Verweigerte Elemente

In diesem Abschnitt werden folgende Themen behandelt:

Wissenswertes über verweigerte Elemente

Fügen Sie verweigerte Elemente zu Regelsätzen hinzu, um den Zugriff auf bestimmte Elemente einzuschränken. Die verweigerten Elemente werden in der Liste "Verweigerte Elemente" unter einem ausgewählten Regelsatz angezeigt.

Falls Sie die Standardoption verwenden, wonach allen lokal installierten Anwendungen vertrauenswürdiger Besitzer vertraut wird, müssen Sie lediglich bestimmte Anwendungen hinzufügen, die von den Benutzern nicht ausgeführt werden dürfen. So können Sie Administratortools hinzufügen, wie Verwaltungstools oder Tools zum Bearbeiten der Registrierung.

Sie müssen diese Liste nicht heranziehen, um Anwendungen zu verweigern, die nicht im Besitz eines Administrators sind, da diese im Rahmen der Prüfung auf vertrauenswürdigen Besitz gesperrt werden.

Application Control : Mithilfe der Drag & Drop-Funktion können Sie Elemente wie Dateien, Ordner, Laufwerke und Signaturen aus Windows Explorer hinzufügen oder die Elemente zwischen dem Knoten "Zulässige Elemente" und "Verweigerte Elemente" in den einzelnen Hauptkonfigurationsknoten kopieren oder verschieben.

File

Falls nur ein Dateiname angegeben ist, z. B. "meineapp.exe", dann gelten alle Instanzen davon als verweigert, unabhängig vom Speicherort der Anwendung. Wird die Datei mit dem vollständigen Pfad angegeben, z. B. "\\servername\sharename\meineapp.exe", dann wird nur diese eine Instanz der Anwendung verweigert.

  1. Wählen Sie den Knoten Kontrolle ausführbarer Dateien für einen Regelsatz aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Verweigert > Datei aus.
    Das Dialogfeld "Datei hinzufügen" wird angezeigt.
  3. Klicken Sie auf der Registerkarte "Eigenschaften" auf die Auslassungspunkte (...) im Textfeld:
  4. Navigieren Sie im Dialogfeld "Öffnen" zu der hinzuzufügenden Datei und klicken Sie auf OK.
    Falls erforderlich, können Sie Folgendes auswählen:
    • Umgebungsvariablen möglichst ersetzen
    • Regulären Ausdruck verwenden
  5. Geben Sie optionale Befehlszeilenargumente in das Textfeld Argumente ein. Geben Sie alle Argumente ein, wie sie im Prozessexplorer angezeigt werden.
    Durch Befehlszeilenargumente werden die Übereinstimmungskriterien gegenüber dem Feld "Datei" erweitert. Wird ein Argument hinzugefügt, müssen sowohl Datei und Argument erfüllt sein, damit dies als Übereinstimmung zählt. Es kann jedes Argument hinzugefügt werden, das in der Befehlszeile für einen Prozess angezeigt wird, z. B. Kennzeichnungen, Switches, Dateien und GUIDs.

Verweigerte Datei

Zulässige Datei

Ergebnis

shutdown.exe

shutdown.exe

Argumente: -r -t 30

"shutdown.exe" wird nur ausgeführt, wenn "-r -t 30" in der Befehlszeile angegeben ist; alles andere, was mit "shutdown.exe" ausgeführt werden soll, wird verweigert.

Damit die Argumente eines zulässigen oder verweigerten Arguments korrekt konfiguriert werden können, müssen sie wie im Prozesseditor angezeigt werden, zum Beispiel:

Datei: C:\Programme\Microsoft Office\Root\Office16\WINWORD.EXE

Befehlszeile: "C:\Programme\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\beispiel.docx

Die Konfiguration würde wie folgt aussehen:

Datei: Absoluter oder relativer Pfad von "winword.exe"

Argumente: /n C:\beispiel.docx

  1. Geben Sie optional eine Beschreibung für die Datei ein, um sie später besser identifizieren zu können.
  2. Wählen Sie Bei Verweigerung nicht "Zugriff verweigert" anzeigen aus, um die Datei diskret zu verweigern, d. h. ohne dass der Benutzer darüber informiert wird.
  3. Wählen Sie Ereignisfilterung ignorieren aus, um alle Ereignisse auszulösen, unabhängig davon, was in der Ereignisauswahl festgelegt wurde.
  4. Um Metadaten zur Datei hinzuzufügen, wählen Sie die Registerkarte Metadaten aus.
  5. Damit die Felder automatisch ausgefüllt werden, wählen Sie Metadaten aus Datei eintragen aus.

    6. Folgende Felder können ausgefüllt werden: Produktname, Anbieter, Unternehmensname, Dateibeschreibung, Dateiversion und Produktversion.

