Produktübersicht

In diesem Abschnitt werden folgende Themen behandelt:

Funktionalität

Application Control enthält folgende Hauptfunktionen:

  • Zugriffskontrolle für Anwendungen
  • Zugriffskontrolle für Anwendungsnetzwerk
  • Berechtigungsverwaltung

Sie können diese Funktionalitäten deaktivieren, wenn Sie sie nicht benötigen. Sie können beispielsweise auf die Zugriffskontrolle für Anwendungsnetzwerk verzichten.

So aktivieren und deaktivieren Sie einzelne Application Control-Funktionalitäten:

  1. Klicken Sie im Menüband "Verwalten" auf Erweiterte Einstellungen.

    Die Registerkarte "Richtlinieneinstellungen" wird angezeigt.

  2. Im Bereich "Funktionalität" können Sie folgende Application Control-Funktionalitäten aktivieren oder deaktivieren:
    • Zugriffskontrolle für Anwendungen
    • Zugriffskontrolle für Anwendungsnetzwerk

    • Berechtigungsverwaltung

    Alle Optionen der Funktionalitäten sind standardmäßig aktiviert.

  3. Klicken Sie auf OK.

Funktionen

Application Control bietet die folgenden Hauptfunktionen für Application Control:

Die Berechtigungsverwaltung ermöglicht die Erstellung wiederverwendbarer Richtlinien für Benutzerrechte, die mit beliebigen Regeln verknüpft werden können. Sie können beispielsweise verwendet werden, um den Zugriff auf Dateien, Ordner, Laufwerke, Signaturen, Anwendungsgruppen und Komponenten der Systemsteuerung zu erhöhen oder einzuschränken. Anhand einer Steuerungsebene mit höherer Granularität lassen sich bestimmte Berechtigungen für das Debuggen oder Installieren von Software zuweisen. Ferner können Sie Integritätsstufen zum Verwalten der Interoperabilität zwischen verschiedenen Produkten, wie Microsoft Outlook und Microsoft Word, festlegen.

Die Berechtigungsverwaltung umfasst vier primäre Funktionen:

  • Erhöhen von Benutzerrechten für Anwendungen
  • Erhöhen von Benutzerrechten für Komponenten der Systemsteuerung und Verwaltungs-Snap-Ins.
  • Reduzieren von Benutzerrechten für Anwendungen
  • Reduzieren von Benutzerrechten für Komponenten der Systemsteuerung und Verwaltungs-Snap-Ins.

Standardmäßig dürfen nur Anwendungsdateien im Besitz des Administrators oder des lokalen Systems ausgeführt werden. Vertrauenswürdiger Besitz wird durch Lesen der NTFS-Berechtigungen für jede Datei bestimmt, deren Ausführung versucht wird. Application Manager blockiert automatisch jede Datei, deren Besitz nicht bestimmt werden kann. Dazu gehören Dateien auf Nicht-NTFS-Laufwerken, auf entfernbaren Speichermedien oder an Netzwerkspeicherorten. Diese Dateien können optional trotzdem zugelassen werden, entweder durch Definieren der Dateien als zulässige Elemente oder Konfigurieren einer Regel zur Selbstautorisierung durch den Benutzer. Die Liste der vertrauenswürdigen Besitzer kann der Umgebung entsprechend konfiguriert werden.

Erweitern Sie die Zugänglichkeit von Anwendungen, indem Sie Regeln anwenden, die auf Benutzername, Gruppenzugehörigkeit, Computer oder verbundenem Gerät, Skripten und übergeordneten Prozessen oder einer Kombination davon basieren.Zulässige und verweigerte Elemente, vertrauenswürdige Anbieter und Berechtigungsverwaltung lassen sich in jeder Regel festlegen. Sie werden basierend auf der Umgebung, in der der Benutzer arbeitet, auf die Benutzersitzung angewendet.

Anhand von Skriptregeln können Administratoren zulässige Elemente und verweigerte Elemente, vertrauenswürdige Anbieter und Berechtigungsverwaltung basierend auf dem Ergebnis eines Windows PowerShell- oder eines VBScript-Skriptes anwenden. Skripte können für jede einzelne Benutzersitzung oder einmal pro Computer ausgeführt werden.

Prozessregeln gelten für übergeordnete Prozesse und verwalten den Zugriff auf untergeordnete Prozesse der nächsten Ebene. Prozessregeln beinhalten zulässige Elemente, verweigerte Elemente, vertrauenswürdige Anbieter und Berechtigungsverwaltung. Die Regel verwaltet nicht den Zugriff auf den übergeordneten Prozess.

Sie können die Ausführung authentischer Anwendungen zulassen, wenn diese über ein von vertrauenswürdigen Quellen signiertes Zertifikat verfügen, auch wenn sie anderenfalls aufgrund der Prüfung auf vertrauenswürdigen Besitz verweigert werden würden. Definieren Sie für jede Benutzer-, Gruppen-, Geräte-, benutzerdefinierte, Skript- und Prozessregel der Konfiguration eine Liste mit Zertifikaten vertrauenswürdiger Anbieter.

