Sicherheit

Mit diesen Einstellungen können Sie Benutzeraktivitäten in Workspace Environment Management steuern.


Anwendungssicherheit

Wichtig:

Um zu steuern, welche Anwendungen Benutzer ausführen können, können Sie die Windows AppLocker-Benutzeroberfläche oder Workspace Environment Management verwenden, um Windows AppLocker-Regeln zu verwalten. Sie können jederzeit zwischen diesen Ansätzen wechseln, wir empfehlen jedoch, dass Sie nicht beide Ansätze gleichzeitig verwenden.

Mit diesen Einstellungen können Sie die Anwendungen steuern, die Benutzer ausführen dürfen, indem Sie Regeln definieren. Diese Funktionalität ähnelt Windows AppLocker. Wenn Sie Workspace Environment Management zum Verwalten von Windows AppLocker-Regeln verwenden, verarbeitet (konvertiert) der Agent Regeln der Registerkarte Anwendungssicherheit in Windows AppLocker-Regeln auf dem Agenthost. Wenn Sie die Verarbeitungsregeln des Agents beenden, bleiben sie im Konfigurationssatz erhalten und AppLocker wird weiterhin mit den letzten Anweisungen ausgeführt, die vom Agent verarbeitet wurden.

Anwendungssicherheit

Auf dieser Registerkarte werden die Sicherheitsregeln für die Anwendung im aktuellen Workspace Environment Management-Konfigurationssatz aufgeführt. Mit Suchen können Sie die Liste nach einer Textzeichenfolge filtern.

Wenn Sie auf der Registerkarte Sicherheit das Element “Anwendungssicherheit” auf der obersten Ebene auswählen, werden die folgenden Optionen verfügbar, um die Regelverarbeitung zu aktivieren oder zu deaktivieren:

Anwendungssicherheitsregeln verarbeiten. Wenn diese Option ausgewählt ist, sind die Steuerelemente der Registerkarte Anwendungssicherheit aktiviert, und der Agent verarbeitet Regeln im aktuellen Konfigurationssatz und konvertiert sie in AppLocker-Regeln auf dem Agenthost. Wenn diese Option nicht ausgewählt ist, sind die Steuerelemente der Registerkarte “ Anwendungssicherheit “ deaktiviert, und der Agent verarbeitet keine Regeln in AppLocker-Regeln. (In diesem Fall werden AppLocker-Regeln nicht aktualisiert.)

Hinweis:

Diese Option ist nicht verfügbar, wenn die Workspace Environment Management-Verwaltungskonsole unter Windows 7 SP1 oder Windows Server 2008 R2 SP1 (oder früheren Versionen) installiert ist.

DLL-Regeln verarbeiten. Wenn diese Option ausgewählt ist, verarbeitet der Agent DLL-Regeln in der aktuellen Konfiguration, die in AppLocker-DLL-Regeln auf dem Agenthost festgelegt ist. Diese Option ist nur verfügbar, wenn Sie Sicherheitsregeln für Anwendungen verarbeitenauswählen.

Wichtig:

Wenn Sie DLL-Regeln verwenden, müssen Sie eine DLL-Regel mit der Berechtigung “Zulassen” für jede DLL erstellen, die von allen zulässigen Apps verwendet wird.

Achtung:

Wenn Sie DLL-Regeln verwenden, kann es zu einer Leistungsminderung kommen. Dies passiert, weil AppLocker jede DLL überprüft, die eine App lädt, bevor sie ausgeführt werden darf.

