Sicherheit

Mit diesen Einstellungen können Sie Benutzeraktivitäten in Workspace Environment Management steuern.


Anwendungssicherheit

Wichtig:

Um zu steuern, welche Anwendungen Benutzer ausführen können, können Sie die Windows AppLocker-Benutzeroberfläche oder Workspace Environment Management verwenden, um Windows AppLocker-Regeln zu verwalten. Sie können jederzeit zwischen diesen Ansätzen wechseln, wir empfehlen jedoch, dass Sie nicht beide Ansätze gleichzeitig verwenden.

Mit diesen Einstellungen können Sie steuern, welche Anwendungen Benutzer ausführen dürfen, indem Sie Regeln definieren. Diese Funktionalität ähnelt Windows AppLocker. Wenn Sie die Workspace Environment Management zum Verwalten von Windows AppLocker-Regeln verwenden, verarbeitet (konvertiert) der Agent die Regeln der Registerkarte “Anwendungssicherheit” in Windows AppLocker-Regeln auf dem Agenthost. Wenn Sie die Agent-Verarbeitungsregeln beenden, werden sie im Konfigurationssatz beibehalten, und AppLocker wird weiterhin ausgeführt, indem die zuletzt vom Agenten verarbeiteten Anweisungen verwendet werden.

Anwendungssicherheit

Auf dieser Registerkarte werden die Anwendungssicherheitsregeln im aktuellen Konfigurationssatz für Workspace Environment Management aufgelistet. Sie können Suchen verwenden, um die Liste nach einer Textzeichenfolge zu filtern.

Wenn Sie auf derRegisterkarte Sicherheit das oberste Element “Anwendungssicherheit” auswählen, stehen die folgenden Optionen zur Verfügung, um die Regelverarbeitung zu aktivieren oder zu deaktivieren:

Anwendungssicherheitsregeln verarbeiten. Wenn diese Option aktiviert ist, werden die Steuerelemente derRegisterkarteAnwendungssicherheit aktiviert, und der Agent verarbeitet Regeln im aktuellen Konfigurationssatz und konvertiert sie in AppLocker-Regeln auf dem Agent-Host. Wenn diese Option nicht aktiviert ist, sind die Steuerelemente derRegisterkarteAnwendungssicherheit deaktiviert, und der Agent verarbeitet keine Regeln in AppLocker-Regeln. (In diesem Fall werden AppLocker-Regeln nicht aktualisiert.)

Hinweis:

Diese Option ist nicht verfügbar, wenn die Verwaltungskonsole für Workspace Environment Management unter Windows 7 SP1 oder Windows Server 2008 R2 SP1 (oder früheren Versionen) installiert ist.

DLL-Regeln verarbeiten. Wenn diese Option ausgewählt ist, verarbeitet der Agent DLL-Regeln in der aktuellen Konfiguration, die in AppLocker-DLL-Regeln auf dem Agenthost festgelegt ist. Diese Option ist nur verfügbar, wenn Sie Anwendungssicherheitsregeln verarbeiten auswählen.

Wichtig:

Wenn Sie DLL-Regeln verwenden, müssen Sie für jede DLL, die von allen erlaubten Apps verwendet wird, eine DLL-Regel mit der Berechtigung “Zulassen” erstellen.

Achtung:

Wenn Sie DLL-Regeln verwenden, kann es zu einer Leistungsminderung kommen. Dies geschieht, weil AppLocker jede DLL überprüft, die eine App lädt, bevor sie ausgeführt werden darf.

