Bedingungsverwaltung
In diesem Abschnitt werden folgende Themen behandelt:
- Wissenswertes über Bedingungen
- Erstellen von Bedingungen
- Wiederverwenden von Bedingungen
- Bedingungsvariablen
- Feldvalidierung
Wissenswertes über Bedingungen
Bedingungen werden in benutzerdefinierten Regeln verwendet, um Sicherheitskontrollen auf Basis verschiedener Faktoren anzuwenden. Bedingungen lassen sich basierend auf folgenden Faktoren festlegen:
- Computer
- Skriptbasiert
- Verzeichniszugehörigkeit
- Umgebung
- Dateien und Ordner
- Registrierung
- Sitzung und Client
- Benutzer
Sie können auch benutzerdefinierte, skriptbasierte Bedingungen mithilfe von VBScript oder JScript erstellen, um Szenarien abzudecken, die nicht standardmäßig von AC angeboten werden.
Die in den Regelelementen wie "Zulässige Elemente" oder "Berechtigungsverwaltung" festgelegten Sicherheitskontrollen werden angewendet, wenn die Kriterien in der Bedingung zutreffen (wahr) oder nicht zutreffen (falsch). Sie können auch reguläre Ausdrücke und Bereiche verwenden, um erweiterte Bedingungen zu erstellen, die auf mehrere Übereinstimmungen angewendet werden.
In Bedingungen, die reguläre Ausdrücke unterstützen, können Sie durch Eingeben von einfachen regulären Ausdrücken wie [abc] festlegen, dass alle Werte abgeglichen werden, die den Zeichen zwischen den Klammern entsprechen. Sie können auch komplexere Abfragen durchführen wie ^[a-f]+, um Benutzernamen abzugleichen, die mit einem Buchstaben zwischen a und f beginnen.
Weitere Informationen finden Sie unter Platzhalter und reguläre Ausdrücke.
Denken Sie daran, dass Application Controlbei einer benutzerdefinierten Regel mit Bedingungen ein Timeout von 10 Sekunden anwendet, um alle Bedingungen der Regel zu prüfen. Werden die Bedingungen nicht innerhalb von 10 Sekunden geprüft, wird die benutzerdefinierte Regel nicht angewendet. Dies ist insbesondere beim Erstellen von skriptbasierten Bedingungen wichtig, da ein Skript mit einer Ausführungszeit von mehr als 10 Sekunden automatisch das Timeout der Prüfung bedingt.
Wählen Sie zum Anzeigen der Bedingungen für eine benutzerdefinierte Regel den Knoten einer einzelnen benutzerdefinierten Regel im Navigationsbereich aus. Im Arbeitsbereich wird die Sicherheitsstufe für die Regel angezeigt, darunter eine Liste der Bedingungen für die Regel und ob die Regel aktiviert ist.
Oben in der Liste befindet sich das Dropdownmenü "Bedingungen", über das Sie neue Bedingungen erstellen können. Entlang des Menüs befinden sich folgende Optionen zum Verwalten der Bedingungen:
- Nach links
- Nach rechts
- Nach unten
- Nach oben
- Bearbeiten
- Löschen
Mithilfe der Pfeile lassen sich die Bedingungen in der Liste verschieben. Sie können die Bedingungen in der Liste nach oben oder unten verschieben oder nach links oder rechts, um sie als untergeordnete oder übergeordnete Elemente anderer Bedingungen festzulegen. Die Position einer Bedingung in der Hierarchie bestimmt, wie sie angewendet wird. Bedingungen auf derselben Ebene werden gleichzeitig geprüft (ODER-Bedingung). Eine untergeordnete Bedingung wird erst dann geprüft, wenn die übergeordnete Bedingung erfolgreich ausgeführt wurde (UND-Bedingung). Im folgenden Beispiel muss der Benutzer entweder ein Administrator sein ODER Mitglied der Benutzergruppe "Finanzwesen" UND er muss einen Laptop verwenden, damit die Elemente der benutzerdefinierten Regel angewendet werden:
Bei Bedingungen, die Active Directory abfragen, muss der Application Control-Administrator Mitglied der Zieldomäne sein oder über ausreichende Berechtigungen zum Zugreifen auf und Abfragen der Domäne verfügen.
