Konfigurationseinstellungen
Sie können Meldungseinstellungen und erweiterte Einstellungen für jede Konfiguration individuell festlegen.
Meldungseinstellungen
Meldungseinstellungen definieren, wie Meldungsfelder für Benutzer angezeigt werden. Sie geben an, welcher Inhalt je nach Konfigurationsregeln angezeigt wird, wenn Benutzer versuchen, Anwendungen zu starten.
Sie können folgende Benutzermeldungen definieren:
- Zugriff verweigert: Definieren Sie, welche Meldung angezeigt wird, wenn die Ausführung einer Anwendung verweigert wird.
Sie können für jedes Element einer Verweigerungsregel festlegen, dass diese Meldung Benutzern nicht angezeigt wird. Wechseln Sie dazu im Bereich Einstellungen für Regelelemente zur Registerkarte > Eigenschaften und dann zum Abschnitt Optionen.
- Erhöhungsaufforderungen: Definieren Sie, welche Meldungen angezeigt werden, wenn zum Ausführen einer Anwendung erhöhte Rechte erforderlich sind:
- Definieren Sie, welche Meldung angezeigt wird, wenn zum Ausführen einer Anwendung erhöhte Rechte erforderlich sind.
Diese Meldungsaufforderung kann für jedes Element einer Erhöhungsregel aktiviert werden. Wechseln Sie dazu im Bereich Einstellungen für Regelelemente zur Registerkarte Eigenschaften und dann zum Abschnitt Richtlinie. - Definieren Sie, welche Meldung angezeigt wird, wenn zum Ausführen einer Anwendung erhöhte Rechte erforderlich sind und ein Grund für die Anforderung dieser Rechte angegeben werden muss.
Diese Meldungsaufforderung kann für jedes Element einer Erhöhungsregel aktiviert werden. Wechseln Sie dazu im Bereich Einstellungen für Regelelemente zur Registerkarte Eigenschaften und dann zum Abschnitt Richtlinie.
- Definieren Sie, welche Meldung angezeigt wird, wenn zum Ausführen einer Anwendung erhöhte Rechte erforderlich sind.
Definieren Sie für jeden Meldungstyp folgende Merkmale:
- Beschriftung: Der Text, der oben in der Meldung angezeigt wird. Sie können beispielsweise die Standardbeschriftung "App Control" ändern, damit für Benutzer nicht ersichtlich ist, dass App Control eingegriffen hat.
- Banner: Geben Sie den Text ein, der im farbigen Banner angezeigt werden soll. Um den farbigen Banner aus dem Meldungsfeld zu entfernen, löschen Sie einfach den Inhalt des Feldes.
- Meldungstext: Geben Sie den Text ein, der im Textteil der Meldung angezeigt werden soll.
- Breite: Geben Sie die Breite des Meldungsdialogfelds an. Die Breite wird in Pixel angegeben und gilt für alle Meldungen.
- Höhe: Geben Sie die Höhe des Meldungsdialogfelds an. Die Höhe wird in Pixel angegeben und gilt für alle Meldungen.
Hinweise zum Konfigurieren von Meldungen
Beim Konfigurieren von Meldungen ist Folgendes zu beachten:
- Umgebungsvariablen werden für Beschriftung, Banner und Meldung unterstützt .
- Beim Verwenden von Hyperlinks im Meldungstext muss das vollständige HREF-Attribut-Tag eingegeben werden.
- Zum Einfügen von kleiner-als- oder größer-als-Zeichen in den Meldungstext, verwenden Sie < bzw. >. JavaScript wird nicht unterstützt.
Umgebungsvariablen für Meldungsfelder
Die Meldungen unterstützen System- und Benutzer-Umgebungsvariablen sowie die folgenden von App Control definierten Variablen:
|
Umgebungsvariable |
Beschreibung |
|---|---|
| %ExecutableName% | Der Name der verweigerten Anwendung. |
| %FullPathName% | Der vollständige Pfad der verweigerten Anwendung. |
| %DirectoryName% | Das Verzeichnis, in dem sich die verweigerte Anwendung befindet. |
| %NetworkLocation% | Die aufgelöste IP-Adresse eines Hostnamens. |
| %AC_Hash% | Der Hashwert der Datei. |
| %AC_FileSize% | Die Größe der Datei. |
|
%AC_ProductVersion% |
Die Version des Produkts. |
|
%AC_FileVersion% |
Die Version der Datei. |
| %AC_ProductName% |
Der Name des Produkts. |
| %AC_CompanyName% |
Der Name des Unternehmens. |
| %AC_Vendor% |
Der Name des Signaturgebers des Zertifikats. |
| %AC_FileDescription% |
Die Beschreibung der Datei. |
| %AC_ParentProcess% |
Der Name des Prozesses, der die Anwendung gestartet hat. |
| %AC_DecidingRule% |
Der Name der Zulassungsregel in der App Control-Konfiguration. |
| %AC_FileOwner% |
Der Besitzer der Datei. |
| %AC_ClientName% |
Der Name des verbundenen Geräts. |
|
%AC_PortNumber% |
Der Name des Netzwerkports, falls zutreffend. Falls die Portnummer nicht 0 lautet, wird sie am Ende der blockierten IP-Adresse angezeigt. |
Erweiterte Einstellungen
Richtlinieneinstellungen
Konfigurieren Sie allgemeine, Validierungs- und Funktionalitäts-Richtlinieneinstellungen, die für alle Anforderungen zum Ausführen von Anwendungen gelten sollen.