Regelsammlungen

Regeln gehören zu AppLocker-Regelsammlungen. Jeder Sammlungsname gibt an, wie viele Regeln er enthält, z. B. (12). Klicken Sie auf einen Sammlungsnamen, um die Regelliste in eine der folgenden Sammlungen zu filtern:

  • Ausführbare Regeln. Regeln, die Dateien mit den Erweiterungen .exe und .com enthalten, die einer Anwendung zugeordnet sind.
  • Windows-Regeln. Regeln, die Installationsdateiformate (.msi, .msp, .mst) enthalten, die die Installation von Dateien auf Clientcomputern und Servern steuern.
  • Skriptregeln. Regeln, die Dateien der folgenden Formate enthalten: .ps1, .bat, .cmd, .vbs, .js.
  • Verpackte Regeln. Regeln, die Pakete enthalten, auch als universelle Windows-Apps bezeichnet. In gepackten Apps teilen alle Dateien innerhalb des App-Pakets dieselbe Identität. Daher kann eine Regel die gesamte App steuern. Workspace Environment Management unterstützt nur Publisherregeln für verpackte Apps.
  • DLL-Regeln. Regeln, die Dateien der folgenden Formate enthalten: .dll, .ocx.

Wenn Sie die Regelliste nach einer Sammlung filtern, ist dieOptionRegelerzwingung verfügbar, um zu steuern, wie AppLocker alle Regeln in dieser Sammlung auf dem Agent-Host durchsetzt. Folgende Regelerzwingungswerte sind möglich:

Aus (Standard). Regeln werden erstellt und auf “off” gesetzt, was bedeutet, dass sie nicht angewendet werden.

Auf. Regeln werden erstellt und auf “erzwingen” gesetzt, was bedeutet, dass sie auf dem Agenthost aktiv sind.

Audit. Regeln werden erstellt und auf “Audit” gesetzt, was bedeutet, dass sie sich auf dem Agenthost in einem inaktiven Zustand befinden. Wenn ein Benutzer eine App ausführt, die gegen eine AppLocker-Regel verstößt, darf die App ausgeführt werden, und die Informationen über die App werden dem AppLocker-Ereignisprotokoll hinzugefügt.

So importieren Sie AppLocker-Regeln

Sie können bereits aus AppLocker exportierte Regeln in Workspace Environment Management importieren. Importierte Windows-AppLocker-Einstellungen werden allen vorhandenen Regeln auf derRegisterkarteSicherheit hinzugefügt. Ungültige Anwendungssicherheitsregeln werden automatisch gelöscht und in einem Berichtsdialog aufgelistet, den Sie exportieren können.

1. Klicken Sie in der Multifunktionsleiste auf AppLocker-Regeln importieren.

2. Navigieren Sie zu der XML-Datei, die aus AppLocker exportiert wurde, die Ihre AppLocker-Regeln enthält.

3. Klicken Sie auf Importieren.

Die Regeln werden der Liste Anwendungssicherheitsregeln hinzugefügt.

So fügen Sie eine Regel hinzu

1. Wählen Sie einen Namen der Regelsammlung in der Seitenleiste aus. Um beispielsweise eine ausführbare Regel hinzuzufügen, wählen Sie die Auflistung “Ausführbare Regeln” aus.

2. Klicken Sie auf Regel hinzufügen.

3. Geben Sie imAbschnittAnzeige die folgenden Details ein:

Name. Der Anzeigename der Regel, wie sie in der Regelliste angezeigt wird.

Beschreibung. Zusätzliche Informationen zur Ressource (optional).

4. Klicken Sie im Abschnitt Typ auf eine Option:

Pfad. Die Regel stimmt mit einem Dateipfad oder Ordnerpfad überein.

Herausgeber. Die Regel stimmt mit einem ausgewählten Herausgeber überein.

Hash. Die Regel entspricht einem bestimmten Hash-Code.

5. Klicken Sie imAbschnittBerechtigungen auf, ob diese Regel die Ausführung vonAnwendungenzulassenoderverweigern soll.

6. Um diese Regel Benutzern oder Benutzergruppen zuzuweisen, wählen Sie imBereichZuweisungen die Benutzer oder Gruppen aus, denen diese Regel zugewiesen werden soll. In der Spalte “Zugewiesen” wird ein Häkchen-Symbol für zugewiesene Benutzer oder Gruppen angezeigt.

Tipp: Sie können die üblichen Windows-Auswahl-Modifikatortasten verwenden, um mehrere Auswahlen zu treffen, oder verwenden Sie “Alles auswählen”, um alle Zeilen auszuwählen.

Tipp: Benutzer müssen sich bereits in der Liste Benutzer für die Workspace Environment Management befinden.

