Skriptregeln

In diesem Abschnitt werden folgende Themen behandelt:

Wissenswertes über Skripregeln

Mithilfe von Skriptregeln können benutzerdefinierte Regeln unter Verwendung von Windows PowerShell oder VB Scripts erstellt werden. Der Erfolg oder das Fehlschlagen des Skriptes bestimmen, ob die Sicherheitsstufe sowie die zulässigen und verweigerten Elemente, die Teil der Regel sind, auf den Benutzer zutreffen.

Skriptregeln können jede beliebige Schnittstelle nutzen, die über PowerShell oder VBScript zugänglich ist, z. B. COM (Component Object Model). Jedes Skript wird geprüft, wenn eine der folgenden Situationen eintritt:

  • Eine neue Konfiguration wird auf dem Computer bereitgestellt.
  • Ein Benutzer meldet sich an.

Sie können Skripte im Dialogfeld "Skriptregel" erstellen und bearbeiten, das wie folgt aufgerufen wird:

  1. Wählen Sie im Menüband "Regeln" die Option Regel hinzufügen aus.

  2. Wählen Sie im Dropdownmenü die Option Skriptregel aus.

    Der Arbeitsbereich "Skriptrgel" wird angezeigt.

Mithilfe der folgenden Skriptregeloptionen können Sie definieren, wann das Skript ausgeführt werden soll:

  • Skript einmal pro Anmeldesitzung als angemeldeter Benutzer ausführen – Das Skript wird einmalig für jeden Benutzer ausgeführt, der sich anmeldet. Die Einstellungen werden nur für die Dauer der Benutzersitzung angewendet. Das Skript wird auch dann ausgeführt, wenn die Sperre des Desktops aufgehoben ist.
  • Skript einmal pro Anmeldesitzung als SYSTEM-Benutzer ausführen – Das Skript wird einmalig für jeden Benutzer, der sich anmeldet, mit SYSTEM-Kontoberechtigungen ausgeführt. Die Einstellungen werden nur für die Dauer der Benutzersitzung angewendet.

  • Skript einmal pro Computer als SYSTEM-Benutzer ausführen – Das Skript wird einmalig beim Starten des Computers mit SYSTEM-Kontoberechtigungen ausgeführt. Die Einstellungen werden für alle Anwendersitzungen so lange angewendet, bis der Computer neu gestartet wird, der Application Control Agent neu gestartet wird oder sich eine Konfiguration ändert.

    Achtung: Das Ausführen von Skripten als SYSTEM-Benutzer kann erheblichen Schaden auf dem Computer anrichten und sollte nur von erfahrenen Skriptautoren vorgenommen werden.

  • Skript erst nach Abschluss der Benutzeranmeldung ausführen – Wählen Sie diese Option aus, um zu verhindern, dass das Skript bereits vor Abschluss der Benutzeranmeldung ausgeführt wird.

  • Timeout für Skript erfolgt nach <n> Sekunden – Geben Sie die Anzahl der Sekunden ein, die das Skript ausgeführt werden kann, bevor das Timeout eintritt. Bei Eingabe von null (0) Sekunden tritt kein Timeout ein. Bei Eintreten eines Timeouts gilt das Skript als fehlgeschlagen und es werden keine Einstellungen angewendet.

VBScripts

Jedes Skript wird innerhalb eines gehosteten Skriptmoduls ausgeführt. So erhalten Sie mehr Kontrolle über die Skriptausführung sowie über die Eingabe und Ausgabe.

  • Es wird keine VBS-Datei verwendet.
  • Es wird kein separater Prozess erzeugt.

Ein Skript muss als Funktion geschrieben werden und kann zahlreiche Funktionen enthalten. Es muss jedoch eine Hauptstartfunktion festgelegt werden. Die Startfunktion wird vom Application Control Agent ausgeführt und kann dazu verwendet werden, andere Funktionen aufzurufen.

