App Control-Konfigurationen

Eine App Control-Konfiguration enthält die Regeleinstellungen zum Verwalten von Endpunkten. Die Konfigurationsdateien sind auf verwalteten Endpunkten installiert und fungieren als Richtlinien-Checkliste für den App Control-Agenten. Dieser bewertet anhand der Dateien, wie Anforderungen zum Ausführen von Dateien zu verarbeiten sind. Wenn eine Datei ausgeführt wird, fängt App Control die Anforderung ab und prüft anhand der Konfiguration, welche Abgleichsregel zutrifft und welche Aktion durchzuführen ist. Weitere in der Konfiguration angegebene Standardrichtlinien werden ebenfalls angewendet, z. B. wie Meldungsbenachrichtigungen angezeigt werden.

Nachdem Sie eine Konfiguration erstellt oder geändert haben, müssen Sie sie speichern und veröffentlichen. Sie können die Konfiguration einer Richtlinie zuweisen. Nachdem der Bereitstellungsprozess initiiert wurde, wechselt der Status der Konfiguration in "Aktiv". Bei erfolgreicher Bereitstellung auf dem Endpunkt werden die Regeln wirksam.

Sicherheitsstufen

Die Sicherheitsstufe der Konfiguration bestimmt das Maß der Einschränkung auf den Endpunkten. Folgende Stufen sind verfügbar:

  • Unbeschränkt: Es gibt keine Einschränkungen für Anwendungen, alle Aktivitäten sind zulässig. Dies bietet sich an, wenn Sie App Control vorübergehend deaktivieren möchten, ohne die Anwendung zu deinstallieren.
  • Nur prüfen: Die Standardeinstellung. Es gibt keine Einschränkungen für Anwendungen, jedoch werden Aktivitäten in Verbindung mit vertrauenswürdigem Besitz, Konfigurationsrichtlinien und Regelabgleich erfasst und an App Control gemeldet.
  • Eingeschränkt: Es werden Einschränkungen durch die Konfigurationsdateien bestimmt. Die Aktivitäten für bestimmte Anwendungen, Benutzer, Gruppen und Geräte können eingeschränkt sein.

Standardeinstellungen für Konfigurationen

App Control verwaltet die Sicherheit, sobald Sie die Agentenrichtlinie und die Konfiguration auf verwalteten Endpunkten installiert haben. Wenn Sie eine neue Konfiguration erstellen, können Sie sie unverzüglich und ohne Anpassungen verwenden. Wenn die Sicherheitsstufe der Konfiguration auf Eingeschränkt gesetzt ist, blockiert die Konfiguration alle Dateien nicht vertrauenswürdiger Besitzer und verhindert den Zugriff durch Benutzer, die keine Administratoren sind, auf ausführbare Dateien an nicht sicheren Speicherorten wie Netzwerk-Speicherorte und Wechselmedien. Darüber hinaus gelten die Standardeinstellungen für Richtlinienschutz.

Standardeinstellungen für Richtlinienschutz

  • Alle Anforderungen zum Ausführen von Anwendungen und Prozessen werden durch die App Control-Regeln geprüft, bevor Zugriff gewährt wird.
  • Mitglieder der Gruppe "Lokale Administratoren" verfügen über uneingeschränkten Zugriff auf Anwendungen.
  • Falls CMD über eine explizite Verweigerungsregel verfügt, wird CMD blockiert, es sei denn, es werden zulässige Batch-Dateien ausgeführt.
  • MSI-Dateien, WSH-Skripte, Java-Archive und Registrierungsdateien werden zur Validierung mit den App Control-Regeln abgeglichen.
  • Zulässige Installationen dürfen beliebige EXE- und DLL-Dateien ausführen, die Teil des Installationsvorgangs sind.
  • Administratoren und Benutzer, die keine Administratoren sind, können die App Control-Konfigurationsdatei nicht direkt auf einem Endpunkt lesen, kopieren, bearbeiten oder löschen.

