Verwenden der Dateireputation zum Einschränken von Anwendungen

Das Feature "Dateireputation" in "Sicherheit und Compliance" hilft sicherzustellen, dass die Dateien im Dateisystem eines Geräts keine Malware sind und auch nicht manipuliert wurden. Der Verhaltensschutz der Programmkontrolle kann dazu beitragen, verwaltete Geräte zu schützen. Doch selbst bei legitimen Anwendungen können falsche Ergebnisse ausgelöst werden, je nach dem, welche Aktionen diese Anwendungen auszuführen versuchen. Wenn Sie die Dateireputation verwenden, haben Sie die Option, ein separates Verhaltensprofil in der Programmkontrolle für Dateien mit bekannt "guter" Reputation zu erstellen, das die normale, verhaltensbasierte Programmkontrolle umgeht.

Die Dateireputation ist standardmäßig nicht aktiviert. Wenn Sie die Dateireputation aktivieren, werden anonyme Dateireputationsdaten von Dateien auf verwalteten Geräten sicher an den cloudgestützten Ivanti Server für Dateireputation gesendet. Hierdurch wird die Genauigkeit und Abdeckung der Dateireputation für alle Benutzer dieses Features verbessert.

Bei aktivierter Dateireputation überprüft der Agent jedes Mal, wenn das Gerät eine Anwendung ausführt, zunächst eine lokale Datenbank, um herauszufinden, ob die Anwendungsdateien bekannt guten Hashes entsprechen. Liegt keine Übereinstimmung vor, sendet der Agent eine Anforderung mit Daten zu den Dateien an den Coreserver. Der Coreserver prüft, ob in seiner Datenbank bereits Informationen zur Reputation dieser Datei vorliegen. Wenn nicht, sendet der Coreserver eine Anforderung an den cloudgestützten Ivanti Reputation Server. Wenn die Datei-Hashes Ergebnissen in der Cloud entsprechen, gibt der Cloudserver Reputationsinformationen zu den Dateien an den Core und den Client zurück.

Das Dateireputationssystem verwendet eine cloudgehostete Ivanti Datenbank mit Dateiinformationen, die Namen, Dateigrößen, Metadaten und SHA1-Hashes enthalten. Ein großer Teil der Dateireputationsdatenbank stammt aus der National Software Reference Library (NSRL). Nähere Informationen finden Sie auf der Website der NSRL: http://www.nsrl.nist.gov/new.html.

Eine Datei kann eine der folgenden drei Reputationen aufweisen:

Gut: Die Datei stimmt mit einem Eintrag in der NSRL-Datenbank überein oder Ivanti hat aufgrund der gesammelten Informationen hinreichenden Grund zur Annahme, dass die Datei sicher ist.

Schlecht: Die Datei stimmt mit keinem Eintrag in der NSRL-Datenbank überein oder Ivanti hat aufgrund der gesammelten Informationen hinreichenden Grund zur Annahme, dass die Datei nicht sicher ist.

Unentschieden: Es liegen keine Übereinstimmungen für diese Datei vor oder es liegen nicht genügend Übereinstimmungen vor, um eine Entscheidung fällen zu können, ob die Datei gut oder schlecht ist.

Neben weiteren Faktoren berücksichtigt der Algorithmus zur Bestimmung der Dateireputation, wie oft übereinstimmende Dateien vorkommen, wie alt die Übereinstimmungen sind, wer die Dateien signiert hat und wie oft Vorkommnisse in Endpoint Manager zugelassen oder blockiert wurden.

Um die Dateireputationsüberwachung auf verwalteten Geräten verwenden zu können, müssen Sie die folgenden Schritte ausführen:

1.Laden Sie die Ivanti Updates der Dateireputation herunter.

2.Erstellen Sie eine Agenteneinstellung für die Programmkontrolle, die die Dateireputation verwendet.

- Oder -

Nehmen Sie die Reputationsdefinitionen in die Liste der Anwendungsdateien auf.

3.Stellen Sie die aktualisierten Einstellungen für die verwalteten Geräte bereit.

GeschlossenSo laden Sie die Ivanti Updates für die Dateireputation herunter:

1.Klicken Sie auf Extras > Sicherheit und Compliance > Patch und Compliance.

2.Klicken Sie in der Symbolleiste auf die Schaltfläche Updates downloaden.

3.Klicken Sie in der Liste Definitionstypen auf Ivanti Datei-Reputationsupdates.

4.Lesen Sie im Bestätigungsdialogfeld die Bedingungen für die Nutzung des Features "Dateireputation". Wenn Sie mit den Bedingungen einverstanden sind, klicken Sie auf Ich stimme zu. Wenn Sie auf Ich stimme nicht zu klicken, wird die Markierung des Kontrollkästchens Ivanti Datei-Reputationsupdates aufgehoben.

5.Klicken Sie auf die Schaltfläche Jetzt herunterladen oder Übernehmen.

GeschlossenSo nutzen Sie die Dateireputation mit der Programmkontrolle:

1.Klicken Sie auf Extras > Sicherheit und Compliance > Agenteneinstellungen.

