Endpunktanalyse
In diesem Abschnitt werden folgende Themen behandelt:
- Wissenswertes über die Endpunktanalyse
- Vorbereiten der Endpunktanalyse
- Verwenden der Endpunktanalyse
- Scans installierter Anwendungen
- Anwendungsnutzungsscans
- Anwendungsdaten
- Exportieren einer Endpunktanalyse-Datendatei
- Hinzufügen von Dateien zu Konfigurationen
Wissenswertes über die Endpunktanalyse
Mithilfe der Endpunktanalyse (EPA) können Sie einen oder mehrere Endpunkte scannen, um eine Liste der Anwendungen zu generieren, die vorhanden sind und auf einem bestimmten Computer ausgeführt wurden. Mithilfe der Endpunktanalyse lässt sich die Erstellung einer geeigneten Application Control-Konfiguration vereinfachen. Diese Funktion wird bedarfsorientiert verwendet und ist daher standardmäßig deaktiviert. Es gibt zwei Methoden, um die Daten auf einem Endpunkt mit installiertem Application Control Agent zu analysieren:
-
Endpunktscans – Die Endpunktanalysedaten für einen bestimmten Endpunkt werden auf dem Computer gespeichert, an dem die Application Control-Konsole installiert ist. Der Speicherort lautet:
C:\ProgramData\AppSense\Application Manager\EndpointAnalysis.
Beim Endpunktscan wird der Endpunkt auf vorhandene Anwendungen durchsucht. Bei diesen Anwendungen kann es sich um offiziell durch einen Administrator installierte Produkte handeln oder aber um manipulierte, virusbefallene Freeware, die von einem Endbenutzer arglos installiert wurde.
Folgende Verzeichnis- und Registrierungsspeicherorte werden gescannt:
- HKLM\SOFTWARE\Microsoft\Windows\Current\CurrentVersion\Installer\Folders
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
- Programme
-
Anwendungsnutzungsscans – Der Anwendungsnutzungsscan ermittelt alle auf einem Endpunkt in Verwendung befindlichen Anwendungen. Bei einem laufenden Anwendungsnutzungsscan werden alle Anforderungen der Endpunktanalyse unterzogen, sobald die Standardprüfung anhand von Application Control-Regeln durchgeführt wurde. Die Details der Anforderungen werden im Arbeitsspeicher abgelegt. Wenn der Scan gestoppt wird, werden alle Scandaten in einer Datei gespeichert.
Wird ein Endpunkt während einer laufenden Endpunktanalyse neu gestartet – z. B. wenn ein Benutzer seinen Laptop im Büro ausschaltet und später zu Hause wieder einschaltet – erkennt die Endpunktanalyse, dass die Anwendungsnutzung noch erfasst werden muss und beginnt erneut mit der Erfassung von Daten. Dies geschieht beim Starten des Agents.
Ein Endpunktscan dauert mehrere Minuten. Der Grund dafür ist, dass Application Control nicht nur den Ordner mit den Programmen und die Registrierungsschlüssel scannt, sondern auch jede einzelne Datei sowie alle digitalen Signaturen. Application Control erfasst all diese Informationen.
Während eines Endpunktscans können 100% der CPU auf dem Endpunkt genutzt werden. Müssen jedoch Benutzeraufgaben durchgeführt werden, greift der Application Control Agent auf integrierte intelligente Technologie zurück, die dafür sorgt, dass die Aufgaben Vorrang vor dem Scan haben. Der Endbenutzer nimmt daher seinerseits keinerlei Leistungsbeeinträchtigung wahr.
In der Regel wird zuerst der Endpunktscan ausgeführt, um zu bestimmen, welche Anwendungen auf dem Endpunkt installiert sind. Anschließend kann ein Anwendungsnutzungsscan ausgeführt werden, um die Anwendungen zu verfolgen, die in einem bestimmten Zeitraum auf einem Endpunkt ausgeführt wurden. Durch Markieren der genutzten und ungenutzten Anwendungen kann nicht lizenzierte Software erkannt und unterbunden werden. Nicht lizenzierte Software kann entfernt werden. Damit beide Scans überhaupt durchgeführt werden können, müssen in der Endpunktanalysestruktur Endpunkte angegeben werden.
Vorbereiten der Endpunktanalyse
Damit die Endpunktanalyse ordnungsgemäß funktioniert, muss Folgendes installiert bzw. vorhanden sein:
- Application Control Agent auf dem Endpunkt
- Lizenz auf dem Endpunkt
- Application Control -Konfiguration auf dem Endpunkt
- Administrative Freigaberechte für den Endpunkt
- Remoteregistrierungszugriff auf den Endpunkt
So prüfen Sie, ob der Agent auf dem Endpunkt installiert ist:
- Wählen Sie im Startmenü die Systemsteuerung aus.