Das AMScriptRule COM-Objekt ist im Skriptmodul integriert und bietet Zugriff auf die folgenden Methoden:

  • strUsername = AMScriptRule.UserName
  • strUserdomain = AMScriptRule.UserDomain
  • strSessionid = AMScriptRule.SessionID

  • strStationname = AMScriptRule.WinStation

    Der Microsoft-Standard in dieser Instanz bewirkt, dass "WinStation" den Wert des Namens der Terminal Services-Sitzung zurückgibt. Dieser ergibt sich aus dem Sitzungstyp, dessen typische Werte "Console" oder "RDP-Tcp#34" lauten. Es wird nicht der Name der Arbeitsstation zurückgegeben, der in der Regel "WinSta0" lautet.

Das AMScriptRule COM-Objekt beinhaltet außerdem folgende Methoden:

  • strLog = AMScriptRule.Log "My Log Statement"

    Ermöglicht Ihnen die Ausgabe von Protokollierungszeichenfolgen an die Agentprotokolldatei zur Verwendung mit Skriptregeln für die Fehlerbehebung.

  • strEnvironmentvar = AMScriptRule.ExpandEnvironment ("%MyEnvironmentVariables%")

    Erweitert die Umgebungsvariablen des Benutzers, der das Skript ausführt.

Bei Verwendung von WScript.shell zum Erweitern von Umgebungsvariablen werden nur SYSTEM-Variablen ausgegeben.

Windows-PowerShell-Skripte

Wenn das Skript den Wert 0 ausgibt oder mit 0 beendet wird, ist das Skript erfolgreich und die Regeln werden angewendet. Bei Ausgabe eines Werts ungleich null schlägt das Skript fehl und die Regeln werden nicht angewendet.

Jedes PowerShell-Skript wird in einer Instanz von PowerShell.exe ausgeführt. Application Control setzt daher keine bestimmte Syntax durch oder fügt Syntaxen hinzu. Jedes korrekt formatierte PowerShell-Skript funktioniert.

PowerShell muss auf allen Endpunkten installiert sein, die das Skript verwenden.

Hinzufügen einer Skriptregel

  1. Wählen Sie in der Dropdownliste Regel hinzufügen des Menübands "Regeln" die Option Skriptregel aus.

    Eine neue Regel wird zum Arbeitsbereich "Alle Skriptregeln" hinzugefügt. Das Dialogfeld Skriptregel wird angezeigt.

  2. Wählen Sie eines der beiden folgenden Verfahren, um ein Skript einzugeben:
    • Geben Sie das Skript in den Bereich "Aktuelles Skript" ein.
    • Öffnen Sie ein vorhandenes Skript mit einem Skripteditor, um den Inhalt zu kopieren/auszuschneiden und an der gewünschten Stelle einzufügen.
  3. Wählen Sie Klicken Sie hier, um das Skript zu bearbeiten aus. Klicken Sie auf Importieren, um ein vorhandenes Skript zu importieren.

Bearbeiten einer Skriptregel

  1. Im Dialogfeld "Skriptregel" können Sie Regeln erstellen und verwalten, die auf einem benutzerdefinierten VB- oder PowerShell-Skript basieren und die bei jeder Benutzeranmeldung angewendet werden.
  2. Sie haben folgende Möglichkeiten, um das Dialogfeld "Skriptregel" einer bestimmten Regel aufzurufen:
    • Navigieren Sie im Navigationsbereich zur gewünschten Skriptregel und wählen Sie sie aus.

    • Wählen Sie in der Navigationsstruktur den Knoten Regeln aus. Doppelklicken Sie im Dialogfeld "Alle Regeln" auf die zu bearbeitende Regel.

    Das Dialogfeld "Skriptregel" wird angezeigt.

  3. Klicken Sie auf Klicken Sie hier, um das Skript zu bearbeiten.

    Das Dialogfeld "Diese Skriptregel konfigurieren" wird angezeigt.

  4. Auf der Registerkarte "Skript" können Sie das Skript hinzufügen oder modifizieren, das beim Anmelden der Benutzer verwendet werden soll.
  5. Wählen Sie auf der Registerkarte "Optionen" die Einstellung für die Skriptausführung aus den verfügbaren Optionen des Abschnitts "Ausführungseinstellungen definieren" aus.
  6. Wählen Sie zum Angeben der Skriptzeiteinstellungen die jeweiligen Optionen im Abschnitt "Zeiteinstellungen für Skript definieren" aus.
  7. Klicken Sie auf OK.