Regelsammlungen

Regeln gehören zu AppLocker-Regelsammlungen. Jeder Sammlungsname gibt an, wie viele Regeln er enthält, z. B. (12). Klicken Sie auf einen Sammlungsnamen, um die Regelliste nach einer der folgenden Sammlungen zu filtern:

  • Ausführbare Regeln. Regeln, die Dateien mit den Erweiterungen .exe und .com enthalten, die einer Anwendung zugeordnet sind.
  • Windows-Regeln. Regeln, die Dateiformate des Installationsprogramms (.msi, .msp, .mst) enthalten, die die Installation von Dateien auf Clientcomputern und Servern steuern.
  • Skriptregeln. Regeln, die Dateien der folgenden Formate enthalten: .ps1, .bat, .cmd, .vbs, .js.
  • Verpackte Regeln. Regeln, die gepackte Apps enthalten, die auch als Universal Windows Apps bezeichnet werden. In gepackten Apps teilen alle Dateien innerhalb des App-Pakets dieselbe Identität. Daher kann eine Regel die gesamte App steuern. Workspace Environment Management unterstützt nur Publisher-Regeln für gepackte Apps.
  • DLL-Regeln. Regeln, die Dateien der folgenden Formate enthalten: .dll, .ocx.

Wenn Sie die Regelliste in eine Sammlung filtern, steht die Option Regelerzwingung zur Verfügung, um zu steuern, wie AppLocker alle Regeln in dieser Sammlung auf dem Agenthost erzwingt. Die folgenden Regelerzwingungswerte sind möglich:

Aus (Standardeinstellung). Regeln werden erstellt und auf “off” gesetzt, was bedeutet, dass sie nicht angewendet werden.

Auf. Regeln werden erstellt und auf “erzwingen” festgelegt, was bedeutet, dass sie auf dem Agenthost aktiv sind.

Audit. Regeln werden erstellt und auf “Audit” gesetzt, was bedeutet, dass sie sich auf dem Agenthost in einem inaktiven Zustand befinden. Wenn ein Benutzer eine App ausführt, die gegen eine AppLocker-Regel verstößt, darf die App ausgeführt werden, und die Informationen über die App werden dem AppLocker-Ereignisprotokoll hinzugefügt.

So importieren Sie AppLocker-Regeln

Sie können aus AppLocker exportierte Regeln in Workspace Environment Management importieren. Importierte Windows AppLocker-Einstellungen werden allen vorhandenen Regeln auf der Registerkarte Sicherheit hinzugefügt. Alle ungültigen Anwendungssicherheitsregeln werden automatisch gelöscht und in einem Berichtsdialogfeld aufgeführt.

  1. Klicken Sie in der Multifunktionsleiste auf AppLocker-Regeln importieren.

  2. Navigieren Sie zu der XML-Datei, die aus AppLocker exportiert wurde, die Ihre AppLocker-Regeln enthält.

  3. Klicken Sie auf Importieren.

Die Regeln werden der Liste der Anwendungssicherheitsregeln hinzugefügt.

So fügen Sie eine Regel hinzu

  1. Wählen Sie einen Namen der Regelsammlung in der Seitenleiste aus. Um beispielsweise eine ausführbare Regel hinzuzufügen, wählen Sie die Auflistung “Ausführbare Regeln” aus.

  2. Klicken Sie auf Regel hinzufügen.

  3. Geben Sie im Abschnitt “ Anzeige “ die folgenden Details ein:

    • Name. Der Anzeigename der Regel, wie er in der Regelliste angezeigt wird.
    • Beschreibung. Zusätzliche Informationen zur Ressource (optional).
  4. Klicken Sie im Abschnitt Typ auf eine Option:

    • Pfad. Die Regel stimmt mit einem Dateipfad oder Ordnerpfad überein.
    • Herausgeber. Die Regel stimmt mit einem ausgewählten Herausgeber überein.
    • Hash. Die Regel entspricht einem bestimmten Hash-Code.
  5. Klicken Sie im Abschnitt “ Berechtigungen “ darauf, ob diese Regel die Ausführung von Anwendungen zulässt oder verweigert.

  6. Um diese Regel Benutzern oder Benutzergruppen zuzuweisen, wählen Sie im Bereich Zuweisungen die Option Benutzer oder Gruppen aus, denen diese Regel zugewiesen werden soll. In der Spalte “Zugewiesen” wird ein Häkchen-Symbol für zugewiesene Benutzer oder Gruppen angezeigt.

