Verweigerte Elemente

In diesem Abschnitt werden folgende Themen behandelt:

Wissenswertes über verweigerte Elemente

Knoten vom Typ "Verweigerte Elemente" sind Unterknoten, die automatisch angelegt werden, wenn Sie eine neue Regel erstellen. Sie ermöglichen Ihnen das Hinzufügen von Elementen, auf die die in der Regel angegebenen Gruppen, Benutzer und Geräte keinen Zugriff haben.

Falls Sie die Standardoption verwenden, wonach allen lokal installierten Anwendungen vertrauenswürdiger Besitzer vertraut wird, müssen Sie lediglich bestimmte Anwendungen hinzufügen, die von den Benutzern nicht ausgeführt werden dürfen. So können Sie Administratortools hinzufügen, wie Verwaltungstools oder Tools zum Bearbeiten der Registrierung.

Sie müssen diese Liste nicht heranziehen, um Anwendungen zu verweigern, die nicht im Besitz eines Administrators sind, da diese im Rahmen der Prüfung auf vertrauenswürdigen Besitz gesperrt werden.

Application Control: Mithilfe der Drag & Drop-Funktion können Sie Elemente wie Dateien, Ordner, Laufwerke und Signaturen aus Windows Explorer hinzufügen oder die Elemente zwischen dem Knoten "Zulässige Elemente" und "Verweigerte Elemente" in den einzelnen Hauptkonfigurationsknoten kopieren oder verschieben.

Sie können folgende Elemente hinzufügen:

Falls nur ein Dateiname angegeben ist, z. B. "meineapp.exe", dann gelten alle Instanzen davon als verweigert, unabhängig vom Speicherort der Anwendung. Wird die Datei mit dem vollständigen Pfad angegeben, z. B. "\\servername\sharename\meineapp.exe", dann wird nur diese eine Instanz der Anwendung verweigert. Andere Instanzen dieser Anwendung müssen andere Application Control-Regeln erfüllen, damit sie ausgeführt werden dürfen. Für die Dateien und Ordner in Application Control, die auf Elemente einer DFS-Freigabe verweisen, müssen Sie im UNC-Pfad den Zielserver angeben, und nicht den Namespace-Server.

Weitere Informationen finden Sie unter Verteilte Dateisysteme.

Sie können einen vollständigen Ordner angeben, z. B. "\\servername\servershare\meinordner". Für alle Anwendungen innerhalb des Ordners und seiner etwaigen Unterordner wird dann die Ausführung verweigert. Die Dateien in dem Ordner werden nicht geprüft, d. h. alle Dateien, die in den Ordner kopiert werden, werden verweigert. Wählen Sie Unterverzeichnisse einbeziehen aus, um alle Verzeichnisse unterhalb des angegebenen Verzeichnisses einzubeziehen. Falls Sie eine Netzwerkdatei oder einen Ordnerpfad hinzufügen, müssen Sie den UNC-Namen verwenden, da der Application Control Agent alle Pfade ignoriert, deren Laufwerksbuchstabe nicht auf eine lokale Festplatte verweist. Der Benutzer kann über einen dem Netzwerk zugeordneten Laufwerksbuchstaben auf die Netzwerkanwendung zugreifen. Der Pfad wird vor dem Abgleich mit den Konfigurationseinstellungen in das UNC-Format konvertiert. Damit Umgebungsvariablen automatisch angewendet werden, wählen Sie im Dialogfeld Datei hinzufügen bzw. Ordner hinzufügen die Option Umgebungsvariablen möglichst ersetzen aus. Dadurch wird der Pfad generischer für die Anwendung auf unterschiedlichen Computern. Die Unterstützung für Platzhalter bietet eine zusätzliche Steuerungsebene beim Angeben generischer Dateipfade.

Sie können ein komplettes Laufwerk angeben, z. B. Laufwerk W. Alle Anwendungen in diesem Laufwerk, einschließlich der darin enthaltenen Unterordner, werden dann verweigert. Die Dateien in dem Laufwerk werden nicht geprüft, d. h. alle Dateien, die in einen Ordner des Laufwerks kopiert werden, werden verweigert.

Zusammen mit der Datei kann ein digitaler Hash der Datei hinzugefügt werden. Dadurch wird sichergestellt, dass nur diese bestimmte Datei ausgeführt werden darf, jedoch von einem beliebigen Speicherort aus. Weitere Informationen finden Sie unter "Erstellen von Signatur-Hashes".

Ein Netzwerkverbindungselement kann angegeben werden. Alle Dateien im Netzwerk werden verweigert.

Wählen Sie, welche Windows Store Apps verweigert werden sollen. Wählen Sie eine der folgenden Optionen aus:

  • Alle installierten Apps zulassen
  • Ausgewählte Individuelle Apps zulassen
  • Alle Apps eines benannten Herausgebers zulassen

Gruppen können beliebig viele Elemente und Kombinationen aus Elementen für eine bestimmte Anwendung beinhalten, z. B. Datei, Ordner, Laufwerk, Signatur und Netzwerk. Alle Dateien werden verweigert.

Hinzufügen eines verweigerten Elements

Wählen Sie zum Hinzufügen eines verweigerten Elements den Knoten Verweigerte Elemente aus und klicken Sie auf den Dropdownpfeil Element hinzufügen im Menüband "Regelelemente", wählen Sie Verweigert aus und dann den Typ des hinzuzufügenden verweigerten Elements.

Der folgende Task verhindert, dass Benutzer auf eine Anwendung in einer Netzwerkfreigabe zugreifen:

  1. Wählen Sie den Knoten "Verweigerte Elemente" unter Regeln > Gruppe > Jeder aus.
  2. Klicken Sie im Menüband "Regelelemente" auf Element hinzufügen und wählen Sie Verweigert aus.

  3. Wählen Sie das Element aus, das Sie als zulässig festlegen möchten, z. B. Datei.

  4. Das Dialogfeld "Datei hinzufügen" wird angezeigt.

    Geben Sie die als verweigert festzulegende Datei ein oder navigieren Sie an ihren Speicherort.

  5. Das Kontrollkästchen Umgebungsvariablen möglichst ersetzen ist standardmäßig markiert. Falls die Option nicht markiert ist, werden Umgebungsvariablen nicht durch eine generische Umgebungsvariable ersetzt.
  6. Wählen Sie Bei Verweigerung nicht die Meldung "Zugriff verweigert" anzeigen aus, wenn Sie das Element im Hintergrund verweigern möchten und dem Benutzer keine Warnmeldung angezeigt werden soll.
  7. Wählen Sie Prüfereignisfilterung ignorieren aus, wenn Sie alle 9.000 Ereignisse für dieses Element ignorieren möchten.
  8. Das Element wird zum Arbeitsbereich "Verweigerte Elemente" hinzugefügt.

Wenn Sie ein bestimmtes Regelelement deaktivieren möchten, klicken Sie mit der rechten Maustaste und wählen Sie Status ändern aus. Daraufhin ändert sich der Status von aktiviert in deaktiviert. Diese Funktion bietet sich an, wenn Sie beispielsweise Probleme mit dem Support beheben möchten.

Entfernen eines verweigerten Elements

  1. Wählen Sie das zu verweigernde Element im Knoten "Verweigerte Elemente" aus.
  2. Klicken Sie im Menüband "Regelelemente" auf Element entfernen.
  3. Klicken Sie im Bestätigungsdialogfeld auf Ja.

Das Element wird aus dem Knoten entfernt.

Verwandte Themen

Regeltypen

Regelelemente

Zulässige Elemente

Vertrauenswürdige Anbieter

Regeln für Benutzerrechte

Browser-Kontrolle