Konfigurieren der Ivanti Firewalleinstellungen
Das Extra "Ivanti Firewall" ist eine wichtige Komponente der Endpunktsicherheit, mit der Sie verwaltete Geräte vor nicht autorisierten Anwendungsvorgängen und -verbindungen schützen können.
Mit Ivanti Firewalleinstellungen können Sie vertrauenswürdige Programme (Anwendungen), vertrauenswürdige Netzwerkbereiche und Verbindungsregeln erstellen und konfigurieren, um verwaltete Geräte vor nicht autorisierten Eindringversuchen zu schützen.
IMPORTANT: Kompatibilität von
Ivanti Firewall und Windows-Firewall Die Ivanti Firewall ergänzt die Windows-Firewall. Beide Firewalls können gleichzeitig auf verwalteten Geräten aktiviert und ausgeführt werden.
Eine Komponente der Endpunktsicherheit
Ivanti Firewall ist eine Komponente der umfassenden Lösung für Endpunktsicherheit, zu der auch die Tools "Programmkontrolle" und "Gerätesteuerung" gehören.
Dieses Kapitel befasst sich mit folgenden Themen:
Verwendung der Ivanti Firewalleinstellungen
Firewalleinstellungen geben Ihnen vollständige Kontrolle darüber, wie Ivanti Firewall auf Zielgeräten arbeitet.
Dieser Abschnitt beschreibt, wie Firewalleinstellungen erstellt und verwaltet werden.
Erstellen von Ivanti Firewalleinstellungen
So erstellen Sie Ivanti Firewalleinstellungen:
- Klicken Sie im Fenster Agenteneinstellungen auf Sicherheit > Endpunktsicherheit, dann mit der rechten Maustaste auf Ivanti Firewall und anschließend auf Neu.
- Geben Sie auf der Seite Allgemeine Einstellungen einen Namen für die Einstellungen ein, aktivieren Sie den Ivanti Firewall geben Sie dann xxx an.
- Auf der Seite Verbindungsregeln definieren Sie die Verbindungsregeln (Eingehend oder Ausgehend und Aktion) entweder über den Port, das Protokoll oder den IP-Bereich.
- Klicken Sie auf Speichern.
Nachdem Sie die Einstellungen konfiguriert haben, können Sie diese über einen Installations- oder Updatetask oder mithilfe eines Tasks zum Ändern von Einstellungen auf verwaltete Geräte übertragen.
Hilfe zu Ivanti Firewalleinstellungen
Dieses Dialogfeld verwenden Sie zum Erstellen und Bearbeiten von Ivanti Firewalleinstellungen. Bei der Erstellung von Firewalleinstellungen definieren Sie zunächst den allgemeinen Schutzmodus. Anschließend fügen Sie spezifische Listen vertrauenswürdiger Dateien, vertrauenswürdige Bereiche und Verbindungsregeln hinzu und konfigurieren diese. Sie können beliebig viele Einstellungen erstellen und jederzeit bearbeiten.
Wenn Sie die Standardeinstellungen des Geräts ändern möchten, ohne den Agenten für Endpunktsicherheit erneut zu installieren oder erneut eine vollständige Agentenkonfiguration bereitzustellen, sollten Sie die gewünschte Änderung an einer der Optionen im Dialogfeld "Einstellungen" vornehmen, die neuen Einstellungen einem Einstellungsänderungs-Task zuordnen und diesen Einstellungsänderungs-Task dann auf Zielgeräten bereitstellen.
Dieses Dialogfeld umfasst die folgende Seiten:
Informationen zur Seite "Allgemeine Einstellungen"
Diese Seite verwenden Sie, um die Ivanti Firewall zu aktivieren und den Schutzmodus zu konfigurieren.
Diese Seite enthält folgende Optionen:
- Name: Kennzeichnet die Firewalleinstellungen mit einem eindeutigen Namen.
