Zulässige Elemente

In diesem Abschnitt werden folgende Themen behandelt:

Wissenswertes über zulässige Elemente

Fügen Sie zulässige Elemente zu Regelsätzen hinzu, um Benutzern Zugriff auf bestimmte Elemente zu gewähren, ohne ihnen vollständige Administratorrechte einzuräumen. Die zulässigen Elemente werden in der Liste "Zulässige Elemente" unter einem ausgewählten Regelsatz angezeigt:

File

Falls nur ein Dateiname angegeben ist, z. B. "meineapp.exe", dann gelten alle Instanzen davon als zulässig, unabhängig vom Speicherort der Anwendung. Wird die Datei mit dem vollständigen Pfad angegeben, z. B. "\\servername\sharename\meineapp.exe", dann ist nur diese eine Instanz der Anwendung zulässig. Andere Instanzen dieser Anwendung müssen andere Application Control-Regeln erfüllen, damit sie ausgeführt werden dürfen.

  1. Wählen Sie den Knoten Kontrolle ausführbarer Dateien für einen Regelsatz aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Zulässig > Datei aus.
    Das Dialogfeld "Datei hinzufügen" wird angezeigt.
  3. Klicken Sie auf der Registerkarte "Eigenschaften" auf die Auslassungspunkte (...) im Textfeld:
  4. Navigieren Sie im Dialogfeld "Öffnen" zu der hinzuzufügenden Datei und klicken Sie auf OK.

    5. Falls erforderlich, können Sie Folgendes auswählen:

    • Umgebungsvariablen möglichst ersetzen
    • Regulären Ausdruck verwenden
  5. Geben Sie optionale Befehlszeilenargumente in das Textfeld Argumente ein. Geben Sie alle Argumente ein, wie sie im Prozessexplorer angezeigt werden.
    Durch Befehlszeilenargumente werden die Übereinstimmungskriterien gegenüber dem Feld "Datei" erweitert. Wird ein Argument hinzugefügt, müssen sowohl Datei und Argument erfüllt sein, damit dies als Übereinstimmung zählt. Es kann jedes Argument hinzugefügt werden, das in der Befehlszeile für einen Prozess angezeigt wird, z. B. Kennzeichnungen, Switches, Dateien und GUIDs.

Verweigerte Datei

Zulässige Datei

Ergebnis

shutdown.exe

shutdown.exe

Argumente: -r -t 30

"shutdown.exe" wird nur ausgeführt, wenn "-r -t 30" in der Befehlszeile angegeben ist; alles andere, was mit "shutdown.exe" ausgeführt werden soll, wird verweigert.

Damit die Argumente eines zulässigen oder verweigerten Arguments korrekt konfiguriert werden können, müssen sie wie im Prozesseditor angezeigt werden, zum Beispiel:

Datei: C:\Programme\Microsoft Office\Root\Office16\WINWORD.EXE

Befehlszeile: "C:\Programme\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\beispiel.docx

Die Konfiguration würde wie folgt aussehen:

Datei: Absoluter oder relativer Pfad von "winword.exe"

Argumente: /n C:\beispiel.docx

  1. Geben Sie optional eine Beschreibung für die Datei ein, um sie später besser identifizieren zu können.
  2. Wählen Sie Ausführung der Datei zulassen, auch wenn sie keinem vertrauenswürdigen Besitzer gehört aus, um einem Benutzer, der kein vertrauenswürdiger Besitzer ist, Zugriff auf die Datei zu gewähren.

    3. Standardmäßig ist die Prüfung auf vertrauenswürdigen Besitz aktiviert. Eine Anwendung muss also immer diese Prüfung durchlaufen, auch wenn es sich bei der Anwendung um ein zulässiges Element handelt. Mithilfe dieser Einstellung können Sie dies umgehen. Die Prüfung auf vertrauenswürdigen Besitz kann zwar vollständig deaktiviert werden, dies wird jedoch nicht empfohlen.

  3. Wählen Sie Ereignisfilterung ignorieren aus, um alle Ereignisse auszulösen, unabhängig davon, was in der Ereignisauswahl festgelegt wurde.
  4. Um Metadaten zur Datei hinzuzufügen, wählen Sie die Registerkarte Metadaten aus.
  5. Damit die Felder automatisch ausgefüllt werden, wählen Sie Metadaten aus Datei eintragen aus.

    6. Folgende Felder können ausgefüllt werden: Produktname, Anbieter, Unternehmensname, Dateibeschreibung, Dateiversion und Produktversion.

    Sie können sämtliche Daten verfeinern. Markieren Sie dazu das jeweilige Kontrollkästchen und bearbeiten Sie die Felder.