Beispielskripte

Das folgende VBscript veranschaulicht, wie Sie die Anwendungen festlegen, auf die ein Benutzer Zugriff hat.

Function ScriptedRule()

’Name of Filter scan expected to pass

ExpectedFilter = "FWALL"

’Get Server Name

Set objNTinfo = CreateObject ("WinNTSystemInfo")

ServerName = lcase (objNTInfo.ComputerName)

’Set initial return value

ScriptedRule = False

’Create MetaFrame Session Object

Set MFSession = Createobject ("MetaFrameCOM.MetaFrameSession")

’Initialize the session filters for this session

For Each x in MFSession.SmartAccessFilters

’return true if our filter is found

If x = ExpectedFilter Then

ScriptedRule=True

AMScriptRule.Log "SmartAccessFilter match found."

End If

Next

End Function

Mit dem folgenden VBscript lässt sich bestimmen, ob ein Computer einer Computer-Org.-Einheit angehört:

Function ScriptedRule()

ScriptedRule = vbFalse

strCompName = AMScriptRule.StationName

Set oRootDSE = GetObject("LDAP://RootDSE")

strDNSDomain = oRootDSE.Get("DefaultNamingContext")

Set oOU = GetObject("LDAP://OU=TheOUyouAreSearching,OU=Parent,OU=Parent," & strDNSDomain)

oOU.GetInfo

For each member in oOU

If UCase(strCompName) = UCase(member.CN) Then

ScriptedRule = vbTrue

Exit For

End If

Next

End Function

Das folgende Beispiel-VBScript zeigt die Hauptkomponenten eines Skriptes. Es veranschaulicht, wie Sie auf Informationen zum Benutzernamen des Benutzers zugreifen, der sich am System anmeldet, und wie Sie einen Abgleich mit einer bestimmten Domäne und Organisationseinheit durchführen:

Function MyScript()

'Get the username of the user logging in (also works when running as SYSTEM)

strUserName = AMScriptRule.UserName

'Get the domain of the user logging in (also works when running as SYSTEM)

strUserDomain = AMScriptRule.UserDomain

'Look up user environment variables (when running as SYSTEM, only SYSTEM variables are available)

strClientName = AMScriptRule.ExpandEnvironment ("%ClientName%")

'Log the output

AMScriptRule.Log strUserName & " angemeldet auf " & strClientName

'Check if the user is a member of the domain

If strUserdomain = "MyDomain" Then

'If so, see if the user is in the MyOU OU

Set objOU = GetObject ("LDAP://ou=MyOU,dc=MyDomain,dc=com")

objOU.Filter = Array("user")

For Each objUser In objOU

'Check if there is a match with the user logging on

If objUser.sAMAccountName = strUserName Then

'if there is, then set the function to True

MyScript = True

End If

Next

End If

'Unless there is a username match, the function defaults to False

End Function

Das folgende Beispielskript für Windows-PowerShell zeigt die Hauptkomponenten eines Skriptes. Es veranschaulicht, wie Sie auf Informationen zum Benutzernamen des Benutzers zugreifen, der sich am System anmeldet, und wie Sie einen Abgleich mit einer bestimmten Domäne und Organisationseinheit durchführen:

#Script checks if the current user is a member of the OU specified

# Return 0 if TRUE

# 1 otherwise

$logonuser = $env:username

$bindpt = [adsi] "LDAP://OU=TS_Users,OU=Users,OU=MyUser,OU=MyOU,DC=MyDomain,DC=com"

$users = New-Object System.DirectoryServices.DirectorySearcher $bindpt

$users.Filter = "(&(objectClass=User)(sAMAccountName=$logonuser))"

$obj = $users.FindOne()

if($obj -eq $null)

{

#" Not a Member"

exit 1

}

Verwandte Themen

Regeln