Konfigurationseinstellungen für die Kontrolle ausführbarer Dateien
Der Knoten "Konfigurationseinstellungen für die Kontrolle ausführbarer Dateien" enthält fünf Registerkarten: Vertrauenswürdige Besitzer, Optionen, Validierung, Beenden der Anwendung und Zugriffslimits.
Inhalt dieses Abschnitts:
Vertrauenswürdiger Besitz
Navigieren Sie zu Konfigurationseinstellungen > Kontrolle ausführbarer Dateien > Registerkarte Vertrauenswürdige Besitzer.
- Prüfen von vertrauenswürdigem Besitz aktivieren – Wählen Sie diese Option aus, um die Prüfung auf vertrauenswürdigen Besitz zu aktivieren. Diese Option ist standardmäßig aktiviert.
- Besitz an einer Datei nach Überschreibung oder Umbenennung ändern – Wählen Sie diese Option aus, wenn Sie den Besitz an einer vertrauenswürdigen, zulässigen Datei ändern möchten, die von einem nicht vertrauenswürdigen Benutzer, der nicht in der Liste der vertrauenswürdigen Besitzer enthalten ist, überschrieben wurde.
Wird eine verweigerte Datei von einem nicht vertrauenswürdigen Benutzer umbenannt, in der Absicht, die Regel für ein verweigertes Element zu umgehen, wird der Besitzer in den nicht vertrauenswürdigen Benutzer geändert. Nachdem der Besitzer geändert wurde, verhindert die Prüfung auf vertrauenswürdigen Besitz die Ausführung der Datei.
Achtung: Entfernen Sie nicht alle vertrauenswürdigen Besitzer. Dies würde dazu führen, dass keine Anwendung des Systems als vertrauenswürdig gilt. Standardbenutzer könnten gar keine Anwendungen mehr ausführen.
Wenn die Option Besitz an einer Datei nach Überschreibung oder Umbenennung ändern ausgewählt ist, ändert Application Control selektiv den NTFS-Dateibesitz ausführbarer Dateien, wenn diese überschrieben oder umbenannt werden.
Der Versuch eines Benutzers, der kein vertrauenswürdiger Besitzer ist, eine Datei zu überschreiben, die aufgrund einer Regel für vertrauenswürdigen Besitz oder für ein zulässiges Element als zulässig gilt, kann eine Sicherheitsbedrohung darstellen, wenn sich der Inhalt der Datei geändert hat. Application Control ändert den Besitz an einer überschriebenen Datei in den Benutzer ab, der die Aktion durchgeführt hat. Die Datei gilt dadurch als nicht vertrauenswürdig und die Sicherheit des Systems ist nicht in Gefahr.
Analog kann der Versuch, eine verweigerte Datei in den Namen eines zulässigen Elements umzubenennen, eine Sicherheitsbedrohung darstellen. Application Control ändert auch in dem Fall den Besitz an einer umbenannten Datei in den Benutzer ab, der die Aktion durchgeführt hat. Die Datei gilt dadurch weiterhin als nicht vertrauenswürdig.
Die Aktionen Überschreiben und Umbenennen werden geprüft.
Vertrauenswürdigen Besitzer hinzufügen
- Klicken Sie auf der Registerkarte unter Konfigurationseinstellungen > Kontrolle ausführbarer Dateien > Vertrauenswürdige Besitzer mit der rechten Maustaste in den Arbeitsbereich und wählen Sie Hinzufügen aus.
- Das Dialogfeld "Vertrauenswürdige Besitzer hinzufügen" wird angezeigt.
- Geben Sie den hinzuzufügenden Benutzernamen ein oder suchen Sie nach dem betreffenden Benutzernamen und wählen Sie ihn aus.
- Klicken Sie auf Hinzufügen. Der Benutzer wurde zusammen mit der eindeutigen SID zur Liste hinzugefügt.
Testen von vertrauenswürdigem Besitz
So testen Sie, ob die Prüfung auf vertrauenswürdigen Besitz funktioniert:
- Führen Sie eine oder mehrere Anwendungen unter Verwendung eines Testbenutzerkontos in das System ein.
- Kopieren Sie eine oder mehrere Anwendungen in das Startlaufwerk des Benutzers oder an einen anderen geeigneten Speicherort, etwa die Anwendung "calc.exe" aus demOrdner "System32", oder kopieren Sie eine Datei von einer CD.
- Versuchen Sie, eine der kopierten Dateien auszuführen. Die Anwendung wird verweigert, da die Dateien dem Testbenutzer gehören und nicht Bestandteil der Liste "Vertrauenswürdige Besitzer" sind.