Allgemeine Merkmale
- Dateien in Netzwerkfreigaben verweigern: Der Konfigurationsstandard für Netzwerkfreigaben sieht vor, dass alles verweigert wird, was nicht in einer Zulassungsregel angegeben ist. Wenn diese Einstellung deaktiviert ist, sind alle Elemente in der Netzwerkfreigabe zulässig, es sei denn, die Prüfung auf vertrauenswürdigen Besitz schlägt fehl oder das Element ist in einer Verweigerungsregel angegeben.
Validierung
- MSI-Pakete validieren (Windows Installer): MSI-Dateien sind die Standardmethode zum Installieren von Windows-Anwendungen. Es wird empfohlen, das beliebige Installieren von MSI-Anwendungen durch den Benutzer einzuschränken.
Falls aktiviert (Standardeinstellung), wird das Ausführen von msiexec.exe, verweigert und alle MSI-Dateien werden einer Regelvalidierung unterzogen.
Wenn die Einstellung deaktiviert ist, wird msiexec.exe nicht blockiert. MSI-Dateien dürfen ausgeführt werden, unterliegen jedoch einer Regelvalidierung. - PowerShell-Skripte validieren: Falls aktiviert, wird das Ausführen von powershell.exe und powershell_ise.exe verweigert. Wird jedoch ein PowerShell-Skript (PS1-Datei) in der Befehlszeile gefunden, wird es einer Regelvalidierung unterzogen.
Falls deaktiviert (Standardeinstellung), werden powershell.exe und powershell.ise.exe nicht blockiert und PS1-Dateien werden keiner Regelvalidierung unterzogen.- -Command blockieren: Falls aktiviert (Standardeinstellung), werden alle PowerShell-Befehlszeilen blockiert, die -Command enthalten.
Zum Anpassen der Sicherheitsstufe können Sie diese Option deaktivieren, sodass -Command nicht mehr blockiert wird.
Beispiel: Klicken Sie im Datei-Explorer mit der rechten Maustaste auf eine PS1-Datei und wählen Sie Mit PowerShell ausführen aus. Der Explorer fügt -Command automatisch hinzu, um die aktuelle Ausführungsrichtlinie abzufragen und den Benutzer zu fragen, ob die Richtlinie geändert werden soll. Wenn Sie möchten, dass App Control die Ausführung von PS1-Dateien auf diese Weise prüft und sie nicht nur blockiert, deaktivieren Sie die Option -Command blockieren.Beachten Sie, dass eine vertrauenswürdige PS1-Datei, wenn die Option deaktiviert ist, modifiziert werden kann, indem schädlicher Code über ein -Command-Argument eingeschleust wird. Die Datei wird in dem Fall ausgeführt, weil sie an sich als vertrauenswürdig gilt.
- -Command blockieren: Falls aktiviert (Standardeinstellung), werden alle PowerShell-Befehlszeilen blockiert, die -Command enthalten.
- CMD für Batch-Dateien zulassen: Administratoren sollten cmd.exe in ihrer App Control-Konfiguration ausdrücklich verbieten.
Wenn aktiviert (Standardeinstellung), darf cmd.exe ausgeführt werden. Wenn eine Regel cmd.exe ausdrücklich verweigert, ist das Ausführen von cmd.exe selbst nicht zulässig. Batch-Dateien werden jedoch, vorbehaltlich einer Regelvalidierung, ausgeführt.
Wenn diese Einstellung deaktiviert ist, darf cmd.exe nicht ausgeführt werden. Sämtliche Batch-Dateien dürfen ausgeführt werden. Wenn eine Regel cmd.exe ausdrücklich verweigert, werden alle Batch-Dateien blockiert und keiner Prüfung unterzogen. - WSH-Skript validieren (Windows Script Host): Über Skripte können Viren und schädlicher Code eingeschleust werden. Es wird deshalb empfohlen, WSH-Skripte zu validieren.
Wenn aktiviert (Standardeinstellung), werden cscript.exe und wscript.exe verweigert. Das Ausführen von js- oder vb-Skripten unterliegt jedoch einer Regelvalidierung.
