Archivierung
In diesem Abschnitt werden folgende Themen behandelt:
Archivierung ist eine optionale Funktion, mit der Sie verweigerte ausführbare Dateien in einen sicheren Ordner kopieren können. Versucht ein Benutzer, eine nicht autorisierte ausführbare Datei oder eine ausführbare Datei, die in der Liste der unzulässigen Elemente aufgeführt ist, auszuführen, können Sie mit Application Control eine Kopie der Anwendungen erstellen, deren Ausführung versucht wurde, und diese in einem abgesicherten Dateisystem oder Archiv ablegen. Anhand dieser Informationen können Administratoren die Arten ausführbarer Inhalte näher untersuchen, die von Application Control blockiert wurden.
Bei blockierten Anwendungen handelt es sich oft um Dateien mit falschem Namen, wie "winword.exe". Am Namen allein kann der Administrator nicht viel erkennen, da es sich in der Regel um andere ausführbare Dateien handelt, die schlicht umbenannt wurden, um den Benutzer dazu zu veranlassen, die Anwendung auf dem Computer auszuführen. Da Application Control eine vollständige Kopie jeder ausführbaren Datei erstellt, kann der Administrator genau prüfen, welche Auswirkungen die einzelnen Anwendungen bei Ausführung auf das Unternehmen gehabt hätten.
Es wird empfohlen, archivierte ausführbare Dateien in einer sicheren Umgebung zu überprüfen, um die Bedrohung durch Viren und Malware zu minimieren.
Aktivieren Sie die Archivierung, indem Sie im Dialogfeld "Archivierungseinstellungen" die Option Archivierung aktivieren auswählen, die sich im Menüband "Globale Einstellungen" befindet.
Globale Eigenschaften
Steuern Sie mithilfe der Registerkarte "Globale Eigenschaften" des Dialogfelds "Archivierungseinstellungen", welche Objekte archiviert werden sollen. Definieren Sie außerdem die maximale bzw. minimale Größe der Archive, indem Sie eine oder mehrere der folgenden Optionen auswählen:
- Keine Administratordateien archivieren – Wählen Sie diese Option aus, um zu verhindern, dass Application Control Dateien im Besitz des Administrators zum Archiv hinzufügt. Beispiel: Ein Benutzer versucht, "regedit.exe" auszuführen und wird vom Application Control Agent daran gehindert. Es ist eher unwahrscheinlich, dass Sie diese Datei archivieren möchten. Die Archivierung bietet sich jedoch an, wenn der Benutzer versucht, eine eigene Kopie von "regedit.exe" auszuführen, um festzustellen, um welche Anwendung es sich handelt und welche Auswirkungen sie bei Ausführung auf das Unternehmen haben könnte.
- Nicht archivieren, wenn Datei bereits existiert – Wählen Sie diese Option aus, um zu verhindern, dass Application Control Dateien zum Archiv hinzufügt, die dort bereits vorhanden sind, insbesondere dann, wenn sich das Archiv in einem Netzwerk befindet. Wenn diese Option deaktiviert ist, werden keine doppelten Einträge erstellt. Stattdessen wird der bereits vorhandene Archiveintrag überschrieben. Dadurch wird Speicherplatz eingespart. Allerdings kann die Archivierung ungenau sein, da immer nur eine Kopie einer ausführbaren Datei eines bestimmten Namens beibehalten wird.
- Anonyme Archivierung aktivieren – Wählen Sie diese Option aus, um zu verhindern, dass Application Control Benutzernamen zum Archiv hinzufügt. Beispiel: Wenn ein Benutzer eine heruntergeladene Datei über das Laufwerk $Home ausführt, ist der Benutzer der Besitzer dieser Datei. Auch der archivierte Dateiname enthält den Namen des Benutzers als Teil des Pfades, über den die Datei ausgeführt wurde. Bei Auswahl der anonymen Archivierung wird der Besitzer der Datei in SYSTEM geändert. Sämtliche Verweise auf den Benutzernamen werden durch den Eintrag "anonym" ersetzt.
- Maximale Archivgröße für alle Benutzer zusammen – Die maximale Größe in MB, die alle Benutzer zusammen nutzen können, bevor Dateien überschrieben werden. Das Limit null (0) wird als unbegrenzt ausgelegt.