Sie können den Besitz an einer Datei überprüfen, indem Sie deren Eigenschaften über Windows Explorer anzeigen.
Optionen
In der nachfolgenden Liste sind die verfügbaren Optionen mit der jeweiligen Beschreibung aufgeführt:
Option |
Beschreibung |
---|---|
Lokale Laufwerke standardmäßig als zulässig festlegen |
Wählen Sie diese Option aus, um Verweigerungslisten für Application Control-Konfigurationen zu erstellen. Auf dem lokalen Laufwerk sind alle Elemente zulässig, es sei denn, ein Element ist in der Liste "Verweigerte Elemente" enthalten oder besteht die Prüfung auf vertrauenswürdigen Besitz nicht. Deaktivieren Sie diese Option, um die Konfiguration auf die Zulassungsliste zu setzen. Auf dem lokalen Laufwerk werden alle Elemente blockiert, sofern sie nicht in der Liste "Zulässige Elemente" enthalten sind. Eine Zulassungslistenkonfiguration ist am sichersten. Diese Art von Konfiguration ist jedoch zeitaufwändig und kann die Stabilität des Clients beeinträchtigen, da alle nicht spezifizierten Anwendungen blockiert werden. |
cmd.exe für Batchdateien zulassen |
Es wird erwartet, dass Administratoren "cmd.exe" in ihrer Application Control-Konfiguration explizit unterbinden. Wenn "cmd.exe" verweigert wird und cmd.exe für Batchdateien zulassen deaktiviert ist, werden die Batchdateien geprüft. Wenn sie die Application Control-Richtlinie nicht erfüllen, werden sie blockiert. Falls die Option nicht ausgewählt ist und "cmd.exe" explizit verweigert wird, werden alle Batchdateien blockiert, ohne überhaupt geprüft zu werden. Falls diese Option aktiviert ist und "cmd" explizit verweigert wird, kann "cmd.exe" dennoch eigenständig ausgeführt werden, jedoch werden alle Batchdateien mit den Application Control-Regeln abgeglichen. Falls "cmd.exe" nicht explizit verweigert wird, werden alle Batchdateien ausgeführt, unabhängig davon, ob diese Option aktiviert ist oder nicht. |
Einschränkungen bei Anmeldung ignorieren |
Während der Anmeldung führt der Computer unter Umständen eine Reihe wichtiger Anwendungen aus. Das Blockieren dieser Anwendungen kann dazu führen, dass der Computer nicht ordnungsgemäß oder überhaupt nicht funktioniert. Daher ist diese Option standardmäßig aktiviert. |
Selbstextrahierende ZIP-Dateien extrahieren |
Eine selbstextrahierende Datei ist eine ausführbare Datei, die eine ZIP-Datei sowie ein kleines Programm zum Entpacken dieser ZIP-Datei enthält. Diese Dateien werden manchmal als Alternative zu MSI-Dateien zum Installieren einer Anwendung verwendet. Viele Administratoren ziehen es vor, Anwendungen nur über MSI-Dateien zu installieren. Es werden nur selbstextrahierende EXE-Dateien unterstützt, die mit der ZIP-Spezifikation formatiert wurden. Weitere Informationen finden Sie unter ZIP-Spezifikationen. Mithilfe der Option Selbstextrahierende ZIP-Dateien extrahieren lässt sich eine verweigerte ausführbare Datei, bei der er sich um eine selbstextrahierende ZIP-Datei handelt, mit ZIP Extractor dekomprimieren. Ist diese Option deaktiviert (Standardeinstellung), unterliegt die Datei der normalen Regelverarbeitung, wenngleich sie eine ausführbare Datei ist. Nachdem der Inhalt extrahiert wurde, unterliegt der ausführbare Inhalt weiterhin der normalen Prüfung auf vertrauenswürdigen Besitz. Die Ausführung des Inhalts wird verhindert, wenn es sich beim Benutzer nicht um einen vertrauenswürdigen Besitzer handelt. Dies ist sinnvoll für Szenarien, in denen eine selbstextrahierende ZIP-Datei nicht ausführbaren Inhalt enthält, etwa ein Dokument, das der Benutzer benötigt. Diese Option ist standardmäßig deaktiviert und die selbstextrahierende ZIP-Datei wird wie eine normale ausführbare Datei behandelt. Ihre Ausführung (d. h. das Extrahieren ihres Inhalts) kann entsprechend der normalen Regelverarbeitung verhindert werden. |
Einschränkungen bei Active Setup ignorieren |
Standardmäßig unterlegen alle Anwendungen, die beim Active Setup ausgeführt werden, den Application Control-Regeln. Wählen Sie diese Option aus, um diese Anwendungen in der Active Setup-Phase von den Regelprüfungen auszunehmen. |