- Wählen Sie Verwaltung aus.
- Doppelklicken Sie auf Dienste.
- Machen Sie Application Control Agent ausfindig.
So prüfen Sie, ob die Lizenz auf dem Endpunkt installiert ist:
- Starten Sie den Registrierungseditor auf dem verwalteten Endpunkt.
- Machen Sie die Lizenz unter "HKLM\Software\AppSense Technologies\Licensing" ausfindig.
So prüfen Sie, ob die Konfiguration auf dem Endpunkt installiert ist:
Konfigurationen werden an folgendem Speicherort gespeichert: C:\ProgramData\AppSense\ApplicationManager\Configuration.
ProgramData ist ein ausgeblendeter Ordner. Öffnen Sie Explorer und geben Sie in die Adresszeile "C:\ProgramData" ein. Drücken Sie die Eingabetaste, um den Ordner zu öffnen.
So prüfen Sie, ob der Endpunkt über Admin-Freigaberechte verfügt:
- Öffnen Sie Windows Explorer auf dem Computer, auf dem die Application Control-Konsole installiert ist.
- Geben Sie in die Adresszeile \\<Computername>\c$ ein und drücken Sie die Eingabetaste. Wenn Sie die Ordner durchsuchen können, verfügen Sie über Zugriffsrechte. Falls nicht, werden Sie aufgefordert, Anmeldeinformationen einzugeben, die Zugriff gewähren.
So prüfen Sie, ob Zugriff auf die Remoteregistrierung besteht:
- Öffnen Sie den Registrierungseditor auf dem Computer, auf dem die Application Control-Konsole installiert ist.
- Wählen Sie Datei > Netzwerkregistrierung verbinden aus.
- Das Dialogfeld "Computer auswählen" wird angezeigt.
-
Machen Sie den Computer ausfindig und klicken Sie auf OK. Wenn Sie die Registrierungsschlüssel sehen können, haben Sie Zugriff.
Auf Remotecomputern, auf denen Windows 7 und höhere Versionen ausgeführt werden, sind Dateifreigabe und Remoteregistrierungsdienst standardmäßig deaktiviert und müssen aktiviert werden.
- Aktivieren Sie die Dateifreigabe unter Start > Systemsteuerung > Netzwerk- und Freigabecenter.
- Der Remoteregistrierungsdienst wird unter Start > Systemsteuerung > Verwaltungstools > Dienste gestartet.
Verwenden der Endpunktanalyse
Mit dieser Funktion lassen sich Endpunkt- und Anwendungsnutzungsscans durchführen und alle geladenen Dateien (untergeordnete Prozesse) für gescannte Anwendungen und digitale Zertifikate für die ermittelten Anwendungen anzeigen.
Es wird empfohlen, alle geladenen Dateien in die Konfiguration für ein zugängliches Element aufzunehmen, damit die Anwendung ordnungsgemäß funktioniert. Es bietet sich außerdem an, digitale Zertifikate zu den vertrauenswürdigen Anbietern in Ihrer Konfiguration hinzuzufügen.
Hinzufügen von Endpunkten
Endpunkte müssen zuerst angegeben werden, damit sie gescannt werden können.
- Klicken Sie auf die Navigationsschaltfläche Endpunktanalyse.
- Die Navigationsstruktur der Endpunktanalyse wird angezeigt.
- Klicken Sie im Menüband "Endpunktanalyse" auf Endpunkt hinzufügen und wählen Sie eine der folgenden Optionen aus:
- Bereitstellungsgruppe durchsuchen – Das Dialogfeld "Verwaltungsserver auswählen" wird angezeigt. Navigieren Sie zum Speicherort der Bereitstellungsgruppe und wählen Sie die erforderlichen Endpunkte aus.
- Domäne/Arbeitsgruppe durchsuchen – Das Dialogfeld "Endpunkte für Analyse hinzufügen" wird angezeigt. Geben Sie den Namen oder die IP-Adresse in das Feld "Computer" ein, oder verwenden Sie das Auslassungszeichen (...), um die erforderlichen Endpunkte auszuwählen. Klicken Sie auf Hinzufügen.
Der Endpunkt wird in der Navigationsstruktur der Endpunktanalyse angezeigt.Nach dem Hinzufügen kann der Endpunkt für die Endpunktanalyse verwendet werden.
