Neuerungen in Application Control

Version 2020.3

Zusätzlich zu Codeverbesserungen und Bugfixes sind in dieser Version folgende Funktionen enthalten:

Zulassen benutzerdefinierter Token für Self-Elevation

Application Control bietet jetzt eine verbesserte Kontrolle über Zugriffstoken in Verbindung mit Self-Elevation. Administratoren haben die Möglichkeit, benutzerdefinierte Tokens festzulegen, die dann im Dialogfeld "Self-Elevation-Optionen" zur Auswahl zur Verfügung stehen. Weitere Informationen finden Sie unter Self-Elevation.

Konfigurierbare Eingabeaufforderung beim Erhöhen von Anwendungen

Sie können Regelelemente für Dateien, Ordner, Signaturen und Gruppen jetzt so konfigurieren, dass der Benutzer zu einer Eingabe aufgefordert wird, bevor Anwendungsrechte erhöht werden. Der Benutzer kann dann wählen, ob die Anwendung (oder das Element) mit erhöhten Rechten oder normal ausgeführt werden soll. Weitere Informationen finden Sie unter Regelelemente.

Für Prüfzwecke wird empfohlen, den Benutzer zur Angabe eines Grunds für die Erhöhung aufzufordern. Anhand der Überwachung von Prüfereignissen können Administratoren einfacher zwischen automatischen Erhöhungen und vom Benutzer initiierten Erhöhungen unterschieden.

Benutzerdefiniertes Token mit mittlerer Integritätsstufe

Administratoren haben nunmehr die Möglichkeit, benutzerdefinierte Tokens zu konfigurieren, die mit mittlerer Integrität ausgeführt werden. Weitere Informationen finden Sie unter Benutzerrechte.

Verbesserte Regelanalyse

Die Regelanalyse von Application Control beinhaltet jetzt ein Kontrollkästchen, mit dem Anfragen zum Überschreiben und Umbenennen von Dateien gefiltert werden können. Die Ansicht mit der Anfrageübersicht der Regelanalyse enthält den Wert des Feldes Typ der Regel. Dadurch ist auf einen Blick der Typ (oder die Kategorie) der Anfrage ersichtlich. Dadurch muss der Analyst nicht erst die einzelnen Anfragen öffnen und prüfen, um das Ergebnis anzuzeigen. Weitere Informationen finden Sie unter Regelanalyse.

Zusätzlich zu Codeverbesserungen und Bugfixes sind in dieser Version folgende Funktionen enthalten:

UAC-Ersetzung

Die UAC-Ersetzungsfunktion ergänzt die bereits vorhandene Self-Elevation-Funktionalität innerhalb von Application Control. Ist die Funktion "UAC-Ersetzung" aktiviert, wird die standardmäßige Windows UAC-Erhöhungsaufforderung durch ein konfigurierbares Zustimmungsdialogfeld in Application Control ersetzt. Dies gilt unabhängig davon, ob die Anwendung über das Startmenü, Explorer, den Desktop oder die Befehlseingabe gestartet wird.

Weitere Informationen finden Sie unter UAC-Ersetzung.

2020.2 Globaler Stil – Aktualisierung

In Release 2020.2 wurde das Design für standardmäßige globale Stilarten aktualisiert. Der neue Stil verwendet ein größeres Meldungsfeld, sodass mehr Detailinformationen Platz finden. Standardmeldungen enthalten außerdem kein Logo mehr, sondern einen farbcodierten Banner.

Die Aktualisierung ist rückwärtskompatibel. Sie können also weiterhin den klassischen Stil verwenden oder aber die Stilaktualisierung auf Ihre vorhandenen Konfigurationen anwenden.

Weitere Informationen finden Sie unter Meldungseinstellungen.

Neues blockiertes Ereignis "Vertrauenswürdiger Besitzer"

Es wurden zwei neue Ereignis-IDs hinzugefügt: 9060 und 9061. Standardmäßig sind beide Ereignisse deaktiviert. Sie ermöglichen es IT-Organisationen, bei Bedarf zwischen Ausführungsanforderungen, die durch "Vertrauenswürdiger Besitz" blockiert wurden, und solchen, die explizit durch eine Regelrichtlinie blockiert wurden, zu unterscheiden.

Weitere Informationen finden Sie unter Auditing.

