Hilfe zu Endpunktsicherheit
Dieses Dialogfeld (Extras > Konfiguration > Agenteneinstellungen > Endpunktsicherheit) verwenden Sie zum Erstellen und Bearbeiten von Einstellungen für die Endpunktsicherheit.
Dieses Dialogfeld umfasst die folgende Seiten:
- Informationen zur Seite "Endpunktsicherheit: Allgemeine Einstellungen"
- Informationen zur Seite "Endpunktsicherheit: Digitale Signaturen"
- Informationen zur Seite "Endpunktsicherheit: Standardrichtlinie
- Informationen zur Seite "Endpunktsicherheit: Seite "Überwachte Ordner"
- Informationen zur Seite "Endpunktsicherheit: Zwischenpatchen"
- Informationen zur Seite „Endpunktsicherheit: Automatische Reparatur“
- Informationen zur Seite „Endpunktsicherheit: Automatische Reparatur: Trigger“
- Informationen zur Seite „Endpunktsicherheit: Automatische Reparatur: Aktionen“
- Informationen zur Seite "Erweiterte Endpunktsicherheit"
- Informationen zur Seite "Endpunktsicherheit: Vertrauenswürdige Ordner"
- Informationen zur Seite "Endpunktsicherheit: Digitale Signaturen"
- Informationen zur Seite "Endpunktsicherheit: Standardrichtlinie
Informationen zur Seite "Endpunktsicherheit: Allgemeine Einstellungen"
Diese Seite verwenden Sie für die Konfiguration der Standorterkennung (vertrauenswürdiges Netzwerk) und anderen Zugriffseinstellungen.
- Name: Kennzeichnet die Einstellungen mit einem eindeutigen Namen.
- Administrator: Angabe von Administratorkennwort und Optionen.
- Ein Kennwort für den Administrator verwenden: Gibt das Kennwort an, das auf mit diesen Einstellungen für die Endpunktsicherheit konfigurierten Geräten erforderlich ist, um bestimmte Aktionen auf dem geschützten Gerät ausführen zu können.
- Windows Service Control Manager darf den Dienst "Endpoint Security" stoppen: Benutzer können den Dienst "Endpoint Security" auf dem Client stoppen.
- Clientoberfläche: Gibt an, wie der Client für die Endpunktsicherheit auf verwalteten Geräten angezeigt wird.
- Symbol im Infobereich der Taskleiste anzeigen: Blendet das Infobereichsymbol in der Clientschnittstelle ein.
- Infosymbole für Verstöße einblenden: Zeigt eine Meldung auf dem Endbenutzergerät an, wenn eine gesperrte Operation auftritt.
- Startmenü-Shortcut in der Gruppe Ivanti Management anzeigen: Zeigt ein Programmsymbol für den Endpunktsicherheit-Client im Startmenü an (Start > Programme > Ivanti Management).
- Speichern: Speichert die Änderungen und schließt das Dialogfeld.
Informationen zur Seite "Endpunktsicherheit: Digitale Signaturen"
Auf dieser Seite können Sie vertrauenswürdige digital signierte Anwendungen und Anbieter anzeigen und verwalten.
- Digital signierten Anwendungen nicht vertrauen: Digital signierten Anwendungen soll nicht automatisch vertraut werden. Die Aktivierung dieser Option deaktiviert die übrigen Optionen des Dialogfelds.
- Allen signierten Anwendungen vertrauen: Digital signierten Anwendungen soll automatisch vertraut werden. Nutzen Sie diese Option mit Vorsicht. Auch wenn eine digitale Signatur ein gewisses Maß an Vertrauenswürdigkeit impliziert, wird dadurch nicht garantiert, dass eine Anwendung in Ihrer Umgebung zugelassen werden sollte.
- Digital signierten Anwendungen von diesen Anbietern vertrauen: Nur den digital signierten Anwendungen der von Ihnen angegebenen Anbieter soll vertraut werden. Eine Liste einiger seriöser Anbieter ist standardmäßig in der Liste Vertrauenswürdige Anbieter enthalten. Mithilfe der Schaltflächen unterhalb der Liste können Sie die Liste ändern.
