Browser-Kontrolle

In diesem Abschnitt werden folgende Themen behandelt:

Wissenswertes über die Browser-Kontrolle

Im Knoten "Browser-Kontrolle" können Sie folgende Aufgaben durchführen:

  • URL-Umleitung konfigurieren
  • Web-Installationen hinzufügen
  • Snippets importieren
  • Erhöhte Websites hinzufügen

Folgende Browser werden unterstützt: Internet Explorer (8, 9, 10 und 11), Edge (Chromium) und Google Chrome.

Wird eine neue Konfiguration mit Elementen der Browser-Kontrolle wie etwa URL-Umleitung auf Endpunkten bereitgestellt, müssen die Benutzer den Browser schließen und wieder öffnen, damit die neue Konfiguration wirksam wird. Durch Schließen und erneutes Öffnen der Browser werden die Browsererweiterungen aktiviert. Wird eine vorhandene Konfiguration mit Browser-Kontrolle mit zusätzlichen Elementen der Browser-Kontrolle aktualisiert, wird die aktualisierte Konfiguration wirksam, sobald sie bereitgestellt wird. Die Browsererweiterungen sind bereits aktiviert, Sie müssen also die Browser nicht schließen und erneut öffnen.

Zum Implementieren von Funktionen der Browser-Kontrolle in Internet Explorer verwendet Application Control Application Control ein Browser Helper Object (BHO), das beim Starten des Browsers geladen wird. Für die Browser Google Chrome und Edge (Chromium) lädt Application Control die Ivanti Cascade-Erweiterung.

URL-Umleitung

Verwenden Sie diese Funktion, um Benutzer automatisch umzuleiten, wenn sie eine bestimmte URL aufrufen möchten. Durch Definieren einer Liste nicht zulässiger URLs leiten Sie Benutzer, die versuchen, eine gelistete URL aufzurufen, auf eine Standardwarnseite oder eine benutzerdefinierte Webseite um. Sie können auch bestimmte URLs zulassen. So haben Sie in Verbindung mit Umleitungen mehr Flexibilität und Kontrolle und Sie können eine Positivliste mit Websites anlegen.

Die URL-Umleitung wird im Dialogfeld "Umzuleitende URL hinzufügen" konfiguriert, das über das Menüband "Browser-Kontrolle" verfügbar ist. Die Funktion "URL-Umleitung" wird über die Option "Erweiterte Einstellungen" aktiviert bzw. deaktiviert, die über das Menüband "Verwalten" aufgerufen werden kann.

Bevor Sie diese Funktion für Internet Explorer konfigurieren, müssen Sie für jeden Ihrer Endpunkte über die Internetoptionen externe Browsererweiterungen aktivieren. Dies kann alternativ über eine Gruppenrichtlinie angewendet werden.

Zur URL-Umleitung innerhalb von Chrome müssen alle verwalteten Endpunkte einer Domäne angehören.

In Versionen vor Application Control 10.0 war die URL-Umleitung eine globale Einstellung, die über das Menüband "Verwalten" aufgerufen werden konnte. Konfigurationen, die URL-Umleitungen beinhalten, die mit Version 8.8 oder 8.9 des Produkts erstellt wurden, können in der Konsole geöffnet werden. Es wird dann automatisch ein Upgrade auf Version 10.0 vorgenommen. Die URL-Umleitungen werden in benutzerdefinierte Regeln konvertiert, die Folgendes enthalten:

  • Übereinstimmende Bedingungen für Verbindungstypen, IP-Adressen und Portnummern
  • Browser-Kontrolle-Elemente für vertrauliche URLs (siehe Liste auf der Registerkarte "URL-Umleitung")

Falls Sie kein Upgrade der Konfiguration durchführen, liest der Agent der Version 10.0 zwar weiterhin die Konfiguration, jedoch werden die URL-Umleitung und benutzerdefinierte Regeln ignoriert. Der Rest der Konfiguration hat weiterhin Bestand.