Über die Funktion zum Beenden der Anwendung lassen sich Trigger, Verhaltensweisen und Warnmeldungen für das Beenden von Anwendungen auf verwalteten Computern steuern. Sie können außerdem festlegen, wie Anwendungen beendet werden und wie der Benutzer benachrichtigt wird.

Blockieren Sie den Zugriff auf bestimmte Anwendungen, die über IP, Universal Naming Convention (UNC) oder Hostname aufgerufen werden. Application Control kann Zugriff in Abhängigkeit vom Standort des Anforderers verwalten, etwa, ob dieser die Verbindung über ein virtuelles privates Netzwerk (VPN) oder direkt über das Netzwerk herstellt.

Signaturprüfungen vom Typ SHA-1, SHA-256 und Adler-32 lassen sich auf beliebig viele Application Control-Regeln anwenden. Sie bieten erhöhte Sicherheit, falls NTFS-Berechtigungen schwach oder nicht vorhanden sind oder wenn sich Anwendungen auf Laufwerken ohne NTFS-Formatierung befinden. Ein digitaler Signaturassistent vereinfacht die Erstellung und Verwaltung umfangreicher Listen mit digitalen Signaturen.

Der Zugriff auf Windows Store Apps kann über Application Control kontrolliert werden. Gewähren oder verweigern Sie den Zugriff, indem Sie Gruppenregeln auf eine oder mehrere Windows Store Apps anwenden. Es können auch Anwendungs-Snippets importiert und Regeln importiert werden, falls der für die Erstellung der Konfiguration verwendete Computer nicht mit Windows Store Apps kompatibel ist.

Administratoren haben die Möglichkeit, zu jedem beliebigen Endpunkt zu navigieren und eine Liste der darauf installierten Anwendungen abzurufen. Ausführbare Dateien können durchsucht und zur Konfiguration hinzugefügt werden. Application Control erfasst, welche Anwendungen vom wem gestartet wurden. Das Starten und Stoppen der Datenerfassung wird durch den Administrator veranlasst. Ordnen Sie die Dateien einer Gruppe zu (autorisierte und nicht autorisierte Dateien), um die Erstellung einer Richtlinie zu vereinfachen. Die Konfigurationen lassen sich für einen einzelnen Benutzer oder Computer oder eine Gruppe von Benutzern oder Computern bereitstellen. Die Endpunktanalyse wird bedarfsorientiert eingesetzt und ist standardmäßig deaktiviert.

Benutzer sind immer mobiler. Es ist daher wichtig, dass Berechtigungsregeln auch dann durchgesetzt werden können, wenn der Benutzer nicht mit dem Unternehmensnetzwerk verbunden ist. Application Control sorgt dafür, dass Benutzer nur Zugriff auf Anwendungen und Ressourcen haben, für die sie auch offline über ausreichende Berechtigungen verfügen. Dazu werden Berechtigungsregeln auf dem Endpunkt verwendet.

Application Control kann Anwendungen überwachen, ohne dass der Benutzer an der Ausführung dieser Anwendungen gehindert wird. Passive Überwachung kann für einzelne Benutzer, Geräte oder Gruppen aktiviert oder deaktiviert werden. Sie liefert ein Tool zur Verfolgung von Benutzerverhalten vor der vollständigen Implementierung oder zur Erfassung der Anwendungsnutzung, um die Verwaltung von Softwarelizenzen zu optimieren.

Selbstautorisierung bietet Benutzern die Möglichkeit, Anwendungen auszuführen, die sie in das System eingeführt haben. Anwendungen können von extern ohne Eingreifen des IT-Supports zu einem sicheren Computer hinzugefügt werden. In einem umfassenden Prüfprotokoll wird festgehalten, welche Anwendung (Name der Anwendung) zu welchem Zeitpunkt (Datum und Uhrzeit) auf welchem Gerät ausgeführt wurde. Zusätzlich kann eine Kopie der Anwendung angefertigt und zentral zur weiteren Untersuchung gespeichert werden.

Wenden Sie eine Richtlinie an, um zu steuern, wie viele Anwendungsinstanzen ein Benutzer ausführen darf und zu welchen Zeiten er sie ausführen darf. Sie können eine Richtlinie erstellen, die Lizenzierungsmodelle kontrolliert oder durchsetzt, indem Sie Anwendungslimits je Benutzer, aber nicht je Gerät kontrollieren.

Es stehen bewährte Konfigurationsvorlagen zur Verfügung, die in Application Control importiert werden können. Application Control kann eine Reihe von Konfigurationsdateien importieren und in verschiedenen Kombinationen verwenden.

