verwalteten Endpunkten bereitgestellt wird.

Verfügbare benutzerdefinierte Einstellungen

Zusätzlicher Engineering-Schlüssel – GroupSidRefresh

Application Control setzt voraus, dass die Sicherheitskennung (SID) aller Gruppenregeln den Regelabgleich erfolgreich durchführt. Mit diesem Engineering-Schlüsselsatz löst der Agent die SID der Gruppenregel während der Laufzeit auf während der Endpunkt online ist und schreibt sie zurück in die Konfigurationsdatei (AAMP-Erweiterung). Dies bietet sich an, wenn der Endpunkt später offline verwendet wird, weil die in der Konfiguration gespeicherte SID verwendet wird.

Die Application Control-Konsole löst die SID nach Möglichkeit auf, wenn die Konfiguration gespeichert wird. Diese Einstellung wird nur dann benötigt, wenn die Konsole die Gruppen-SID-Abfrage nicht durchführen konnte.

Einstellungen

HKLM\Software\Ivanti Technologies\Application Control\Engineering

Name

GroupSidRefresh

Typ

String (REG_SZ)

Parameter

0 - Off

1 – löst nur Gruppen auf, die derzeit keine SID-Werte aufweisen

2 – löst alle Gruppen-SIDs auf. Bietet sich dann an, wenn die Domäne durch eine Umgebungsvariable angegeben wird und t damit Änderungen unterliegt.

Self-Elevation-Dateiverknüpfungen

Verwandte Themen