- Ivanti Firewall aktivieren: Alle Programme dürfen ausgeführt werden, es sei denn, der Einsatz eines Programms gefährdet laut vordefinierter Schutzregeln die Systemsicherheit.
- Schutzmodus: Gibt das Schutzverhalten an, wenn Sicherheitsverletzungen auf verwalteten Geräten auftreten.
- Blockierung: Alle Sicherheitsverletzungen werden automatisch blockiert. Dies bedeutet, dass alle vertrauenswürdigen Programme, der vertrauenswürdige Bereich und die Verbindungsregeln (d. h. die Berechtigungen), die Sie erstellt haben, durchgesetzt werden.
- Erfassungsmodus für: Damit kann der Administrator eine bestimmte Zeitspanne angeben, in der der Endbenutzer jede Anwendung auf seinem Gerät ausführen kann. In dieser Zeitspanne beobachtet das System, welche Anwendungen ausgeführt werden.
NOTE: Diese beiden Optionen für die Dauer werden nacheinander ausgeführt. Dies bedeutet Folgendes: Wenn beide Optionen gewählt werden, verstreicht zunächst die für den Erfassungsmodus definierte Zeit, und wenn diese vorüber ist, beginnt der für den Protokollierungsmodus definierte Zeitraum.
- Protokollierungsmodus für: Definiert einen Zeitraum, innerhalb dessen die Anwendungen, die ausgeführt werden, in einer Aktionsverlaufsdatei auf dem Coreserver aufgezeichnet werden.
- Erfassungsmodus für: Damit kann der Administrator eine bestimmte Zeitspanne angeben, in der der Endbenutzer jede Anwendung auf seinem Gerät ausführen kann. In dieser Zeitspanne beobachtet das System, welche Anwendungen ausgeführt werden.
- Erfassung: Alle Anwendungen dürfen ausgeführt werden. Darüber hinaus werden alle Anwendungen, die auf dem Gerät ausgeführt werden, beobachtet und zur Liste der vertrauenswürdigen Dateien hinzugefügt.
- Nur protokollieren: Sicherheitsverletzungen sind zulässig, werden aber in einer Aktionsverlaufsdatei auf dem Coreserver aufgezeichnet.
- Dateifreigabe: Gibt die Dateifreigabe-Berechtigungen an, die von den Ivanti Firewalleinstellungen zugelassen werden.
- Dateifreigabe aus dem vertrauenswürdigen Bereich (Netzwerk) zulassen: Gestattet die Freigabe von Dateien innerhalb des von Ihnen definierten vertrauenswürdigen Bereichs.
- Dateifreigabe von außerhalb des vertrauenswürdigen Bereichs (aus dem Internet) zulassen: Gestattet die Freigabe von Dateien außerhalb des von Ihnen definierten vertrauenswürdigen Bereichs.
Informationen zum Dialogfeld "Vertrauenswürdiger Bereich"
Diese Seite verwenden Sie zur Konfiguration und Verwaltung von vertrauenswürdigen Bereichen. Ein vertrauenswürdiger Bereich besteht aus einer Sammlung von Netzwerkadressen nach IP-Adresse, IP-Bereich oder Subnetz.
Diese Seite enthält folgende Optionen:
- Dem Subnetz des Clients vertrauen: Fügt den Subnetzbereich des Zielgeräts zur Liste "Vertrauenswürdiger Bereich" hinzu. Die Kommunikation über diesen Subnetzbereich hinweg ist zulässig.
- Vertrauenswürdiger Bereich: Listet alle vertrauenswürdigen Bereiche auf.
- Hinzufügen...: Gibt Ihnen die Möglichkeit, einen vertrauenswürdigen Speicherort zur Liste hinzuzufügen. Fügen Sie einen vertrauenswürdigen Speicherort nach IP-Adresse, IP-Bereich oder Subnetz hinzu.