URL-Umleitung zu einer Regel hinzufügen

  1. Wählen Sie im Application Control Navigationsbereich den Browser-Kontrolle-Knoten für die Regel aus, der Sie eine URL-Umleitung hinzufügen möchten.
  2. Wählen Sie im Menüband "Browser-Kontrolle" die Option Element hinzufügen > URL hinzufügen aus.

    Das Dialogfeld "Umzuleitende URL hinzufügen" wird angezeigt.

  3. Geben Sie eine URL ein. Sie können dazu sowohl die IP-Adresse verwenden, als auch Text-URLs.

    Tipp: Falls Sie eine Text-URL verwenden und der Server auch mit IP-Adressen interagiert, geben Sie neben der Text-URL auch die IP-Adresse des Servers ein.

  4. Wählen Sie die Aktion für die URL ein: Umleiten oder Zulassen.
  5. Falls Sie "Umleiten" ausgewählt haben, wählen Sie die gewünschte Reaktion aus, wenn ein Benutzer versucht, auf die unterbundene URL zuzugreifen:
    • Bei URL-Umleitung Standardwarnseite anzeigen – Der Benutzer wird zur Standardseite "Zugriff verweigert" geleitet.
    • Bei URL-Umleitung benutzerdefinierte Seite anzeigen – Geben Sie anstelle der Standardwarnseite einen alternativen Speicherort an. Dies kann beispielsweise ein Speicherort innerhalb Ihres Unternehmensnetzwerks sein, eine Datei auf einem Datenträger, Ihr Intranet oder eine sonstige Website.
  6. Geben Sie optional eine Beschreibung zum einfacheren Identifizieren ein.
  7. Klicken Sie auf Hinzufügen.

Die Umleitung wird zur Registerkarte "URL-Umleitung" des Arbeitsbereichs "Browser-Kontrolle" hinzugefügt. Wenn die Konfiguration bereitgestellt wurde und Benutzer versuchen, auf die angegebenen Webseite zuzugreifen, wird die umgeleitete Seite in derselben Browserinstanz angezeigt. Falls für die URL "Zulassen" konfiguriert wurde, wird die Seite erwartungsgemäß geöffnet.

Steuern des URL-Zugriffs innerhalb einer Domäne

Die URL-Umleitung kann auch zur Steuerung des Zugriffs innerhalb einer einzigen Domäne verwendet werden. So kann etwa der Zugriff auf eine Domäne unterbunden werden, während der Zugriff auf bestimmte Unterdomänen zulässig ist. Beispiel: Der Zugriff auf www.firma.com kann verweigert werden, während der Zugriff auf www.firma.com/ressourcen zulässig ist.

Video zu diesem Thema ansehen

Konfigurieren einer Positivliste mit URL-Umleitung

Anhand der URL-Umleitung können Sie einen Positivlistenansatz implementieren und damit den Internetzugriff für Ihr Unternehmen steuern. Indem Sie eine Umleitung erstellen, die den Zugriff auf alle Internetsites untersagt und anschließend zulässige Elemente hinzufügen, können Sie bestimmte Websites für Ihre Mitarbeiter zugänglich machen.

Video zu diesem Thema ansehen

  1. Erstellen Sie ein URL-Umleitungselement für http* oder *. Dadurch können Benutzer auf gar keine Inhalte im Internet zugreifen.

  2. Erstellen Sie Umleitungen, um den Zugriff auf gewünschte URLs zu gewähren.

Wenn die Konfiguration für Ihre Benutzer bereitgestellt wird, können diese nur auf die Websites zugreifen, die in Elementen vom Typ "URL-Umleitung" konfiguriert sind, und die zulässigen Aktionen durchführen.

