Konfigurationseinstellungen für Application Control
Die Funktion Application Control wird im Application Control-Konfigurationseditor konfiguriert. Dieser kann an einigen Stellen innerhalb der Security Controls-Konsole aufgerufen werden.
- Neu > Application Control-Konfiguration
- Application Control-Konfigurationen: Klicken Sie mit der rechten Maustaste auf "Neue Application Control-Konfiguration".
- Neu > Agentrichtlinie > Application Control > Neu.
Dabei wird die Konfiguration nach dem Speichern der Richtlinie zugewiesen.
Der oberste Knoten "Konfigurationseinstellungen" verfügt über drei Registerkarten:
Funktionen
Wählen Sie die jeweilige Option, um die folgende Application Control-Funktionalität für diese Konfiguration zu aktivieren:
Kontrolle ausführbarer Dateien
Die Kontrolle ausführbarer Dateien deckt die folgende Funktionalität innerhalb der Konfiguration ab:
- Vertrauenswürdiger Besitz – Beim Abgleichen der Regeln wird die Prüfung auf vertrauenswürdigen Besitz auf Dateien und Ordner angewendet. Dadurch soll sichergestellt werden, dass der Besitz der Elemente mit der Liste der vertrauenswürdigen Besitzer übereinstimmt, die in der Konfiguration festgelegt wurde.
- Sicherheitsstufen – Geben Sie die Einschränkungsebenen für die Ausführung nicht genehmigter Dateien an.
- Zulässige und verweigerte Elemente – Gewähren oder verweigern Sie den Zugriff auf bestimmte Elemente, die für einen Regelsatz gelten.
Berechtigungsverwaltung
Mithilfe der Berechtigungsverwaltung können Sie wiederverwendbare Richtlinien für die Berechtigungsverwaltung erstellen und diese mit Regelsätzen verknüpfen. So lässt sich der Zugriff auf Dateien, Ordner, Laufwerke, Datei-Hashes und Systemsteuerungskomponenten erweitern oder einschränken. Anhand einer Steuerungsebene mit höherer Granularität lassen sich bestimmte Berechtigungen für das Debuggen oder Installieren von Software zuweisen. Ferner können Sie Integritätsstufen zum Verwalten der Interoperabilität zwischen verschiedenen Produkten, wie Microsoft Outlook und Microsoft Word, festlegen.
Die Berechtigungsverwaltung bietet vier Hauptfunktionen:
- Erweitern von Berechtigungen für Anwendungen
- Erweitern von Berechtigungen für Systemsteuerungskomponenten und Verwaltungs-Snap-ins
- Reduzieren von Berechtigungen für Anwendungen
- Reduzieren von Berechtigungen für Systemsteuerungskomponenten und Verwaltungs-Snap-ins
Browser-Kontrolle
Verwenden Sie diese Funktion, um Benutzer automatisch umzuleiten, wenn sie eine bestimmte URL aufrufen möchten. Durch Definieren einer Liste nicht zulässiger URLs leiten Sie Benutzer, die versuchen, eine gelistete URL aufzurufen, auf eine Standardwarnseite oder eine benutzerdefinierte Webseite um. Sie können auch bestimmte URLs zulassen, die Ihnen bei Verwendung mit Umleitungen mehr Flexibilität und Kontrolle bieten. Sie können dann außerdem eine Zulassungsliste mit Websites anlegen.
Bevor Sie diese Funktion für Internet Explorer konfigurieren, müssen Sie für jeden Ihrer Endpunkte über die Internetoptionen externe Browsererweiterungen aktivieren. Dies kann alternativ über eine Gruppenrichtlinie angewendet werden.
Die Funktion URL-Umleitung ist mit Internet Explorer 8, 9, 10 und 11 kompatibel. Bei Verwendung von Chrome müssen alle verwalteten Endpunkte Teil einer Domäne sein.
Hash-Algorithmus
Datei-Hash bietet eine Möglichkeit, eine Datei entsprechend ihres tatsächlichen Inhalts genau zu identifizieren. Jede Datei wird untersucht. Application Control verwendet die Industriestandard-Hashes SHA-1, SHA-256 und Adler-32. Application Control verwendet die Industriestandard-Hashes SHA-1, SHA256 und Adler-32. Wird die Datei in irgendeiner Form verändert, ändert sich auch der Hash.