- Erkannte Anbieter: Anbieter, die vom Softwareinventarscanner auf verwalteten Geräten gefunden wurden.
- Vertrauenswürdige Anbieter: Namen der vertrauenswürdigen Anbieter. Durch Platzhalter können Sie sicherstellen, dass die Anbieternamen auch mit Variationen des Namens übereinstimmen, die in den digital signierten Anwendungen des Anbieters vorkommen.
- Hinzufügen, Bearbeiten und Löschen: Hiermit können Sie die Anbieternamen in der Anbieterliste verwalten.
Informationen zur Seite "Endpunktsicherheit: Standardrichtlinie
Auf dieser Seite konfigurieren Sie, welche Sicherheitskomponenten aktiviert werden sollen und welche Einstellung für die einzelnen Komponenten verwendet werden soll. Einige Optionen auf dieser Seite sind nur verfügbar, wenn Sie vorher bestimmte Komponenten installieren, z. B. Programmkontrolle.
Komponenten: Wählen Sie die bereitzustellenden Komponenten aus sowie die für die einzelnen Komponenten gewünschte Agenteneinstellung.
- Programmkontrolle: Weitere Informationen finden Sie unter Programmkontrolle – Übersicht.
- Berechtigungsverwaltung: Weitere Informationen finden Sie unter Environment Manager.
- Ivanti Firewall: Weitere Einstellungen finden Sie unter Konfigurieren der Ivanti Firewalleinstellungen.
- Gerätesteuerung: Weitere Informationen finden Sie unter Gerätesteuerung – Übersicht.
- Liste der AnwendungsdateienSie können diese Liste bearbeiten, wenn Sie die Komponente Programmkontrolle oder Ivanti Firewall ausgewählt haben. Mithilfe der Liste der Anwendungsdateien lässt sich sicherstellen, dass die Dateien im Dateisystem eines Geräts keine Malware sind und auch nicht manipuliert wurden. Weitere Informationen hierzu finden Sie unter Verwenden der Dateireputation zum Einschränken von Anwendungen.
Informationen zur Seite "Endpunktsicherheit: Seite "Überwachte Ordner"
In diesem Dialogfeld geben Sie die Ordnerpfade auf verwalteten Geräten an, die überwacht werden sollen. Alle Dateien und untergeordneten Ordner in einem überwachten Ordner werden überwacht. Im Bereich Programmkontrolle der Sicherheitsaktivitätentools (Extras > Sicherheit und Compliance > Sicherheitsaktivität) können Sie die Meldungen zu den überwachten Ordnern anzeigen. Falls Aktionen der Endpunktsicherheit Ihrer Aufmerksamkeit bedürfen, sehen Sie auch eine Meldung, sobald Sie sich bei der Endpoint Manager Konsole anmelden.
Klicken Sie auf Hinzufügen und geben Sie einen Ordnerpfad, die Dateimuster, Ausschlüsse und Dateiaktivitäten an, die überwacht werden sollen.
Informationen zur Seite "Endpunktsicherheit: Zwischenpatchen"
Auf dieser Seite konfigurieren Sie, wie Endpoint Security mit Webbrowsern umgeht, die nicht über die aktuellsten Patches verfügen.
In einigen Fällen bewirken bestimmte Browserpatches, dass wichtige webbasierte Geschäftsanwendungen, die innerhalb des Browsers ausgeführt werden, nicht wie erwartet funktionieren. Ist dies der Fall, führen einige Administratoren ein Rollback des Patches durch, sodass die webbasierten Geschäftsanwendungen wieder funktionieren.
Mithilfe der Funktion für Zwischenpatchen verhindern Sie, dass ungepatchte Browser auf nicht vertrauenswürdige Sites im Internet zugreifen. Ungepatchte Browser sind ein einfaches Ziel für die Infizierung mit Malware. Wenn diese Funktion aktiviert ist, ermittelt Endpoint Security automatisch Browser, die nicht über die neuesten Patches verfügen, und verhindert, dass diese auf Websites zugreifen, die nicht in der Liste Vertrauenswürdige Websites als vertrauenswürdig konfiguriert sind. Dadurch wird sichergestellt, dass Benutzer den ungepatchten Browser nur für den Zugriff auf vertrauenswürdige Websites verwenden können.