Tipp: Sie können Regeln zuweisen, nachdem die Regel erstellt wurde.

7. Klicken Sie auf Weiter.

8. Geben Sie die Kriterien an, die mit der Regel übereinstimmen, abhängig vom gewählten Regeltyp:

Pfad. Geben Sie einen Dateipfad oder Ordnerpfad an, der die Regel entsprechen soll. Wenn Sie einen Ordner auswählen, stimmt die Regel mit allen Dateien innerhalb und unterhalb dieses Ordners überein.

Herausgeber. Geben Sie eine signierte Referenzdatei an, und verwenden Sie dann den Schieberegler Publisher-Info, um die Ebene der Eigenschaftenabgleichung zu optimieren.

Hash. Geben Sie eine Datei an. Die Regel entspricht dem Hash-Code der Datei.

9. Klicken Sie auf Weiter.

10. Fügen Sie alle erforderlichen Ausnahmen hinzu (optional). Wählen Sie unter Ausnahme hinzufügen einen Ausnahmetyp aus, und klicken Sie auf Hinzufügen. (Sie könnenAusnahmen nach Bedarfbearbeitenundentfernen.)

11. Klicken Sie auf Erstellen, um die Regel zu speichern.

So weisen Sie Benutzern Regeln zu

Wählen Sie eine oder mehrere Regeln in der Liste aus, und klicken Sie dannin der Symbolleiste oder im Kontextmenü aufBearbeiten. Wählen Sie im Editor die Zeilen aus, die die Benutzer und Benutzergruppen enthalten, denen Sie die Regel zuweisen möchten, und klicken Sie dann auf OK. Sie können die Zuweisung der ausgewählten Regeln auch für alle Benutzer aufheben, indem Sie Alles auswählen verwenden, um alle Auswahlen zu löschen.

Hinweis: Wenn Sie mehrere Regeln auswählen und auf Bearbeiten klicken, werden alle Änderungen der Regelzuweisung für diese Regeln auf alle von Ihnen ausgewählten Benutzer und Benutzergruppen angewendet. Mit anderen Worten, bestehende Regelzuweisungen werden über diese Regeln hinweg zusammengeführt.

So fügen Sie Standardregeln hinzu

Klicken Sie auf Standardregeln hinzufügen. Ein Satz von AppLocker-Standardregeln wird der Liste hinzugefügt.

So bearbeiten Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus, und klicken Sie dannin der Symbolleiste oder im Kontextmenü aufBearbeiten. Der Editor wird angezeigt, in dem Sie Einstellungen anpassen können, die für die ausgewählte Auswahl gelten.

So löschen Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus, und klicken Sie dannin der Symbolleiste oder im Kontextmenü aufLöschen.

So sichern Sie Anwendungssicherheitsregeln

Sie können alle Anwendungssicherheitsregeln in Ihrem aktuellen Konfigurationssatz sichern. Regeln werden alle als einzelne XML-Datei exportiert. Sie können Wiederherstellen verwenden, um die Regeln für einen beliebigen Konfigurationssatz wiederherzustellen. Klicken Sie in der Multifunktionsleiste auf Backup und wählen Sie Sicherheitseinstellungen aus.

So stellen Sie Anwendungssicherheitsregeln wieder her

Sie können Anwendungssicherheitsregeln aus XML-Dateien wiederherstellen, die mit dem Sicherungsbefehl “Workspace Environment Management” erstellt wurden. Der Wiederherstellungsvorgang ersetzt die Regeln im aktuellen Konfigurationssatz durch diese Regeln in der Sicherung. Wenn Sie zurRegisterkarteSicherheit wechseln oder diese aktualisieren, werden ungültige Anwendungssicherheitsregeln erkannt. Ungültige Regeln werden automatisch gelöscht und in einem Berichtsdialog aufgelistet, den Sie exportieren können.