Digitales Hashing gilt aufgrund seiner Genauigkeit als ultimative Sicherheitsmethode. Es identifiziert jede Datei unabhängig von allen anderen Faktoren, die nicht die Datei selbst betreffen. Beispiel: Ein Administrator erstellt einen digitalen Hash für alle ausführbaren Dateien auf einem Computersystem und erfasst diese. Anschließend versucht ein Benutzer, eine Anwendung auszuführen. Der digitale Hash der Anwendung wird berechnet und mit den erfassten Werten verglichen. Bei Übereinstimmung darf die Anwendung ausgeführt werden, anderenfalls wird die Ausführung verweigert. Diese Methodologie bietet außerdem Zero-Day-Protection, da nicht nur keine neuen Anwendungen eindringen können, sondern auch mit Malware infizierte Anwendungen gesperrt werden.
Wenngleich Datei-Hashing einen ähnlichen Schutz bietet wie vertrauenswürdiger Besitz, ist auch der Zeit- und Verwaltungsaufwand zu berücksichtigen, der mit dem Aufrechterhalten der Sicherheitssysteme einhergeht. Anwendungen werden kontinuierlich mit Produktebenen, Bugfixes und Schwachstellenpatches aktualisiert. Das bedeutet, dass alle damit verbundenen Dateien ebenfalls kontinuierlich aktualisiert werden. Beispiel: Wenn eine Produktebene auf Microsoft Office angewendet wird, müssen neue digitale Hashes der aktualisierten Dateien erstellt werden, damit die aktualisierten Bereiche funktionieren. Stellen Sie sicher, dass diese dann verfügbar sind, wenn die Aktualisierung verfügbar ist, um Ausfallzeiten zu vermeiden. Es wird außerdem empfohlen, den alten Hash zu entfernen.
Erweiterte Einstellungen
Erweiterte Einstellungen ermöglichen Ihnen das Konfigurieren zusätzlicher Einstellungen, die auf verwaltete Endpunkte angewendet werden, sobald eine Application Control-Konfiguration bereitgestellt wird. Wenn eine neue Konfiguration bereitgestellt wird, die neue erweiterte Einstellungen beinhaltet, werden die bereits auf dem Endpunkt vorhandenen erweiterten Einstellungen gelöscht.
Klicken Sie auf der Registerkarte "Erweiterte Einstellungen" mit der rechten Maustaste in den Arbeitsbereich und wählen Sie Hinzufügen aus, um die Liste der verfügbaren erweiterten Einstellungen anzuzeigen. Die Einstellungen werden angewendet, wenn die Konfiguration auf Ihren verwalteten Endpunkten bereitgestellt wird.
Verfügbare erweiterte Einstellungen
| Einstellung | Datentyp | Beschreibung |
|---|---|---|
| ADComputerGroupMembershipTimeoutSecs | Numerisch | Timeout in Sekunden für das Nachschlagen in verschachtelten Computergruppen. Die Standardeinstellung ist 120 Sekunden. Durch Festlegen dieses Wertes auf 0 wird das Timeout deaktiviert. |
| ADQueriesEnabled | Numerisch | Diese Einstellung steuert die Typen der AD-Abfragen, die zum Bestimmen des definierten Namens des Systems und der Computergruppenzugehörigkeit herangezogen werden. Der Wert 0 deaktiviert Abfragen gegenüber AD und die Verwendung von Computergruppen und Organisationseinheiten in der Konfiguration. Der Standardwert 1 veranlasst den Agent zum Durchführen von Abfragen bezüglich des definierten Namens sowie von AD-Abfragen bezüglich direkter (nicht verschachtelter) Computergruppen. Verschachtelte Computergruppen in der Konfiguration werden ignoriert. Der Wert 2 veranlasst den Agent zum Durchführen von Abfragen bezüglich des definierten Namens sowie von AD-Abfragen bezüglich direkter und verschachtelter Computergruppen. Aufgrund der hohen CPU-Last kann diese Einstellung zu Leistungsproblemen auf dem DC führen. |
| AlternateTOCheck | Numerisch | Prüfungen auf vertrauenswürdigen Besitz haben gelegentlich zu einer übermäßig hohen CPU-Last im SYSTEM-Prozess geführt, wenn Filtertreiber von Drittanbietern auf dem System installiert waren. Wenn diese Einstellung aktiviert und der Wert 1 festgelegt wird, verwendet Application Control eine alternative Methode zum Nachschlagen von vertrauenswürdigem Besitz. Dadurch kann dieses Problem in einigen Fällen gelindert werden. |
