Sicherheit

Mit diesen Einstellungen können Sie Benutzeraktivitäten in Workspace Environment Management steuern.


Anwendungssicherheit

Wichtig:

Um zu steuern, welche Anwendungen Benutzer ausführen können, können Sie entweder die Windows AppLocker-Benutzeroberfläche oder die Workspace Environment Management verwenden, um Windows AppLocker-Regeln zu verwalten. Sie können jederzeit zwischen diesen Ansätzen wechseln, wir empfehlen jedoch, dass Sie nicht beide Ansätze gleichzeitig verwenden.

Mit diesen Einstellungen können Sie steuern, welche Anwendungen Benutzer ausführen dürfen, indem Sie Regeln definieren. Diese Funktionalität ähnelt Windows AppLocker. Wenn Sie die Workspace Environment Management zum Verwalten von Windows AppLocker-Regeln verwenden, verarbeitet (konvertiert) der Agent die Regeln der Registerkarte “Anwendungssicherheit” in Windows AppLocker-Regeln auf dem Agenthost. Wenn Sie die Agent-Verarbeitungsregeln beenden, werden sie im Konfigurationssatz beibehalten, und AppLocker wird weiterhin ausgeführt, indem die zuletzt vom Agenten verarbeiteten Anweisungen verwendet werden.

Anwendungssicherheit

Auf dieser Registerkarte werden die Anwendungssicherheitsregeln im aktuellen Konfigurationssatz für Workspace Environment Management aufgelistet. Sie können Suchen verwenden, um die Liste nach einer Textzeichenfolge zu filtern.

Wenn Sie auf der** Registerkarte Sicherheit das oberste Element „Anwendungssicherheit“ auswählen, stehen die folgenden Optionen zur Aktivierung oder Deaktivierung der Regelverarbeitung zur Verfügung: **

Sicherheitsregeln für Anwendungen verarbeiten. Wenn diese Option aktiviert ist, werden die Steuerelemente der** Registerkarte Anwendungssicherheit aktiviert, und der Agent verarbeitet Regeln im aktuellen Konfigurationssatz und konvertiert sie in AppLocker-Regeln auf dem Agent-Host. Wenn diese Option nicht aktiviert ist, sind die Steuerelemente der Registerkarte **Anwendungssicherheit deaktiviert, und der Agent verarbeitet keine Regeln in AppLocker-Regeln. (In diesem Fall werden AppLocker-Regeln nicht aktualisiert.)

Hinweis:

Diese Option ist nicht verfügbar, wenn die Verwaltungskonsole für Workspace Environment Management unter Windows 7 SP1 oder Windows Server 2008 R2 SP1 (oder früheren Versionen) installiert ist.

DLL-Regeln verarbeiten. Wenn diese Option ausgewählt ist, verarbeitet der Agent DLL-Regeln in der aktuellen Konfiguration, die in AppLocker-DLL-Regeln auf dem Agenthost festgelegt ist. Diese Option ist nur verfügbar, wenn Sie Anwendungssicherheitsregeln verarbeiten auswählen.

Wichtig:

Wenn Sie DLL-Regeln verwenden, müssen Sie für jede DLL, die von allen erlaubten Apps verwendet wird, eine DLL-Regel mit der Berechtigung “Zulassen” erstellen.

Achtung:

Wenn Sie DLL-Regeln verwenden, kann es zu einer Leistungsminderung kommen. Dies geschieht, weil AppLocker jede DLL überprüft, die eine App lädt, bevor sie ausgeführt werden darf.

Regelsammlungen

Regeln gehören zu AppLocker-Regelsammlungen. Jeder Sammlungsname gibt an, wie viele Regeln er enthält, z. B. (12). Klicken Sie auf einen Sammlungsnamen, um die Regelliste in eine der folgenden Sammlungen zu filtern:

  • Regeln für ausführbare Dateien. Regeln, die Dateien mit den Erweiterungen .exe und .com enthalten, die einer Anwendung zugeordnet sind.
  • Windows-Regeln. Regeln, die Installationsdateiformate (.msi, .msp, .mst) enthalten, die die Installation von Dateien auf Clientcomputern und Servern steuern.
  • Skriptregeln. Regeln, die Dateien der folgenden Formate enthalten: .ps1, .bat, .cmd, .vbs, .js.
  • Gepackte Regeln. Regeln, die Pakete enthalten, auch als universelle Windows-Apps bezeichnet. In gepackten Apps teilen alle Dateien innerhalb des App-Pakets dieselbe Identität. Daher kann eine Regel die gesamte App steuern. Workspace Environment Management unterstützt nur Publisherregeln für verpackte Apps.
  • DLL-Regeln. Regeln, die Dateien der folgenden Formate enthalten: .dll, .ocx.