Neues Ereignis für gestarteten Admin-Prozess

Es wurde ein neues Ereignis hinzugefügt, das Prozesse identifiziert, die unter Verwendung vollständiger Administratorrechte gestartet wurden. ID 9062 bietet sich an, um die erforderlichen erhöhten Rechte zu identifizieren (und zu bewerten).

Weitere Informationen finden Sie unter Auditing.

Unterstützung für Edge bei URL-Umleitung

Der neue Browser Microsoft Edge (Chromium) wird jetzt unterstützt.

Weitere Informationen finden Sie unter Browser-Kontrolle.

Starten von Apps und Funktionen unter Windows 10

Zugewiesene Berechtigungen gelten nun auch innerhalb der Ansicht "Apps und Funktionen" der Windows 10-Einstellungen.

Weitere Informationen finden Sie unter Systemkontrollen.

Einfacherer Zugriff auf weitere Informationen

Zusätzlich zum Onlinehilfe-System bietet Ivanti eine Vielzahl von zusätzlichen Ressourcen in Form von Onlinedokumenten, Hilfevideos und zusammengestellten Community-Artikeln. In Release 2020.2 sind diese Ressourcen in einer tabellarischen Übersicht zusammengefasst. Diese kann über die Versionshinweise sowie online über die Hilfe-Landingpage aufgerufen werden.

Zusätzlich zu Codeverbesserungen und Bugfixes sind in dieser Version folgende Funktionen enthalten:

Lokalisierung

Application ControlDas Release 2020.1 wurde lokalisiert und unterstützt nunmehr die folgenden 5 Sprachen:

Englisch

Deutsch

Japanisch

Chinesisch (vereinfacht)

Chinesisch (traditionell)

Die Auswahl der erforderlichen Spracheinstellung ist unter dem Thema Spracheinstellungen in der User Workspace Manager-Hilfe beschrieben.

Suchkonfiguration

Konfigurationen können ziemlich groß werden, wenn Gruppen und Regelsätze hinzugefügt werden. Zur Erleichterung der Navigation können Sie eine Textsuche durchführen, um die Stelle in der Konfiguration zu finden, an der ein gewünschtes Element konfiguriert ist.

Weitere Informationen finden Sie unter Verwalten von Konfigurationen

Unterstützung für Microsoft Windows Server 2019

Management Server, Konsole, Lizenzierungskonsole und Agentenkomponenten sind mit Microsoft Windows Server 2019 kompatibel.

Weitere Informationen zu unterstützter Software finden Sie unter Matrix der unterstützten Plattformen.

Hinzufügen von Gruppen zu Prozessregeln

Sie haben jetzt die Möglichkeit, Ordner und Gruppen zu Prozessregeln hinzuzufügen. Dies hat den zusätzlichen Vorteil, dass alle Regeln einer Gruppe in nur einem Vorgang aktualisiert werden können und nicht einzeln bearbeitet werden müssen.

Weitere Informationen finden Sie unter Prozessregeln.

Elementbasiertes Auditing für Bibliothek

Neue Option zum Ignorieren der Ereignisfilterung für Gruppen. Dadurch können nunmehr Ereignisse für jede Instanz eines Gruppenelements protokolliert werden. Ist eine Gruppe an mehreren Stellen vorhanden, verfügt jede Instanz über eine eigene Einstellung. Diese Einstellung übersteuert jegliche bereits festgelegte Ereignisfilterung.

Weitere Informationen finden Sie unter Zulässige Elemente und Verweigerte Elemente.

Zugriff auf Netzwerkfreigabe gewähren

Neue Standardeinstellung, um Dateien auf einer Netzwerkfreigabe zu verweigern. Zum Zulassen von Dateien können Sie entweder diese Option deaktivieren oder bestimmte Elemente einer Liste vom Typ "Zulässig" hinzufügen.

Weitere Informationen finden Sie unter Erweiterte Einstellungen.

Befehlszeileninformationen für Regelanalyse

Befehlszeilenargumente sind integriert in die Ergebnisse der Regelanalyse für zulässige, verweigerte und erhöhte ausführbare Dateien. Dies vereinfacht die Fehlerbehebung und ermöglicht die Erstellung gezielter Regeln.

Richtlinien-Änderungsanträge

Änderungen an der Kompatibilität von Richtlinien-Änderungsanträgen bedeuten nun, dass der Application Control Agent und die Application Control Webdienste in der gleichen Version vorliegen müssen

Blockieren ausführbarer Dateien im Hintergrund

Neue Option Bei Verweigerung nicht die Meldung "Zugriff verweigert" anzeigen beim Erstellen einer Regel. Damit können Administratoren bestimmte ausführbare Dateien bewusst sperren und eine "Verweigerung im Hintergrund" durchführen. Auf diese Weise erhält der Benutzer keine Meldung vom Typ "Zugriff verweigert".

