Self-Elevation
In diesem Abschnitt werden folgende Themen behandelt:
- Wissenswertes über Self-Elevation
- Konfigurieren von Self-Elevation
- Self-Elevation-Optionen
- Self-Elevation-Dateiverknüpfungen
- Meldungseinstellungen für Self-Elevation
Wissenswertes über Self-Elevation
Self-Elevation kann auf Signaturen, Dateien und Ordner angewendet werden, für deren Ausführung und Funktionalität normalerweise Administratorrechte erforderlich wären. Self-Elevation bietet eine Option zum Ausführen eines Elements mit erhöhten Rechten, die über das Kontextmenü von Windows Explorer verfügbar ist. Versucht ein Benutzer, ein bestimmtes Element mit erhöhten Rechten auszuführen, wird eine Eingabeaufforderung angezeigt, die den Benutzer auffordert, einen Grund für die Self-Elevation einzugeben, bevor diese angewendet wird.
Beachten Sie, dass in der Vergangenheit Self-Elevation-Optionen auf Regelelemente angewendet wurden, die innerhalb der Richtlinie abgeglichen wurden. Mit Application Control 2020.3 stehen alternative Methoden zur Verfügung, die eine detailliertere Steuerung ermöglichen:
• Die Anwendung von Regelelementen ermöglicht die Steuerung von Optionen für bestimmte Elemente, darunter die Anwendung der Richtlinie für Benutzerrechte. Sie kann so konfiguriert werden, dass der Benutzer aufgefordert wird, anzugeben, ob die Erhöhung durchgeführt werden soll oder nicht. Falls ja, kann der Benutzer auch aufgefordert werden, einen Grund dafür anzugeben. Weitere Informationen finden Sie unter Regelelemente.
•Self-Elevation ermöglicht das Konfigurieren und Anwenden benutzerdefinierter Tokens. Lesen Sie auch den Abschnitt Self-Elevation-Optionen weiter unten.
Self-Elevation wird geprüft, d. h. Sie können überwachen, welche Arten von Anwendungen die Benutzer üblicherweise mit erhöhten Rechten ausführen möchten. Mit Auditing können Sie Elemente identifizieren und zum jeweiligen Knoten "Benutzerrechte" in einer Konfiguration hinzufügen, sodass Benutzer die Elemente aufrufen können, ohne sie anfordern zu müssen.
In Umgebungen, in denen die Benutzerzugriffssteuerung deaktiviert ist, können Sie die Self-Elevation von Windows Explorer-Datei- und Ordnereigenschaften mithilfe der benutzerdefinierten Einstellung "SelfElevatePropertiesEnabled" aktivieren. In dem Fall können Sie den Text der Kontextmenüoption von Windows Explorer anpassen, indem Sie die benutzerdefinierte Einstellung "SelfElevatePropertiesMenuText" verwenden.
Konfigurieren von Self-Elevation
- Wählen Sie den Knoten Benutzerrechte für die jeweilige Gruppe aus, z. B. die Gruppe Jeder.
- Wählen Sie die Registerkarte Self-Elevation aus.
- Wählen Sie Self-Elevation aktivieren aus und wenden Sie die erforderliche Einstellung an:
- Self-Elevation nur auf die Elemente in nachfolgender Liste anwenden
Self-Elevation auf alle Elemente außer auf die in nachfolgender Liste anwenden
- Wählen Sie im Menüband "Verwalten" Element hinzufügen > Self-Elevation aus und geben Sie eine Datei, einen Ordner, eine Signatur oder eine Gruppe ein bzw. wählen Sie das betreffende Element aus.
Es kann für jeden Dateityp eine Self-Elevation durchgeführt werden, vorausgesetzt, er ist in der Liste Self-Elevation-Dateiverknüpfungen enthalten.
-
Zum Hinzufügen von zusätzlicher Validierung klicken Sie auf die Registerkarte Metadaten und geben Sie Details zu Beschreibung, Anbieter und Versionsnummer der Datei und des Produkts ein.
Lassen Sie die Felder leer, wenn Sie nicht weiter einschränken möchten, für welche Dateien eine Self-Elevation durchgeführt werden kann. Sofern Metadaten angewendet wurden, müssen die Elemente diesen entsprechen, damit eine Self-Elevation durchgeführt werden kann.
- Speichern Sie die Konfiguration.
Self-Elevation-Optionen
Konfigurieren Sie Self-Elevation-Optionen für die Regelelemente, indem Sie angeben, wie eine Anwendung nach erfolgter Self-Elevation ausgeführt werden soll. Sie können außerdem festlegen, wie sich die Self-Elevation auf untergeordnete Prozesse oder allgemeine Dialogfelder auswirken soll.
Wählen Sie im Menüband "Berechtigungsverwaltung" die Option Self-Elevation-Optionen aus und konfigurieren Sie die erforderlichen Einstellungen:
- Element(e) als zulässig festlegen – Legen Sie die Regelelemente als zulässig fest und überschreiben Sie etwaig verknüpfte zulässige Elemente.
- Ausführen der Elemente auch dann zulassen, wenn sie keinem vertrauenswürdigen Besitzer gehören – Diese Option ist verfügbar, wenn "Element(e) als zulässig festlegen" markiert ist. Wenn diese Option aktiviert ist, werden alle aufgeführten Regelelemente ausgeführt, unabhängig davon, wem sie gehören.