Wenn Sie die Regelliste nach einer Sammlung filtern, steht die** Option **Regelerzwingung zur Verfügung, um zu steuern, wie AppLocker alle Regeln in dieser Sammlung auf dem Agenthost erzwingt. Folgende Regelerzwingungswerte sind möglich:

Aus (Standard). Regeln werden erstellt und auf “off” gesetzt, was bedeutet, dass sie nicht angewendet werden.

Auf. Regeln werden erstellt und auf “erzwingen” gesetzt, was bedeutet, dass sie auf dem Agenthost aktiv sind.

Audit. Regeln werden erstellt und auf “Audit” gesetzt, was bedeutet, dass sie sich auf dem Agenthost in einem inaktiven Zustand befinden. Windows-Protokolle, wenn Dinge gestartet werden, die gegen diese Regeln verstoßen würden, wenn sie durchgesetzt werden.

So importieren Sie AppLocker-Regeln

Sie können bereits aus AppLocker exportierte Regeln in Workspace Environment Management importieren. Importierte Windows AppLocker-Einstellungen werden allen vorhandenen Regeln auf der** Registerkarte **Sicherheit hinzugefügt. Ungültige Anwendungssicherheitsregeln werden automatisch gelöscht und in einem Berichtsdialog aufgelistet, den Sie exportieren können.

1. Klicken Sie in der Multifunktionsleiste auf AppLocker-Regeln importieren.

2. Navigieren Sie zu der XML-Datei, die aus AppLocker exportiert wurde, die Ihre AppLocker-Regeln enthält.

3. Klicken Sie auf Importieren.

Die Regeln werden der Liste Anwendungssicherheitsregeln hinzugefügt.

So fügen Sie eine Regel hinzu

1. Wählen Sie einen Namen der Regelsammlung in der Seitenleiste aus. Um beispielsweise eine ausführbare Regel hinzuzufügen, wählen Sie die Auflistung “Ausführbare Regeln” aus.

2. Klicken Sie auf Regel hinzufügen.

3. Geben Sie im** Abschnitt **Anzeige die folgenden Details ein:

Name. Der Anzeigename der Regel, wie sie in der Regelliste angezeigt wird.

Beschreibung. Zusätzliche Informationen zur Ressource (optional).

4. Klicken Sie im Abschnitt Typ auf eine Option:

Pfad. Die Regel stimmt mit einem Dateipfad oder Ordnerpfad überein.

Verlag. Die Regel stimmt mit einem ausgewählten Herausgeber überein.

Hash. Die Regel entspricht einem bestimmten Hash-Code.

5. Klicken Sie im** Abschnitt Berechtigungen auf, ob diese Regel die Ausführung von Anwendungen zulassen oder **verweigern soll.

6. Um diese Regel Benutzern oder Benutzergruppen zuzuweisen, wählen Sie im** Bereich **Zuweisungen die Benutzer oder Gruppen aus, denen diese Regel zugewiesen werden soll. In der Spalte “Zugewiesen” wird ein Häkchen-Symbol für zugewiesene Benutzer oder Gruppen angezeigt.

Tipp: Sie können die üblichen Modifikatortasten für die Windows-Auswahl verwenden, um mehrere Auswahlen zu treffen, oder verwenden Sie „Alle auswählen“, um alle Zeilen auszuwählen.

Tipp: Benutzer müssen sich bereits in der Liste Benutzer der Workspace Environment Management befinden.

Tipp: Sie können Regeln zuweisen, nachdem die Regel erstellt wurde.

