Zulassungsregel und Verweigerungsregel

Eine Zulassungsregel ist eine Regel, mit der Sie Benutzern, Gruppen oder Geräten den Zugriff auf bestimmte Elemente erlauben (z. B. auf Dateien, Ordner oder Anwendungen, Netzwerkverbindungen und URL-Umleitung), ohne ihnen vollständige Administratorrechte einzuräumen.

Mit einer Verweigerungsregel verweigern Sie Benutzern, Gruppen oder Geräten den Zugriff auf bestimmte Elemente wie Dateien, Ordner oder Anwendungen, Netzwerkverbindungen und URL-Umleitungen.

Workflowschritte für die Regelerstellung:

  1. Welche Regel möchten Sie erstellen?
  2. Für welche Elemente möchten Sie den Zugriff zulassen/verweigern? Sie können folgende Typen zulassen/verweigern:
  3. Wann wird die Regel zugewiesen?
  4. Zusammenfassung prüfen und speichern

Optionen für Elemente

Mit der Option "Datei/Anwendung" können Sie eine Regel erstellen, die das Ausführen bestimmter Anwendungen oder Dateien zulässt/verweigert.

Informationen zum Konfigurieren von Dateien/Anwendungen finden Sie unter Erstellen einer Zulassungs-/Verweigerungsregel für Dateien/Anwendungen.

Application Network Access Control (ANAC) bietet die Möglichkeit, ausgehende Netzwerkverbindungen, je nach Ergebnis der Regelverarbeitung, nach IP-Adresse, Hostname, URL, UNC oder Port zu steuern.

Folgende Verbindungstypen sind verfügbar:

  • IP-Adresse – Wählen Sie diese Option, um den Zugriff auf eine bestimmte IP-Adresse zu steuern.

  • Netzwerkfreigabe – Wählen Sie diese Option, um den Zugriff auf UNC-Pfade zu steuern. Dem Feld "Host" wird das Präfix \\ vorangestellt.

  • Hostname – Wählen Sie diese Option, um den Zugriff auf einen bestimmten Hostnamen zu steuern.

Folgende Verbindungsoptionen stehen zur Verfügung:

  • Host: Die IP-Adresse oder der Hostname für die Netzwerkverbindung. Dies hängt vom gewählten Verbindungstyp ab. Die Platzhalter ? und * können verwendet werden. Mit dem Bindestrich (-) kann ein Bereich angegeben werden, allerdings nur, wenn die IP-Adresse ausgewählt ist.

    • IP-Adressen müssen im oktalen IP4-Format angegeben werden. Beispiel: n.n.n.n

    • Wenn "Netzwerkfreigabe" als Verbindungstyp ausgewählt ist, muss das Präfix \\ verwendet werden.

    • Der vollständige Pfad zur Zielressource kann unter "Host" eingegeben werden.

  • Port: Die Portnummer der Netzwerkverbindung. Dies kann in Kombination mit der IP-Adresse oder dem Hostnamen verwendet werden, um den Zugriff auf einen bestimmten Port zu steuern. Bereiche und durch Komma getrennte Werte sind als Teil der Portnummer zulässig.
    Klicken Sie auf "Ports", um eine Liste häufig verwendeter Ports anzuzeigen. Wählen Sie so viele Ports wie nötig aus.

  • Pfad: Der Pfad der Netzwerkverbindung. Die Platzhalter ? und * können verwendet werden. Verwendung:

    • Text enthält Platzhalterzeichen – Wählen Sie diese Option aus, um die Zeichen ? und * als Platzhalter im Pfad zu verwenden. Wenn die Option nicht ausgewählt ist, werden ? und * als URL-Begrenzer behandelt.

    • Reguläre Ausdrücke verwenden – Wählen Sie diese Option, um reguläre Ausdrücke für den ausgewählten Pfad zu verwenden.

    • Unterverzeichnisse einschließen – Wählen Sie diese Option aus, um Unterverzeichnisse in die Regelverarbeitung einzuschließen.

    • Gilt nur, wenn als Verbindungstyp "Netzwerkfreigabe" ausgewählt ist.

    Der Pfad ist nur für die Steuerung von HTTP relevant.

Informationen zum Konfigurieren von ANAC finden Sie unter Erstellen Sie eine Zulassungs-/Verweigerungsregel für die Netzwerkverbindung/Application Network Access Control (ANAC)..

Mithilfe der URL-Umleitung können Administratoren Regeln erstellen, um Benutzer automatisch umzuleiten, wenn sie versuchen, auf eine bestimmte URL zuzugreifen. Indem Sie eine Liste verbotener URLs definieren, leiten Sie jeden Benutzer, der versucht, auf eine aufgeführte URL zuzugreifen, auf eine Standardwarnseite oder eine benutzerdefinierte Webseite um. Sie können auch bestimmte URLs zulassen. In Verbindung mit Umleitungen bietet Ihnen dies zusätzliche Flexibilität und Kontrolle und ermöglicht die Erstellung einer Zulassungsliste für Websites.