Dateien auf entfernbaren Medien verweigern |
Deaktivieren Sie diese Option, um die Einschränkungen für entfernbare Medien aufzuheben. Entfernbare Medien sind diejenigen, die durch den Aufruf "GetDriveType" als solche bestimmt werden. Aufgrund der Beschaffenheit entfernbarer Medien kann sich der Laufwerkbuchstabe ändern, je nachdem, wie der Endpunkt eingerichtet ist. Beispiel: Auf einem Computer kann das Laufwerk für entfernbare Medien E: lauten, während es auf einem anderen Computer F: heißt. |
Dateien auf Netzwerkfreigaben verweigern |
Der Konfigurationsstandard für Netzwerkfreigaben ist eine Zulassungsliste. Das heißt, dass alles auf der Netzwerkfreigabe verweigert wird, was nicht explizit in der Liste Zulässige Elemente angegeben ist. Deaktivieren Sie diese Option, um die Konfiguration auf die Verweigerungsliste zu setzen, sodass alle Elemente der Netzwerkfreigabe zulässig sind, es sei denn, sie bestehen die Prüfung auf vertrauenswürdigen Besitz nicht oder sind in einer Liste vom Typ Verweigerte Elemente enthalten. |
Validierung
In der nachfolgenden Tabelle sind die Validierungsoptionen mit ihrer jeweiligen Beschreibung aufgeführt.
Option |
Beschreibung |
---|---|
Systemprozesse validieren |
Wählen Sie diese Option aus, um alle Dateien zu validieren, die vom Systembenutzer ausgeführt werden. Die Aktivierung dieser Option wird nicht empfohlen. Da sich bei Aktivierung das Validierungsvolumen auf dem Endpunktcomputer erhöhen würde, könnte es sein, dass die Ausführung wichtiger Anwendungen blockiert wird. Wenn diese Option ausgewählt ist, werden alle durch das System gestarteten ausführbaren Dateien der Regelvalidierung unterzogen. |
WSH-Skripte validieren (Windows Script Host) |
Wenn diese Option ausgewählt ist, werden alle Befehlszeileninhalte von Skripten, die mit "wscript" oder "cscript" ausgeführt wurden, der Regelvalidierung unterzogen. Über Skripte können Viren und bösartige Codes eingeschleust werden. Es wird empfohlen, WSH-Skripte zu validieren. |
MSI-Pakete validieren (Windows Installer) |
MSI-Dateien sind die Standardmethode für das Installieren von Windows-Anwendungen. Es wird empfohlen, Benutzern die eigenständige Installation von MSI-Anwendungen nicht zu erlauben. Wenn diese Option ausgewählt ist, werden alle MSI-Dateien der Regelvalidierung unterzogen. Ist diese Option deaktiviert, wird nur das Windows-Installationsprogramm "msiexec.exe" selbst von der Application Control-Regelverarbeitung validiert, jedoch nicht die MSI-Datei, die über das Programm ausgeführt werden soll. |
Registrierungsdateien validieren |
Wählen Sie diese Option aus, um die Regelvalidierung für "regedit.exe" und "regini.exe" zu aktivieren. Ist diese Option deaktiviert, werden "regedit.exe" und "regini.exe" nicht mehr standardmäßig blockiert. Darüber hinaus werden das .reg-Skript und die von ihm auszuführenden Dateien "regedit.exe" und "regini.exe" nicht mehr durch die Application Control-Regelverarbeitung validiert. Es wird davon abgeraten, Benutzern den Zugriff auf die Registrierung oder die Registrierungsdateien zu erlauben. |
PowerShell-Skripte validieren |
Wenn diese Option aktiviert ist, werden die Dateien "powershell.exe" und "powershell_ise.exe" verweigert. Wird jedoch ein PowerShell-Skript (PS1-Datei) in der Befehlszeile gefunden, wird sie einer vollständigen Regelprüfung unterzogen, um festzustellen, ob sie für erweiterte Rechte konfiguriert, zulässig oder verweigert ist. |
Java-Archive validieren |
Wenn diese Option aktiviert ist, werden die Dateien "java.exe" und "javaw.exe" verweigert. Wird jedoch ein Java-Archiv (JAR-Datei) in der Befehlszeile gefunden, wird sie einer vollständigen Regelprüfung unterzogen, um festzustellen, ob sie zulässig oder verweigert ist. |
Beenden der Anwendung
Beenden der Anwendung ist eine Funktion, mit der Sie Trigger und Verhaltensweisen für das Beenden von Anwendungen auf verwalteten Endpunkten steuern können. Sie können Anwendungen ordnungsgemäß beenden, sodass der Benutzer seine Arbeit vor dem Schließen speichern kann, oder aber das Beenden erzwingen.