Konfigurationsstatus

  • Veröffentlichung läuft: Die Konfiguration wird gerade veröffentlicht.
  • Veröffentlicht: Die Konfiguration wurde gespeichert und veröffentlicht. Sie kann nun einer Agentenrichtlinie zugewiesen werden.
  • Veröffentlichung fehlgeschlagen: Die Veröffentlichung der Konfiguration ist fehlgeschlagen.
  • Zugewiesen: Die Konfiguration wurde einer Agentenrichtlinie zugewiesen.
  • Aktiv: Die Konfiguration wurde einer Agentenrichtlinie zugewiesen und der Bereitstellungsprozess auf den Endpunkten wurde initiiert.
  • Veröffentlichung wird aufgehoben: Die Veröffentlichung der Konfiguration wird gerade aufgehoben.
  • Nicht veröffentlicht: Die Veröffentlichung der Konfiguration wurde aufgehoben.
  • Aufhebung der Veröffentlichung fehlgeschlagen: Die Veröffentlichung der Konfiguration konnte nicht aufgehoben werden.
  • Zuvor veröffentlicht: Die Konfiguration wurde ersetzt.

Alarme

Die Alarme beziehen sich auf eine der folgenden Warnungen:

  • Für die mit der Richtlinie verknüpfte Konfiguration ist ein Schema-Update erforderlich.
  • Für die mit der Konfiguration verknüpfte Richtlinie wurde die Neustarteinstellung falsch festgelegt. Sie müssen die Option Neustarts bei Notwendigkeit anfordern bei den Einstellungen für Agentenrichtlinie auswählen.

Schemen

Wenn für die Version einer Konfiguration ein Schema-Update erforderlich ist, wird in der Spalte Alarme ein Alarm angezeigt. Wenn Sie auf das Symbol klicken, wird die Seite Konfiguration bearbeiten aufgerufen. Ein Banner mit einer Warnung weist Sie darauf hin, dass Sie das Schema aktualisieren müssen. Klicken Sie auf Schema aktualisieren, um das Dialogfeld Schema aktualisieren aufzurufen. Klicken Sie darin auf Schema aktualisieren.

Sie können eine Konfiguration bearbeiten und als Entwurf speichern, ohne das Schema zu aktualisieren. Sie können die Konfiguration jedoch erst speichern und veröffentlichen, nachdem Sie das Schema aktualisiert haben.

Erstellen einer Konfiguration

So erstellen Sie eine App Control-Konfiguration:

  1. Wechseln Sie zu App Control > Konfigurationen.
    Die Seite Konfigurationen wird angezeigt.
  2. Klicken Sie auf Konfiguration erstellen.
    Die Seite Neue Konfiguration wird angezeigt.
  3. Geben Sie einen Namen für die Konfiguration ein.Geben Sie optional eine Beschreibung ein.
  4. Legen Sie die Sicherheitsstufe fest, um zu bestimmen, in welchem Maße die Konfigurationsregeln Einschränkungen für Benutzer, Gruppen oder Geräte durchsetzen.
    Sie können für die Konfiguration die Standardeinstellung der Sicherheitsstufe übernehmen. Mit Nur prüfen können vertrauenswürdige Besitzer auf den Endpunkten die Konfiguration empfangen.
    Alternativ können Sie die Sicherheitsstufe auf Eingeschränkt setzen und Regeln erstellen, um die Anwendungsnutzung auf den Endpunkten mit Zulassungs-, Verweigerungs- und Erhöhungsregeln sowie mit Regeln für vertrauenswürdige Anbieter zu kontrollieren. Optional können Sie die App Control-Meldungseinstellungen so konfigurieren, dass der Endbenutzer informiert wird, wenn App Control den Start einer Anwendung verhindert. Einzelheiten zum Erstellen von Konfigurationsregeln finden Sie unter Konfigurationsregeln.
  5. Klicken Sie auf Erstellen, um die Konfiguration zu speichern.
    Die Seite Konfiguration bearbeiten wird angezeigt.
  6. Klicken Sie auf Neue Regel hinzufügen, um Regeln in Ihrer Konfiguration zu erstellen, die bestimmen, ob bestimmte Elemente zugelassen, verweigert oder erhöht werden sollen oder ob sie einem vertrauenswürdigen Besitzer gehören. Einzelheiten zum Erstellen von Konfigurationsregeln finden Sie unter Konfigurationsregeln.
  7. Klicken Sie auf die Registerkarte Einstellungen, um Meldungseinstellungen, erweiterte Einstellungen und Auditing-Einstellungen für die Konfiguration festzulegen. Weitere Details zu den Einstellungen finden Sie unter Konfigurationseinstellungen.
  8. Klicken Sie auf Speichern, um einen Entwurf der Konfiguration zu erstellen. Klicken Sie alternativ auf Speichern & veröffentlichen, um die Version der Konfiguration zu speichern.
    Eine Konfiguration muss veröffentlicht sein, damit sie einer Richtlinie zugewiesen und auf Endpunkten bereitgestellt werden kann.
  9. Die Konfiguration wird in der Tabelle "Konfigurationen" aufgelistet.

