Agenteneinstellungen: Programmkontrolle

Extras > Sicherheit und Compliance > Agenteneinstellungen > Sicherheit > Endpunktsicherheit > Programmkontrolle

Dieses Dialogfeld verwenden Sie zum Erstellen und Bearbeiten der Programmkontrolleinstellung (Konfigurationsdatei) für Endpunktsicherheit (EPS). Beim Erstellen von EPS-Einstellungen definieren Sie zuerst die allgemeinen Anforderungen und Aktionen und fügen dann spezifische Dateizertifizierungen hinzu. Sie können beliebig viele EPS-Einstellungen erstellen und jederzeit bearbeiten.

Wenn Sie die EPS-Standardeinstellungen des Geräts ändern möchten, ohne den EPS-Agenten erneut zu installieren oder erneut eine vollständige Agentenkonfiguration bereitzustellen, sollten Sie die von Ihnen gewünschten Änderungen für Optionen im Dialogfeld "EPS-Einstellungen" vornehmen, die neuen Einstellungen einem Einstellungsänderungs-Task zuordnen und diesen Task dann auf Zielgeräten bereitstellen.

Dieses Dialogfeld umfasst die folgenden Seiten:

Informationen zur Seite "Allgemeine Einstellungen"

Auf dieser Seite können Sie einen Namen für Ihre Programmkontrolle-Einstellung vergeben. Wählen Sie Als Standard festlegen aus, falls dies der Fall sein soll.

Informationen zur Seite "Anwendungsschutz"

Diese Seite verwenden Sie zum Konfigurieren der allgemeinen Schutzeinstellungen und Aktionen für EPS.

  • Anwendungsverhaltensschutz aktivieren: Schaltet den EPS-Schutz ein, sodass alle Programme ausgeführt werden dürfen (es sei denn, der Einsatz eines Programms gefährdet die Systemsicherheit), wie in den vordefinierter Schutzregeln festgelegt. Sie können Programmdateien über Listen vertrauenswürdiger Dateien besondere Rechte einräumen, indem Sie benutzerdefinierte Dateizertifizierungen konfigurieren. Der EPS-Schutz beobachtet das Anwendungsverhalten (ob die Anwendung andere ausführbare Dateien ändern darf, die Registrierung verändern darf usw.) und setzt Sicherheitsregeln durch.
    • Master Boot Record (MBR)-Verschlüsselung verhindern: Blockieren Sie den Zugriff auf den Master Boot Record (MBR), sodass Clients besser vor Ransomware geschützt werden, die den MBR verschlüsselt.
    • Automatische Ermittlung von Krypto-Ransomware und Platzierung auf Negativliste: Der EPS-Agent überwacht das System auf Verschlüsselungsprozesse. Falls welche erkannt werden, werden diese gestoppt, vom Startvorgang entfernt und der Negativliste hinzugefügt. EPS erkennt Verschlüsselungsprozesse schnellstmöglich, doch es ist wahrscheinlich, dass einige Dateien verschlüsselt werden, bevor der Prozess beendet werden kann. Wir empfehlen Ihnen den Einsatz von Dateischutzregeln, um Dateien vor einer Verschlüsselung durch Ransomware zu schützen.

Informationen zur Seite "Anwendungsschutz: Dateischutzregeln"

Diese Seite verwenden Sie zum Anzeigen, Verwalten und Priorisieren von Dateischutzregeln. Dateischutzregeln sind Beschränkungen, die bestimmte Ausführungsdateien daran hindern, gewisse Aktionen auf angegebenen Dateien durchzuführen. Sie können mit Dateischutzregeln Zugriff, Änderung, Erstellung und Ausführung jedes Programms oder jeder Datei zulassen oder verweigern.