Beenden der Anwendung ist standardmäßig deaktiviert. Wählen Sie zum Aktivieren der Funktion die Option Beenden der Anwendung aktivieren unter Konfigurationseinstellungen > Kontrolle ausführbarer Dateien > Beenden der Anwendung (Registerkarte) aus.
Folgende Trigger gibt es für das Beenden einer Anwendung:
- Eine neue Konfiguration wird angewendet.
- Die IP-Adresse des Computers ändert sich.
- Das verbundene Gerät ändert sich.
Wird ein Trigger aktiviert, werden Prozesse mit den Regeln abgeglichen, um zu bestimmen, ob eine Anwendung beendet werden muss. Regeln der Sicherheitsstufen "Selbstautorisierung" und "Nur prüfen" werden nicht geprüft, da Selbstautorisierungsregeln dem Benutzer Ermessensfreiheit gegenüber Application Control einräumen und Nur prüfen-Regeln Application Control Control nicht anwenden.
Konfigurieren von Triggern für das Beenden der Anwendung
Option |
Beschreibung |
---|---|
Konfiguration übernommen |
Wählen Sie diese Option aus, um eine Anwendung entsprechend der angewendeten Konfiguration zu beenden. |
Computer-IP-Adresse geändert |
Wählen Sie diese Option aus, um eine Anwendung zu beenden, wenn sich die IP-Adresse des Computers ändert, z. B. bei einem Wechsel von einer sicheren Umgebung in eine unsichere. Siehe Beispiel. |
Änderung des Verbindungsgerätes |
Wählen Sie diese Option aus, um eine Anwendung zu beenden, wenn sich ein anderes Gerät verbindet, z. B. wenn innerhalb einer Sitzung von einem Desktop auf einen Laptop gewechselt wird. |
Beispiel für Computer-IP-Adresse geändert
Verwenden Sie Beenden der Anwendung, um eine Anwendung zu beenden, nachdem sich die IP-Adresse des Computers geändert hat. Etwa, wenn die IP-Adresse außerhalb des IP-Bereichs des Unternehmens liegt.
- Aktivieren Sie die Funktion Beenden der Anwendung unter Konfigurationseinstellungen > Kontrolle ausführbarer Dateien > Beenden der Anwendung (Registerkarte).
- Wählen Sie die Option Änderung der Computer IP-Adresse aus.
- Definieren Sie, welche der folgenden Aktionen beim Beenden durchgeführt werden sollen:
- Initiale Warnmeldung anzeigen
- Anwendung schließen
- Anwendung beenden
Sie können alle drei Optionen auswählen sowie eine Wartezeit von bis zu 120 Sekunden zwischen den einzelnen Aktionen angeben.
In diesem Schritt wird der IP-Adressbereich eingerichtet, der für das Arbeiten im Büro zulässig ist.
- Wählen Sie im Navigationsbereich den Knoten Regelsätze aus.
- Wählen Sie Gerät aus und klicken Sie mit der rechten Maustaste, um das Kontextmenü aufzurufen.
- Wählen Sie Geräteregelsatz hinzufügen aus.
Unter dem Knoten Gerät wird ein untergeordneter Knoten angelegt. - Klicken Sie auf den neuen Knoten, um ihn umzubenennen, oder markieren Sie ihn, klicken Sie mit der rechten Maustaste und wählen Sie Umbenennen aus.
- Geben Sie einen aussagekräftigen Namen ein, z. B. Im Büro.
- Klicken Sie mit der rechten Maustaste in den Arbeitsbereich und fügen Sie dem Regelsatz ein Gerät hinzu. Wählen Sie Hostname oder IP-Adresse aus.
- Das Dialogfeld Clientgerät hinzufügen wird angezeigt.
- Geben Sie einen zulässigen IP-Adressbereich ein und klicken Sie auf Hinzufügen.
In diesem Schritt wird der nicht zulässige IP-Adressbereich eingerichtet, z. B. wenn ein VPN von einem anderen Standort aus verwendet wird.
- Führen Sie die in Schritt 2 erläuterten Schritte zum Erstellen eines neuen Geräteregelsatzes durch.