Bedingungen, die Teil einer Live-Konfiguration sind, werden beim Erstellen eines vollständigen Berichts mit Configuration Profiler in den Bericht aufgenommen. Der Bericht führt die relevante Bedingung unter den einzelnen benutzerdefinierten Regeln auf, wobei derselbe Bedingungstext wie im Arbeitsbereich "Benutzerdefinierte Regel" verwendet wird:
Erstellen einer Bedingung
Dieser Abschnitt bezieht sich lediglich auf das Erstellen von Bedingungen vom Typ Verzeichniszugehörigkeit, Benutzer, Computer, Sitzung und Client, da die Dialogfelder für diese Bedingungen dasselbe Format haben.
- Wählen Sie den Knoten für eine benutzerdefinierte Regel aus.
-
Öffnen Sie im Arbeitsbereich für die Regel das Dropdownmenü "Bedingungen" und wählen Sie die anzuwendende Bedingung aus, z. B. Bedingungen > Benutzer > Benutzergruppe.
Im Dialogfeld der Bedingung wird standardmäßig die für den Bedingungstyp spezifische Registerkarte "Bedingung" angezeigt. Auf dieser Registerkarte können die Parameter gesetzt werden, die eine gemeinsame Gruppe von Optionen und Feldern verwenden.
Weitere Einzelheiten finden Sie unter Bedingungsvariablen.
- Definieren Sie die Bedingung mithilfe der verfügbaren Felder und Kontrollkästchen.
- Wählen Sie die Registerkarte Allgemein aus.
- Geben Sie eine Beschreibung und alle optionalen Knoten ein. Die Beschreibungen werden als Anzeigenamen für die Bedingungen verwendet. Wenn dieses Feld leer gelassen wird, wird der Anzeigename automatisch der konfigurierten Bedingung entnommen.
- Klicken Sie auf OK, um die Bedingung zu speichern.
Der Application Control Agent ermittelt anhand der Bedingung, ob übereinstimmende Kriterien für einen angemeldeten Benutzer vorliegen. Bei Übereinstimmung werden die mit der Bedingung verbundene Regel und die Regelelemente angewendet.
Active Directory-basierte Bedingungen für Geräte in untergeordneten Domänen
Active Directory (AD)-basierte Clientbedingungen konvertieren den NetBIOS-Namen des Clients, den sie vom Windows-Terminalserver (oder Citrix-Entsprechung) erhalten haben, in einen FQDN, der für AD-Abfragen verwendet wird. Der FQDN kann nicht aufgelöst werden, wenn sich der Terminalserver in der übergeordneten Domäne befindet und versucht, den FQDN eines verbundenen Geräts in einer untergeordneten Domäne aufzulösen. Dies wirkt sich auf Geräteregeln und benutzerdefinierte Regeln mit Active Directory-basierten Clientbedingungen aus, die auf Terminalserver und VDIs in einer Stammdomäne angewendet werden.
Der Terminalserver muss mit dem DNS-Suffix aller untergeordneten Domänen konfiguriert sein. Die Suchliste muss auf allen Terminalservern konfiguriert sein, die zum Verbinden mit untergeordneten Domänen Namen auflösen müssen.
Beispiel: Für die übergeordnete Domäne "domain.local" müssen die untergeordneten Domänen "childa.domain.local" und "childb.domain.local" auf dem Terminalserver konfiguriert sein, damit AD-basierte Bedingungen korrekt bewerten können.
Informationen zum Konfigurieren von Suchlisten für Domänensuffixe finden Sie unter https://support.microsoft.com/en-gb/kb/275553.
Wiederverwenden von Bedingungen
Sie können bereits erstellte Bedingungen wiederverwenden, indem Sie sie in einer benutzerdefinierten Regel kopieren und in eine andere einfügen.