| AMFileSystemFilterFailSafe | Numerisch | Diese Einstellung konfiguriert, ob der Filtertreiber des Dateisystems im Modus Fail Safe oder im Modus Fail Secure arbeitet. Tritt ein Problem mit dem Agent auf, sodass dieser nicht mehr reagiert, wird der Treiber im Fail Safe-Modus getrennt. Es werden keine weiteren Anfragen mehr abgefangen. Der Wert 1 steht für Fail Safe, der Wert 0 steht für Fail Secure. Fail Safe ist die Standardeinstellung. Wird diese Einstellung geändert, muss der Agent neu gestartet werden, damit die Änderung wirksam wird. |
| AppHookDelayLoad | Text | Diese Einstellung bewirkt das Laden der Datei "AmAppHook.dll" nach einer konfigurierbaren Verzögerung von einigen Millisekunden (ms). Diese Einstellung wird auf Basis des Dateinamens konfiguriert. Das Format ist <Dateiname + Erweiterung>,<Verzögerung>. Der Dateiname und die Erweiterung können Platzhalter enthalten. Die einzelnen Paare werden durch einen Strichpunkt voneinander getrennt. Beispiel: 'calc.exe,2000;note*.exe,6000' |
| AppHookEx | Text | Application Control verwendet einen Windows-Hook als Teil der Funktion "Zugriffskontrolle für Anwendungsnetzwerk" (Application Network Access Control, ANAC). In seltenen Fällen können Anwendungen nach dem Hooking ein unerwartetes Verhalten aufweisen. Diese Einstellung ist eine Liste von Anwendungen, in denen ANAC-spezifische Funktionen nicht eingehakt werden und die daher nicht den ANAC-Regeln unterliegen. Ist eine Anwendung sowohl in "AppHookEx" als auch in "UrmHookEx" benannt, wird die Datei "AmAppHook.dll" nicht geladen. Mehrere Einträge werden durch einen Strichpunkt (;) voneinander getrennt. |
| AppInitDllPosition | Numerisch | Mit dieser Einstellung geben Sie an, ob der AsModLdr-Treiber oder der Appinit-Registrierungsschlüssel zum Injizieren des Application Control Hooks verwendet werden soll. Anhand dieser Einstellung lässt sich außerdem die Position der Datei "AMLdrAppinit.dll" im AppInit_DLL-Registrierungswert bestimmen. Legen Sie einen der folgenden Werte fest:
Diese Einstellung sollte nur unter Anleitung des Ivanti Supportteams verwendet werden. |
|
AssumeActiveSetupDespiteCitrix |
Wenn Citrix-Clients veröffentlichte Anwendungen verwenden, wird Windows Active Setup nicht im Rahmen der Citrix-Client-Anmeldung ausgeführt. Application Control erkennt standardmäßig, dass der Client ein Citrix-Protokoll verwendet und geht davon aus, dass Active Setup ausgeschlossen ist. Gesperrte Anwendungen werden daher nie unter Active Setup-ähnlichen Umständen zugelassen. Zusätzlich und optional kann Application Control eine strengere Prüfung nach der Beteiligung von Citrix auferlegen: Wenn Sie den Wert dieser Einstellung auf 1 setzen, verlangt Application Control die strengere Prüfung, wenn dem Anschein nach verweigerte Anwendungen unter diesen Umständen zugelassen werden. Setzen Sie den Wert auf 2, um zu verhindern, dass Application Control diese Citrix-Prüfungen durchführt, wenn Anwendungen während eines realen Active Setup gesperrt zu sein scheinen. |
|
| BrowserAppStorePort | Numerisch | Geben Sie den Port ein, um die Installation der Chrome-Erweiterung für die Browser-Kontrolle zuzulassen. |
| BrowserCommsPort | Numerisch | Geben Sie den Port für die Kommunikation zwischen Browsererweiterungen und dem Agent ein. |
| BrowserExtensionInstallHive | Numerisch | Mithilfe dieser Einstellung kann der Administrator wählen, in welcher Registrierungsstruktur die Application Control Chrome-Browsererweiterung installiert wird. Verfügbare Optionen:
Bei Auswahl von 0 muss der Administrator manuell einen eigenen Unternehmens-Appstore konfigurieren, um die Application Control Chrome-Erweiterung bereitzustellen. Das Standardverhalten ist 2, d. h. die Chrome-Erweiterung wird unter HKCU installiert. |