Wenn diese Einstellung deaktiviert ist, werden cscript.exe und wscript.exe nicht standardmäßig blockiert. Die js- oder vb-Skripte unterliegen dann auch keiner Regelvalidierung. - Registrierungsdateien validieren: Wenn aktiviert (Standardeinstellung), werden regedit.exe und regini.exe verweigert. Das Ausführen eines .reg-Skripts unterliegt einer Regelvalidierung.
Wenn diese Einstellung deaktiviert ist, werden regedit.exe und regini.exe nicht standardmäßig blockiert. Auch die .reg-Skripte werden dann keiner Regelvalidierung unterzogen. - Java-Archive validieren: Wenn aktiviert (Standardeinstellung), werden java.exe und javaw.exe verweigert. Wird jedoch ein Java-Archiv (JAR-Datei) in der Befehlszeile gefunden, wird es einer Regelvalidierung unterzogen.
Wenn diese Einstellung deaktiviert ist, werden java.exe und javaw.exe nicht standardmäßig blockiert. Die JAR-Dateien unterliegen dann auch keiner Regelvalidierung.
Funktionalität
- Zugriffskontrolle für Anwendung aktivieren: Wenn aktiviert, wird die Zugriffskontrolle durch die Verweigerungsregeln der Konfiguration durchgesetzt.
Wenn diese Einstellung deaktiviert ist, werden alle Verweigerungsregeln ignoriert und es wird kein Anwendungszugriff verweigert – es ist also alles erlaubt. - Verwaltung von Benutzerrechten aktivieren: Wenn aktiviert, werden die Benutzerrechte durch die Erhöhungsregeln der Konfiguration bestimmt.
Wenn diese Einstellung deaktiviert ist, werden alle Erhöhungsregeln ignoriert und es ist keine Erhöhung von Rechten zulässig.
Benutzerdefinierte Einstellungen
Konfigurieren Sie zusätzliche Einstellungen, die auf verwaltete Endpunkte angewendet werden sollen:
- Treiber-Hook-Ausschlüsse: Wählen Sie diese Option, um Treiber-Hooks beim Ausführen von App Control auszuschließen. App Control injiziert in alle laufenden Prozesse eine DLL, um das Abfangen und Modifizieren des Prozessverhaltens zu ermöglichen, z. B. Zulassen oder Erhöhen. Der Ausschluss hat zur Folge, dass die App Control-DLL nicht injiziert wird.
Geben Sie die Dateinamen ein, um die Liste der Treiber-Hook-Ausschlüsse zu erstellen. Trennen Sie die Dateinamen durch einen Strichpunkt.
Diese benutzerdefinierte Einstellung sollte nur unter Anleitung des technischen Supports von Ivanti verwendet werden.
- App Control-Treiberausschlüsse: Wählen Sie diese Option, um zu verhindern, dass der App Control-Treiber die Prozessstartanforderung für bestimmte aufgelistete Prozesse abfängt. App Control verfügt über einen Treiber, der den Start eines Prozesses verhindert, bis bestimmte Prüfungen ausgeführt wurden, z. B. Regelabgleich oder Prüfung auf vertrauenswürdigen Besitz. Dieser Ausschluss verhindert, dass der Treiber die Startanforderung abfängt.
Geben Sie die Dateinamen ein, um die Liste der Filtertreiber-Ausschlüsse zu erstellen. Trennen Sie die Dateinamen durch einen Strichpunkt oder ein Leerzeichen.Damit diese Einstellung wirksam wird, ist ein Neustart des Agenten erforderlich.
- Meldung für blockierte DLLs anzeigen: Wählen Sie diese Option, damit die Meldung "Zugriff verweigert" von App Control für blockierte DLLs angezeigt wird.
- Schutz von Konfigurationsdateien: Wählen Sie diese Option, um zu verhindern, dass Benutzer und Administratoren die App Control-Konfigurationsdatei auf dem Endpunkt lesen, kopieren, bearbeiten oder löschen können.
Auditing-Einstellungen
Konfigurieren Sie die allgemeinen Einstellungen für Auditing.
App Control-Ereignisse im lokalen Anwendungsereignisprotokoll erfassen: Wählen Sie diese Option, um App Control-Auditing zu aktivieren. Sämtliche App Control-Ereignisse werden im lokalen Windows-Anwendungsereignisprotokoll erfasst.
| Ereignis-ID | Name | Beschreibung |
|---|---|---|
| 9018 | Benutzerrechte für Anwendungen geändert | Die Benutzerrechte für die Anwendung wurden geändert. |
| 9060 | Ausführung verweigert (Vertrauenswürdiger Besitz) | Verweigern der Ausführung angefordert (Vertrauenswürdiger Besitz) |
| 9061 | Ausführung verweigert (Regelrichtlinie) | Verweigern der Ausführung angefordert (Regelrichtlinie) |
| 9062 | Anwendung erhöht gestartet | Eine Anwendung wurde mit erhöhten Rechten (vollständige Administratorrechte) gestartet. |