2.Klicken Sie in der Struktur unter Agenteneinstellungen > Eigene Agenteneinstellungen > Sicherheit > Endpunktsicherheit mit der rechten Maustaste auf Programmkontrolle und dann auf Neu oder doppelklicken Sie auf eine vorhandene Einstellung.

3.Wählen Sie auf der Seite Allgemeine Einstellungen die Einstellung Dateien mit "guter Reputation" so behandeln, als ob sie Teil der zugehörigen Liste der vertrauenswürdigen Dateien wären.

4.Klicken Sie auf die Schaltfläche Verhalten von Anwendungen mit "guter Reputation".

5.Konfigurieren Sie, wie sich die Programmkontrolle und die Ivanti Firewall bei Dateien mit einer guten Reputation verhalten sollen.

6.Klicken Sie auf OK und dann auf Speichern.

GeschlossenSo nutzen Sie die Dateireputation mit einer Liste der Anwendungsdateien:

1.Klicken Sie auf Extras > Sicherheit und Compliance > Agenteneinstellungen.

2.Klicken Sie in der Struktur unter Agenteneinstellungen > Eigene Agenteneinstellungen > Sicherheit > Endpunktsicherheit mit der rechten Maustaste auf Liste der Anwendungsdateien und dann auf Neu, oder doppelklicken Sie auf eine vorhandene Einstellung.

3.Aktivieren Sie im oberen Dialogfeld die Option Dateien mit "guter Reputation" automatisch einschließen, wenn die Liste an die Clients gesendet wird, oder Dateien mit "schlechter Reputation" automatisch einschließen, wenn die Liste an die Clients gesendet wird.

4.Wenn Sie Dateien mit guter Reputation aufnehmen, klicken Sie auf die Schaltfläche "Zulässiges Anwendungsverhalten", um das Verhalten Programmkontrolle und der Ivanti Firewall zu konfigurieren, die für Dateien mit guter Reputation gewünscht sind.

5.Klicken Sie auf OK.

GeschlossenSo fügen Sie Dateien zu einer Liste der Anwendungsdateien hinzu:

1.Klicken Sie auf Extras > Sicherheit und Compliance > Agenteneinstellungen.

2.Klicken Sie auf die Symbolleistenschaltfläche Einstellungen konfigurieren und klicken Sie dann auf Dateireputationen.

3.Doppelklicken Sie auf die Listen der Anwendungsdateien, die Sie ändern möchten, oder legen Sie eine neue Liste an.

4.Klicken Sie in der Symbolleiste Listen der Anwendungsdateien auf , und klicken Sie auf Datei durch Durchsuchen hinzufügen oder Blockierte Datei durch Namenseingabe hinzufügen.

5.Abhängig von der gewählten Option navigieren Sie zu der gewünschten Datei und klicken auf Speichern, oder Sie geben die Dateidetails manuell ein und klicken auf OK.

GeschlossenSo stellen Sie Agenteneinstellungen für die Dateireputation für verwaltete Geräte bereit:

1.Klicken Sie im Fenster Agenteneinstellungen auf die Symbolleistenschaltfläche Task erstellen und klicken Sie dann auf Einstellungen ändern.

2.Wählen Sie je nach Präferenz einen geplanten Task oder eine Richtlinie als Typ für den Einstellungsänderungstask aus.

3.Wählen Sie in der Liste der Einstellungen neben Endpunktsicherheit die Einstellung für Endpunktsicherheit aus, die die von Ihnen konfigurierte Einstellung für die Programmkontrolle verwendet.

4.Klicken Sie auf OK und schließen Sie die Konfiguration des Tasks im Fenster Geplante Tasks ab.

GeschlossenSo setzen Sie vorhandene Dateireputationen außer Kraft:

1.Klicken Sie auf Extras > Sicherheit und Compliance > Agenteneinstellungen.

2.Klicken Sie auf die Symbolleistenschaltfläche Einstellungen konfigurieren und klicken Sie dann auf Dateireputationen. Nutzen Sie zum Sortieren der Liste die Kontrollkästchen am oberen Rand der Seite und klicken Sie dann auf Filter anwenden.

3.Wählen Sie die Dateien aus, deren Reputation Sie ändern möchten, und klicken Sie auf die Schaltfläche Reputation außer Kraft setzen.

4.Vergewissern Sie sich, dass Ivanti Reputationseinstellung außer Kraft setzen aktiviert ist, und wählen Sie dann die Gewünschte Reputation aus.

5.Klicken Sie auf OK.

GeschlossenSo importieren Sie aus anderen Listen der Anwendungsdateien:

1.Klicken Sie auf Extras > Sicherheit und Compliance > Agenteneinstellungen.

2.Klicken Sie in der Struktur unter Agenteneinstellungen > Eigene Agenteneinstellungen > Sicherheit > Endpunktsicherheit mit der rechten Maustaste auf Liste der Anwendungsdateien und dann auf Neu, oder doppelklicken Sie auf eine vorhandene Einstellung.

3.Klicken Sie in der Symbolleiste Listen der Anwendungsdateien auf und klicken Sie dann auf Aus anderen Listen mit Anwendungsdateien importieren.