Folgende Regeln sind standardmäßig aktiviert:

  • Verschlüsselung von Word-, PowerPoint- und Excel-Dateien durch Ransomware verhindern: Wenn diese Option aktiviert ist, erlaubt Endpoint Security lediglich Word-, PowerPoint- und Excel-Prozessen das Modifizieren von Word-, PowerPoint- und Excel-Dateien (Benutzer können diese Dateien weiterhin kopieren/einfügen). Wird auf dem Endpunkt Ransomware ausgeführt, kann diese diese Dateitypen nicht verschlüsseln. Bei einem Angriff durch Ransomware kann der Administrator per Remotesteuerung auf das infizierte Gerät zugreifen und die unberührten Dokumente an einen sicheren Ort kopieren. Dadurch wird eine schnellere Wiederherstellung gewährleistet, da der Benutzer auf die neueste Version seiner Dateien zugreifen kann, ohne dass diese über eine alte Sicherungskopie wiederhergestellt werden müssen.
  • Ausführung von Skripten über Word, PowerPoint oder Excel verhindern: Eine gängige Methode zum Infizieren eines Endpunktes besteht darin, den Benutzer dazu zu bewegen, ein Makro innerhalb eines Word- oder Excel-Dokuments auszuführen. In den meisten Fällen führt das Makro ein PowerShell- oder sonstiges Skript aus, mit dem Malware auf das Gerät heruntergeladen wird. Wenn diese Funktion aktiviert ist, verhindert Endpoint Security, dass Makros PowerShell-, Visual Basic- und andere Skripte starten können. Führt also der Benutzer ein Makro aus, mit dem ein Skript gestartet werden soll, wird dieses Skript nicht ausgeführt, sodass auch keine Malware heruntergeladen und ausgeführt werden kann. Das Makro selbst wird weiterhin ausgeführt.

Folgende zusätzliche Optionen sind auf dieser Seite verfügbar:

  • Schutzregeln: Führt alle von Ivanti vordefinierten (Standard) Dateischutzregeln auf, sowie alle von Ihnen erstellten Dateischutzregeln.
    • Regelname: Bezeichnet die Dateischutzregel.
    • Beschränkungen: Zeigt die spezifischen Aktionen von Programmen in Dateien an, die durch eine Dateischutzregel geschützt sind.
    • Programme: Zeigt die Ausführungsprogramme an, die von der Schutzregel geschützt werden.
  • Nach oben \ unten: Bestimmt die Priorität der Dateischutzregel. Eine Dateischutzregel, die an höherer Stelle auf der Liste steht, hat Vorrang vor einer Regel, die weiter unten steht. Sie können z. B. eine Regel erstellen, die verhindert, dass ein Programm auf eine bestimmte Datei oder Dateiart zugreifen oder sie ändern kann, dann jedoch noch eine weitere Regel erstellen, die eine Ausnahme zu dieser Beschränkung für ein oder mehrere angegebene Programme bildet. Solange die zweite Regel an höherer Stelle auf der Regelliste steht, ist sie wirksam.
  • Zurücksetzen: Stellt von Ivanti vordefinierte (Standard) Dateischutzregeln wieder her.
  • Hinzufügen: Öffnet das Dialogfeld "Dateischutzregel konfigurieren", in dem Sie Programme und Dateien hinzufügen und entfernen sowie Beschränkungen angeben können.
  • Bearbeiten: Öffnet das Dialogfeld "Dateischutzregel konfigurieren", in dem Sie eine bestehende Dateischutzregel bearbeiten können.
  • Löschen: Entfernt die Dateischutzregel aus der Coredatenbank.

NOTE: Dateischutzregeln werden in der Datei FILEWALL.XML gespeichert, die Sie hier finden: Programme\Landesk\ManagementSuite\ldlogon\AgentBehaviors\EPS_Behavior.ZIP

Informationen zur Seite "Anwendungsschutz: Erweitert und Auf Positivliste setzen: Erweitert"

Diese Seite verwenden Sie zur Konfiguration des Betriebsmodus für den EPS-Schutz.

  • Anwendungsverhalten-Modus: Legt das Schutzverhalten bei aktiviertem EPS-Schutz fest. Wählen Sie eine der folgenden Betriebsarten:
    • Blockierung: Sicherheitsverletzungen werden blockiert UND in einer Aktionsverlaufsdatei auf dem Coreserver aufgezeichnet.
    • Erfassung: Alle Sicherheitsverstöße sind zulässig, aber das Anwendungsverhalten wird beobachtet ("erfasst") und diese Informationen werden in Form einer Liste der vertrauenswürdigen Dateien an die Coredatenbank zurückgesendet. Verwenden Sie diesen Modus zum Erkennen des Anwendungsverhaltens auf einem bestimmten Gerät oder einer Gerätegruppe und nutzen Sie diese Informationen dann zur Erstellung benutzerdefinierter EPS-Richtlinien, bevor Sie diese bereitstellen und den EPS-Schutz im Netzwerk durchsetzen.
    • Nur protokollieren: Sicherheitsverletzungen sind zulässig UND werden in einer Aktionsverlaufsdatei auf dem Coreserver aufgezeichnet.
    • Lautlos: Sicherheitsverletzungen werden blockiert und NICHT in einer Aktionsverlaufsdatei auf dem Coreserver aufgezeichnet.