    Sie können sämtliche Daten verfeinern. Markieren Sie dazu das jeweilige Kontrollkästchen und bearbeiten Sie die Felder.

    Wenn die Metadaten für Anbieter aktiviert sind, ist zusätzlich die Option Zertifikat zur Laufzeit verifizieren verfügbar. Wenn diese Option aktiviert ist, verifiziert der Agent das Zertifikat während des Dateiabgleichs. Klicken Sie auf Verifizierungsoptionen, um Zugriff auf einen weiteren Kriteriensatz zu erhalten, der während des Dateiabgleichs verwendet wird.

    Weitere Informationen finden Sie unter Verifizierungsoptionen.

  6. Klicken Sie auf Hinzufügen, um die Datei zu den verweigerten ausführbaren Dateien des Regelsatzes hinzuzufügen.
    Die Datei wird zum Arbeitsbereich "Verweigerte Elemente" hinzugefügt.

Ordner

Sie können einen vollständigen Ordner angeben, z. B. "\\servername\servershare\meinordner". Für alle Anwendungen innerhalb des Ordners und seiner etwaigen Unterordner wird dann die Ausführung verweigert. Die Dateien in dem Ordner werden nicht geprüft, d. h. alle Dateien, die in den Ordner kopiert werden, werden verweigert.

Falls Sie eine Netzwerkdatei oder einen Ordnerpfad hinzufügen, müssen Sie den UNC-Namen verwenden, da der Application Control Agent alle Pfade ignoriert, deren Laufwerksbuchstabe nicht auf eine lokale Festplatte verweist. Der Benutzer kann über einen dem Netzwerk zugeordneten Laufwerksbuchstaben auf die Netzwerkanwendung zugreifen. Der Pfad wird vor dem Abgleich mit den Konfigurationseinstellungen in das UNC-Format konvertiert. Die Unterstützung für Platzhalter bietet eine zusätzliche Steuerungsebene beim Angeben generischer Dateipfade.

  1. Wählen Sie den Knoten Kontrolle ausführbarer Dateien für einen Regelsatz aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Verweigert > Ordner aus.
    Das Dialogfeld "Ordner hinzufügen" wird angezeigt.
  3. Klicken Sie auf der Registerkarte "Eigenschaften" auf die Auslassungspunkte (...) im Textfeld:
  4. Navigieren Sie im Dialogfeld "Öffnen" zu dem hinzuzufügenden Ordner und klicken Sie auf OK.
    Falls erforderlich, können Sie Folgendes auswählen:
    • Umgebungsvariablen möglichst ersetzen
    • Regulären Ausdruck verwenden
    • Unterordner einbeziehen
  5. Geben Sie optional eine Beschreibung für den Ordner ein, um ihn später besser identifizieren zu können.
  6. Wählen Sie Bei Zugriffsverweigerung keine entsprechende Nachricht anzeigen aus, um den Ordner diskret zu verweigern, d. h. ohne dass der Benutzer darüber informiert wird.
  7. Wählen Sie Ereignisfilterung ignorieren aus, um alle Ereignisse auszulösen, unabhängig davon, was in der Ereignisauswahl festgelegt wurde.
  8. Um Metadaten zum Ordner hinzuzufügen, wählen Sie die Registerkarte Metadaten aus:
  9. Damit die Felder automatisch ausgefüllt werden, wählen Sie Metadaten aus Datei eintragen aus.

    10. Folgende Felder können ausgefüllt werden: Produktname, Anbieter, Unternehmensname, Dateibeschreibung, Dateiversion und Produktversion.

    Sie können sämtliche Daten verfeinern. Markieren Sie dazu das jeweilige Kontrollkästchen und bearbeiten Sie die Felder.

    Wenn die Metadaten für Anbieter aktiviert sind, ist zusätzlich die Option Zertifikat zur Laufzeit verifizieren verfügbar. Wenn diese Option aktiviert ist, verifiziert der Agent das Zertifikat während des Dateiabgleichs. Klicken Sie auf Verifizierungsoptionen, um Zugriff auf einen weiteren Kriteriensatz zu erhalten, der während des Dateiabgleichs verwendet wird.

    Weitere Informationen finden Sie unter Verifizierungsoptionen.

  10. Klicken Sie auf Hinzufügen, um den Ordner zu den verweigerten ausführbaren Ordnern des Regelsatzes hinzuzufügen.
    Der Ordner wird zum Arbeitsbereich "Verweigerte Elemente" hinzugefügt.

Laufwerk

Sie können ein komplettes Laufwerk angeben, z. B. Laufwerk W. Alle Anwendungen in diesem Laufwerk, einschließlich der darin enthaltenen Unterordner, werden dann verweigert. Die Dateien in dem Laufwerk werden nicht geprüft, d. h. alle Dateien, die in einen Ordner des Laufwerks kopiert werden, werden verweigert.

