App Control

Ivanti Neurons App Control verhindert die Verbreitung von Malware durch Ausführen unerlaubter Anwendungen, ohne dass dazu komplexe Zulassungs- und Verweigerungslisten erforderlich wären. Durch das Modell des vertrauenswürdigen Besitzes und Benutzerrechte reduziert App Control außerdem die Notwendigkeit von Administratorrechten.
Durch Bereitstellen von Zero-Day-Malware-Schutz für Endpunktsicherheit über die Berechtigungs- und Anwendungssteuerung schafft App Control ein ausgewogenes Verhältnis zwischen den Anforderungen an IT-Sicherheit und Produktivität. Mit der Lösung lassen sich Corporate Compliance, eine verbesserte Plattformstabilität und -konsistenz sowie deutliche Kostensenkungen bei IT-Support und Softwarelizenzierung erzielen.
Sie haben die Option, App Control im Modus "Nur prüfen" auszuführen. Damit können Sie Ihren Bestand überwachen und die Auswirkungen prüfen, bevor Sie sich dafür entscheiden, Änderungen an Richtlinien tatsächlich zu implementieren.

Video zum Thema vertrauenswürdiger Besitz ansehen (4:39)

Video zum Thema erhöhte Rechte ansehen (2:00)

Erste Schritte mit App Control

Der erste Schritt in App Control ist das Erstellen einer Konfiguration. Nachdem Sie die Konfiguration erstellt haben, können Sie diese einer Neurons-Agentenrichtlinie zuweisen und auf verwalteten Endpunkten bereitstellen. Nach 24 Stunden stehen App Control erste Daten vom Endpunkt zur Verfügung. Diese Daten fließen anschließend in die Diagramme der Seite Übersicht ein und gewähren Einblick in die Anwendungsaktivität auf Ihren verwalteten Endpunkten. Mithilfe dieser Daten können Sie Ihre Konfigurationen erstellen und bearbeiten.Die Konfigurationsregeln lassen sich je nach Bedarf mit verschiedenen Kontrollstufen erstellen. Diese lauten: Vertrauenswürdiger Besitz, Zulassungsregeln, Verweigerungsregeln und Erhöhungsregeln. Zum Steuern und Verwalten Ihrer Endpunkte können Sie je nach Bedarf simple oder auch komplexe Konfigurationen definieren. Den Konfigurationen wird eine Sicherheitsstufe zugewiesen: Uneingeschränkt, Nur prüfen oder Eingeschränkt. Die Sicherheitsstufen bestimmen, in welchem Maße die Konfigurationsregeln Einschränkungen für Benutzer, Gruppen oder Geräte durchsetzen.

Administratoren sind von Regeln ausgenommen und gelten daher immer als "Uneingeschränkt". Die Regeln gelten nur für Standardbenutzer und richten sich nach der Definition der Konfigurationsregeln.

Das Konzept des vertrauenswürdigen Besitzes ist standardmäßig für die App Control-Konfigurationen vorgesehen. Es schützt Ihre Endpunkte, ohne dass dafür Whitelists bzw. Zulassungsregeln erstellt werden müssen. Alle Installationen auf einem Benutzergerät, die von einem vertrauenswürdigen Besitzer vorgenommen wurden, dürfen ausgeführt werden. Installationen des Benutzers hingegen werden blockiert, z. B. heruntergeladene Spiele, E-Mails mit schädlichem Anhang oder nicht lizenzierte Software. Die Funktion "Vertrauenswürdiger Besitz" prüft den Dateibesitz, wenn versucht wird, eine Anwendung auszuführen. Wenn der Besitzer nicht mit einem der vertrauenswürdigen Besitzer übereinstimmt, wird das Ausführen der Anwendung verweigert. Der Dateibesitzer ist der Benutzer, der für die zu erstellende Datei verantwortlich ist. Dabei kann es sich um das Installieren über eine .msi-Datei, das Herunterladen aus dem Internet, das Kopieren von einem USB-Stick oder um das Empfangen eines E-Mail-Anhangs handeln. App Control "vertraut" nur solchen Dateien, die einem vertrauenswürdigen Besitzer gehören, und lässt nur deren Ausführung zu.

