Optionen für Regeln

Zulässige Elemente, Verweigerte Elemente, Vertrauenswürdiger Anbieter und Benutzerrechte lassen sich auf Dateien, Ordner, Laufwerke, digitale Signaturen, Netzwerkverbindungen, Windows Store Apps und Gruppen anwenden.

Weitere Informationen zum Hinzufügen von Elementen finden Sie unter Regelelemente.

Jede Regeloption muss mit einem oder mehreren Regeltypen verknüpft sein.

In diesem Abschnitt werden folgende Themen behandelt:

Abgleichen von Regeln

Ein Regelabgleich findet statt, wenn Application Controleine Anfrage zur Ausführung einer Datei abfängt und die Konfigurationsrichtlinie prüft, um zu bestimmen, ob die Datei ausgeführt werden darf.

Applying Rule Policies

Ist ein Benutzerprofil von mehreren Regeln betroffen, wird stets die großzügigste davon angewendet. Beispiel: Erfüllt ein Benutzer eine Benutzerregel der die Sicherheitsstufe "Eingeschränkt" zugewiesen ist, und gleichzeitig eine Gruppenregel, der die Sicherheitsstufe "Selbstautorisierung" zugewiesen ist, wird für alle Entscheidungen und Anwendungsnutzungen die Berechtigung "Selbstautorisierung" gewährt.

Abgleichen von Dateien und Regeln

Der Application Control Agent wendet Regeln an, indem er einen geeigneten Abgleich mit dem Dateityp vornimmt.

Der Abgleich basiert auf einem aus drei Phasen bestehenden Ansatz, bei dem Sicherheit, Abgleichreihenfolge und Richtlinienentscheidungen berücksichtigt werden:

  1. Sicherheit:
    • Ist der Benutzer eingeschränkt?
    • Gehört das ausführbare Element einem vertrauenswürdigen Besitzer?
    • Wo befindet sich die ausführbare Datei?
  2. Abgleich:
    • Stimmt die ausführbare Datei mit einer Signatur überein?
    • Stimmt die ausführbare Datei mit einem zulässigen oder verweigerten Element überein?
  3. Richtlinie:
    • Ist die Prüfung auf vertrauenswürdigen Besitz aktiviert?
    • Besteht eine zeitgebundene Ausnahme?
    • Gibt es ein Anwendungslimit?

Beispiel: Die Datei 'vertraulich.doc' befindet sich im Ordner 'Allgemein'. Eine Regel legt fest, dass die Datei 'vertraulich.doc' verweigert wird, der Ordner 'Allgemein' hingegen zulässig ist. In dem Fall hat die Regel für das detailliertere Element Vorrang, sodass die Datei 'vertraulich.doc' verweigert wird.

Prüfung auf vertrauenswürdigen Besitz

Beim Abgleichen der Regeln wird die Prüfung auf vertrauenswürdigen Besitz auf Dateien, Ordner und Laufwerke angewendet. Dadurch soll sichergestellt werden, dass der Besitz der Elemente mit der Liste der vertrauenswürdigen Besitzer in der Standardregelkonfiguration übereinstimmt. Schlägt die Prüfung fehl, wird eine Prüfung auf vertrauenswürdigen Anbieter durchgeführt.

Falls konfiguriert, wird bei Übereinstimmung einer auszuführenden Datei mit der vordefinierten Liste der zulässigen Elemente eine zusätzliche Sicherheitsprüfung durchgeführt. Damit soll sichergestellt werden, dass der Besitzer mit einem Benutzer in der Liste der vertrauenswürdigen Besitzer übereinstimmt. Schlägt diese Prüfung fehl, versucht Application Control, die digitale Signatur der Datei mit der Liste der vertrauenswürdigen Anbieter abzugleichen. Kann weiterhin keine Übereinstimmung festgestellt werden, wird die Ausführung blockiert.

Die Prüfung auf vertrauenswürdigen Besitz ist bei Elementen mit digitaler Signatur verzichtbar, da diese nicht imitiert werden kann.

Bei Verwendung der Standardkonfiguration wird bei jeder neuen oder vorhandenen Datei, die in das System eingebracht und die überschrieben oder umbenannt wird, der Besitzer der Datei in den aktuellen Benutzer abgeändert. Wird die Änderung durch einen nicht vertrauenswürdigen Benutzer vorgenommen, hat dies zur Folge, das zukünftige Ausführungsanforderungen die Prüfung auf vertrauenswürdigen Besitz nicht bestehen.

Die Prüfung auf vertrauenswürdigen Besitz kann als globale Regel oder bezogen auf ein einzelnes Element verwendet werden. Damit Application Control keine Prüfung auf vertrauenswürdigen Besitz durchführt, stellen Sie sicher, dass die Option Prüfung auf vertrauenswürdigen Besitz aktivieren unter Globale Einstellungen > Vertrauenswürdige Besitzer nicht markiert ist.

Anwenden und Entfernen von Regeln

Mithilfe des Knotens "Gruppenregeln" können Sie Sicherheitskontrollregeln mit bestimmten Benutzergruppen innerhalb des Unternehmens abgleichen.

Die Gruppenübersicht gibt Aufschluss über den Gruppennamen, die Textsicherheitskennung (SID) und die Sicherheitsstufe der Regel. Eine SID ist eine Datenstruktur mit variabler Länge, die Benutzer-, Gruppen- und Computerkonten identifiziert. Bei der Erstellung erhält jedes Konto in einem Netzwerk eine eindeutige SID. Interne Prozesse in Windows verweisen eher auf die SID eines Kontos als auf den Benutzer oder Gruppennamen des Kontos. Analog verweist auch Application Control auf eine Benutzer- oder Gruppen-SID, es sei denn, die SID konnte beim Hinzufügen zur Konfiguration nicht gefunden werden.