Sie können ganze Bedingungen ausschneiden, kopieren und einfügen, indem Sie die Optionen im Menüband "Bearbeiten" verwenden.
Bedingungsvariablen
Die einzelnen Bedingungstypen werden unter Verwendung von Variationen der folgenden Felder, Dropdownlisten und Kontrollkästchen festgelegt:
- Gleich – Es wird ein Abgleich mit dem Inhalt des Feldes Abgleichen mit durchgeführt, um Benutzer oder Computer zu ermitteln, die den Kriterien entsprechen. Geben Sie die Kriterien in das Feld Abgleichen mit ein oder verwenden Sie das Auslassungszeichen (...), um nach den Kriterien zu suchen bzw. sie auszuwählen.
- Nicht gleich – Bezieht sich auf alle Benutzer und Computer, die die Kriterien im Feld Abgleichen mit nicht erfüllen. Geben Sie die Kriterien in das Feld Abgleichen mit ein oder verwenden Sie das Auslassungszeichen, um nach den Kriterien zu suchen bzw. sie auszuwählen.
- Abfrage – Ermittelt alle Benutzer oder Computer, die den im Feld Abfrage angegebenen Kriterien entsprechen. Durch die Verwendung von Platzhaltern in der Abfrage kann ein größerer Bereich ausgewählt werden. Beispiel:
- *Windows – Ermittelt Benutzer und Computer, die mit dem Text "Windows" enden.
- Windows* – Ermittelt Benutzer und Computer, die mit dem Text "Windows" beginnen.
- *Windows* – Ermittelt Benutzer und Computer, die den Text "Windows" enthalten.
- Regulärer Ausdruck – Mit regulären Ausdrücken lassen sich erweitere Abfragen nach Benutzern oder Computern festlegen.
- Zwischen – Wird für Bedingungen verwendet, für die ein Wertebereich eingestellt werden kann. So kann beispielsweise eine Bedingung erstellt werden, die auf einen ausgewählten Bereich von IP-Adressen angewendet wird.
- Einmal pro Sitzung prüfen – Wenn diese Option ausgewählt ist, wird eine Bedingung geprüft und das Ergebnis zwischengespeichert. Wenn die Bedingung erneut ausgeführt wird, wird das Ergebnis aus dem Cache abgerufen, anstatt die Bedingung erneut auszuwerten.
Feldvalidierung
Die nachfolgende Tabelle enthält die Zeichenfolgen, die in den Feldern der verschiedenen Bedingungen zulässig sind.
| Bedingung | Feld | Zulässige Zeichenfolge | Beispiel |
|---|---|---|---|
| Benutzergruppe | Abgleichen | domain\group | ivanti/sales entspricht der Gruppe "sales" in der ivanti-Domäne. |
| LDAP | CN=sales entspricht der Gruppe "sales" in der ivanti.com-Domäne. | ||
| Abfrage | domain\gro* | ivanti\sal* entspricht Gruppennamen in der ivanti-Domäne, die mit "sal" beginnen. | |
| domain\*gro | ivanti\*les entspricht Gruppennamen in der ivanti-Domäne, die mit "les" enden. | ||
| domain\*gro* | ivanti\*ale* entspricht Gruppennamen in der ivanti-Domäne, die "ale" enthalten. | ||
| Benutzername | Abgleichen | domain\user | ivanti\mustermannm steht für den Benutzernamen "mustermann"m in der ivanti-Domäne. |
| Abfrage | domain\use* | ivanti\muster* entspricht Gruppennamen in der ivanti-Domäne, die mit "muster" beginnen. | |
| domain\*use | ivanti\*mann entspricht Gruppennamen in der ivanti-Domäne, die mit "mann" enden. | ||
