Systemkontrollen
In diesem Abschnitt werden folgende Themen behandelt:
- Wissenswertes über Systemkontrollen
- Kontrollelement "Deinstallation"
- Kontrollelement "Dienst"
- Kontrollelement "Ereignisprotokoll"
- Kontrollelement "Prozessbeendigung"
Wissenswertes über Systemkontrollen
Mit Systemkontrollen steuern Sie das Entfernen oder Modifizieren von Anwendungen und Prozessen, das Verwalten bestimmter Dienste und das Löschen benannter Ereignisprotokolle. Mithilfe von Kontrollen kann der Zugriff auf ein bestimmtes Element erweitert oder eingeschränkt werden.
Das Einschränken oder Erweitern der Möglichkeit zum Installieren, Deinstallieren, Ändern und Reparieren von Desktopanwendungen für Windows 10 bezieht sich auf Installationsprogramme auf MSI- und .exe-Basis, die über die Ansicht "Programme und Funktionen" der Systemsteuerung aufgerufen werden. Ab Release 2020.2 von Application Control werden zugewiesene Berechtigungen auch innerhalb der Ansicht "Apps und Funktionen" bei den Windows-Einstellungen unterstützt.
Systemkontrollen sind im Knoten "Benutzerrechte" einer jeden Regelgruppe verfügbar.
Hinzufügen von Systemkontrollen
- Wählen Sie den Knoten "Benutzerrechte" für die erforderliche Regelgruppe aus.
- Wählen Sie die Registerkarte Systemkontrollen aus.
- Klicken Sie auf Element hinzufügen und wählen Sie die erforderliche Systemkontrolle aus:
Für Prozessregeln können nur Prozessbeendigungselemente hinzugefügt werden.
- Machen Sie die erforderlichen Angaben und klicken Sie auf OK.
- Wählen Sie in der Spalte "Richtlinie" die gewünschte Option aus:
- Integrierte Einschränkung – Der Zugriff auf das benannte Element wird immer verweigert.
- Integrierte Erhöhung – Der Zugriff auf das benannte Element wird immer gewährt.
- Konfigurieren Sie weitere Elemente, indem Sie im Menüband "Berechtigungsverwaltung" auf Element hinzufügen klicken und die gewünschte Option auswählen.
-
Klicken Sie auf den Link Hier klicken, um die Meldungen einzustellen, die angezeigt werden, wenn ein Benutzer nicht berechtigt ist, auf Systemkontrollen zuzugreifen, um die Meldungen zu konfigurieren, die angezeigt werden, wenn der Benutzer versucht, ein gesperrtes Programm zu deinstallieren oder ein gesperrtes Ereignisprotokoll zu löschen.
Weitere Informationen finden Sie unter Meldungseinstellungen.
Klicken Sie auf die Schaltfläche Ivanti-Komponenten und Abhängigkeiten hinzufügen, um die Konfigurationen für die Kontrollelemente Deinstallation, Dienst und Ereignisprotokoll automatisch mit einem Wert aus AppSense* zu befüllen. Sonstige erforderliche Abhängigkeiten werden ebenfalls hinzugefügt. Dies bietet sich für das Einschränken von Administratorrechten an, wenn verhindert werden soll, dass wichtige Agentkomponenten geändert werden.
Kontrollelement "Deinstallation"
Die Zugriffskontrolle für Anwendungen muss aktiviert sein, damit Sie ein Kontrollelement für die Deinstallation konfigurieren können. Weitere Informationen finden Sie unter Richtlinieneinstellungen.
Mit dieser Option lassen Sie zu bzw. verhindern Sie, wenn die entsprechenden Regelbedingungen erfüllt sind, dass installierte Anwendungen deinstalliert werden können. Steuerelemente vom Typ "Deinstallieren" werden konfiguriert, indem die gesteuerten Anwendungen definiert werden. Eine weitere Validierung kann angewendet werden, um einen benannten Herausgeber und bestimmte Anwendungsversionen zu erreichen. Um alle Anwendungen eines Herausgebers zuzulassen oder zu unterbinden, geben Sie in das Feld "Anwendung" einen "*" in Verbindung mit dem Namen des Herausgebers ein.