    Wenn die Metadaten für Anbieter aktiviert sind, ist zusätzlich die Option Zertifikat zur Laufzeit verifizieren verfügbar. Wenn diese Option aktiviert ist, verifiziert der Agent das Zertifikat während des Dateiabgleichs. Klicken Sie auf Verifizierungsoptionen, um Zugriff auf einen weiteren Kriteriensatz zu erhalten, der während des Dateiabgleichs verwendet wird.

    Weitere Informationen finden Sie unter Verifizierungsoptionen.

  6. Zum Hinzufügen von Zugriffszeiten wählen Sie die Registerkarte Zugriffszeiten aus.
  7. Zugriffszeiten können nur dann zugewiesen werden, wenn die Option Dateien dürfen nur zu bestimmten Zeiten ausgeführt werden markiert ist.
  8. Wählen Sie zum Anwenden von Zugriffszeiten den Zeitraum in der jeweiligen Tagesspalte aus. Sie können mehrere Zeitabschnitte markieren.
  9. Klicken Sie mit der rechten Maustaste und wählen Sie Neuer zulässiger Zeitraum aus. Der Zeitraum wird schattiert angezeigt, was darauf hinweist, dass er zulässig ist.
  10. Wiederholen Sie die Schritte 12 und 13 für alle gewünschten Tage und Zeitabschnitte.

    11. Sie können festlegen, welche Aktion beim Überschreiten der Zugriffszeiten durchgeführt werden soll. Wechseln Sie dazu zu Konfigurationseinstellungen > Kontrolle ausführbarer Dateien >Zugriffszeiten.

  11. Wählen Sie zum Hinzufügen von Anwendungslimits die Registerkarte Anwendungslimits aus.
  12. Wählen Sie Anwendungslimits aktivieren aus.
  13. Geben Sie die Anzahl der Instanzen einer Anwendung ein, die ein Benutzer während einer Sitzung ausführen darf. Beispiel: Wenn das Limit auf 1 gesetzt ist, der Benutzer bereits eine Instanz ausführt und dann versucht, eine zweite Instanz auszuführen, wird dies verweigert. Hinweis: Diese Einstellung gilt pro Benutzer, nicht pro Computer.
  14. Klicken Sie auf Hinzufügen, um die Datei zu den zulässigen ausführbaren Dateien des Regelsatzes hinzuzufügen.
    Die Datei wird zum Arbeitsbereich "Zulässige Elemente" hinzugefügt.

Ordner

Sie können einen vollständigen Ordner angeben, z. B. "\\servername\servershare\meinordner". Alle Anwendungen innerhalb des Ordners und seiner etwaigen Unterordner werden dann für die Ausführung zugelassen. Die Dateien in dem Ordner werden nicht geprüft, d. h. alle Dateien, die in den Ordner kopiert werden, dürfen ausgeführt werden. Wählen Sie "Unterordner einbeziehen" aus, um alle Verzeichnisse unterhalb des angegebenen Verzeichnisses einzuschließen. Falls Sie eine Netzwerkdatei oder einen Ordnerpfad hinzufügen, müssen Sie den UNC-Namen verwenden, da der Application Control Agent alle Pfade ignoriert, deren Laufwerksbuchstabe nicht auf eine lokale Festplatte verweist. Der Benutzer kann über einen dem Netzwerk zugeordneten Laufwerksbuchstaben auf die Netzwerkanwendung zugreifen. Der Pfad wird vor dem Abgleich mit den Konfigurationseinstellungen in das UNC-Format konvertiert. Damit Umgebungsvariablen automatisch angewendet werden, wählen Sie im Dialogfeld Datei hinzufügen bzw. Ordner hinzufügen die Option Umgebungsvariablen möglichst ersetzen aus. Dadurch wird der Pfad generischer für die Anwendung auf unterschiedlichen Computern. Die Unterstützung für Platzhalter bietet eine zusätzliche Steuerungsebene beim Angeben generischer Dateipfade.

  1. Wählen Sie den Knoten Kontrolle ausführbarer Dateien für einen Regelsatz aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Zulässig > Ordner aus.
    Das Dialogfeld "Ordner hinzufügen" wird angezeigt.
  3. Klicken Sie auf der Registerkarte "Eigenschaften" auf die Auslassungspunkte (...) im Textfeld:
  4. Navigieren Sie im Dialogfeld "Öffnen" zu dem hinzuzufügenden Ordner und klicken Sie auf OK.