Der Modus ermöglicht Ihnen die Überwachung von Endpunkten und Identifizierung der Anwendungen, die mit Administratrorrechten ausgeführt werden. Ein Webdienst erfasst die Daten und leitet sie in den Arbeitsbereich "Modus für Berechtigungsermittlung" der Application Control-Konsole weiter.

Ereignisse werden von Application Control entsprechend der Standardkonfiguration für Ereignisfilterung ausgelöst und direkt in eine lokale Protokolldatei oder in das Windows-Ereignisprotokoll geschrieben und dort geprüft. Alternativ können Ereignisse über Deployment Agent (CCA) zur Prüfung an Management Center weitergeleitet werden. Die Application Control-Prüfereignisberichte, die in Management Center verfügbar sind, können auch zum Bereitstellen von Details zur aktuellen Anwendungsnutzung im Unternehmen herangezogen werden.

Die Standardkonfiguration in Application Control validiert alle Windows Scripting Host (WSH)-Skripte, wie VBS, durch einen Abgleich mit Konfigurationsregeln. Dadurch wird sichergestellt, dass Benutzer nur autorisierte Skripte aufrufen können und keine WSH-Skripte eingeführt werden können, die Viren oder bösartigen Code enthalten.

Die Validierungseinstellungen können im Application Control-Dialogfeld Optionen deaktiviert werden, ebenso die Validierung von cmd.exe-Dateien, selbstextrahierenden .zip-Dateien, Registrierungsdateien und Windows Installer Dateien (.msi).

Es werden nur selbstextrahierende EXE-Dateien unterstützt, die mit der ZIP-Spezifikation formatiert wurden. Weitere Informationen finden Sie unter ZIP-Spezifikationen.

Sie können bestimmte Funktionen in Application Control nach Bedarf oder zu Fehlerbehebungszwecken aktivieren oder deaktivieren. Folgende Funktionalitäten lassen sich auf diese Weise handhaben:

  • Zugriffskontrolle für Anwendungen
  • Zugriffskontrolle für Anwendungsnetzwerk
  • Berechtigungsverwaltung

Vorteile

Die Verwendung von Application Control hat folgende wesentliche Vorteile:

  • Die Lösung reduziert Risiken und trägt zur Compliance bei, indem sie Schutz vor Ransomware, gezielten Angriffen, Zero-Day-Exploits, erweiterten persistenten Bedrohungen und bösartigem Code bietet, der versucht, in Ihre Umgebung einzudringen.

  • Sie ermöglicht eine granulare Berechtigungsverwaltung: Sie können Zugriff mit geringsten Rechten implementieren und lokale Administratorkonten eliminieren. So verfügen die Benutzer über genau die Berechtigungen, die sie zum Ausüben ihrer Tätigkeit benötigen. Die Berechtigungsebene eines Benutzers, einer Gruppe oder einer Rolle kann auf Anwendungsbasis und auf Windows-Komponentenbasis erweitert oder reduziert werden.

  • Die Lösung ermöglicht Ihnen das Verwalten von Anwendungszugriff und Benutzerrechten innerhalb Ihres Desktop- und Serverbestands mit geringem Administrationsaufwand. Gleichzeitig profitieren Sie von einem umfassenden und flexiblen Regelmodul. Ivanti Application Control ist in der Lage, Systeme zu schützen, ohne dass es dazu komplexer Listen oder einer konstanten Verwaltung bedarf.

  • Die Lösung bietet Sicherheit, ohne dabei die Produktivität zu beeinträchtigen. Für den Endbenutzer ergeben sich kaum Leistungseinbußen. Mittels bedarfsorientierter Änderungsanträge können Endbenutzer in Situationen, die ihre Produtivität einschränken, eine schnelle Erweiterung von Rechten oder den Zugriff auf Anwendungen anfordern.

  • Die gerätebezogene Microsoft-Lizenzierung wird durchgesetzt. Durch Kontrollieren, welche Benutzer oder Geräte berechtigt sind, benannte Anwendungen auszuführen, können Grenzwerte festgelegt werden, was die Anzahl der Anwendungsinstanzen betrifft. Ferner kann gesteuert werden, welche Geräte und Benutzer eine Anwendung ausführen und wann und für wie lange Benutzer ein Programm ausführen dürfen.

  • Ausgehende Netzwerkverbindungen können basierend auf dem Ergebnis der Regelverarbeitung nach IP-Adresse, Hostname, URL, UNC oder Port kontrolliert werden. So lässt sich der Zugriff auf unsichere Netzwerkressourcen verhindern.

  • Kontrolle des Netzwerkzugriffs aus den Anwendungen heraus, basierend auf dem Standort.

Verwandte Themen

Berechtigungsverwaltung

Vertrauenswürdige Besitzer

Regeln

Beenden der Anwendung

Digitale Signaturen

Self-Elevation

Modus für Berechtigungsermittlung

Auditing