Mit dieser Option legen Sie verweigerte ausführbare Laufwerke fest.

  1. Wählen Sie den Knoten Kontrolle ausführbarer Dateien für einen Regelsatz aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Verweigert > Laufwerk aus.
    Das Dialogfeld "Laufwerk hinzufügen" wird angezeigt.
  3. Geben Sie den Buchstaben des Laufwerks ein, das Sie als verweigert festlegen möchten, sowie eine Beschreibung.
  4. Wählen Sie Bei Verweigerung nicht "Zugriff verweigert" anzeigen aus, um das Laufwerk diskret zu verweigern, d. h. ohne dass der Benutzer darüber informiert wird.
  5. Klicken Sie auf Hinzufügen, um das Laufwerk zu den verweigerten ausführbaren Elementen des Regelsatzes hinzuzufügen.

Datei-Hash

Zusammen mit der Datei kann ein digitaler Hash der Datei hinzugefügt werden. Dadurch wird sichergestellt, dass nur diese bestimmte Datei verweigert wird, jedoch an jedem beliebigen Speicherort.

Diese Option ermöglicht Ihnen das Hinzufügen verweigerter ausführbarer Elemente auf Basis eines Datei-Hashes.

  1. Wählen Sie den Knoten Kontrolle ausführbarer Dateien für einen Regelsatz aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Verweigert > Datei-Hash aus.
    Das Dialogfeld "Datei-Hash hinzufügen" wird angezeigt.
  3. Klicken Sie auf der Registerkarte "Eigenschaften" auf die Auslassungspunkte (...) im Textfeld:
  4. Navigieren Sie im Dialogfeld "Öffnen" zu dem hinzuzufügenden Datei-Hash und klicken Sie auf OK.
  5. Geben Sie optionale Befehlszeilenargumente in das Textfeld Argumente ein. Geben Sie alle Argumente ein, wie sie im Prozessexplorer angezeigt werden.
    Durch Befehlszeilenargumente werden die Übereinstimmungskriterien gegenüber dem Feld "Datei" erweitert. Wird ein Argument hinzugefügt, müssen sowohl Datei und Argument erfüllt sein, damit dies als Übereinstimmung zählt. Es kann jedes Argument hinzugefügt werden, das in der Befehlszeile für einen Prozess angezeigt wird, z. B. Kennzeichnungen, Switches, Dateien und GUIDs.
  6. Geben Sie optional eine Beschreibung für den Datei-Hash ein, um ihn später besser identifizieren zu können.
  7. Der Datei-Hash-Wert wird angezeigt. Klicken Sie auf Neu scannen, um den Datei-Hash zu aktualisieren.
  8. Wählen Sie Bei Verweigerung nicht "Zugriff verweigert" anzeigen aus, um die Datei diskret zu verweigern, d. h. ohne dass der Benutzer darüber informiert wird.
  9. Wählen Sie Ereignisfilterung ignorieren aus, um alle Ereignisse auszulösen, unabhängig davon, was in der Ereignisauswahl festgelegt wurde.
  10. Klicken Sie auf Hinzufügen, um den Datei-Hash zu den verweigerten ausführbaren Datei-Hashes des Regelsatzes hinzuzufügen.
    Der Datei-Hash wird zum Arbeitsbereich "Verweigerte Elemente" hinzugefügt.

Regelsammlung

Regelsammlungen können eine beliebige Anzahl von Kombinationen verschiedener Elemente für eine bestimmte Anwendung beinhalten, darunter Datei, Ordner, Laufwerk, Signatur und Netzwerk. Alle Dateien werden verweigert.

  1. Wählen Sie den Knoten Kontrolle ausführbarer Dateien für einen Regelsatz aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Verweigert > Regelsammlung aus.
    Das Dialogfeld zum Auswählen der Regelsammlung wird angezeigt.
  3. Markieren Sie für alle Sammlungen, die Sie dem Regelsatz hinzufügen möchten, das Kontrollkästchen Zu Regel hinzufügen.
  4. Nachdem Sie eine Sammlung ausgewählt haben, stehen Ihnen folgende Optionen zur Verfügung:
    • Diskret verweigern – sperrt Elemente, ohne dies durch eine Meldung anzuzeigen.
    • Ereignisfilterung ignorieren – Es werden alle Ereignisse ausgelöst, unabhängig davon, was in der Ereignisauswahl festgelegt wurde.
  5. Klicken Sie auf OK, um die Sammlungen zu den verweigerten Regelsammlungen des Regelsatzes hinzuzufügen.
    Die Regelsammlungen werden zum Arbeitsbereich "Verweigerte Elemente" hinzugefügt.

Verwandte Themen

Zulässige Elemente