    Tipp:

    • Sie können die üblichen Windows-Auswahlmodifikatortasten verwenden, um eine Mehrfachauswahl zu treffen, oder Alle auswählen verwenden, um alle Zeilen auszuwählen.
    • Benutzer müssen sich bereits in der Benutzerliste von Workspace Environment Management befinden.
    • Sie können Regeln zuweisen, nachdem die Regel erstellt wurde.
  7. Klicken Sie auf Weiter.

  8. Geben Sie die Kriterien an, die mit der Regel übereinstimmen, abhängig vom gewählten Regeltyp:

    • Pfad. Geben Sie einen Dateipfad oder Ordnerpfad an, der die Regel entsprechen soll. Wenn Sie einen Ordner auswählen, stimmt die Regel mit allen Dateien innerhalb und unter diesem Ordner überein.
    • Herausgeber. Geben Sie eine signierte Referenzdatei an, und stimmen Sie dann mit dem Schieberegler “Publisher-Informationen” die Ebene des Eigenschaftsabgleichs ab.
    • Hash. Geben Sie eine Datei an. Die Regel entspricht dem Hash-Code der Datei.
  9. Klicken Sie auf Weiter.

  10. Fügen Sie alle erforderlichen Ausnahmen hinzu (optional). Wählen Sie unter Ausnahme hinzufügen einen Ausnahmetyp aus und klicken Sie auf Hinzufügen. (Sie können Ausnahmen nach Bedarf bearbeiten und entfernen.)

  11. Um die Regel zu speichern, klicken Sie auf Erstellen.

So weisen Sie Benutzern Regeln zu

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann in der Symbolleiste oder im Kontextmenü auf Bearbeiten . Wählen Sie im Editor die Zeilen aus, die die Benutzer und Benutzergruppen enthalten, denen Sie die Regel zuweisen möchten, und klicken Sie dann auf OK. Sie können die Zuweisung der ausgewählten Regeln auch für alle Benutzer aufheben, indem Sie “Alle auswählen” verwenden, um alle Auswahlen zu löschen.

Hinweis: Wenn Sie mehrere Regeln auswählen und auf Bearbeitenklicken, werden alle Änderungen der Regelzuweisung für diese Regeln auf alle von Ihnen ausgewählten Benutzer und Benutzergruppen angewendet. Mit anderen Worten, bestehende Regelzuweisungen werden über diese Regeln hinweg zusammengeführt.

So fügen Sie Standardregeln

Klicken Sie auf Standardregeln hinzufügen. Ein Satz von AppLocker-Standardregeln wird der Liste hinzugefügt.

So bearbeiten Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann in der Symbolleiste oder im Kontextmenü auf Bearbeiten . Der Editor wird angezeigt, in dem Sie Einstellungen anpassen können, die für die von Ihnen getroffene Auswahl gelten.

So löschen Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann in der Symbolleiste oder im Kontextmenü auf Löschen .

So sichern Sie Anwendungssicherheitsregeln

Sie können alle Anwendungssicherheitsregeln in Ihrem aktuellen Konfigurationssatz sichern. Regeln werden alle als einzelne XML-Datei exportiert. Sie können Wiederherstellen verwenden, um die Regeln in einem beliebigen Konfigurationssatz wiederherzustellen. Klicken Sie in der Multifunktionsleiste auf Backup und wählen Sie dann Sicherheitseinstellungenaus.

So stellen Sie Anwendungssicherheitsregeln wieder her

Sie können Anwendungssicherheitsregeln aus XML-Dateien wiederherstellen, die mit dem Backupbefehl “Workspace Environment Management” erstellt wurden. Der Wiederherstellungsvorgang ersetzt die Regeln im aktuellen Konfigurationssatz durch die Regeln im Backup. Wenn Sie auf die Registerkarte Sicherheit wechseln oder diese aktualisieren, werden alle ungültigen Sicherheitsregeln für Anwendungen erkannt. Ungültige Regeln werden automatisch gelöscht und in einem Berichtsdialogfeld aufgeführt, das Sie exportieren können.