4.Wenden Sie gegebenenfalls Filter an und wählen Sie die zu importierenden Dateien aus. Klicken Sie auf Weiter.

5.Konfigurieren Sie das Anwendungsverhalten, das Sie für die ausgewählten Dateien wünschen, und klicken Sie auf OK.

6.Klicken Sie nochmals auf OK, um die Änderungen an der Liste der Anwendungsdateien zu speichern.

GeschlossenSo importieren Sie Dateilisten aus einer CSV-Datei:

1.Klicken Sie auf Extras > Sicherheit und Compliance > Agenteneinstellungen.

2.Klicken Sie in der Struktur unter Agenteneinstellungen > Eigene Agenteneinstellungen > Sicherheit > Endpunktsicherheit mit der rechten Maustaste auf Liste der Anwendungsdateien und dann auf Neu, oder doppelklicken Sie auf eine vorhandene Einstellung.

3.Klicken Sie in der Symbolleiste Listen der Anwendungsdateien auf , und klicken Sie dann auf Aus CSV-Datei importieren.

4.Navigieren Sie zu der CSV-Datei, in der die Informationen der Listen der Anwendungsdateien enthalten sind, und klicken Sie auf Öffnen.

5.Konfigurieren Sie gegebenenfalls die importierten Dateien und klicken Sie auf OK.

Das CSV-Dateiformat sieht folgendermaßen aus:

"Dateiname" "Dateigröße", "Version", "Herstellername", "Produktname", "MD5-Hash-Base64-String", "SHA1-String", "SHA256-String", "Berechtigungen"

Hier ist ein Beispiel für einen CSV-Eintrag:

"abc.exe","4032","1.1.0.0","Company-1.","Product1","CWhlIHF1aWNrIGJyb3duIA==","a94a8fe5ccb19ba61c4c0873d391e987982fbbd3", "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08","AuthorizedInstaller AllowExecution BypassBufferOverflow"

Die zulässigen Berechtigungsstrings sind die folgenden:

  • AuthorizedInstaller: Die Datei darf installiert werden.
  • AllowExecution: Die Datei darf ausgeführt werden.
  • BypassBufferOverflow: Bypasspuffer-Überlaufschutz
  • ModifyProtRegKeys: Geschützte Registrierungsschlüssel ändern
  • ProtAppInMem: Anwendung im Speicher schützen
  • ModifyExeFiles: Ausführbare Dateien ändern
  • ModifyProtFiles: Geschützte Dateien ändern
  • BypassAllProtection: Sämtlichen Schutz umgehen
  • AddToSysStartup: Zum Systemstart hinzufügen
  • InheritToChildProc: Rechte können an untergeordnete Prozesse weitergegeben werden
  • AllowSmtpOut: Datei darf E-Mail senden
  • AllowNetConnect: Verbindungen außerhalb des vertrauenswürdigen Bereichs (Internet) erlauben
  • AllowNetListen: Innerhalb des vertrauenswürdigen Bereichs (Internet) dürfen Verbindungen zu Anwendungen hergestellt werden
  • AllowTrustedNetConnect: Verbindungen innerhalb des vertrauenswürdigen Bereichs erlauben
  • AllowTrustedNetListen: Innerhalb des vertrauenswürdigen Bereichs dürfen Verbindungen zu Anwendungen hergestellt werden
GeschlossenSo importieren Sie Dateilisten von vertrauenswürdigen Geräten:

1.Klicken Sie auf Extras > Sicherheit und Compliance > Agenteneinstellungen.

2.Klicken Sie in der Struktur unter Agenteneinstellungen > Eigene Agenteneinstellungen > Sicherheit > Endpunktsicherheit mit der rechten Maustaste auf Liste der Anwendungsdateien und dann auf Neu, oder doppelklicken Sie auf eine vorhandene Einstellung.

3.Klicken Sie in der Symbolleiste Listen der Anwendungsdateien auf , und klicken Sie dann auf Von vertrauenswürdigen Geräten importieren.

4.Wählen Sie die gewünschten Geräte aus, und klicken Sie auf Dateien von vertrauenswürdigen Geräten importieren.

5.Falls Sie einen umfassenden Scan nach EXE-Dateien von diesen Geräten durchführen möchten, klicken Sie auf Ja.

6.Konfigurieren Sie gegebenenfalls die importierten Dateien und klicken Sie auf OK.

GeschlossenSo führen Sie Listen der Anwendungsdateien zusammen:

1.Klicken Sie auf Extras > Sicherheit und Compliance > Agenteneinstellungen.

2.Klicken Sie in der Struktur unter Agenteneinstellungen > Eigene Agenteneinstellungen > Sicherheit > Endpunktsicherheit mit der rechten Maustaste auf Liste der Anwendungsdateien und dann auf Anwendungsdateien zusammenführen.

3.Wählen Sie die Listen der Anwendungsdateien, die zur Quellliste werden soll.

4.Wählen Sie, ob die Unterschiede zusammengeführt oder die Anwendungsdateien ersetzt werden sollen.

5.Wählen Sie die Ziellisten für die Zusammenführung aus.

6.Klicken Sie auf OK.