Informationen zur Seite "Auf Positivliste setzen"

  • Positivlistenschutz aktivieren: Nur Anwendungen, die in einer Liste mit vertrauenswürdigen Dateien enthalten sind und bei denen in der Dateizertifizierung die Option "Ausführung zulassen" aktiviert ist, dürfen ausgeführt werden.
  • Verhindern, dass Windows Explorer ausführbaren Dateien ändert oder löscht: Aktivieren Sie diese Option, wenn Sie nicht möchten, dass Windows ausführbare Dateien ändert oder löscht.
  • Dateien mit guter Reputation so behandeln, als wären sie in der Liste der vertrauenswürdigen Dateien enthalten: Dateien, die sich in der von Ivanti gehosteten Datenbank der als unschädlich bekannten Dateien befinden, wird automatisch vertraut. Weitere Informationen hierzu finden Sie unter Verwenden der Dateireputation zum Einschränken von Anwendungen.
  • Dateien mit schlechter Reputation so behandeln, als wären sie in der Negativliste enthalten: Dateien, die sich in der von Ivanti gehosteten Datenbank der als schädlich bekannten Dateien befinden, wird der Zugriff verweigert.

Informationen zum Dialogfeld "Dateischutzregel konfigurieren"

Auf dieser Seite konfigurieren Sie Dateischutzregeln.

  • Regelname: Bestimmt die Dateischutzregel durch einen beschreibenden Namen.
  • Überwachte Programme:
    • Alle Programme: Gibt an, dass keines der ausführbaren Programme die nachstehend ausgewählten Aktionen für die nachstehend angegebenen Dateien ausführen darf.
    • Benannte Programme: Gibt an, dass die nachfolgend ausgewählten Beschränkungen nur für die ausführbaren Programme in dieser Liste gelten.
    • Anwenden, wenn sich Prozess in Ausführungskette befindet: Programme können andere Programme starten. Wenden Sie die Regel an, falls sich das überwachte Programm in der Ausführungskette befindet, auch wenn dieses nicht das Programm ist, das auf geschützte Dateien zugreift.
    • Vertrauenswürdigen Dateien Umgehung gewähren: Gestattet jedem der ausführbaren Programme auf Ihrer Liste der zertifizierten Dateien, die mit dieser Dateischutzregel verbundenen Beschränkungen zu umgehen.
    • Hinzufügen: Sie können auswählen, welche Programme durch die Dateischutzregel beschränkt werden. Sie können Dateinamen und Platzhalter verwenden.
    • Bearbeiten: Ermöglicht die Änderung des Programmnamens.
    • Löschen: Entfernt das Programm aus der Liste.
  • Geschützte Dateien
    • Jede Datei: Gibt an, dass alle Dateien vor den o.g. Programmen gemäß ihrer Beschränkungen geschützt sind.
    • Benannte Dateien: Gibt an, dass nur die Dateien in der Liste geschützt sind.
    • Hinzufügen: Sie können auswählen, welche Dateien durch die Regel geschützt werden. Sie können Dateinamen oder Platzhalter verwenden.
    • Bearbeiten: Ermöglicht die Änderung des Dateinamens.
    • Löschen: Entfernt die Datei aus der Liste.
    • Auch in Unterverzeichnisse übernehmen: Setzt die Dateischutzregeln in den Unterverzeichnissen eines genannten Verzeichnisses durch.
    • Nur auf Dateien anwenden, die aus dem Internet heruntergeladen wurden: Nur Dateien, die aus dem Internet heruntergeladen wurden, werden über überwachte Programme geschützt.
  • Eingeschränkte Aktionen für geschützte Dateien
    • Schreibgeschützter Zugriff: Verhindert, dass die o. g. Programme auf die geschützten Dateien zugreifen.
    • Änderung: Verhindert, dass die o. g. Programme die geschützte Dateien ändern.
    • Erstellung: Verhindert, dass die o. g. Programme Dateien erstellen.
    • Ausführung: Verhindert, dass die o. g. Programme geschützte Dateien ausführen.