Während des Wiederherstellungsvorgangs können Sie auswählen, ob Sie Regelzuweisungen für Benutzer und Benutzergruppen in Ihrem aktuellen Konfigurationssatz wiederherstellen möchten. Die Neuzuweisung ist nur erfolgreich, wenn die gesicherten Benutzer/Gruppen in Ihrem aktuellen Konfigurationsset/Active Directory vorhanden sind. Alle nicht übereinstimmenden Regeln werden wiederhergestellt, bleiben jedoch nicht zugewiesen. Nach der Wiederherstellung werden sie in einem Berichtsdialog aufgelistet, den Sie im CSV-Format exportieren können.

1. Klicken Sie in der Multifunktionsleiste auf Wiederherstellen, um den Wiederherstellungsassistenten zu starten.

2. Wählen Sie Sicherheitseinstellungen aus, und klicken Sie dann zweimal auf Weiter .

3. Navigieren Sie unter Ordner wiederherstellenzu dem Ordner, der die Backupdatei enthält.

4. Wählen Sie AppLocker-Regeleinstellungenaus, und klicken Sie dann auf Weiter.

5. Bestätigen Sie, ob Sie Regelzuweisungen wiederherstellen möchten oder nicht:

Ja. Stellen Sie Regeln wieder her und weisen Sie sie denselben Benutzern und Benutzergruppen in Ihrem aktuellen Konfigurationssatz neu zu.

Nein. Stellen Sie Regeln wieder her und lassen Sie sie nicht zugewiesen.

6. Um mit der Wiederherstellung zu beginnen, klicken Sie auf Einstellungen wiederherstellen.


Prozess-Management

Mit diesen Einstellungen können Sie bestimmte Prozesse auf die Positiv- oder Sperrliste setzen.

Prozess-Management

Prozessverwaltung aktivieren. Dies schaltet ein, ob das Verarbeiten von Positiv-/Sperrlisten in Kraft ist. Wenn diese Option deaktiviert ist, werden keine der Einstellungen auf den Tabs Process BlackList und Process WhiteList berücksichtigt.

Hinweis:

Diese Option funktioniert nur, wenn der Sitzungsagent in der Sitzung des Benutzers ausgeführt wird. Verwenden Sie dazu die Agenteinstellungen Hauptkonfiguration, um die Launch-Agent-Optionen (bei Anmeldung/bei Wiederverbindung/für Administratoren) entsprechend dem Benutzer-/Sitzungstyp zu starten und den Agenttyp auf “UI” festzulegen. Diese Optionen werden in Erweiterte Einstellungenbeschrieben.

Process BlackLists

Diese Einstellungen ermöglichen es Ihnen, bestimmte Prozesse auf die Sperrliste zu setzen.

Enable Process Blacklist. Dies ermöglicht die Sperrliste von Prozessen. Sie müssen Prozesse mit ihrem Namen der ausführbaren Datei hinzufügen (z. B. cmd.exe).

Lokale Administratoren ausschließen. Schließt lokale Administratorkonten aus der Sperrliste des Prozesses aus.

Angegebene Gruppen ausschließen. Ermöglicht es Ihnen, bestimmte Benutzergruppen von der Sperrliste des Prozesses auszuschließen.

Process WhiteList

Mit diesen Einstellungen können Sie bestimmte Prozesse auf die Positivliste setzen. Verarbeiten von Sperr- und Positivlisten schließen sich gegenseitig aus.

Enable Process Whitelist. Dies ermöglicht Positivlisten für Prozesse. Sie müssen Prozesse mit ihrem Namen der ausführbaren Datei hinzufügen (z. B. cmd.exe). Hinweis Wenn diese Option aktiviert ist, setzt Enable Process Whitelist automatisch alle Prozesse auf die Sperrliste, die nicht in der Positivliste enthalten sind.

Lokale Administratoren ausschließen. Schließt lokale Administratorkonten von der Positivliste des Prozesses aus (sie können alle Prozesse ausführen).

Angegebene Gruppen ausschließen. Ermöglicht es Ihnen, bestimmte Benutzergruppen von der Positivliste des Prozesses auszuschließen (sie können alle Prozesse ausführen).

Sicherheit