    5. Falls erforderlich, können Sie Folgendes auswählen:

    • Umgebungsvariablen möglichst ersetzen
    • Regulären Ausdruck verwenden
    • Unterordner einbeziehen
  5. Geben Sie optional eine Beschreibung für den Ordner ein, um ihn später besser identifizieren zu können.
  6. Wählen Sie Ausführung der Datei zulassen, auch wenn sie keinem vertrauenswürdigen Besitzer gehört aus, um einem Benutzer, der kein vertrauenswürdiger Besitzer ist, Zugriff auf die Datei zu gewähren.

    7. Standardmäßig ist die Prüfung auf vertrauenswürdigen Besitz aktiviert. Eine Anwendung muss also immer diese Prüfung durchlaufen, auch wenn es sich bei der Anwendung um ein zulässiges Element handelt. Mithilfe dieser Einstellung können Sie dies umgehen. Die Prüfung auf vertrauenswürdigen Besitz kann zwar insgesamt deaktiviert werden, dies wird jedoch nicht empfohlen.

  7. Wählen Sie Ereignisfilterung ignorieren aus, um alle Ereignisse auszulösen, unabhängig davon, was in der Ereignisauswahl festgelegt wurde.
  8. Um Metadaten zum Ordner hinzuzufügen, wählen Sie die Registerkarte Metadaten aus:
  9. Damit die Felder automatisch ausgefüllt werden, wählen Sie Metadaten aus Datei eintragen aus.

    10. Folgende Felder können ausgefüllt werden: Produktname, Anbieter, Unternehmensname, Dateibeschreibung, Dateiversion und Produktversion.

    Sie können sämtliche Daten verfeinern. Markieren Sie dazu das jeweilige Kontrollkästchen und bearbeiten Sie die Felder.

    Wenn die Metadaten für Anbieter aktiviert sind, ist zusätzlich die Option Zertifikat zur Laufzeit verifizieren verfügbar. Wenn diese Option aktiviert ist, verifiziert der Agent das Zertifikat während des Dateiabgleichs. Klicken Sie auf Verifizierungsoptionen, um Zugriff auf einen weiteren Kriteriensatz zu erhalten, der während des Dateiabgleichs verwendet wird.

    Weitere Informationen finden Sie unter Verifizierungsoptionen.

  10. Zum Hinzufügen von Zugriffszeiten wählen Sie die Registerkarte Zugriffszeiten aus.
  11. Zugriffszeiten können nur dann zugewiesen werden, wenn die Option Dateien dürfen nur zu bestimmten Zeiten ausgeführt werden markiert ist.
  12. Wählen Sie zum Anwenden von Zugriffszeiten den Zeitraum in der jeweiligen Tagesspalte aus. Sie können mehrere Zeitabschnitte markieren.
  13. Klicken Sie mit der rechten Maustaste und wählen Sie Neuer zulässiger Zeitraum aus. Der Zeitraum wird schattiert angezeigt, was darauf hinweist, dass er zulässig ist.
  14. Wiederholen Sie die Schritte 12 und 13 für alle gewünschten Tage und Zeitabschnitte.

    15. Sie können festlegen, welche Aktion beim Überschreiten der Zugriffszeiten durchgeführt werden soll. Wechseln Sie dazu zu Konfigurationseinstellungen > Kontrolle ausführbarer Dateien >Zugriffszeiten.

  15. Klicken Sie auf Hinzufügen, um den Ordner zu den zulässigen ausführbaren Ordnern des Regelsatzes hinzuzufügen.
    Der Ordner wird zum Arbeitsbereich "Zulässige Elemente" hinzugefügt.

Laufwerk

Sie können ein komplettes Laufwerk angeben, z. B. Laufwerk W. Alle Anwendungen in diesem Laufwerk, einschließlich der darin enthaltenen Unterordner, dürfen dann ausgeführt werden. Die Dateien in dem Laufwerk werden nicht geprüft, d. h. alle Dateien, die in einen Ordner des Laufwerks kopiert werden, dürfen ausgeführt werden.

Mit dieser Option legen Sie zulässige ausführbare Laufwerke fest.

  1. Wählen Sie den Knoten Kontrolle ausführbarer Dateien für einen Regelsatz aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Zulässig > Laufwerk aus.
    Das Dialogfeld "Laufwerk hinzufügen" wird angezeigt.
  3. Geben Sie den Buchstaben des Laufwerks ein, das Sie als zulässig festlegen möchten, sowie eine Beschreibung.
  4. Klicken Sie auf Hinzufügen, um das Laufwerk zu den zulässigen ausführbaren Elementen des Regelsatzes hinzuzufügen.