Aktionen

Die Tabelle enthält alle nicht archivierten Konfigurationen. Die folgenden Aktionen stehen für jede Konfiguration zur Verfügung:

  • Anzeigen: Wählen Sie diese Option, um die Konfiguration anzuzeigen.
  • Bearbeiten: Wählen Sie diese Option, um die Konfiguration zu bearbeiten. Die aktuelle Version wird als Entwurf gespeichert, und etwaige Versionen bleiben unverändert. Falls kein Entwurf existiert, wird anhand der letzten Version ein Entwurf erstellt. Diese Option ist nicht für Konfigurationen verfügbar, die den Status Veröffentlichung läuft aufweisen.
  • Entwurf veröffentlichen: Wählen Sie diese Option, um den Entwurf zu veröffentlichen, der dann als Version 1 geführt wird. Die Versionsnummer aller danach veröffentlichten Entwürfe wird jeweils um 1 erhöht. Gilt nur für Konfigurationen, die über einen Entwurf verfügen.
  • Veröffentlichung aufheben: Wählen Sie diese Option, um die Veröffentlichung der letzten Konfigurationsversion aufzuheben. Diese Option ist nicht für Konfigurationen verfügbar, die den Status Veröffentlicht aufweisen und keiner Richtlinie zugewiesen sind.Versionen, deren Veröffentlichung aufgehoben wurde, stehen in der Agentenrichtlinie nicht zur Auswahl zur Verfügung.
  • Archivieren: Wählen Sie diese Option, um die Konfiguration via Soft-Delete zu löschen. Die Konfiguration kann dann nicht mehr verwendet oder abgerufen werden. Nur für Entwürfe verfügbar oder wenn die Veröffentlichung der letzten Version wieder aufgehoben wurde.

Anzeigen einer Konfiguration

Wechseln Sie zu App Control > Konfigurationen, um eine Konfiguration anzuzeigen. Klicken Sie auf den Namen einer Konfiguration oder klicken Sie in der Spalte Aktionen auf das Symbol Auslassungszeichen und wählen Sie Anzeigen aus.

Sie können die Regeln und Einstellungen anzeigen. Darüber hinaus verfügen Sie über die zwei folgenden Registerkarten:

Verlauf

Hier können Sie eine Liste aller Versionen der Konfiguration anzeigen und den Ersteller und den Status der Version feststellen.

Richtlinien

Hier können Sie die Anzahl der Agentenrichtlinien ermitteln, mit denen die Konfiguration verknüpft ist, sowie die Anzahl der Agentenendpunkte, auf denen die Konfiguration bereitgestellt wurde.

Die Namen der verknüpften Richtlinien werden aufgeführt. Das Symbol weist darauf hin, dass das Richtlinien-Neustartverhalten falsch konfiguriert ist. App Control erfordert, dass Automatische Agentenaktualisierung auf Neustart bei Notwendigkeit anfordern gesetzt ist. Siehe Automatische Agentenaktualisierung.

Wählen Sie zum Anzeigen der verknüpften Richtlinie das Symbol Auslassungszeichen in der Spalte Aktionen der gewünschten Richtlinie und anschließend die Option Anzeigen aus. Unter Agenten > Agentenrichtlinie wird die Seite Agentenrichtlinie angezeigt. Dort finden Sie die App Control-Funktion und können die zugehörige App Control-Konfiguration sowie die Neustarteinstellungen bearbeiten.