- Anwendungen, die auf fehlende Patches überwacht werden: Wählen Sie die Browseranwendungen aus, die Sie auf fehlende Patches überwachen möchten.
- Vertrauenswürdige Websites: Fügen Sie diejenigen Websites zur Liste hinzu, auf die Browser Zugriff haben sollen, selbst wenn diesen Browsern bestimmte Patches fehlen. Sie können Elemente nach IP-Adresse, Subnetzadresse oder Hostname hinzufügen. Überwachte ungepatchte Browser haben nur Zugriff auf die in dieser Liste aufgeführten Websites.
Informationen zur Seite „Endpunktsicherheit: Automatische Reparatur“
Ab Ivanti Endpoint Management 2017.3 bietet Ivanti Software eine neue Endpunktsicherheitsfunktion mit der Bezeichnung „Automatische Reparatur“. Diese Aktion kann durch Malware, Ransomware und durch die API ausgelöst werden.
Die Seiten in diesem Abschnitt konfigurieren die automatische Reparatur bei Malware und Ransomware. Automatische Reparatur ist gemäß Voreinstellung deaktiviert. Sie müssen auf Aktivieren auf der Seite Automatische Reparatur klicken, wenn Sie die Automatische Reparatur aktivieren möchten, und die Seiten Trigger und Aktionen konfigurieren.
Für einen verstärkten Ransomware-Schutz stehen in den Agenteneinstellungen der Programmkontrolle zwei Optionen zur Verfügung. Diese befinden sich unter Sicherheit > Endpunktsicherheit > Programmkontrolle und lauten Zugriff auf physische Laufwerke beschränken und Crypto-Ransomware automatisch erkennen und in Blacklist verschieben.
Informationen zur Seite „Endpunktsicherheit: Automatische Reparatur: Trigger“
Endpunktsicherheit überwacht Protokolldateien in Echtzeit, die durch gängige AntiVirus-Software-Produkte angelegt werden. Wenn diese Produkte Malware erkennen, schreiben sie Einträge in ihre Protokolldatei. Allerdings bezeichnen verschiedene Hersteller Malware mit unterschiedlichen Namen. Daher müssen Sie erkennen, wie Ihr Antivirus-Hersteller die von Ihnen angepeilte Malware protokolliert. In den folgenden Links zu Herstellern finden Sie Schlagwörter.
• Kaspersky - A Malware Classification
• Symantec - Schadcode-Klassifizierungen und Bedrohungstypen
• McAfee - Threat Library Search Results
• Trend Micro - Virus/Malware
• Sophos - Advanced Targeted Malware Security | Sophos ATP for Corporate Networks and Network Threats
Sie können eine durch Kommas getrennte Liste von Schlagwörtern in die Seite Triggers eingeben. Wenn eines dieser Schlagwörter im Antivirus-Protokoll erkannt wird, dann wird die automatische Reparatur ausgelöst und die durch Sie konfigurierten Aktionen werden ausgeführt.
Derzeit werden die folgenden Antivirus-Produkte unterstützt:
- Ivanti Antivirus 2017.3 (Kaspersky Endpoint Security for Windows 10.0 SP1)
- Symantec Endpoint Protection 14
- McAfee VirusScan Enterprise 8.8
- Trend Micro OfficeScan Client 5.0
- Sophos Anti-Virus 5.8
Bei Auslösung sendet die Automatische Reparatur automatisch
- Auslösung durch Malware: Wählen Sie diese Option, wenn Stichwörter im Antivirus-Protokoll die automatische Reparatur auslösen sollen.
- Schlagwörter (durch Kommas getrennt): Geben Sie von Ihrem Antivirus-Produkt verwendeten Schlagwörter an.
- Durch Ransomware ausgelöst: Wählen Sie diese Option, wenn die Ransomware die automatische Reparatur auslösen soll.