Datei-Hash

Zusammen mit der Datei kann ein digitaler Hash der Datei hinzugefügt werden. Dadurch wird sichergestellt, dass nur diese bestimmte Datei ausgeführt werden darf, jedoch von einem beliebigen Speicherort aus.

Diese Option ermöglicht Ihnen das Hinzufügen zulässiger ausführbarer Elemente auf Basis eines Datei-Hashes.

  1. Wählen Sie den Knoten Kontrolle ausführbarer Dateien für einen Regelsatz aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Zulässig > Datei-Hash aus.
    Das Dialogfeld "Datei-Hash hinzufügen" wird angezeigt.
  3. Klicken Sie auf der Registerkarte "Eigenschaften" auf die Auslassungspunkte (...) im Textfeld:
  4. Navigieren Sie im Dialogfeld "Öffnen" zu dem hinzuzufügenden Datei-Hash und klicken Sie auf OK.
  5. Geben Sie optionale Befehlszeilenargumente in das Textfeld Argumente ein. Geben Sie alle Argumente ein, wie sie im Prozessexplorer angezeigt werden.
    Durch Befehlszeilenargumente werden die Übereinstimmungskriterien gegenüber dem Feld "Datei" erweitert. Wird ein Argument hinzugefügt, müssen sowohl Datei und Argument erfüllt sein, damit dies als Übereinstimmung zählt. Es kann jedes Argument hinzugefügt werden, das in der Befehlszeile für einen Prozess angezeigt wird, z. B. Kennzeichnungen, Switches, Dateien und GUIDs.
  6. Geben Sie optional eine Beschreibung für den Datei-Hash ein, um ihn später besser identifizieren zu können.
  7. Der Datei-Hash-Wert wird angezeigt. Klicken Sie auf Neu scannen, um den Datei-Hash zu aktualisieren.
  8. Wählen Sie Ereignisfilterung ignorieren aus, um alle Ereignisse auszulösen, unabhängig davon, was in der Ereignisauswahl festgelegt wurde.
  9. Zum Hinzufügen von Zugriffszeiten wählen Sie die Registerkarte Zugriffszeiten aus.
  10. Zugriffszeiten können nur dann zugewiesen werden, wenn die Option Dateien dürfen nur zu bestimmten Zeiten ausgeführt werden markiert ist.
  11. Wählen Sie zum Anwenden von Zugriffszeiten den Zeitraum in der jeweiligen Tagesspalte aus. Sie können mehrere Zeitabschnitte markieren.
  12. Klicken Sie mit der rechten Maustaste und wählen Sie Neuer zulässiger Zeitraum aus. Der Zeitraum wird schattiert angezeigt, was darauf hinweist, dass er zulässig ist.
  13. Wiederholen Sie die Schritte 12 und 13 für alle gewünschten Tage und Zeitabschnitte.

    14. Sie können festlegen, welche Aktion beim Überschreiten der Zugriffszeiten durchgeführt werden soll. Wechseln Sie dazu zu Konfigurationseinstellungen > Kontrolle ausführbarer Dateien >Zugriffszeiten.

  14. Klicken Sie auf Hinzufügen, um den Datei-Hash zu den zulässigen ausführbaren Datei-Hashes des Regelsatzes hinzuzufügen.
    Der Datei-Hash wird zum Arbeitsbereich "Zulässige Elemente" hinzugefügt.

Regelsammlung

Sie können für jeden Regelsatz eine Regelsammlung zu den zulässigen Elementen hinzufügen.

  1. Wählen Sie den Knoten Kontrolle ausführbarer Dateien für einen Regelsatz aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Zulässig > Regelsammlung aus.
    Das Dialogfeld zum Auswählen der Regelsammlung wird angezeigt.
  3. Markieren Sie für alle Sammlungen, die Sie dem Regelsatz hinzufügen möchten, das Kontrollkästchen Zu Regel hinzufügen.
  4. Nachdem Sie eine Sammlung ausgewählt haben, stehen Ihnen folgende Optionen zur Verfügung:
    • Nicht vertrauenswürdigen Besitzer zulassen – Die Ausführung der Dateien ist zulässig, auch wenn sie keinem vertrauenswürdigen Besitzer gehören.
    • Ereignisfilterung ignorieren – Es werden alle Ereignisse ausgelöst, unabhängig davon, was in der Ereignisauswahl festgelegt wurde.
  5. Klicken Sie auf OK, um die Sammlungen zu den zulässigen Regelsammlungen des Regelsatzes hinzuzufügen.
    Die Regelsammlungen werden zum Arbeitsbereich "Zulässige Elemente" hinzugefügt.

Verwandte Themen

Verweigerte Elemente