Während des Wiederherstellungsvorgangs können Sie festlegen, ob Sie Regelzuweisungen für Benutzer und Benutzergruppen in Ihrem aktuellen Konfigurationssatz wiederherstellen möchten. Die Neuzuweisung ist nur dann erfolgreich, wenn die gesicherten Benutzer/Gruppen im aktuellen Konfigurationsset/Active -Verzeichnis vorhanden sind. Nicht übereinstimmende Regeln werden wiederhergestellt, bleiben jedoch nicht zugewiesen. Nach der Wiederherstellung werden sie in einem Berichtsdialog aufgelistet, den Sie im CSV-Format exportieren können.

1. Klicken Sie im Menüband auf Wiederherstellen, um den Wiederherstellungsassistenten zu starten.

2. Wählen Sie Sicherheitseinstellungen aus, und klicken Sie dannzweimal aufWeiter.

3. Navigieren Sie unter Ordner wiederherstellen zu dem Ordner, der die Sicherungsdatei enthält.

4. Wählen Sie AppLocker-Regeleinstellungen aus, und klicken Sie dann auf Weiter.

5. Bestätigen Sie, ob Sie Regelzuweisungen wiederherstellen möchten oder nicht:

Ja. Stellen Sie Regeln wieder her, und weisen Sie sie denselben Benutzern und Benutzergruppen im aktuellen Konfigurationssatz neu zu.

Nein. Stellen Sie Regeln wieder her und lassen Sie sie nicht zugewiesen.

6. Um mit der Wiederherstellung zu beginnen, klicken Sie auf Einstellungen wiederherstellen.


Prozessmanagement

Mit diesen Einstellungen können Sie bestimmte Prozesse auf die weiße oder schwarze Liste setzen.

Prozessmanagement

Aktivieren Sie die Prozessverwaltung. Dies schaltet ein, ob Prozess-Positiv-/Sperrlisten in Kraft sind. Wenn diese Option deaktiviert ist, werden keine Einstellungen auf den Registerkarten Sperrliste verarbeiten und Positivliste verarbeiten berücksichtigt.

Hinweis:

Diese Option funktioniert nur, wenn der Sitzungsagent in der Sitzung des Benutzers ausgeführt wird. Verwenden Sie dazu die Agenteinstellungen der Hauptkonfiguration, um die Agentstart-Optionen (beim Anmelden/beim Wiederverbinden/für Administratoren) so festzulegen, dass sie entsprechend dem Benutzer-/Sitzungstyp gestartet werden, und legen Sie Agent-Typ auf “UI”. Diese Optionen werden unter Erweiterte Einstellungen beschrieben.

Sperrlisten verarbeiten

Diese Einstellungen ermöglichen es Ihnen, bestimmte Prozesse auf die Sperrliste zu setzen.

Sperrliste verarbeiten aktivieren. Dies ermöglicht die Sperrliste von Prozessen. Sie müssen Prozesse mit ihrem Namen der ausführbaren Datei hinzufügen (z. B. cmd.exe).

Lokale Administratoren ausschließen. Schließt lokale Administratorkonten aus der Sperrliste des Prozesses aus.

Angegebene Gruppen ausschließen. Ermöglicht es Ihnen, bestimmte Benutzergruppen von der Sperrliste des Prozesses auszuschließen.

Positivliste verarbeiten

Mit diesen Einstellungen können Sie bestimmte Prozesse auf die Positivliste setzen. Prozess-Black- und Prozess-Whitelists schließen sich gegenseitig aus.

Positivliste für Prozess aktivieren. Dies ermöglicht Positivlisten für Prozesse. Sie müssen Prozesse mit ihrem Namen der ausführbaren Datei hinzufügen (z. B. cmd.exe). Hinweis: Wenn diese Option aktiviert ist, werden alle Prozesse, die sich nicht in der Positivliste befinden, automatisch auf der schwarzen Liste aufgeführt.

Lokale Administratoren ausschließen. Schließt lokale Administratorkonten von der Positivliste des Prozesses aus (sie können alle Prozesse ausführen).

Angegebene Gruppen ausschließen. Ermöglicht es Ihnen, bestimmte Benutzergruppen von der Positivliste des Prozesses auszuschließen (sie können alle Prozesse ausführen).

Sicherheit