- Geben Sie einen aussagekräftigen Namen ein, z. B. Außerhalb vom Büro.
- Klicken Sie mit der rechten Maustaste in den Arbeitsbereich und wählen Sie Clientgerät hinzufügen aus.
- Das Dialogfeld Clientgerät hinzufügen wird angezeigt.
Führen Sie eine der folgenden Aktionen durch:
- Geben Sie den nicht zulässigen IP-Adressbereich ein.
- Geben Sie *.*.*.* ein, um alle anderen IP-Adressen zu implizieren.
- Klicken Sie auf Hinzufügen.
Klicken Sie auf Speichern, um die Konfiguration zu speichern.
Konfigurieren der Aktionen beim Beenden der Anwendung
Option |
Beschreibung |
---|---|
Initiale Warnmeldung anzeigen |
Zeigt eine erste Warnmeldung an, die den Benutzer darauf hinweist, dass die verweigerte Anwendung geschlossen wird und dass etwaige Arbeit gespeichert werden sollte. Die Wartezeit kann mithilfe der Option Warten auf ... (in Sekunden) konfiguriert werden. Verwenden Sie diese in Verbindung mit den Optionen Anwendung schließen/Anwendung beenden. Wird sie nicht in Verbindung mit diesen Optionen verwendet, wird eine Meldung angezeigt und die verweigerte Anwendung wird nicht geschlossen. |
Anwendung schließen |
Schließt die Anwendung im Anschluss an die initiale Warnmeldung und ermöglicht es dem Benutzer, seine Arbeit zu speichern. |
Anwendung beenden |
Die verweigerte Anwendung wird beendet, ohne dass dem Benutzer eine Warnmeldung angezeigt wird. |
Sekundenintervall zwischen den einzelnen Aktionen |
Legt die Wartezeit in Sekunden zwischen den einzelnen Aktionen fest sowie zwischen dem Schließen und Beenden einer Anwendung. Das maximale Intervall beträgt 120 Sekunden. |
Zugriffszeiten
Hat eine Anwendung die zulässige Zugriffszeit überschritten, können Sie festlegen, welche Aktion durchgeführt werden soll. Sie können beispielsweise bestimmen, ob dem Benutzer vor dem Schließen Zeit gelassen werden soll, seine Arbeit zu speichern, oder ob die Anwendung unmittelbar nach der Warnung geschlossen werden soll. Folgende Optionen sind verfügbar:
Initiale Warnmeldung anzeigen – Wählen Sie diese Option aus, damit dem Benutzer eine erste Warnmeldung angezeigt wird, wenn eine Anwendung das festgelegte Zeitlimit überschritten hat. In der Regel hat der Benutzer Zeit, seine Arbeit zu speichern und die Anwendung zu schließen. Verwenden Sie die Option in Verbindung mit den Optionen "Anwendung schließen" und "Anwendung beenden". Wird sie nicht in Verbindung mit diesen Optionen verwendet, wird lediglich eine Meldung angezeigt, aber die Anwendung wird nicht geschlossen.
Anwendung schließen – Wählen Sie diese Option aus, um eine Schließmeldung an die Anwendung zu senden. Die meisten Anwendungen geben dem Benutzer beim Empfang einer solchen Schließmeldung genügend Zeit, seine Arbeit zu speichern. Wählen Sie diese Option zusammen mit der Option Initiale Warnmeldung anzeigen aus.
Anwendung beenden – Die Anwendung wird geschlossen, ohne dem Benutzer Gelegenheit zu geben, seine Arbeit zu speichern. In der Regel wird dies verwendet, wenn eine Schließmeldung an die Anwendung gesendet, diese jedoch nicht beendet werden konnte. Sie können die Option Initiale Warnmeldung anzeigen optional aktivieren, die Anwendung wird jedoch in jedem Fall beendet.
Sekundenintervall zwischen den einzelnen Aktionen – Geben Sie die Anzahl der Sekunden an, die zwischen den ausgewählten Beendigungsoptionen gewartet werden soll. Beispiel: Wenn der Benutzer alle drei Beendigungsoptionen auswählt und 20 Sekunden festlegt, wird zuerst die Warnmeldung angezeigt, nach 20 Sekunden die Schließmeldung und nach 20 weiteren Sekunden wird die Anwendung beendet. Die Standardeinstellung ist 60 Sekunden.
Zugriffszeiten können für Zulässige Elemente vom Typ Datei, Ordner und Datei-Hash angegeben werden.
Verwandte Themen
Wissenswertes über die Kontrolle ausführbarer Dateien