Weitere Informationen finden Sie unter Verweigerte Elemente.

Deaktivieren von Regelelementen in einer Gruppe

Eine neue Rechtsklickoption zum Deaktivieren einer Regel vereinfacht die Fehlerbehebung und erspart dem Administrator das Entfernen der Regel. Die Option schaltet zwischen "Deaktivieren" und "Aktivieren" um. Die Regel kann damit auf einfache Weise reaktiviert werden.

Weitere Informationen finden Sie unter Zulässige Elemente, Verweigerte Elemente und Regelelemente.

Vertrauenswürdige .dll-Dateien für selbstautorisierte Elemente

Wenn Sie die Selbstautorisierung für eine ausführbare Datei (.exe) durchführen, gilt diese jetzt automatisch auch für alle untergeordneten .dll-Dateien. Während in früheren Versionen von Application Control für jede untergeordnete .dll-Datei Selbstautorisierung erforderlich war (was häufig zum Absturz der Anwendung führte), kann die Selbstautorisierung jetzt mit nur einem Klick durchgeführt werden.

Weitere Informationen finden Sie unter Regeln

Meldungsfeld "Netzwerkportvariable"

Die Netzwerk-Portnummer wird nunmehr ggf. im Meldungsfeld "Blockierter Port" angezeigt. Dies vereinfacht die Fehlerbehebung.

Weitere Informationen finden Sie unter Meldungseinstellungen.

Ereignisfilterung ignorieren nach Regelelement

Die Funktion Ereignisfilterung ignorieren wurde um eine neue Option ergänzt. Wenn diese Option für eine bestimmte Regel markiert ist, wird bei Auswahl einer Ereignis-ID im Dialogfeld "Auditing" das Ereignis, unabhängig von den Einstellungen der Ereignisfilterung, für die betreffende Regel ausgelöst. Auch wenn keine Dateitypen ausgewählt wurden, wird das Ereignis für diese Regel ausgelöst.

Weitere Informationen finden Sie unter Zulässige Elemente und Verweigerte Elemente.

Unterstützung für Aufheben/Wiederaufnehmen für die BitLocker-Komponente

Unter Benutzerrechte > Komponenten wurde eine neue Option hinzugefügt. Damit können Sie BitLocker deaktivieren oder anhalten. Die Option "Aktivieren" verfügt nunmehr über die Wahlmöglichkeit "Wiederaufnehmen". Dadurch erhalten Sie eine detailliertere Kontrolle über für die BitLocker-Komponente.

Weitere Informationen finden Sie unter Benutzerrechte und kontrollierte Komponenten

Positivliste für URL-Umleitung

Die Funktion "URL-Umleitung" wird verwendet, um Benutzer automatisch umzuleiten, wenn sie eine bestimmte URL aufrufen möchten. Durch Definieren einer Liste nicht zulässiger URLs leiten Sie Benutzer, die versuchen, eine gelistete URL aufzurufen, auf eine Standardwarnseite oder eine benutzerdefinierte Webseite um.

Diese Funktion wurde in 10.1 FR3 verbessert. Neu ist die Möglichkeit, bestimmte URLs auf eine Positivliste zu setzen. Dadurch werden folgende Anwendungsbereiche abgedeckt:

  • Steuerung des Zugriffs innerhalb einer einzigen Domäne. So kann der Zugriff auf eine Domäne unterbunden werden, während der Zugriff auf bestimmte Unterdomänen zulässig ist. Beispiel: Der Zugriff auf www.firma.com kann verweigert werden, während der Zugriff auf www.firma.com/ressourcen zulässig ist.

Video zur URL-Genehmigung

  • Implementierung eines Positivlistenansatzes zur Steuerung des Internetzugriffs für Ihr Unternehmen. Indem Sie eine Umleitung erstellen, die den Zugriff auf alle Internetsites untersagt und anschließend zulässige Elemente hinzufügen, können Sie bestimmte Websites für Ihre Mitarbeiter zugänglich machen.

Video zur URL-Positivliste

Weitere Informationen zu dieser Funktion finden Sie unter URL-Umleitung.