| BrowserHookEx | Text | Wird der Wert auf "Chrome.exe" gesetzt, wird verhindert, dass der Application Control Browser Hook (BrowserHook.dll) injiziert wird. Der Browser Hook verhindert jegliche Netzwerkkommunikation, bis die Chrome-Erweiterung eine Verbindung zum Application Control Agent hergestellt hat. Durch diese benutzerdefinierte Einstellung wird keine Kernfunktionalität beeinträchtigt. |
| BrowserNavigateEx | Text | Eine durch einen senkrechten Strich (|) getrennte Liste mit Navigations-URLs, die die Verarbeitung des Navigate-Ereignisses umgehen. Die URLs in dieser Liste unterliegen nicht der URL-Umleitung. |
| ComputerOUThrottle | Numerisch | Diese Einstellung begrenzt das Active Directory-Nachschlagen pro verbundenem Client hinsichtlich der Zugehörigkeit zu einer Organisationseinheit, indem die Anzahl der gleichzeitigen Abfragen begrenzt wird. Diese Drosselung trägt dazu bei, den Abfragedatenverkehr in einer Domäne zu reduzieren, wenn eine hohe Anzahl verbundener Clients gehandhabt werden muss. Legen Sie diesen Wert zwischen 0 und 65.535 fest. |
| DFSLinkMatching | Numerisch | DFS-Linkpfade können zu den Regeln hinzugefügt werden. DFS-Links und DFS-Ziele werden als separate und unabhängige Elemente behandelt, die es abzugleichen gilt. Vor dem Anwenden der Regeln findet keine Konvertierung von Links in Ziele statt. Setzen Sie diesen Wert auf 1, um den Abgleich von DFS-Links zu aktivieren. |
| DirectHookNames | Text | Application ControlWindows-Hook wird in alle Prozesse geladen, die standardmäßig die Datei "user32.dll" laden. Anwendungen, die diese DLL-Datei nicht laden, werden nicht eingehängt. Anwendungen, die die Datei "user32.dll" nicht laden, sollten anhand einer per Strichpunkt getrennten Liste mit vollständigen Pfaden oder Dateinamen in diese Einstellung eingeschlossen werden. |
| DisableAppV5AppCheck | Numerisch | Standardmäßig werden alle Anwendungen, die unter Verwendung von AppV5 gestartet werden, von der Prüfung auf vertrauenswürdigen Besitz ausgenommen. Dieses Verhalten kann deaktiviert werden, indem Sie den Wert auf 1 setzen. |
| DisableSESecondDesktop | Numerisch | Standardmäßig wird das Prüfdialogfeld für Self-Elevation auf einem zweiten Desktop angezeigt. Setzen Sie den Wert auf 1, damit das Dialogfeld auf dem ersten Desktop angezeigt wird. |
| DoNotWalkTree | Numerisch | Standardmäßig durchsuchen die Prozessregeln den gesamten übergeordneten Schlüssel nach einer Übereinstimmung. Diese Einstellung bewirkt, dass die Prozessregeln nur das direkt übergeordnete Prozesselement durchsuchen und nicht die gesamte Struktur. Mit dem Wert 1 wird diese Einstellung aktiviert. |
| DriverHookEx | Text | Eine per Strichpunkt getrennte Liste mit Anwendungen, in die der Application Control Hook (AMAppHook.Dll) nicht injiziert wird. Application Control setzt voraus, dass der Hook geladen ist, damit bestimmte Funktionen verwendet werden können. Diese benutzerdefinierte Einstellung sollte nur unter Anleitung des Ivanti Supportteams verwendet werden. |
| EnableScriptPreCheck | Numerisch | Während der Verarbeitung von Skripten innerhalb der Skriptregeln werden diese so behandelt, als hätten sie einen falschen Wert ausgegeben. Die Dauer der Skriptausführung ist vom Inhalt des jeweiligen Skriptes abhängig. Diese Einstellung bietet die beste Performance beim Starten des Computers und Anmelden der Benutzer, da alle Prozesse, die vom Ergebnis eines Skriptes abhängig sind, verzögert werden. Setzen Sie den Wert auf 1, damit die Prozesse auf den Abschluss des jeweiligen Skriptes warten. Dadurch können sich Computerstart und Benutzeranmeldung erheblich verlangsamen. Application Control wartet nicht unendlich auf Skriptergebnisse. Es gilt ein Timeout von 30 Sekunden. |