Folgende Instanzen gelten als vertrauenswürdige Besitzer in App Control:

  • SYSTEM
  • BUILTIN/Administrators
  • %ComputerName%\Administrator
  • NT Service\TrustedInstaller

Netzwerkordner und -freigaben werden standardmäßig verweigert. Damit auf sie zugegriffen werden kann, ist eine Zulassungsregel erforderlich.

Konfiguration erstellen

  1. Für den Einstieg in App Control müssen Sie zunächst eine Konfiguration erstellen. Wechseln Sie dazu zur Option App Control > Konfigurationen > Konfiguration erstellen.
  2. Geben Sie einen Namen für die Konfiguration ein.
  3. Klicken Sie auf Erstellen.
    Weitere Einzelheiten zu Konfigurationen finden Sie unter App Control-Konfigurationen.
  4. Sie können für die Konfiguration die Standardeinstellung der Sicherheitsstufe übernehmen. Mit Nur prüfen können vertrauenswürdige Besitzer auf den Endpunkten die Konfiguration empfangen.
    Alternativ können Sie die Sicherheitsstufe auf Eingeschränkt setzen und Regeln erstellen, um die Anwendungsnutzung auf den Endpunkten mit Zulassungs-, Verweigerungs- und Erhöhungsregeln sowie mit Regeln für vertrauenswürdige Anbieter zu kontrollieren. Optional können Sie die App Control-Meldungseinstellungen so konfigurieren, dass der Endbenutzer informiert wird, wenn App Control eine Anwendung abfängt. Einzelheiten zum Erstellen von Konfigurationsregeln finden Sie unter Konfigurationsregeln.
  5. Wenn die Konfiguration bereit für die Zuweisung zu einer Agentenrichtlinie zwecks Bereitstellung ist, wählen Sie Speichern & veröffentlichen, um eine Konfigurationsversion zu erstellen. Wenn Sie die Konfiguration als Entwurf speichern möchten, wählen Sie Speichern aus.
    Konfigurationen müssen zuerst gespeichert werden, damit sie einer Richtlinie zugewiesen werden können.

Bereitstellen einer Konfiguration

Konfigurationen werden über eine Neurons-Agentenrichtlinie bereitgestellt. Richtlinien können auf jedem beliebigen Endpunkt bereitgestellt werden, auf dem ein Ivanti Neurons-Agent installiert ist.

  1. Nach dem Erstellen der Konfiguration müssen Sie sie speichern und veröffentlichen. Die Konfiguration muss sich im Status Veröffentlicht befinden.
  2. Wechseln Sie zu Agenten > Agentenrichtlinien.
    Die Seite Agentenrichtlinien wird angezeigt. Weitere Einzelheiten zu Richtlinien finden Sie unter Agentenrichtlinien.
  3. Wählen Sie Richtlinie erstellen oder wählen Sie eine vorhandene Richtlinie in der Tabelle aus und bearbeiten Sie sie.
  4. Wählen Sie auf der Registerkarte Funktionen die Kachel App Control aus.

    Die App Control-Funktion wird nur angezeigt, wenn eine App Control-Konfiguration existiert.

  5. Nach Auswahl der App Control-Funktion wird das Dropdownmenü Konfiguration aktiviert. Wählen Sie die gewünschte App Control-Konfiguration aus der Dropdownliste aus.
  6. Die Konfiguration kann nun bereitgestellt werden. Sobald der Bereitstellungsprozess ausgelöst wurde, wechselt der Status der Konfiguration in Aktiv. Weitere Einzelheiten zur Bereitstellung finden Sie unter Agentenbereitstellung.

Überprüfen der App Control-Daten

Sobald auf den Zielgeräten der Neurons-Agent, die Richtlinie und die App Control-Konfiguration installiert sind, startet App Control mit dem Erfassen der Anwendungsaktivität. Sie können die Daten auf der Seite App Control-Übersicht überprüfen und erhalten Einblick in das Benutzer- und Anwendungsverhalten. Von dort können Sie die Daten weiter analysieren und Regeln für Ihre Konfigurationen erstellen und aktualisieren, um Anwendungen Ihren Anforderungen entsprechend zu verwalten und zu kontrollieren.