Konfigurationen

In diesem Abschnitt werden folgende Themen behandelt:

Wissenswertes über Konfigurationen

Application Control Konfigurationsdateien (AAMP) enthalten die Regeleinstellungen zum Sichern Ihres Systems. Die Konfigurationsdateien sind auf verwalteten Geräten installiert und dienen als Richtlinienprüfliste. Application Control Agent bewertet damit, wie Anforderungen zum Ausführen von Dateien gehandhabt werden sollen. Bei Ausführung einer Datei fängt Application Control die Anforderung ab und vergleicht diese mit der Konfiguration, um die übereinstimmende Regel und die durchzuführende Aktion zu bestimmen. Andere in einer Konfiguration angegebene Standardrichtlinien werden ebenfalls angewendet, darunter Ereignisfilterung, die Handhabung bestimmter Dateierweiterungstypen sowie allgemeine Regeln wie Prüfungsregeln, Anzeige von Benachrichtigungen und Archivierungsoptionen.

Die Konfigurationen werden lokal und je nach Betriebssystem an unterschiedlichen Speicherorten gespeichert und verfügen über NTFS-Schutz. Ab Windows 7: C:\ProgramData\AppSense\Application Manager\Configuration.

Im eigenständigen Modus werden Konfigurationsänderungen von der Application Control-Konsole direkt in die lokale AAMP-Datei geschrieben. Im Enterprise-Modus können Konfigurationen zentral in der Management Center-Datenbank erstellt und gespeichert und dann über Management Server im MSI-Format an die Endpunkte verteilt werden. Konfigurationen können auch in das MSI-Dateiformat exportiert oder von dort importiert werden. Dies bietet sich für die Erstellung von Vorlagen an oder wenn Konfigurationen unter Verwendung externer Bereitstellungssysteme verteilt werden sollen.

Nachdem Sie eine Konfiguration erstellt oder geändert haben, müssen Sie diese mit den neuesten Einstellungen speichern, um sicherzustellen, dass diese implementiert werden.

Konfigurationselemente

Bibliotheken

Mit dem Knoten "Bibliothek" in Application Manager lassen sich Elementegruppen erstellen, die in Konfigurationsregeln verwendet werden können.Mithilfe der Bibliothek lassen sich Gruppen erstellen, in denen ähnliche zu verwaltende Elemente enthalten sind. Nach dem Erstellen der Bibliotheken können Sie diese Regeln zuweisen und damit eine Gruppe von Benutzern steuern. Bibliotheksknoten enthalten Folgendes:

  • Gruppenverwaltung – Mithilfe des Knotens "Gruppenverwaltung" lassen sich eine Reihe von Elementen für eine bestimmte Anwendung zusammenfassen, z. B. Dateien, Ordner, Laufwerke, Signaturdateien, Windows Store Apps und Netzwerkverbindungen. Anschließend können Sie diese Gruppe zu den Listen der zulässigen und der verweigerten Elemente in einer Regel hinzufügen.

  • Richtlinien für Benutzerrechte – Mit dem Knoten "Benutzer" lassen sich Richtlinien für Benutzerrechte hinzufügen. Diese ermöglichen das selektive Heraufstufen bzw. Herunterstufen von Administratorrechten für einzelne Anwendungen.

Regeln

Regelknoten bieten Standardeinstellungen für die Handhabung von Dateiausführungen sowie spezifische Einstellungen, die für ausgewählte Benutzer, Gruppen oder Geräte gelten. Mithilfe von Gruppen-, Benutzer-, Geräte-, Skript- und Prozessregeln sowie benutzerdefinierten Regeln lassen sich Einstellungen für die Sicherheitsstufe festlegen. Diese definieren bestimmte Einschränkungen und werden auf Benutzer, Gruppen oder Geräte angewendet, die diese Regel erfüllen. Benutzerdefinierte Regeln beziehen sich auf Kombinationen aus bestimmten Benutzern oder Gruppen, die auf bestimmten Gerätesammlungen aktiv sind.Anhand von Skriptregeln können Administratoren zulässige Elemente und verweigerte Elemente basierend auf dem Ergebnis eines Windows PowerShell- oder eines VBScript-Skriptes auf Benutzer anwenden. Skripte können für jede einzelne Benutzersitzung oder einmal pro Computer ausgeführt werden. Mithilfe von Prozessregeln können Sie den Zugriff so steuern, dass die Anwendung untergeordnete Prozesse ausführt, die ansonsten möglicherweise in anderen Regeln anders gehandhabt werden würden. Sie können einer Regel zulässige Elemente, verweigerte Elemente, vertrauenswürdige Anbieter, Benutzerrechte und Browser-Kontrolle hinzufügen.