| EnableSignatureOptimization | Numerisch | Diese Einstellung verbessert die Performance der Regelprüfung bei Verwendung von Signaturen. Dateien, die nicht mit dem vollständigen Pfad übereinstimmen, werden nicht gehasht, da davon ausgegangen wird, dass es sich nicht um dieselbe Datei handelt. Mit dem Wert 1 aktivieren Sie diese Einstellung. Sind diese Einstellung und "ExtendedAuditInfo" aktiviert, werden bei den Prüfmetadaten keine gehashten Dateien angezeigt. |
| ExplicitShellProgram | Text | Diese Einstellung wird von der Zugriffskontrolle für Anwendungen (Application Access Control, AAC) verwendet. Application Control behandelt den Start des Shell-Programms (standardmäßig "explorer.exe") als Trigger, damit die Sitzung als angemeldet gilt. Unterschiedliche Umgebungen und Technologien können die Shell-Anwendung ändern und der Agent kann gelegentlich nicht erkennen, um welches Shell-Programm es sich handelt. Application Control bestimmt anhand der Anwendungen in dieser Liste (zusätzlich zu den Shell-Standardanwendungen), wann eine Sitzung als angemeldet gilt. Es handelt sich dabei um eine per Strichpunkt getrennte Liste mit vollständigen Pfaden oder Dateinamen. |
| ExProcessNames | Text | Eine Liste mit per Leerzeichen getrennten Dateinamen, die vom Filtertreiber ausgeschlossen werden sollen. Wird diese Einstellung geändert, muss der Agent neu gestartet werden, damit die Änderung wirksam wird. |
| ExtendedAuditInfo | Numerisch | Diese Einstellung erweitert die Dateiinformationen für geprüfte Ereignisse. Folgendes wird für jede Datei in den geprüften Ereignissen gemeldet: SHA-1-Hash (Secure Hash Algorithm 1), Dateigröße, Datei- und Produktversion, Dateibeschreibung, Anbieter, Unternehmensname und Produktname. Die Informationen werden unmittelbar nach dem Dateinamen im Ereignisprotokoll hinzugefügt. Diese Einstellung ist standardmäßig aktiviert. Geben Sie zum Deaktivieren den Wert 0 ein. Die Generierung eines Hashes oder einer Prüfsumme ist deaktiviert, wenn die Einstellung EnableSignatureOptimization aktiviert ist. |
| ForestRootDNQuery | Numerisch | Setzen Sie den Wert auf 1, damit der Application Control Agent eine Gesamtstruktur-Stamm-Abfrage durchführen kann. Die Abfrage beinhaltet das Verfolgen von Verweisen. So soll der definierte Name verbundener Geräte bestimmt werden, um die Zugehörigkeit zu Organisationseinheiten und Computergruppen in Geräteregeln auszumachen. |
| ImageHijackDetectionInclude | Text | Eine Liste mit Prozessnamen, mit denen alle untergeordneten Prozesse verglichen werden, um sicherzustellen, dass das untergeordnete Image ohne Beschädigung oder Modifikation ausgeführt wird und dem ursprünglich angeforderten Image entspricht. Wird der untergeordnete Prozess nicht verifiziert, wird er beendet. Es handelt sich dabei um eine per Strichpunkt getrennte Liste mit vollständigen Pfaden oder Dateinamen. |
| OwnershipChange | Numerisch | Application Control erkennt, wenn eine vertrauenswürdige Datei von einem nicht vertrauenswürdigen Besitzer geändert wird. In dem Fall wird der Dateibesitzer in den nicht vertrauenswürdigen Benutzer geändert und sämtliche Ausführungsanforderungen werden blockiert. Einige Anwendungen überschreiben Dateien so, dass Application Control sie nicht standardmäßig erkennt. Daher wird der Besitzer der Datei nicht geändert. Wenn die Einstellung aktiviert ist, führt Application Control zusätzliche Prüfungen durch, um alle Dateiänderungen und Überschreibungen zu erfassen. Mit dem Wert 1 aktivieren Sie diese Einstellung. |
| RemoveDFSCheckOne | Numerisch | Wenn Dateien auf einem DFS-Laufwerk gespeichert werden, wendet der Application Control Agent eine Reihe von Strategien an, um den richtigen UNC-Pfad zu bewerten. Eine dieser Strategien kann Verzögerungen bei der Anmeldung zur Folge haben, wenn eine große Anzahl von Skripten und ausführbaren Dateien in Active Directory gespeichert sind und von Active Directory repliziert werden. Setzen Sie den Wert auf 1, um die Einstellung zu aktivieren und Application Control dazu zu veranlassen, diese Strategie zu ignorieren, um eine bessere Performance zu erzielen. |