- Auf untergeordnete Prozesse anwenden – Standardmäßig wird die auf Regelelemente angewendete Self-Elevation-Richtlinie nicht von untergeordneten Prozessen übernommen. Aktivieren Sie diese Option, damit die Richtlinie auch auf die direkt untergeordneten Elemente des übergeordneten Prozesses angewendet wird.
- Auf allgemeine Dialogfelder anwenden – Erweitern Sie den Zugriff auf die Windows-Menüoptionen zum Öffnen und Speichern einer Datei, wenn eine Datei oder ein Ordner mit erhöhten Rechten ausgestattet wurde.
- Als vertrauenswürdigen Besitzer installieren – Legen Sie den lokalen Administrator als Besitzer aller Dateien fest, die von der definierten Anwendung erstellt wurden. Diese Option wird nicht auf reguläre Anwendungen angewendet, sondern nur auf Installationspakete.
- Windows-Option "Als Administrator ausführen" für Self-Elevation-Elemente ausblenden – Blendet die Option "Als Administrator ausführen" aus dem Windows-Kontextmenü aus.
- Richtlinie – Klicken Sie auf das Pfeilsymbol und wählen Sie die gewünschte Richtlinie aus.
Durch Definieren von benutzerdefinierten Richtlinien für Benutzerrechte können Sie Ihrem Regelelement "Self-Elevation" ein benutzerdefiniertes Token zuweisen.
Weitere Informationen finden Sie unter Benutzerrechte. - Meldung anzeigen, die Benutzer zum Eingeben eines Grunds für Self-Elevation auffordert – Benutzer werden aufgefordert, einen Grund für die gewünschte Self-Elevation anzugeben. Legen Sie Inhalt und Dimensionen der Meldung bei den Meldungseinstellungen für Self-Elevation fest.
Beim Navigieren in OneDrive-Dateien ist die Option "Als Administrator ausführen" erst dann im Verknüpfungsmenü verfügbar, wenn die Dateien synchronisiert wurden und lokal zur Verfügung stehen.
Self-Elevation-Dateiverknüpfungen
Konfigurieren Sie eine Liste mit Dateitypen und zugehörigen Anwendungen, die Benutzer mit erweiterten Rechten oder Administratorrechten öffnen können. Wenn ein Benutzer mit der rechten Maustaste auf eine Datei klickt, führt Application Control die folgenden Prüfungen durch, um zu bestimmen, ob der Benutzer die Rechte für die mit der Datei verknüpften Anwendung erweitern darf:
- Befindet sich der Dateityp in der Liste der Dateiverknüpfungen?
- Nein – Die Rechte für die Datei dürfen nicht erweitert werden.
- Ja – Die verknüpfte Anwendung wird überprüft.
- Gibt es eine verknüpfte Anwendung?
- Nein – Die Rechte für die Datei werden unter Verwendung der verknüpften Anwendung auf dem Endpunkt des Benutzers erweitert.
- Ja – Die Rechte für die Datei dürfen nur erweitert werden, wenn sie mit der Anwendung geöffnet wird, die in der Liste der Dateiverknüpfungen angegeben ist.
Falls die Rechte für die Datei erweitert werden dürfen, ist im Kontextmenü eine entsprechende Option verfügbar. Der Benutzer kann dann mit erweiterten Rechten auf die Anwendung zugreifen. Ändert ein Benutzer ein Standardprogramm in ein Programm ab, das von der in der Konfiguration festgelegten, verknüpften Anwendung abweicht, ist die Self-Elevation-Option nicht mehr im Kontextmenü verfügbar.
Dateiverknüpfungen aktualisieren
- Klicken Sie im Menüband "Verwalten" auf Erweiterte Einstellungen und wählen Sie die Schaltfläche Self-Elevation-Dateiverknüpfungen aus.
- Aktualisieren Sie die Liste der Erweiterungen und verknüpften Anwendungen mithilfe der Schaltflächen Hinzufügen und Entfernen. Es kann jede beliebige Dateierweiterung hinzugefügt werden.
Die folgenden Erweiterungen sind standardmäßig enthalten:
| Dateierweiterung | Verknüpfte Anwendung |
|---|---|
| EXE | |
| BAT | |
| CMD | |
| VBS | wscript.exe |
| WSF | wscript.exe |
| VBE | wscript.exe |
| MSI | msiexec.exe |
| MSP | msiexec.exe |
| PS1 | powershell.exe |
| MSC | mmc.exe |
| REG | regedit.exe |
Meldungseinstellungen für Self-Elevation
Konfigurieren Sie Inhalt und Abmessungen der Meldung, die angezeigt wird, wenn der Benutzer Self-Elevation anfordert.
Die Meldungen werden angezeigt, wenn die Option Meldung anzeigen, die Benutzer zum Eingeben eines Grunds für Self-Elevation auffordert bei den Self-Elevation-Optionen ausgewählt ist.
- Wählen Sie im Menüband "Globale Einstellungen" die Option Meldungseinstellungen aus.
- Wählen Sie die Registerkarte Self-Elevation aus.
-
Geben Sie in das Feld "Name" den Text ein, der für die Self-Elevation-Kontextmenüoption angezeigt werden soll.
Die Menüoption wird angezeigt, wenn ein Benutzer versucht, mit der rechten Maustaste eine Datei zu öffnen, deren Erweiterung in der Liste Self-Elevation-Dateiverknüpfungen enthalten ist.
- Konfigurieren Sie Beschriftung, Inhalt und Abmessungen der Meldung, die angezeigt wird, wenn der Benutzer Self-Elevation anfordert.
- Klicken Sie auf OK.