Aufhebung des Meldungslimits von 255 Zeichen

Das Meldungslimit von 255 Zeichen für Meldungen, die Endbenutzern angezeigt werden, wurde aufgehoben.

In den Dialogfeldern "Meldungseinstellungen" und "Beenden der Anwendung" innerhalb der Application Control-Konsole kann der Administrator Text konfigurieren, der Endbenutzern für die verschiedenen Meldungstypen angezeigt wird. In 10.1 FR2 und früheren Releasen war der Text auf 255 Zeichen beschränkt. Für dieses Release wurde das Limit aufgehoben, sodass mehr Informationen enthalten sein können.

Weitere Informationen finden Sie unter Meldungseinstellungen.

Unterstützung für zusätzliche Umgebungsvariablen im Meldungsfeld "Anwendung verweigert"

Im Meldungsfeld "Anwendung verweigert" können zusätzliche Umgebungsvariablen angezeigt werden. Ab 10.1 FR3 können alle Informationen des Protokolls "Anwendung verweigert" verwendet werden.

Weitere Informationen finden Sie unter Zugriff verweigert.

PowerShell-Skripte in benutzerdefinierten Bedingungen

Neben VBScript- und JScript-Skripten können jetzt auch PowerShell-Skripte innerhalb von benutzerdefinierten Bedingungen erstellt und verwendet werden.

Weitere Informationen finden Sie unter Skriptbasierte Bedingungen.

Auditing untergeordneter Prozesse mit erhöhten Rechten für die Verwaltung von Benutzerrechten

Die Prüfprotokolle erfassen nunmehr Details für untergeordnete Prozesse mit erhöhten Rechten. Wenn die Option Auf untergeordnete Prozesse anwenden in der Konfiguration markiert ist, bezieht sich die Erhöhung der Rechte für den primären Prozess auch auf etwaige untergeordnete Prozesse. In 10.1 FR2 und früheren Releasen erfolgte jedoch keine Protokollierung dieser untergeordneten Prozesse, sodass es den damit verbundenen Aktivitäten an Transparenz mangelte. Die Prüfprotokolle in 10.1 FR3 erfassen nunmehr die Details zum primären Prozess sowie zu den untergeordneten Prozessen und sorgen damit für eine verbesserte Prüftransparenz.

Weitere Informationen zur Verwendung der Option Auf untergeordnete Prozesse anwenden finden Sie unter Regelelemente und Self-Elevation.

In diesem Release gibt es keine neuen Funktionen.

Neues Branding und neuer Name für die Konsole

Die Application Manager Console wurde entsprechend aktualisiert und bezieht sich nunmehr auf den neuen Unternehmensnamen Ivanti. Weitere Details dazu finden Sie hier. Abgesehen von der Namensänderung von AppSense in Ivanti, wird ab diesem Release statt Application Manager der neue Name Application Control verwendet.

Die Application Control-Konsole sowie die Komponenten auf dem Endpunkt wurden aktualisiert, um diese Änderungen abzubilden.

In bestimmten Bereichen, wie in der Registrierung oder bei den Diensten, wird weiterhin der Name AppSense Application Manager verwendet. Dies soll dazu beitragen, den Übergang für vorhandene Benutzer von Application Control weniger abrupt zu machen.

Aktualisierung der Symbole

Nach umfassender Überarbeitung des Designs der User Workspace Manager-Konsolen der Version 10 haben wir uns an Ihrem Feedback orientiert und die Konsolen auch farblich neu gestaltet. In dem Zuge wurden einige Symbole der Application Control-Konsole verjüngt und aktualisiert.

Erweiterte Auditingprotokollierung

Application ControlDie Ereignisprotokollierung wurde um folgende Merkmale erweitert:

  • Neues Ereignis für die von einem Benutzer gestoppten und gestarteten Dienste
  • Übergeordneter Prozessname jetzt in 9.000 Ereignissen integriert
  • Dateibesitzer jetzt in 9.000 Ereignissen integriert
  • Entscheidende Regel jetzt in Ereignis integriert

Weitere Informationen zu Application Control Auditing finden Sie unter Auditing.

Bedingung für Windows-Betriebssystem

Das Aktualisierungsmodell von Microsoft identifiziert Funktionsrelease und Servicepacks nunmehr anhand von Buildnummern. Beim Erstellen einer Regel für ein Computerbetriebssystem kann die Ziel-Buildnummer so angegeben und konfiguriert werden, dass sie der eingegebenen Buildnummer entspricht. Sie kann auch als maximales oder minimales Build Release herangezogen werden.