- Durch API ausgelöst: In diesem Dokument der Ivanti Community finden Sie weitere Informationen zu diesem Thema.
Informationen zur Seite „Endpunktsicherheit: Automatische Reparatur: Aktionen“
Die Aktionen auf dieser Seite werden durchgeführt. Wenn die von Ihnen auf der Seite Triggers angegebenen Kriterien erfüllt sind.
- Gerät vom Netzwerk isolieren, aber Fernverwaltung zulassen Verwendet die Ivanti Firewall zur Isolierung des Geräts von sämtlichem Datenverkehr, außer dem Verwaltungsdatenverkehr aus der Ivanti Console. Remotesteuerung, Softwareverteilung etc. funktionieren dann noch.
- Herunterfahren oder Neustart: Erzwingt ein Herunterfahren oder einen Neustart. Sie können eine Meldung anbieten, die der Benutzer sieht, während dies geschieht, aber er wird das Herunterfahren oder den Neustart nicht aufschieben oder unterbrechen können.
- Sicherheitsscan ausführen: Führt einen Sicherheitsscan auf der Basis der von Ihnen angegebenen Einstellungen für Verteilung und Patch aus.
- Paket bereitstellen: Stellt ein von Ihnen angegebenes Paket bereit. Dies könnte ein sekundäres Reparaturtool sein, etwa ein Malwarebytes-Produkt.
Informationen zur Seite "Erweiterte Endpunktsicherheit"
In diesem Dialogfeld konfigurieren Sie erweiterte Sicherheitsoptionen.
- Generieren von Sicherheitsautorisierungscodes zulassen: Erstellen Sie einen Autorisierungscode, der es einem Endbenutzer gestattet, einen blockierten Vorgang für eine kurze Zeitspanne auszuführen. Weitere Informationen finden Sie unter Generieren von Sicherheitsautorisierungscodes.
- Der Windows-Dienststeuerungsmanager darf Ivanti Endpoint Security stoppen: Normalerweise können Benutzer Ivanti Endpoint Security nicht mit dem Windows-Dienststeuerungsmanager stoppen. Wählen Sie diese Option aus, wenn Sie möchten, dass Benutzer den Dienst stoppen können.
- Ivanti Endpoint Security-Schutz durchsetzen, während der abgesicherte Modus aktiv ist Normalerweise deaktiviert der abgesicherte Modus in Windows den Dienst Endpoint Security. Wählen Sie diese Option aus, wenn Sie möchten, dass Endpoint Security auch im abgesicherten Modus aktiv ist.
- Globale Hotkeys: Gibt die Hotkey-Shortcuts an, die für bestimmte Endpunktsicherheitsfunktionen verwendet werden.
- Hotkey zur Umgehung der Gerätesteuerung: Hier können Sie eine Hotkey-Sequenz definieren, mit der Sie temporär Zugriff auf ein blockiertes Gerät erhalten. Der Standard-Hotkey ist Strg+Umschalt+F1. Um die gewünschte Hotkey-Sequenz einzugeben, setzen Sie den Cursor in das Textfeld und drücken (und halten) die Tasten in der gewünschten Reihenfolge.
- Mehr Benachrichtigungen für Endbenutzer bereitstellen
- Änderungen an Ivanti Dateien verhindern
Informationen zur Seite "Endpunktsicherheit: Vertrauenswürdige Ordner"
In diesem Dialogfeld geben Sie die Ordnerpfade auf verwalteten Geräten an, die als vertrauenswürdig gelten sollen.
Klicken Sie auf Hinzufügen und geben Sie einen Ordnerpfad und die Rechte an, die der Ordner einschließlich aller untergeordneten Ordner erhalten soll.
Informationen zur Seite "Erweiterte Endpunktsicherheit: Digitale Signaturen"
Auf dieser Seite können Sie vertrauenswürdige digital signierte Anwendungen und Anbieter anzeigen und verwalten.
- Digital signierten Anwendungen nicht vertrauen: Digital signierten Anwendungen soll nicht automatisch vertraut werden. Die Aktivierung dieser Option deaktiviert die übrigen Optionen des Dialogfelds.