| SECancelButtonText | Text | Der Text, der bei Betätigen der Schaltfläche "Abbrechen" im Dialogfeld "Self-Elevation" angezeigt wird. |
| SelfElevatePropertiesEnabled | Numerisch | Setzen Sie den Wert auf 1, um die Self-Elevation von Eigenschaften zu aktivieren. Diese Funktion ist standardmäßig deaktiviert. |
| SelfElevatePropertiesMenuText | Text | Der Text in der Kontextmenüoption für die Self-Elevation von Eigenschaften. |
| SEOkButtonText | Text | Der Text, der bei Betätigen der Schaltfläche "OK" im Dialogfeld "Self-Elevation" angezeigt wird. |
|
ShowMessageForBlockedDLLs |
Setzen Sie den Wert auf 1, damit das Application Control Meldungsfeld "Zugriff verweigert" für verweigerte DLL-Dateien angezeigt wird. |
|
| UrlRedirectionSecPolicy | Numerisch | Die Sicherheitsrichtlinie wird standardmäßig von der Funktion "URL-Umleitung" ignoriert. Mithilfe dieser Einstellung kann der Administrator die URL-Umleitung zwingen, die konfigurierte Sicherheitsrichtlinie zu beachten. Mit dem Wert 1 aktivieren Sie diese Einstellung. Selbstautorisierung wird nicht unterstützt. |
| UrmForceMediumIntegrityLevel | Text | Eine benutzerdefinierte Einstellung für die Verwaltung von Benutzerrechten, die zum Übersteuern der Integritätsstufe verwendet wird, wenn sich Benutzerrechte auf Anwendungen mit erhöhten Rechten beziehen, wodurch die Integritätsstufe standardmäßig auf hoch gesetzt wird. Bei Verwendung dieser Einstellung wird die Stufe auf "mittel" herabgesetzt. Dieser Wert ist eine per Strichpunkt getrennte Liste mit Dateinamen. |
| UrmHookEx | Text | Application Control verwendet einen Windows-Hook im Rahmen der Funktion für die Verwaltung von Benutzerrechten. In seltenen Fällen können Anwendungen nach dem Hooking ein unerwartetes Verhalten aufweisen. Diese Einstellung listet die Anwendungen auf, bei der spezifische Funktionen für die Verwaltung von Benutzerrechten nicht eingehakt werden. Ist eine Anwendung sowohl in "AppHookEx" als auch in "UrmHookEx" benannt, wird die Datei "AmAppHook.dll" nicht geladen. Mehrere Einträge werden durch einen Strichpunkt voneinander getrennt. |
| UrmPauseConsoleExit | Text | Wird von der Funktion für die Verwaltung von Benutzerrechten verwendet. Werden die Rechte für eine Konsolenanwendung erhöht, kann eine neue Anwendung in einem neuen Konsolenfenster angezeigt werden. Die Anwendung wird zu Ende geführt und anschließend geschlossen. Dies ist problematisch, wenn der Benutzer die Ausgabe des Programms sehen möchte. Diese Einstellung bewirkt, dass die Anwendung solange aktiv bleibt, bis eine Taste gedrückt wird. Es handelt sich dabei um eine per Strichpunkt getrennte Liste mit vollständigen Pfaden oder Dateinamen. |
| UrmSecPolicy | Numerisch | Standardmäßig wird die Sicherheitsrichtlinie meistens von der Funktion für die Verwaltung von Benutzerrechten ignoriert. Die Regeln für die Verwaltung von Benutzerrechten werden in allen Fällen angewendet, außer, wenn der Modus "Nur Prüfung" ausgewählt ist. Mithilfe dieser benutzerdefinierten Einstellung kann der Administrator die Funktion zur Verwaltung von Benutzerrechten zwingen, die konfigurierte Sicherheitsrichtlinie zu beachten. Bei den Sicherheitsstufen "Uneingeschränkt" und "Selbstautorisierung" kommen die Regeln für die Verwaltung von Benutzerrechten nicht zur Anwendung. Bei der Sicherheitsstufe "Eingeschränkt" werden die Regeln für die Verwaltung von Benutzerrechten angewendet. Mit dem Wert 1 wird diese Einstellung aktiviert. |
Verwandte Themen
Wissenswertes über die Kontrolle ausführbarer Dateien
Wissenswertes über Browser-Kontrolle
Konfigurationseinstellungen für die Kontrolle ausführbarer Dateien