Kontrollieren von Anwendungen

Sie können die Sicherheitsmethoden von Application Control – wie etwa die Prüfung auf vertrauenswürdigen Besitz – mit Regeln in einer Konfiguration kombinieren und auf diese Weise steuern, welche Benutzer Anwendungen installieren und ausführen dürfen.

Application Control verwendet eine Methode, die verhindert, dass von Benutzern eingebrachte ausführbare Dateien ausgeführt werden. Diese Methode ist als Prüfung auf vertrauenswürdigen Besitz bekannt. Nur die von einem vertrauenswürdigen Besitzer (z. B. einem Administrator) installierte Anwendungen dürfen standardmäßig ausgeführt werden. Bei Anwendungen von Microsoft, wie Project und Visio, die in einer Umgebung mit mehreren Benutzern installiert wurden, können Sie den Zugriff auf diese Anwendungen mit Application Control so konfigurieren, dass er nur durch ein bestimmtes lizenziertes Gerät zulässig ist.

Die Application Control-Konfiguration enthält zwei Gruppenregeln. Die eine ist BuiltIn\Administrators, mit der Administratoren uneingeschränkte Rechte besitzen und jede ausführbare Datei ausführen dürfen. Die andere ist Jeder, womit nur ausführbare Dateien ausgeführt werden dürfen, die einem vertrauenswürdigen Besitzer gehören. Für jede erstellte Regel gibt es eine Liste mit zulässigen Elementen und eine Liste mit verweigerten Elementen.

Mithilfe der Liste der zulässigen Elemente können Administratoren den Zugriff auf ausführbare Dateien gewähren, der ansonsten durch Standardregeln blockiert werden würde, etwa bei nicht Bestehen der Prüfung auf vertrauenswürdigen Besitz oder Regeln für ausführbare Netzwerkdateien.

Mithilfe der Liste der verweigerten Elemente können Administratoren den Zugriff auf ausführbare Dateien verweigern, der ansonsten durch Standardregeln erlaubt werden würde.

Da Microsoft-Anwendungen oft für die Ausführung auf einigen wenigen Geräten lizenziert sind, hat es sich bewährt, mithilfe von Application Control den Zugriff auf die Anwendung für jeden anfangs zu verweigern und dann für die wenigen zulässigen Geräte zu gewähren.

  1. Erweitern Sie den Knoten Gruppe > Jeder.
  2. Klicken Sie mit der rechten Maustaste auf den Knoten Verweigerte Elemente und wählen Sie Element hinzufügen > Verweigert > Datei aus. Das Dialogfeld "Datei hinzufügen" wird angezeigt.
  3. Navigieren Sie zu der Anwendung, auf die der Zugriff eingeschränkt werden soll, und wählen Sie sie aus, oder geben Sie den Namen in das Feld "Datei" ein und klicken Sie auf Hinzufügen. Allen Standardbenutzern wird der Zugriff auf die angegebene Anwendung verweigert.

Mit der obigen Konfiguration wird jedem der Zugriff verweigert. Sie müssen also eine Ausnahmeregel erstellen, um benannten, lizenzierten Geräten die Ausführung der Anwendung zu erlauben. Die Geräte können anhand eines IP-Adressbereichs oder eines NetBIOS-Namens angegeben werden. Diese Geräte entsprechen dem verbundenen Clientcomputer in einer Terminalserver-/Citrix-Umgebung.

Application Control-Regeln funktionieren insofern anders als Microsoft-Gruppenrichtlinien, als eine Regel vom Typ "Zulässiges Element" eine Regel vom Typ "Verweigertes Element" übersteuert.

  1. Wählen Sie im Menüband "Regeln" Regel hinzufügen > Geräteregel aus.

    Eine neue Regel wird erstellt.

  2. Klicken Sie mit der rechten Maustaste auf die neue Regel und wählen Sie Umbenennen aus.
  3. Geben Sie einen intuitiven Namen ein wie Lizenzierte Visio-Geräte.
  4. Erweitern Sie die neue Regel.
  5. Wählen Sie den Knoten Zulässige Elemente aus.

  6. Wählen Sie im Menüband "Regelelemente" die Option Element hinzufügen > Zulässig > Datei aus.

    Das Dialogfeld "Datei hinzufügen" wird angezeigt.

  7. Navigieren Sie zu der Anwendung, auf die autorisierte Geräte zugreifen dürfen, und wählen Sie sie aus, oder geben Sie den Namen in das Feld "Datei" ein und klicken Sie auf Hinzufügen.

    Dabei handelt es sich um dieselbe Anwendung, die Sie in Schritt 1 eingeschränkt haben.
  1. Wählen Sie die neue Geräteregel aus.

  2. Wählen Sie im Menüband "Regeln" die Option Client-Gerät hinzufügen aus.

    Das Dialogfeld Client-Gerät hinzufügen wird angezeigt.

  3. Navigieren Sie zu den Geräten, die für die angegebene Anwendung autorisiert werden sollen, und wählen Sie sie aus. Klicken Sie anschließend auf Hinzufügen.

    Sie können die Geräte auch angeben, indem Sie direkt Folgendes eingeben:

    • IP-Adresse (z. B. 192.168.1.80)
    • IP-Adressbereich (z. B. 192.168.1.10-20)

    • NetBIOS-Name (z. B. Ivanti-PC1)

      Sie können eine beliebige Kombination der obigen Eingaben einschließen.

  4. Um anzugeben, dass es sich bei den Geräten um verbundene Geräte handelt und nicht um die physischen Geräte, auf denen die Anwendung ausgeführt wird, wählen Sie für jedes Gerät in der Spalte "Gerätetyp" die Option Verbundenes Gerät aus.

Speichern Sie die Konfiguration. Wird die Konfiguration auf einem Citrix/Terminal-Server bereitgestellt, sind nur die angegebenen Geräte berechtigt, die Microsoft-Anwendung mit gerätebasierter Lizenz zu starten.

Verwandte Themen

Regeln

Optionen für Regeln

Regelelemente