  • Zulässige/verweigerte Elemente – Eine Unterknotenliste in jeder Regel, die Sie mit bestimmten Dateien, Ordnern, Laufwerken und digitalen Signaturen füllen und verwalten können. Auf diese Weise lässt sich eine zusätzliche Granularitätsebene zum Kontrollieren von Anforderungen zum Ausführen von Dateien erzielen. So können beispielsweise Elemente, die normalerweise aufgrund der Prüfung auf vertrauenswürdigen Besitz verweigert werden würden, für die in der Regel vorgesehenen Benutzer oder Geräte als zulässig festgelegt werden. Umgekehrt können Dateien, die normalerweise zulässig wären, verweigert werden.
  • Vertrauenswürdige Anbieter – Eine Unterknotenliste in den einzelnen Regeln, die Sie mit digitalen Zertifikaten füllen können, die von vertrauenswürdigen Quellen ausgestellt wurden. Bei Dateien, die die Prüfung auf vertrauenswürdigen Besitz nicht bestehen, wird geprüft, ob ein digitales Zertifikat vorliegt. Bei Übereinstimmung mit einem Eintrag in der Liste der vertrauenswürdigen Anbieter dürfen diese Dateien dann ausgeführt werden. Beispiel: Ein Benutzer mit stark eingeschränkten Rechten kann bei normalen Regelbedingungen keine ausführbaren Dateien in das System einführen. Von Zeit zu Zeit kann es jedoch erforderlich sein, dass dieser Benutzer Softwareupdates von einer bestimmten Quelle herunterlädt und installiert. Beinhaltet die heruntergeladene Datei ein digitales Zertifikat, das mit einem Zertifikat in der Liste der vertrauenswürdigen Anbieter übereinstimmt, darf die Datei ausgeführt werden.
  • Benutzerrechte – Eine Unterknotenliste in den einzelnen Regeln, die Sie mit Anwendungen, Komponenten und Web-Installationen füllen können, auf die Sie dann Richtlinien für Benutzerrechte anwenden. Richtlinien für Benutzerrechte ermöglichen das selektive Heraufstufen bzw. Herunterstufen von Administratorrechten für einzelne Anwendungen, Komponenten und Web-Installationen.
  • Browser-Kontrolle – Eine Unterknotenliste in den einzelnen Regeln, die Sie mit URLs füllen können, auf die sich dann eine URL-Umleitung anwenden lässt. Sie können auch URLs angeben, die eine erhöhte Instanz von Internet Explorer öffnen und die Erhöhung auf administrative Berechtigungen für ActiveX-Installationsprogramme über bestimmte Domänen zulassen.

Standardkonfigurationen

Application Control verwaltet Sicherheit, sobald Sie den Agent und eine Konfiguration auf Clientcomputern installiert haben. Beim Ausführen der Konsole wird eine Standardkonfiguration geladen. Diese kann für den sofortigen Schutz auf allen Clientcomputern verwendet werden, auf denen die Konfiguration bereitgestellt wurde. Diese Konfiguration blockiert Dateien nicht vertrauenswürdiger Besitzer und verhindert, dass Benutzer, die keine Administratoren sind, Zugriff auf ausführbare Dateien an nicht sicheren Speicherorten erhalten, darunter Netzwerkspeicherorte und Wechselmedien.

Die Standardkonfiguration kann direkt im eigenständigen Modus über die Konsole auf dem Clientcomputer gespeichert werden. Sie kann auch in der Datenbank des Bereitstellungsmechanismus gespeichert werden, wenn Sie im bereitstellungsfähigen Enterprise-Modus arbeiten.

Schutz

  • Alle Anforderungen zum Ausführen einer Anwendung oder eines Prozesses werden mit den Application Control-Regeln abgeglichen, bevor der Zugriff gewährt wird.
  • Alle Anforderungen auf Netzwerkzugriff durch eine Anwendung oder einen Prozess werden unterbunden, es sei denn, sie werden explizit durch Application Control-Regeln erlaubt.
  • Die Mitglieder der Gruppe "Lokale Administratoren" verfügen über uneingeschränkten Zugriff auf Anwendungen.
  • Die Mitglieder nicht-administrativer Benutzergruppen verfügen über eingeschränkten Zugriff auf Anwendungen.
  • "cmd.exe" ist blockiert, außer bei Ausführung durch Batchdateien.
  • MSI-, WSH- und Registrierungsdateien werden mit den Application Control-Regeln abgeglichen.
  • Windows Installer (msiexec.exe) ist berechtigt, alle untergeordneten Prozesse mit den Erweiterungen DLL und EXE auszuführen.