Positivliste und Inlineframes

Wenn Sie eine Positivliste verwenden und den Zugriff auf eine Site zulassen möchten, die Inlineframes (iFrames) verwendet, müssen Sie Elemente für die URL-Umleitung einrichten, um die URLs für jeden Inlineframe zuzulassen. Wird die URL für einen Inlineframe umgeleitet, wird auch die URL der Hauptwebsite umgeleitet, selbst wenn sie nicht als zulässig konfiguriert ist.

Beispiel: Sie haben alle Websites umgeleitet, die http* verwenden, und haben eine zulässige URL erstellt, sodass Ihre Benutzer auf http://www.website.com zugreifen können. Diese Website verwendet einen Inlineframe zum Anzeigen von http://www.frame.com, der jedoch nicht zulässig ist. Die Benutzer können http://www.website.com nicht öffnen, da der Zugriff auf http://www.frame.com aufgrund der http*-Umleitung verweigert wird.

Ermitteln von Inlineframe-URLs über Regelanalyse

Mithilfe der Application Control-Regelanalyse lassen sich die URLs für Inlineframes ermitteln. Die URLs können dann in der URL-Umleitung als zulässig definiert werden, sodass die übergeordneten Websites für Benutzer zur Verfügung stehen.

Für die Verwendung der Regelanalyse müssen Sie mit einem Konto angemeldet sein, das Lese- und Schreibzugriff auf die Registrierung verwalteter Endpunkte hat, für die Sie Protokolle generieren möchten. Sie benötigen außerdem Lese- und Schreibzugriff auf die lokale Registrierung des Computers, auf dem die Konsole ausgeführt wird.

  1. Erstellen Sie in der Application Control-Konsole eine Konfiguration mit URL-Umleitungen, die Folgendes bewirkt:
    • Umleitung aller URLs zu der Website, für die Sie die Inlineframes ermitteln möchten
    • Zugriff auf die betreffende Website

  2. Stellen Sie die Konfiguration auf dem Endpunkt bereit, auf dem Sie die Konfiguration erstellen möchten.
  3. Wählen Sie die Navigationsschaltfläche Regelanalyse aus.
  4. Klicken Sie auf Endpunkt hinzufügen und wählen Sie Bereitstellungsgruppe durchsuchen oder Domäne/Arbeitsgruppe durchsuchen aus.
  5. Wählen Sie den Endpunkt aus, den Sie zum Ermitteln der Inlineframe-URLs verwenden möchten.
  6. Klicken Sie auf Protokollierung starten.

  7. Rufen Sie die Website auf, für die Sie die Inlineframes ermitteln möchten.

    Der Zugriff auf die Site ist erlaubt, allerdings ist die URL des Inlineframes nicht zulässig. Der Browser bleibt folglich in einer Schleife hängen, da er auf sich selbst verweist. Während dieses Prozesses protokolliert die Regelanalyse Details zu den umleitenden Inlineframes.

  8. Schließen Sie den Browser und kehren Sie zurück zur Regelanalyse.
  9. Klicken Sie auf Protokollierung stoppen und geben Sie einen Berichtsnamen ein.

    Die Ergebnisse Ihrer Analyse werden angezeigt.

  10. Klicken Sie in der Spalte "Browser-Kontrolle" auf einen Link, um die protokollierten URL-Anfragen anzuzeigen.

  11. Wählen Sie eine URL aus, um weitere Details anzuzeigen. Anhand der Details lässt sich feststellen, dass die Umleitung von der von Ihnen zugelassenen Site ausgegangen ist.

  12. Kopieren Sie die Domäne und verwenden Sie sie zum Erstellen einer neuen URL-Umleitungsgenehmigung.

Nach Bereitstellung der Konfiguration haben die Benutzer Zugriff auf die Site, da der Inlineframe als zulässig definiert ist.

Hinzufügen einer Web-Installation

Für eine Reihe von Web-Installationen benötigen die Endbenutzer Administratorrechte. Etwa für eine ActiveX-Steuerung wie Adobe Flash Player oder einen Webdownload wie einen Microsoft Updatekatalog.