- Maximale Archivgröße pro Benutzer – Die maximale Größe in MB, die ein einzelnes Benutzerarchiv erreichen kann, bevor Dateien überschrieben werden. Beispiel: Wenn ein Archivpfad C:\archive\%benutzername% lautet, hat jeder Benutzer des Systems ein eigenes Archiv im Verzeichnis C:\archive. Dies ist das Benutzerarchiv, auf das sich das Größenlimit bezieht. Das Benutzerlimit sollte das Gesamtlimit nicht überschreiten. Das Limit null (0) wird als unbegrenzt ausgelegt.
Dateioptionen
Geben Sie auf der Registerkarte "Dateioptionen" die Schwellenwerte für die Dateigröße, das Aufbewahrungsverhalten, den Archivinhalt sowie die maximale und minimale Archivgröße an, indem Sie eine oder mehrere der folgenden Optionen auswählen:
Nur Dateien archivieren, die kleiner sind als – Begrenzt die Größe der Dateien, die in das Archiv kopiert werden. Dies bietet sich insbesondere dann an, wenn es sich um ein Netzwerkarchiv handelt. Das Kopieren großer Dateien an einen Netzwerkspeicherort kann sich als sehr zeitintensiv erweisen.
Älteste Dateien überschreiben, wenn Benutzerarchiv belegt ist – Wählen Sie diese Option aus, damit Application Control die ältesten Dateien im Archiv überschreiben kann, falls das Gesamtlimit oder das Benutzerlimit für das Archiv erreicht wurde. Mit dieser einfachen Methode wird sichergestellt, dass das Unternehmen die neuesten Informationen erfasst, ohne dabei riesige Mengen an Datenspeicherplatz für nicht autorisierte Anwendungen zu belegen.
Ordner
Auf der Registerkarte "Ordner" können Sie eine Liste mit Ordnern angeben, die für Archivierungszwecke verwendet werden können. In jedem dieser Ordner können anschließend Backups gespeichert werden.
Der Standardspeicherort zum Ablegen aller archivierten Dateien lautet:
%SystemDrive%\AppSenseLogs\ApplicationManager\%UserName%
Dadurch werden alle archivierten Dateien für einen bestimmten Benutzer in denselben Ordner abgelegt. Zur einfacheren Verwaltung entspricht der Name des Ordners dem Namen des Benutzers.
- Archivordner – Die Liste der Pfade zu den Ordnern, in die Archivdateien kopiert werden. Beim Archivieren wird zuerst versucht, in den ersten Ordner der Liste zu schreiben. Gelingt dies nicht, wird der nächste Ordner der Liste versucht, falls vorhanden. Dieser Prozess wird solange fortgesetzt, bis das Ende der Liste erreicht ist oder die Archivierung gelingt.
- Nach oben – Verschiebt das ausgewählte Archiv in der Liste der verfügbaren Archive nach oben. Die Reihenfolge der Archivliste ist insofern wichtig, als Application Control versucht, die Datei in das erste Archiv der Liste zu kopieren. Schlägt der Kopiervorgang fehl, setzt Application Control die Kopierversuche am nächsten Archivspeicherort fort, bis das Kopieren erfolgreich ist.
- Nach unten – Verschiebt das ausgewählte Archiv in der Liste der verfügbaren Archive nach unten. Die Reihenfolge der Archivliste ist insofern wichtig, als Application Control versucht, die Datei in das erste Archiv der Liste zu kopieren. Schlägt der Kopiervorgang fehl, setzt Application Control die Kopierversuche am nächsten Archivspeicherort fort, bis das Kopieren erfolgreich ist.
- Ordner hinzufügen – Fügt einen Archivspeicherort zur Liste hinzu. Das Archiv kann Umgebungsvariablen enthalten. So wird beispielsweise %SYSTEMDRIVE%\Archive\%BENUTZERNAME% erweitert, wenn Application Control versucht, die Datei zu kopieren. Jeder Benutzer verfügt über ein persönliches Archiv.
- Ordner löschen – Löscht den ausgewählten Ordner.
- Durchsuchen – Wechseln Sie an den Speicherort, an dem Sie das Archiv vorhalten möchten.