Weitere Informationen finden Sie unter Computerbedingungen.

Erweiterte Metadaten mit Prüfung des digitalen Zertifikats

Beim Verifizieren einer Datei anhand von Metadaten können Administratoren das gesamte Zertifikat vergleichen, die Echtheit des Zertifikats bestimmen und feststellen, ob die Metadaten vertrauenswürdig sind. Die Funktion beinhaltet auch eine Zertifikatverifizierung in Echtzeit. Diese ermöglicht das Diagnostizieren von Problemen, indem Sie verschiedene Kombinationen und Verifizierungseinstellungen auswählen. Wenn Sie diese Einstellungen konfigurieren, wird der Zertifikatstatus aktualisiert.

Weitere Informationen finden Sie unter Metadaten und Verifizierungsoptionen.

Verbesserungen für Self-Elevation

Self-Elevation wird nunmehr für alle Dateitypen unterstützt. Administratoren können außerdem festlegen, dass die Rechte für bestimmte Dateierweiterungen nur dann erhöht werden, wenn sie mit einer bestimmten Anwendung geöffnet werden. So können Sie beispielsweise festlegen, dass VBS-Dateien nur mit "wscript.exe" erhöht werden können.

Weitere Informationen finden Sie unter Self-Elevation.

Abgleichen von Befehlszeilen

Application Control kann jetzt Regeln nicht nur basierend auf der zu startenden Anwendung anwenden, sondern auch in Abhängigkeit von Befehlszeilenelementen. Dies bietet sich an, wenn kein vollständiger Zugriff auf eine Anwendung erforderlich ist, jedoch bestimmte Benutzer unter bestimmten Bedingungen bestimmte Dateien oder Anwendungen ausführen müssen. Für die Regelelemente Datei und Signatur können Befehlszeilenargumente hinzugefügt werden.

Diese Funktion beinhaltet zwei neue erweiterte Einstellungen: "PowerShell-Skripte validieren" und "Java-Skripte validieren". Werden diese Einstellungen aktiviert, werden "powershell.exe", "powershell_ise.exe" und "java(w).exe" blockiert, während PS1- und JAR-Dateien der Prüfung auf vertrauenswürdigen Besitz unterzogen werden. Anschließend können bestimmte Dateien zu Regeln hinzugefügt werden, die keinen vertrauenswürdigen Besitzer erfordern. Fügen Sie "powershell.exe" oder "java(w).exe" einer Regel hinzu, um sie für bestimmte Benutzer zugänglich zu machen und für andere zu blockieren. Beispiel: Sie können "powershell.exe" für Ihre Entwickler zulassen, damit sie jedes beliebige PowerShell-Skript starten können.

Weitere Informationen finden Sie unter Regelelemente und Erweiterte Einstellungen.

Schutz von Prozessen

Die Funktion "Systemkontrollen" in Application Control wurde um den Schutz von Prozessen erweitert. Mithilfe dieser Verbesserung kann verhindert werden, dass ein bestimmter Prozess, z. B. eine Virenschutzsoftware, von Benutzern jeden Typs beendet werden kann, einschließlich Administratoren.

Weitere Informationen finden Sie unter Systemkontrollen.

Verbesserte Unterstützung für Windows Store Apps

Für die Kontrolle von Windows Store Applications gibt es jetzt mehr Möglichkeiten. Anwendungen können je nach Herausgeber blockiert oder zugelassen werden. Durch Verwenden des Herausgebers für quergeladene Apps lassen sich mehrere Apps kontrollieren. Dadurch kann eine Einschränkung für alle Store Apps konfiguriert werden, während die von einem Unternehmen oder einer IT-Abteilung quergeladenen Apps als zulässig festgelegt werden können.

Weitere Informationen finden Sie unter Regelelemente.

Regelbasierter Antrag auf Richtlinienänderung

Administratoren haben die Möglichkeit, die Funktion "Antrag auf Richtlinienänderung" für jede Regel individuell zu aktivieren. Dadurch können die Art des Änderungsantrags und die verfügbaren Antragsmethoden für unterschiedliche Benutzer und Benutzergruppen unterschiedlich konfiguriert werden. Einige Aspekte der Funktion, wie E-Mail-Adresse und gemeinsamer Schlüssel, sind weiterhin global.

Weitere Informationen finden Sie unter Richtlinien-Änderungsanträge.