Einstellungen für die Standardkonfiguration

Einstellung   Wert Beschreibung
Erweiterte Einstellungen

 

 

 Richtlinieneinstellungen

 

 

 Allgemeine Funktionen
  • Legt lokale Laufwerke standardmäßig als zulässig fest.
  • Einschränkungen bei Anmeldung ignorieren
  • cmd.exe für Batchdateien zulassen
  • Selbstextrahierende ZIP-Dateien extrahieren
  • Einschränkungen bei Active Setup ignorieren
  • Dateien auf entfernbaren Medien verweigern
  • Dateien auf Netzwerkfreigaben verweigern
  • Das Ignorieren von Einschränkungen bei der Anmeldung verzögert die Implementierung der Application Control-Regeln bis zum Abschluss des Anmeldevorgangs, um diesen nicht zu unterbrechen oder zu verhindern. Die Option lässt Anmeldeskripte zu.
  • Während cmd.exe-Dateien und selbstextrahierende .zip-Dateien in der Regel als potenzielle Sicherheitslücken blockiert werden, können mit dieser Option .cmd- und .zip-Dateien als legitime, von Application Control überwachte Dateien ausgeführt werden.
Validierung
  • MSI-Pakete validieren (Windows Installer)
  • WSH validieren (Windows Script Host)
  • Registrierungsdateien validieren
 Die Validierung von Systemprozessen kann sich nachteilig auf die Performance auswirken und ist daher standardmäßig deaktiviert.
  • Application Control validiert standardmäßig MSIs, Registrierungsdateien und WSH-Dateien durch Abgleich mit den Regeln. Ansonsten werden sie ignoriert, sofern sie nicht in den Regeln selbst angegeben sind.
  • Deaktivieren Sie diese Optionen nur dann, wenn Sie der Ausführung dieser Dateitypen vertrauen oder geeignete Schutzmechanismen in den Application Control-Regeln oder anderweitig implementiert haben.
Funktionalität
  • Zugriffskontrolle für Anwendungen aktivieren
  • Zugriffskontrolle für Anwendungsnetzwerk aktivieren
  • Berechtigungsverwaltung aktivieren
  • Alle Funktionen von Application Control sind standardmäßig aktiviert. Sie können jedoch einzelne Funktionen zu Fehlerbehebungszwecken deaktivieren.
  • Wir empfehlen, nicht benötigte Funktionen zu deaktivieren.
Beenden der Anwendung Einstellungen zum Schließen und Beenden von Anwendungen.

Legen Sie Trigger, das Verhalten von Warnmeldungen gegenüber dem Benutzer sowie den Benachrichtigungstext innerhalb von Warnmeldungen fest.

 Standardmäßig deaktiviert.
Bibliotheken

 

 

 

 

 Knoten "Gruppenverwaltung" Dient dem Erstellen wiederverwendbarer Anwendungsgruppen, die dann Regeln zugewiesen werden können. Keine Standardeinstellungen.
Richtlinien für Benutzerrechte Wiederverwendbare Richtlinien für Benutzerrechte, mit denen Benutzerrechte erhöht oder eingeschränkt werden können.

Dient dem Zuweisen zu Dateien, Ordnern, Signaturen, Laufwerken und Anwendungsgruppen bei den Regeln.

 Keine Standardeinstellungen.
Administrator Die Gruppenregel für lokale Administration ermöglicht lokalen Administratoren das Verwalten des Zugriffs auf Anwendungen.
  • Die Sicherheitsstufe ist auf "Uneingeschränkt" festgelegt.
  • Es werden keine weiteren Standardeinstellungen angewendet.
Jeder Gruppenregel für alle Systembenutzer, es sei denn, ein Benutzer erfüllt andere Regeln mit höherer Priorität.
  • Die Sicherheitsstufe ist auf "Eingeschränkt" festgelegt.
  • Die Verzeichnisse für die AppSense-Programmdateien werden zu den zulässigen Elementen hinzugefügt.
  • Es werden keine weiteren Standardeinstellungen angewendet.
Prozess Windows Installer (msiexec.exe)
  • *.EXE
  • *.DLL
  • Alle EXE- und DLL-Dateien dürfen ausgeführt werden, wenn sie von msiexec erstellt wurden.
  • Diese Regel verwaltet nicht den Zugriff auf "msiexec". Der Zugriff auf "msiexec" muss in einer anderen Regel verwaltet werden.

Verwandte Themen

Verwalten von Konfigurationen