Anwenden von Regeln

  1. Klicken Sie im Menüband "Regelelemente" auf Hinzufügen.
  2. Wählen Sie den Typ der zu erstellenden Regel aus:
    • Gruppe
    • Benutzer
    • Gerät
    • Benutzerdefiniert
    • Skriptbasiert

    • Prozess

    Das Dialogfeld "Regel hinzufügen" wird angezeigt.

  3. Geben Sie die relevanten Informationen ein und klicken Sie auf OK.

Entfernen von Regeln

  1. Wählen Sie zum Entfernen einer Gruppenregel die betreffende Regel aus und klicken Sie im Menüband "Regeln" auf Regel entfernen.

    Eine Bestätigungsmeldung wird angezeigt.

  2. Klicken Sie auf Ja, um das Entfernen zu bestätigen.

Metadaten

Anhand von Metadaten lassen sich zusätzliche Kriterien für das Abgleichen mit Dateien und Ordnern hinzufügen, nachdem eine Übereinstimmung mit den Eigenschaften der Datei oder des Ordners festgestellt wurde. Beispiel: Durch Hinzufügen von Metadaten für einen Anbieter können Sie prüfen, ob eine Datei von einem bestimmten verifizierten Herausgeber signiert wurde.

Metadaten sind für Dateien und Ordner in zulässigen, verweigerten und in Regelelementen für Benutzerrechte verfügbar. Metadaten können manuell eingegeben oder aus einer vorhandenen Liste hinzugefügt werden. Wählen Sie die Registerkarte Metadaten für eine Datei oder einen Ordner für ein kompatibles Regelelement aus:

  • Um Metadaten aus einer Datei hinzuzufügen, wählen Sie die Registerkarte "Metadaten" aus und klicken Sie auf Metadaten aus Datei einlesen. Wählen Sie anschließend die Datei aus, aus der die Metadaten gelesen werden sollen. Markieren Sie die Kontrollkästchen für die erforderlichen Metadaten:
  • Um Metadaten manuell hinzuzufügen, markieren Sie ein Kontrollkästchen und fügen Sie die erforderlichen Daten hinzu.

Um die Metadaten für eine Datei mit Windows Explorer anzuzeigen, klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie Eigenschaften aus. Die Metadaten werden auf der Registerkarte "Details" angezeigt.

Die folgenden Metadaten können für Datei- und Ordnerelemente konfiguriert werden:

  • Produktname – Der Name des Produkts.

  • Anbieter – Falls die Datei digital signiert wurde, der mit der Signatur verknüpfte Anbietername. Es ist eine weitere Option verfügbar, mit der geprüft werden kann, ob die Anbietermetadaten der Datei vertrauenswürdig sind.

    Wenn die Metadaten für Anbieter aktiviert sind, ist zusätzlich die Option Zertifikat zur Laufzeit verifizieren verfügbar. Wenn diese Option aktiviert ist, verifiziert der Agent das Zertifikat während des Dateiabgleichs. Klicken Sie auf Verifizierungsoptionen, um Zugriff auf einen weiteren Kriteriensatz zu erhalten, der während des Dateiabgleichs verwendet wird.

    Weitere Informationen finden Sie unter Verifizierungsoptionen.

  • Firmenname – Der Name der Firma, die das Produkt hergestellt hat.

  • Dateibeschreibung – Die Beschreibung der Datei oder des Ordners, die vom Anbieter oder der Firma definiert wurde.

Die angezeigten Informationen können zu den Kriterien hinzugefügt werden, wobei Segmente der Metadaten enthalten sein können. Platzhalter (*) dürfen verwendet werden.

  • Minimum – Zeigt die Mindestversionsnummer der ausgewählten Datei an.

  • Minimum – Zeigt die Maximalversionsnummer der ausgewählten Datei an.

Die angezeigten Informationen können zum Festlegen eines Versionsbereichs verwendet werden. Die minimale und maximale Versionsnummer können anhand von Platzhaltern angegeben werden. Alle Versionen der Datei innerhalb des angegebenen Bereichs werden dann überwacht.

  • Minimum – Zeigt die Mindestversionsnummer des Produkts für die ausgewählte Datei an.

  • Minimum – Zeigt die Maximalversionsnummer des Produkts für die ausgewählte Datei an.

Die angezeigten Informationen können zum Festlegen eines Versionsbereichs verwendet werden. Die maximale Versionsnummer kann anhand von Platzhaltern angegeben werden. Alle Produktversionen innerhalb des angegebenen Bereichs werden dann überwacht.

Durch Platzhalter können Teile der Metadateninformationen ersetzt werden. So lässt sich eine erforderliche Übereinstimmung auf Basis eines Segments der ausgewählten Metadaten angeben. Beispiel: Wenn einer Ihrer Anbieter Microsoft Corporation ist, aber Sie nur Übereinstimmungen mit "Microsoft" identifizieren möchten, dann können Sie das Wort "Corporation" durch einen Platzhalter (*) ersetzen. Sie erhalten dann alle Übereinstimmungen mit Microsoft, jedoch nicht nur solche mit "Microsoft Corporation".

Regelelemente gelten nur für Dateien, die mit den ausgewählten Metadaten übereinstimmen.

Verwandte Themen

Regeltypen

Regelelemente

Zulässige Elemente

Verweigerte Elemente

Vertrauenswürdige Anbieter

Regeln für Benutzerrechte

Browser-Kontrolle