Um einen Endpunkt zu entfernen, markieren Sie ihn und klicken Sie im Menüband "Endpunktanalyse" auf die Schaltfläche Endpunkt entfernen.
Scans installierter Anwendungen
Führen Sie Scans auf ausgewählten Endpunkten einer bestimmten Domäne aus. Folgende Verzeichnis- und Registrierungsspeicherorte werden im Rahmen des Scans geprüft:
- HKLM\SOFTWARE\Microsoft\Windows\Current\CurrentVersion\Installer\Folders
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
- Programme
Nach Abschluss des Scans wird ein Bericht generiert, aus dem die auf den gescannten Endpunkten installierten Anwendungen und Dateien hervorgehen. Sonstige Informationen wie DLL-Dateien und digital signierte Dateien, die infolge der Ausführung einer ausführbaren Anwendungsdatei generiert wurden, werden ebenfalls erfasst.
Ausführen eines Endpunktscans
Führen Sie einen Endpunktscan auf Endpunkten durch, auf denen Application Control Agent installiert ist.
-
Klicken Sie auf die Navigationsschaltfläche Endpunktanalyse.
Damit Sie einen Endpunktscan ausführen können, müssen Sie zuerst Endpunkte hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von Endpunkten.
- Wählen Sie einen Endpunkt aus und klicken Sie auf Endpunktscan ausführen. Um alle Endpunkte innerhalb der ausgewählten Domäne zu scannen, klicken Sie auf Scan für alle Endpunkte ausführen.
- Folgende Verzeichnis- und Registrierungsspeicherorte werden im Rahmen des Endpunktscans geprüft:
- HKLM\SOFTWARE\Microsoft\Windows\Current\CurrentVersion\Installer\Folders
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
- Programme
Die Ergebnisse des Endpunktscans werden, verschachtelt unter dem jeweiligen Endpunkt, im Knoten "Installierte Anwendungen" angezeigt. Es sind verschiedene Details verfügbar, z. B. Anwendungsname, Anwendungsbeschreibung und Eigentümer. Weitere Informationen zu den Dateien erhalten Sie über die folgenden Schaltflächen des Menübands "Endpunktanalyse":
- Geladene Dateien anzeigen – Zeigt Details zu anderen Dateien an, die von Anwendungen geladen wurden.
- Digitale Zertifikate anzeigen – Zeigt Details zu Zertifikaten an, die Anwendungen zugewiesen sind.
Anwendungsnutzungsscans
Anwendungsnutzungsscans erkennen alle Anwendungen, die während des Scans ausgeführt werden und die nicht mit Windows Installer-Technologie (MSIs und MSPs) installiert wurden, z. B. ausführbare Dateien, die beim Extrahieren einer ZIP-Datei ausgeführt werden, sowie interne Software oder Firefox. Anwendungsnutzungsscans können jederzeit gestartet werden, um aktiv verwendete Anwendungen zu überwachen, während Benutzer an einem Endpunkt angemeldet sind. Der Nutzungsscan kann jederzeit gestoppt werden und generiert dann einen Bericht, der als XML-Datendatei gespeichert wird. Die Datendatei enthält Details zu den Anwendungen, die auf den gescannten Endpunkten verwendet wurden.
Exportieren Sie die XML-Datendatei, um sie zu archivieren, oder importieren Sie die Datei auf anderen Endpunkten. Beispiel: Da die Scandaten nur auf dem Endpunkt verfügbar sind, auf dem der Scan durchgeführt wurde, kann ein anderer Administrator die exportierte Datendatei importieren und mithilfe der Daten eine Application Control-Konfiguration erstellen.
Alternativ kann der Datenfilter in die Regelanalyse importiert werden, um fehlerhaftes Verhalten von Application Control anhand der in der Datendatei enthaltenen Informationen zu korrigieren.
Informationen zum Konfigurieren und Analysieren von Regeln finden Sie unter Regelanalyse.
Ausführen eines Anwendungsnutzungsscans
Führen Sie einen Anwendungsnutzungsscan auf einem verwalteten Endpunkt durch, während ein Benutzer angemeldet ist.
-
Klicken Sie auf die Navigationsschaltfläche Endpunktanalyse.
Die Navigationsstruktur der Endpunktanalyse wird angezeigt.
Damit Sie einen Anwendungsnutzungsscan ausführen können, müssen Sie zuerst Endpunkte hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von Endpunkten.
-
Wählen Sie in der Navigationsstruktur den zu scannenden Endpunkt aus.