- Allen signierten Anwendungen vertrauen: Digital signierten Anwendungen soll automatisch vertraut werden. Nutzen Sie diese Option mit Vorsicht. Auch wenn eine digitale Signatur ein gewisses Maß an Vertrauenswürdigkeit impliziert, wird dadurch nicht garantiert, dass eine Anwendung in Ihrer Umgebung zugelassen werden sollte.
- Digital signierten Anwendungen von diesen Anbietern vertrauen: Nur den digital signierten Anwendungen der von Ihnen angegebenen Anbieter soll vertraut werden. Eine Liste einiger seriöser Anbieter ist standardmäßig in der Liste Vertrauenswürdige Anbieter enthalten. Mithilfe der Schaltflächen unterhalb der Liste können Sie die Liste ändern.
- Erkannte Anbieter: Anbieter, die vom Softwareinventarscanner auf verwalteten Geräten gefunden wurden.
- Vertrauenswürdige Anbieter: Diese Liste wird rechts neben der Liste der ermittelten Anbieter angezeigt. Sie enthält die verwaltbaren Anbietersignaturen und gibt an, ob diese vertrauenswürdig sind oder nicht. Namen der vertrauenswürdigen Anbieter. Durch Platzhalter können Sie sicherstellen, dass die Anbieternamen auch mit Variationen des Namens übereinstimmen, die in den digital signierten Anwendungen des Anbieters vorkommen.
- Hinzufügen, Bearbeiten und Löschen: Hiermit können Sie die Anbieternamen in der Anbieterliste verwalten.
Informationen zur Seite "Erweiterte Endpunktsicherheit: Liste der Anwendungsdateien"
Sie können diese Liste bearbeiten, wenn Sie die Komponente Programmkontrolle oder Ivanti Firewall ausgewählt haben. Mithilfe der Liste der Anwendungsdateien lässt sich sicherstellen, dass die Dateien im Dateisystem eines Geräts keine Malware sind und auch nicht manipuliert wurden. Weitere Informationen hierzu finden Sie unter Verwenden der Dateireputation zum Einschränken von Anwendungen.
- Listen der Anwendungsdateien: Mithilfe der Schaltflächen "Hinzufügen" und "Bearbeiten" können Sie die Listen der vertrauenswürdigen Dateien konfigurieren, die Sie verwenden möchten.
- Erfassungsliste: Wenn eine Komponente im Erfassungsmodus ist, werden die erfassten Dateiinformationen dieser Liste hinzugefügt.
- Erfassungsaktivität nur zur Erfassungsliste hinzufügen: Aktualisiert nur die von Ihnen angegebene Erfassungsliste.
- Erfassungsaktivität zu jeder Liste hinzufügen, in der dieselbe Datei bereits enthalten ist: Aktualisiert alle Listen vertrauenswürdiger Dateien, in denen bereits ein Eintrag für die erfasste Datei vorhanden ist.
- Durch digitale Signaturen vertrauenswürdige Dateien automatisch zur Liste der Anwendungsdateien hinzufügen: Die Programmkontrolle führt vor dem Ausführen jeder einzelnen Datei Abfragen durch, um zu bestimmen, ob ein digitales Zertifikat vorhanden ist. Verfügt die Datei über ein gültiges digitales Zertifikat, darf sie ausgeführt werden. Beachten Sie, dass alle von LANDesk und Ivanti digital signierten Prozesse unabhängig von dieser Einstellung standardmäßig als vertrauenswürdig gelten. Diese Funktion ist standardmäßig deaktiviert.
- Lokale Liste der Anwendungsdateien aktivieren: Aktiviert eine lokale Liste der Anwendungsdateien auf Computern, die nicht über den Coreserver oder zusätzliche Konsolen verwaltbar ist. Die Bearbeitung der Liste erfordert physischen oder Remotezugriff auf den Computer. Beim Anzeigen einer Dateiliste in Endpoint Security wird in der Spalte Bereich der Wert mit Global oder Lokal angegeben. Diese Funktion ist standardmäßig deaktiviert.