* Auf der Standardseite "Zugriff verweigert" wird die blockierte URL angezeigt.
* Für die URL-Umleitung innerhalb der Browser Chrome und Edge müssen alle verwalteten Endpunkte einer Domäne angehören.

Informationen zum Konfigurieren der URL-Umleitung finden Sie unter Erstellen einer Zulassungs-/Verweigerungsregel für URLs.

Erstellen der Zulassungs-/Verweigerungsregel – Was möchten Sie zulassen?

  1. Wählen Sie auf der Seite Was möchten Sie tun? die Option Zugriff zulassen/verweigern aus.
  2. Klicken Sie auf Weiter.
    Die Seite Zulassungs-/Verweigerungsregel – Was möchten Sie zulassen/verweigern? wird angezeigt.
  3. Wählen Sie die folgende Option aus und klicken Sie auf Weiter.
    • Datei/Anwendung: Die Ausführung bestimmter Anwendungen oder Dateien wird zugelassen/verweigert.
  4. Wählen Sie bei Quelle auswählen über das Dropdownmenü die Quelle der Elemente aus. Wählen Sie aus:
    • Blockiert mangels vertrauenswürdigem Besitz (gilt nur für Zulassungsregel): Dadurch wird der Abschnitt Quellelemente mit einer Liste aller Elemente befüllt, die App Control als blockiert erfasst hat, weil sie keinem vertrauenswürdigen Besitzer gehören.
    • App-Vorlagen: Dadurch wird der Abschnitt Quellelemente mit einer Liste aller App-Vorlagen befüllt, die in App Control erstellt wurden.
    • Wählen Sie alternativ Datei manuell hinzufügen aus, um den Bereich Einstellungen für Regelelemente aufzurufen. Dort können Sie angeben, für welche Datei Sie die Zulassungsregel erstellen möchten.
  5. Wählen Sie die gewünschten Elemente aus. Bei der Auswahl werden die einzelnen Elemente in den Abschnitt Ausgewählte Elemente eingefügt.
    Sie können die Eigenschaften und Metadaten bei den Elementeinstellungen bearbeiten. Klicken Sie dazu auf Auslassungszeichen, um den Bereich Einstellungen für Regelelemente aufzurufen.
  6. Klicken Sie auf Weiter.
    Die Seite Zulassungs-/Verweigerungsregel – Wann soll dies zugewiesen werden? wird angezeigt.
  7. Fahren Sie mit den Schritten Erstellen der Zulassungs-/Verweigerungsregel – Wann wird diese zugewiesen? und Zusammenfassung fort.
  1. Wählen Sie auf der Seite Was möchten Sie tun? die Option Zugriff zulassen/verweigern aus.
  2. Klicken Sie auf Weiter.

    Die Seite Zulassungs-/Verweigerungsregel – Was möchten Sie zulassen/verweigern? wird angezeigt.
  3. Wählen Sie die folgende Option aus:
    • Netzwerkverbindung: Bestimmte Netzwerkverbindungen werden zugelassen/verweigert.
  4. Wählen Sie unter Quelle auswählen aus dem Dropdownmenü den Eintrag Netzwerkverbindungen aus.
  5. Geben Sie unter "Netzwerkverbindung" den Verbindungstyp an und geben Sie den entsprechenden Host, die Port(s) oder den Pfad ein, um die Verbindungsdetails zu konfigurieren:
    • IP-Adresse: Zum Zulassen/Verweigern einer IP-Adresse oder eines IP-Adressbereichs.
    • Netzwerkfreigabe: Zum Zulassen/Verweigern einer Netzwerkfreigabe. Geben Sie den Pfad zur Netzwerkfreigabe unter "Host" ein.
    • Hostname: Zum Zulassen/Verweigern eines Hosts. Geben Sie einen Hostnamen ein.
  6. Klicken Sie auf Hinzufügen > Weiter.
    Die Seite Zulassungs-/Verweigerungsregel – Wann soll dies zugewiesen werden? wird angezeigt.
  7. Fahren Sie mit den Schritten Erstellen der Zulassungs-/Verweigerungsregel – Wann wird diese zugewiesen? und Zusammenfassung fort.
  1. Wählen Sie auf der Seite Was möchten Sie tun? die Option Zugriff zulassen/verweigern aus.
  2. Klicken Sie auf Weiter.

    Die Seite Zulassungs-/Verweigerungsregel – Was möchten Sie zulassen/verweigern? wird angezeigt.
  3. Wählen Sie die folgende Option aus:
    • URL: Bestimmte URLs zulassen/verweigern.
  4. Wählen Sie unter Quelle auswählen aus dem Dropdownmenü den Eintrag URLs aus.
  5. Geben Sie unter "URLs" die URL an, auf die der Zugriff zugelassen/verweigert werden soll.
  6. (Optional): Verweigerungsregel: Wählen Sie aus den folgenden Optionen eine Option aus, die für die Zugriffsverweigerung angezeigt werden soll:

    • Bei URL-Verweigerung das Standardwarnfenster von Application Control anzeigen

    • Bei URL-Verweigerung benutzerdefinierte Seite anzeigen

      • Geben Sie die URL ein, die Sie anzeigen möchten.