| domain\*use* | ivanti\*ann* entspricht Gruppennamen in der ivanti-Domäne, die "ann" enthalten. | ||
| Computergruppe | Abgleichen | domain\group | ivanti/sales entspricht der Gruppe "sales" in der ivanti-Domäne. |
| LDAP | CN=sales entspricht der Gruppe "sales" in der ivanti.com-Domäne. | ||
| Abfrage | domain\gro* | ivanti\sal* entspricht Gruppennamen in der ivanti-Domäne, die mit "sal" beginnen. | |
| domain\*gro | ivanti\*les entspricht Gruppennamen in der ivanti-Domäne, die mit "les" enden. | ||
| domain\*gro* | ivanti\*ale* entspricht Gruppennamen in der ivanti-Domäne, die "ale" enthalten. | ||
| Computername | Abgleichen | Computer | SalesDesk01 gleicht den Computernamen "SalesDesk01" ab. |
| Abfrage | Comp* | SalesDesk* gleicht alle Computernamen ab, die mit "SalesDesk" beginnen. | |
| *comp | Desk01* gleicht alle Computernamen ab, die mit "Desk01" beginnen. | ||
| *comp* | *Desk* gleicht alle Computernamen ab, die "Desk" enthalten. | ||
| Computer-Domäne | Abgleichen | domain | ivanti entspricht dem Domänennamen "ivanti". |
| domain | ivanti.com entspricht dem Domänennamen "ivanti.com". | ||
| Abfrage | dom* | iva* entspricht allen Computerdomänen, die mit "iva" beginnen. | |
| *dom | *anti entspricht allen Computerdomänen, die mit "anti" enden. | ||
| *dom* | *ant* entspricht allen Domänen, die "ant" enthalten. | ||
| Computer NETBIOS | Abgleichen | Computer | SalesDesk01 gleicht den Computer-NETBIOS-Namen "SalesDesk01" ab. |
| Abfrage | Comp* | SalesDesk* gleicht alle Computernamen ab, die mit "SalesDesk" beginnen. | |
| *comp | Desk01* gleicht alle Computernamen ab, die mit "Desk01" beginnen. | ||
| *comp* | *Desk* gleicht alle Computernamen ab, die "Desk" enthalten. | ||
| Computer-IP-Adresse | Abgleichen | xxxx.xxxx.xxxx.xxxx | 192.168.0.1 gleicht die IP-Adresse 192.168.0.1 ab. |
| zwischen | xxxx.xxxx.xxxx.xxxx | IP-Adresse 1: 192.168.0.1, IP-Adresse 2: 192.168.0.254 gleicht alle IP-Adressen zwischen "192.168.0.1" und "192.168.0.254" ab. | |
| Zugehörigkeit des Benutzers zu Org.-Einheit | Abgleichen | LDAP | CN=sales entspricht der Verzeichniszugehörigkeit der Benutzerorganisationseinheit "sales" in der ivanti.com-Domäne. |
| Abfrage | ou* | Vertrieb* gleicht Namen der Benutzer-Org.-Einheiten ab, die mit "Vertrieb" beginnen. | |
| *ou | *Vertrieb gleicht Namen der Benutzer-Org.-Einheiten ab, die mit "Vertrieb" enden. | ||
| *ou* | *Vertrieb* gleicht Namen der Benutzer-Org.-Einheiten ab, die das Wort "Vertrieb" enthalten. | ||
| Zugehörigkeit des Computers zu Org.-Einheit | Abgleichen | LDAP | CN=sales entspricht der Verzeichniszugehörigkeit der Computerorganisationseinheit "sales" in der ivanti.com-Domäne. |
| Abfrage | ou* | Vertrieb* gleicht Namen der Computer-Org.-Einheiten ab, die mit "Vertrieb" beginnen. | |
| *ou | *Vertrieb gleicht Namen der Computer-Org.-Einheiten ab, die mit "Vertrieb" enden. | ||
| *ou* | *Vertrieb* gleicht Namen der Computer-Org.-Einheiten ab, die das Wort "Vertrieb" enthalten. | ||
| Verzeichnis-Site | Abgleichen | Sitename | Test-Site gleicht den Site-Namen "Test-Site" ab. |