Die Funktion "Web-Installation" von Browser-Kontrolle ermöglicht die Erweiterung auf Administratorrechte für ActiveX-Installationsprogramme von einer bestimmten Domäne aus. Sie können eine einfache Konfiguration erstellen, bei der Sie lediglich den Namen der Domäne eingeben. Alternativ können Sie eine erweiterte Konfiguration erstellen, für die Sie die CAB-Datei eines Elements, die Klassen-ID, sowie die Mindest- und Höchstversion angeben. Sie können außerdem festlegen, dass nur signierte Steuerelemente über die Domäne installiert werden dürfen.

Das Herunterladen der .exe- oder MSI-Dateien wird nicht direkt über die Browser-Kontrolle abgewickelt. Hierfür kann die Funktion "Vertrauenswürdiger Besitz" verwendet werden (siehe Systemkontrollen).
Die Browser-Kontrolle kann jedoch so konfiguriert werden, dass die Installation der .cab-Datei verhindert wird (diese wird in der Regel als Bestandteil einer .exe- oder MSI-Datei heruntergeladen und bei der Windows-Softwareinstallation verwendet).

  1. Navigieren Sie zum Knoten Browser-Kontrolle unter der von Ihnen ausgewählten Regel.
  2. Wählen Sie im Menüband "Browser-Kontrolle" die Option Element hinzufügen > Web-Installation hinzufügen aus.

    Das Dialogfeld "Neue Web-Installation hinzufügen" wird angezeigt.

  3. Geben Sie einen aussagekräftigen Namen für die Web-Installation ein.
  4. Um sicherzustellen, dass Benutzer sich nur mit legitimierten Web-Installationen verbinden, wählen Sie Nur signierte Steuerelemente zulassen aus.
  5. Geben Sie die Website-URL für die Installation ein. Geben Sie beispielsweise adobe.com ein, um Installationen von der gesamten Domäne "adobe.com" zuzulassen.
  6. Klicken Sie auf Hinzufügen.

Auf der Registerkarte "Websites" im Arbeitsbereich "Browser-Kontrolle" wird der Name der neuen Web-Installation angezeigt.

Hinzufügen einer Web-Installation (Erweiterte Einstellungen)

  1. Navigieren Sie zum Knoten Browser-Kontrolle unter der von Ihnen ausgewählten Regel.
  2. Wählen Sie im Menüband "Browser-Kontrolle" die Option Element hinzufügen > Web-Installation hinzufügen aus.

    Das Dialogfeld "Neue Web-Installation hinzufügen" wird angezeigt.

  3. Geben Sie einen aussagekräftigen Namen für die Web-Installation ein.
  4. Wenn Sie nur signierte Steuerelemente zulassen möchten, markieren Sie das entsprechende Kontrollkästchen.
  5. Wählen Sie Erweiterte Einstellungen verwenden aus.

    Der Abschnitt "Erweiterte Einstellungen" wird aktiviert.

  6. Geben Sie die URL des Installationsprogramms ein, z. B. http://www.beispiel.com/control.cab.
  7. Fügen Sie bei Bedarf zusätzliche Validierung hinzu: Klassen-ID, Mindestversion und Höchstversion
  8. Klicken Sie auf Hinzufügen.

Auf der Registerkarte "Websites" im Arbeitsbereich "Browser-Kontrolle" wird der Name der neuen Web-Installation angezeigt.

Snippets

Snippets ermöglichen es Application Control, partielle Konfigurationen zu importieren und mit einer derzeit geöffneten Konfiguration auf der Konsole zusammenzuführen.

Dies bietet sich insbesondere für Web-Installationen an, da abgesehen vom Erstellen der Web-Installation im Rahmen der Konfiguration eine ganze Reihe weiterer konfigurierbarer Elemente zu berücksichtigen sind. Dazu gehören etwa Prozessregeln, zulässige Elemente, vertrauenswürdige Anbieter, digitale Zertifikate, zulässige Elemente, erhöhte Elemente usw.