Ein Beispiel für die Verwendung des Kontrollelements "Deinstallation" finden Sie unter Erhöhen einer Gruppe – Beispiel für das Zulassen der Deinstallation von Microsoft OneDrive.
AppSense-Kontrollelemente vom Typ "Deinstallation"
Der Unternehmensname AppSense wurde in Ivanti geändert. Aus diesem Grund können Application Control-Konfigurationen, die AppSense*-Kontrollelemente für die Deinstallation beinhalten, keine Produkte von Ivanti steuern, die früher unter dem Namen AppSense existierten.
Wird eine Konfiguration, die AppSense*-Kontrollelemente für die Deinstallation beinhaltet, in einer Konsole der Version 10.1 FR1 oder höher geöffnet, wird ein Dialogfeld angezeigt. Darin wird eine Option angeboten, die es ermöglicht, allen Regeln, die den Begriff "AppSense*" enthalten, automatisch den Begriff "Ivanti*" hinzuzufügen. Deinstallationskontrollen funktionieren durch Abgleichen der Namen und Herausgeber, die unter "Programme und Funktionen" angezeigt werden. Mit der Zustimmung zur automatischen Aktualisierung wird sichergestellt, dass bei Bereitstellung der Konfiguration für einen umbenannten Application Control Agent der Version 10.1 FR1 (oder später) alle AppSense-Produkte, die in Ivanti umbenannt wurden, denselben Deinstallationskontrollen unterliegen.
Kontrollelement "Dienst"
Mit dieser Option wählen Sie aus, welche Dienste bei Erfüllung der entsprechenden Regelbedingungen geändert, gestoppt, gestartet und neu gestartet werden können.
Der Agentdienst ist der einzige Dienst, der nach dem Stoppen nicht neu gestartet werden kann.
Kontrollelemente vom Typ "Dienst" werden konfiguriert, indem der Dienstname oder der Name, unter dem der Dienst bekannt ist, angegeben wird. Der Anzeigename des Dienstes kann bei den verschiedenen lokalisierten Betriebssystemen unterschiedlich sein.
Ein Beispiel für die Verwendung des Kontrollelements "Dienst" finden Sie unter Verhindern, dass der Windows-Firewalldienst gestoppt wird.
Kontrollelement "Ereignisprotokoll"
Mit dieser Option wählen Sie aus, welche Ereignisprotokolle, bei Erfüllung der entsprechenden Regelbedingungen, gelöscht werden können. Kontrollelemente vom Typ "Ereignisprotokoll" werden konfiguriert, indem der Name der zu steuernden Protokolle ausgewählt wird.
Ein Beispiel zur Verwendung des Kontrollelements "Ereignisprotokoll" finden Sie unter Verhindern, dass das Systemprotokoll gelöscht wird.
Kontrollelement "Prozessbeendigung"
Mit dieser Option verhindern Sie, dass ein bestimmter Prozess, z. B. eine Virenschutzsoftware, von Benutzern jeden Typs beendet werden kann, einschließlich Administratoren. Benutzer können Prozesse zwar weiterhin ordnungsgemäß stoppen, indem sie beispielsweise auf der Benutzeroberfläche einer Anwendung auf "Schließen" klicken, sie können jedoch nicht die Beendigung eines Prozesses erzwingen, indem sie etwa einen Task auf der Registerkarte "Details" des Task Managers beenden. Es kann eine bestimmte Datei angegeben oder es können alle Prozesse in einem bestimmten Ordner als Ziel festgelegt werden.
Fügen Sie optional Metadaten hinzu, um zusätzliche Kriterien beim Abgleichen von Dateien und Ordnern einzuschließen.
Weitere Informationen finden Sie unter Metadaten.