Der Arbeitsbereich "Endpunktübersicht" wird angezeigt.
-
Klicken Sie im Menüband "Endpunktanalyse" auf Anwendungsnutzungsscan starten.
Der Anwendungsscan startet. Der Scan kann beliebig lange ausgeführt werden, bis die erforderlichen Daten erfasst wurden. Wenn genügend Daten erfasst wurden, kann er gestoppt werden.
-
Klicken Sie auf Anwendungsnutzungsscan stoppen, um den Scan zu stoppen und einen Bericht zu generieren.
Das Dialogfeld "Bericht speichern" wird angezeigt.
- Geben Sie einen Namen für den Bericht ein und klicken Sie auf OK, um die Datendatei zu speichern.
Die Datei wird im XML-Format gespeichert und unter dem Knoten "Erfasste Daten" für den ausgewählten Endpunkt angelegt.
Anwendungsdaten
Die Anwendungsdaten können ausführlich sowohl für den Scan der installierten Anwendungen als auch den Anwendungsnutzungsscan angezeigt werden.
Sie können wählen, ob die zugehörigen geladenen Dateien oder die digitalen Zertifikate angezeigt werden sollen:
- Geladene Dateien anzeigen – Zeigt das Dialogfeld "Geladene Dateien" an. Verschieben Sie die Dateien, die Sie zur Konfiguration hinzufügen möchten, über Drag & Drop.
- Digitale Zertifikate anzeigen – Zeigt das Dialogfeld "Zertifikate" an. Verschieben Sie die Zertifikate, die Sie zum Knoten Vertrauenswürdige Anbieter hinzufügen möchten, über Drag & Drop in die Konfiguration.
Gelegentlich kommt es vor, dass ein Zertifikat doppelt vorhanden ist, so werden mit "Calc.exe" beispielsweise "Msvcrt.dll", "Ntdll.dll" und "Msutil.dll" geladen. "Calc.exe" ist signiert als "Microsoft-Zertifikat A", ebenso wie "Ntdll.dll". Aus der Spalte "Signierte Datei" geht klar hervor, welche Datei mit welchem Zertifikat signiert wurde.
Exportieren einer Endpunktanalyse-Datendatei
Exportdatendateien können auf anderen Endpunkten oder in die Regelanalyse importiert werden.
- Wählen Sie den Endpunkt aus, von dem aus die Datendatei exportiert werden soll.
-
Klicken Sie im Menüband "Endpunktanalyse" auf Exportieren.
Das Dialogfeld "Exportieren" wird angezeigt.
- Wählen Sie einen Speicherort zum Speichern der Datei aus.
- Klicken Sie auf Speichern.
Die Datendatei wird am ausgewählten Speicherort gespeichert und kann in andere Application Control-Konsolen oder in die Regelanalyse importiert werden.
Hinzufügen von Dateien zu Konfigurationen
Anhand der Ergebnisse der Endpunktanalyse lassen sich Regeln für Anwendungen und Dateien zur Application Control-Konfigurationsdatei hinzufügen. Verschieben Sie Anwendungen, Dateien, DLLs oder Zertifikate in die Gruppenregeln, die im Knoten "Regeln" verfügbar sind und über die Navigationsschaltfläche "Konfiguration" aufgerufen werden.
Wenn Sie Dateien über Drag & Drop in die Liste der zugänglichen Elemente oder in die Liste der untersagten Elemente verschieben, werden sie als Dateien dort abgelegt.
- Wenn Dateien bei den zugänglichen Elementen abgelegt werden, sind zugehörige geladene Dateien automatisch enthalten.
- Wenn Dateien bei den untersagten Elementen abgelegt werden, sind zugehörige geladene Dateien nicht enthalten, sondern lediglich die ausführbare Hauptanwendung.
Um ein Zertifikat zu einem der vertrauenswürdigen Anbieter hinzuzufügen, können Sie entweder eine Datei über Drag & Drop in einen Knoten vom Typ "Vertrauenswürdige Anbieter" verschieben (falls Zertifikate für diese Datei existieren, werden sie hinzugefügt), oder wählen Sie im Menüband "Endpunktanalyse" die Option Digitale Signaturen anzeigen aus, um das Dialogfeld "Zertifikate" anzuzeigen. Anschließend können Sie über Drag & Drop Elemente aus diesem Dialogfeld in die Konfiguration verschieben.
Wenn Sie Dateien über Drag & Drop in eine Konfiguration verschieben, wird die digitale Signatur der Datei stets mit kopiert, da dies die sicherste Methode zum Authentifizieren einer Anwendung darstellt.