- Bearbeiten...: Gibt Ihnen die Möglichkeit, den ausgewählten vorhandenen vertrauenswürdigen Speicherort zu ändern.
- Löschen: Entfernt den ausgewählten vertrauenswürdigen Speicherort.
- IP-Adressen im Stapel importieren... Ermöglicht eine Mehrfachauswahl
- Importieren...: Gibt Ihnen die Möglichkeit, Subnetzbereiche von verwalteten Geräten zu importieren, die im Inventar der Coredatenbank enthalten sind.
Informationen zum Dialogfeld "Verbindungsregeln"
Diese Seite verwenden Sie zum Anzeigen, Verwalten und Priorisieren von Verbindungsregeln. Verbindungsregeln gestatten oder unterbinden Verbindungen auf der Basis von Port- oder IP-Bereichen oder je nachdem, ob das Programm vertrauenswürdig ist und ob die Kommunikation innerhalb des vertrauenswürdigen Netzwerkbereichs erfolgt.
Diese Seite enthält folgende Optionen:
- Verbindungsregeln: Listet alle Verbindungsregeln auf.
- Nach oben: Bestimmt die Priorität der Verbindungsregel. Eine Verbindungsregel, die an höherer Stelle auf der Liste steht, hat Vorrang vor einer Regel, die weiter unten steht.
- Nach unten: Bestimmt die Priorität der Verbindungsregel.
- Zurücksetzen: Stellt die Regelreihenfolge wieder her.
- Hinzufügen: Öffnet ein Dialogfeld, in dem Sie eine neue Verbindungsregel konfigurieren können.
- Bearbeiten: Gestattet die Änderung der ausgewählten Verbindungsregel.
- Löschen: Entfernt die ausgewählte Verbindungsregel aus der Datenbank.
Informationen zum Dialogfeld "Verbindungsregel konfigurieren"
Diese Seite verwenden Sie zum Konfigurieren von Verbindungsregeln.
Diese Seite enthält folgende Optionen:
- Name: Bestimmt die Verbindungsregel durch einen beschreibenden Namen.
-
Richtung: Gibt an, ob die Verbindungsregel eingehende oder ausgehende Verbindungen beschränkt.
- Aktion: Gibt an, ob die Verbindungsregel Verbindungen zulässt (annimmt) oder verhindert (trennt).
- Protokoll: Gibt das Kommunikationsprotokoll für die ausgewählten Ports an.
- Ports: Dient der Definition von Portbeschränkungen für die Verbindungsregel.
- Auf diese lokalen Ports anwenden: Gibt die lokalen Ports an, auf die die (nachstehend ausgewählte) Richtung und Aktion angewendet werden. Werden zum Beispiel "Eingehend" und "Akzeptieren" ausgewählt, dann sind Verbindungen zu den hier angegebenen lokalen Ports zulässig.
- Auf diese Remoteports anwenden: Gibt die Remoteports an, auf die die (nachstehend ausgewählte) Richtung und Aktion angewendet werden.
- IP-Adressbereich: Dient zur Definition von IP-Bereichsbeschränkungen für die Verbindungsregel.
- Auf diese Remoteadressen anwenden: Gibt die Remote-IP-Adressbereiche an, auf die die (nachstehend ausgewählte) Richtung und Aktion angewendet werden.
- Vertrauenswürdigen Programmen Umgehung gewähren: Hiermit können Sie vertrauenswürdigen Programmen die Möglichkeit einräumen, diese Verbindungsregel zu ignorieren oder zu umgehen.
- Nur für vertrauenswürdigen Bereich: Vertrauenswürdige Programme können die Verbindungsregel nur dann umgehen, wenn die Kommunikation innerhalb des vertrauenswürdigen Netzwerkbereichs erfolgt.
- OK: Speichert die Optionen und fügt die Regel zur Liste der Verbindungsregeln hinzu.
- Abbrechen: Schließt das Dialogfeld, ohne die Änderungen zu speichern.