  7. Klicken Sie auf Hinzufügen > Weiter.
    Die Seite Zulassungs-/Verweigerungsregel – Wann soll dies zugewiesen werden? wird angezeigt.
  8. Fahren Sie mit den Schritten Erstellen der Zulassungs-/Verweigerungsregel – Wann wird diese zugewiesen? und Zusammenfassung fort.

Erstellen der Zulassungs-/Verweigerungsregel – Wann wird diese zugewiesen? und Zusammenfassung

  1. Wählen Sie bei Quelle auswählen über das Dropdownmenü die Quelle der Elemente aus. Die ausgewählten oder hinzugefügten Quellen werden im Abschnitt Ausgewählte Elemente angezeigt. Wählen Sie aus:
    • AD-Gruppen: Die AD-Anzeige- und Gruppennamen werden aufgelistet. Sie können die Liste über die Such- und Filterfunktion verfeinern. Alternativ können Sie eine Gruppe manuell hinzufügen, indem Sie auf Manuell hinzufügen klicken.
    • AD-Benutzer: Geben Sie domäne\benutzername ein und klicken Sie auf Hinzufügen.
    • App Control-Benutzer: Der Name der Benutzer, für die App Control ein Ereignis erfasst hat. Wählen Sie die gewünschten Benutzer aus.
    • Computergruppen: Geben Sie die Computergruppe ein, z. B. CN=ComputerGroup. Wenn Sie verschachtelte Gruppen einschließen möchten, wählen Sie "Verschachtelte Gruppen durchsuchen" aus. Klicken Sie auf Hinzufügen.
    • Geräte-Org.-Einheiten: Geben Sie die Organisationseinheit ein, z. B. OU=Corporation. Wenn Sie untergeordnete Org.-Einheiten einschließen möchten, wählen Sie Untergeordnete Org.-Einheiten einschließen aus. Klicken Sie auf Hinzufügen.
    • Geräte: Die Geräte- und Hostnamen der von Neurons ermittelten Geräte werden aufgelistet. Sie können die Liste über die Such- und Filterfunktion verfeinern. Alternativ können Sie ein Gerät manuell hinzufügen, indem Sie auf Manuell hinzufügen klicken.
    • IP-Adressen: Geben Sie die IP-Adressen ein und wählen Sie aus, ob reguläre Ausdrücke mit den IP-Adressen abgeglichen werden sollen. Klicken Sie auf Hinzufügen.

      Beispiel:
      • 192.168.0.1: Clientgerät mit der IP 192.168.0.1 auswählen
      • 192.168.0.*: Clientgeräte mit der IP 192.168.0.<any> auswählen
      • 192.168.0.15-25: Alle Clientgeräte im IP-Bereich von 192.168.0.15 bis 192.168.0.25 auswählen

    • Wählen Sie alternativ die Option Jeder aus, um die Regel für die Gruppe "Jeder" zu erstellen. Dadurch werden alle Benutzer eingeschlossen, die sich an einem Gerät anmelden, auf dem die Konfiguration bereitgestellt wurde (ausgenommen Administratoren).
  2. Wenn Sie mit der Auswahl der Elemente fertig sind, Klicken Sie auf Weiter.

    Die Seite Regel speichern und Zusammenfassung wird angezeigt.
  3. Geben Sie einen Namen und optional eine Beschreibung für die Regel ein.
  4. Geben Sie bei Kategorien eine optionale Kategoriekennzeichnung für die Regel ein.

    Sie können eine vorhandene Kategorie hinzufügen oder eine neue erstellen. Die einer Regel zugewiesenen Kategorien sind in der Tabelle Konfigurationsregeln aufgeführt.
    • Zum Hinzufügen: Klicken Sie in das Feld Kategorien, um eine Dropdownliste mit den vorhandenen Kategorien anzuzeigen, und wählen Sie die gewünschten Kategorien aus.
    • Zum Erstellen: Klicken Sie in das Feld Kategorien und geben Sie die neue Kategoriekennzeichnung ein. Klicken Sie außerhalb des Feldes, um die Kategorie zu erstellen und zu speichern.
  5. Der Standardstatus der Regel lautet Aktiv. Wenn Sie nicht möchten, dass die Regel jetzt schon aktiv ist, schalten Sie den Regelstatus auf "Aus".
  6. Klicken Sie auf Speichern, um die Regel zu speichern und zur Konfiguration zurückzukehren. Dort wird die neue Regel im Abschnitt Regeln aufgelistet.

    Klicken Sie alternativ auf Speichern & weitere hinzufügen, um die Regel zu speichern und zur Seite Was möchten Sie tun? zurückzukehren, um eine weitere Regel für die Konfiguration zu erstellen.
  7. Nachdem Sie alle gewünschten Regeln zur Konfiguration hinzugefügt haben, klicken Sie auf Speichern, um die Konfiguration als Entwurf zu speichern. Sie können auch auf Speichern & veröffentlichen klicken, um die Version der Konfiguration zu speichern.
    Nach dem Veröffentlichen kann die Konfiguration einer Richtlinie zugewiesen werden.