Herunterladen der neuesten Snippets aus der Ivanti Community

  1. Wählen Sie eine Regel aus.
  2. Wählen Sie im Menüband "Browser-Kontrolle" die Option Snippet importieren aus.

    Das Dialogfeld "Snippet importieren" wird angezeigt.

  3. Klicken Sie im Dialogfeld auf den Link Ivanti Community.

    Die neuesten Snippets werden angezeigt.

  4. Wählen Sie ein Snippet aus und speichern Sie es unter C:\Programme\AppSense\Application Manager\Console\Snippets. Dies ist der Standardspeicherort.

    Das Snippet steht nun im Dialogfeld "Snippet importieren" zur Verfügung.

  5. Wählen Sie das Snippet aus und klicken Sie auf Hinzufügen.
  6. Um den Inhalt des Snippets anzuzeigen, klicken Sie auf den Link Elemente anzeigen, die der Konfiguration hinzugefügt werden.

    Ein Konfigurationsbericht wird angezeigt.

  7. Klicken Sie auf Fortfahren.

Das Snippet wird importiert. Die Elemente werden in den verschiedenen Knoten der Konsole angezeigt.

Erhöhte Websites

Diese Funktion wird nur in den 32-Bit-Versionen von Internet Explorer (8, 9, 10 und 11) und in Chrome unterstützt.

Mit der Funktion "Erhöhte Website" können Sie eine bestimmte URL festlegen, die in einer separaten, abgesicherten und mit erhöhten Rechten versehenen Instanz von Internet Explorer geöffnet wird. Wurden erhöhte Rechte gewährt, besitzt der Benutzer Administratorrechte, die es ihm ermöglichen, Komponenten zu installieren und auszuführen, etwa zusätzliche Software oder für die Site spezifische ActiveX-Steuerelemente.

Bevor Sie diese Funktion konfigurieren, müssen Sie für jeden Ihrer Endpunkte über die Internetoptionen externe Browsererweiterungen aktivieren. Alternativ lässt sich dies über die Gruppenrichtlinie anwenden.

Es wird empfohlen, diese Funktion nur für interne Websites zu verwenden, die zur Ausführung bestimmter Inhalte eine Erhöhung der Rechte voraussetzen. Dazu gehören beispielsweise Diagnosetools oder ein moderiertes Portal, das vom Administrator genehmigte Software beinhaltet.

Sie sollten keine Websites mit erhöhten Rechten ausstatten, über die Benutzer potenziell Software abrufen können, die ein Sicherheitsrisiko für Ihr Netzwerk darstellen, etwa Popups, Suchleisten oder externe Links.

  1. Wählen Sie den Knoten Browser-Kontrolle unter der von Ihnen ausgewählten Gruppe aus.
  2. Wählen Sie das Menüband "Browser-Kontrolle" aus.
  3. Klicken Sie auf Element hinzufügen und wählen Sie Erhöhte Website hinzufügen aus.

    Das Dialogfeld "Neue erhöhte Website hinzufügen" wird angezeigt.

  4. Geben Sie eine aussagekräftige Beschreibung zum einfacheren Identifizieren ein.
  5. Geben Sie in das Feld "Website-URL" die Webadresse ein.

    Sie können Websites mithilfe von regulären Ausdrücken definieren. Wählen Sie zum Verwenden dieser Funktion die Option Regulären Ausdruck verwenden aus und geben Sie die Kriterien für die Website-URL ein. Beispiel: Mit "https://.+\.com$" werden sichere Websites mit der Erweiterung ".com", wie "https://www.cisco.com" erhöht und umgeleitet, jedoch wird "http://www.cisco.com" nicht erhöht und umgeleitet.

  6. Klicken Sie auf Hinzufügen.
  7. Speichern Sie die AAMP-Datei.

Verwandte Themen