7. Klicken Sie auf Weiter.

8. Geben Sie die Kriterien an, die mit der Regel übereinstimmen, abhängig vom gewählten Regeltyp:

Pfad. Geben Sie einen Dateipfad oder Ordnerpfad an, der die Regel entsprechen soll. Wenn Sie einen Ordner auswählen, stimmt die Regel mit allen Dateien innerhalb und unterhalb dieses Ordners überein.

Verlag. Geben Sie eine signierte Referenzdatei an, und verwenden Sie dann den Schieberegler Publisher-Info, um die Ebene der Eigenschaftenabgleichung zu optimieren.

Hash. Geben Sie eine Datei an. Die Regel entspricht dem Hash-Code der Datei.

9. Klicken Sie auf Weiter.

10. Fügen Sie alle erforderlichen Ausnahmen hinzu (optional). Wählen Sie unter Ausnahme hinzufügen einen Ausnahmetyp aus, und klicken Sie auf Hinzufügen. (Sie können** Ausnahmen nach Bedarf bearbeiten und **entfernen.)

11. Um die Regel zu speichern, klicken Sie auf Erstellen.

So weisen Sie Benutzern Regeln zu

Wählen Sie eine oder mehrere Regeln in der Liste aus, und klicken Sie dann** in der Symbolleiste oder im Kontextmenü auf Bearbeiten. Wählen Sie im Editor die Zeilen aus, die die Benutzer und Benutzergruppen enthalten, denen Sie die Regel zuweisen möchten, und klicken Sie dann auf **OK. Sie können die Zuweisung der ausgewählten Regeln auch für alle Benutzer aufheben, indem Sie „Alle auswählen“ verwenden, um alle Auswahlen zu löschen.

Hinweis: Wenn Sie mehrere Regeln auswählen und auf Bearbeiten klicken, werden alle Regelzuweisungsänderungen für diese Regeln auf alle ausgewählten Benutzer und Benutzergruppen angewendet. Mit anderen Worten, bestehende Regelzuweisungen werden über diese Regeln hinweg zusammengeführt.

So fügen Sie Standardregeln hinzu

Klicken Sie auf Standardregeln hinzufügen. Eine Reihe von AppLocker-Standardregeln wird der Liste hinzugefügt.

So bearbeiten Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus, und klicken Sie dann** in der Symbolleiste oder im Kontextmenü auf **Bearbeiten. Der Editor wird angezeigt, in dem Sie Einstellungen anpassen können, die für die ausgewählte Auswahl gelten.

So löschen Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus, und klicken Sie dann** in der Symbolleiste oder im Kontextmenü auf **Löschen.

So sichern Sie Anwendungssicherheitsregeln

Sie können alle Anwendungssicherheitsregeln in Ihrem aktuellen Konfigurationssatz sichern. Regeln werden alle als einzelne XML-Datei exportiert. Sie können Wiederherstellen verwenden, um die Regeln in einem beliebigen Konfigurationssatz wiederherzustellen. Klicken Sie in der Multifunktionsleiste auf Backup und dann auf Sicherheitseinstellungen.

So stellen Sie Anwendungssicherheitsregeln wieder her

Sie können Anwendungssicherheitsregeln aus XML-Dateien wiederherstellen, die mit dem Backup-Befehl Workspace Environment Management erstellt wurden. Der Wiederherstellungsvorgang ersetzt die Regeln im aktuellen Konfigurationssatz durch diese Regeln in der Sicherung. Wenn Sie zur** Registerkarte **Sicherheit wechseln oder aktualisieren, werden ungültige Anwendungssicherheitsregeln erkannt. Ungültige Regeln werden automatisch gelöscht und in einem Berichtsdialog aufgelistet, den Sie exportieren können.

Während des Wiederherstellungsvorgangs können Sie festlegen, ob Sie Regelzuweisungen für Benutzer und Benutzergruppen in Ihrem aktuellen Konfigurationssatz wiederherstellen möchten. Die Neuzuweisung ist nur dann erfolgreich, wenn die gesicherten Benutzer/Gruppen im aktuellen Konfigurationsset/Active -Verzeichnis vorhanden sind. Nicht übereinstimmende Regeln werden wiederhergestellt, bleiben jedoch nicht zugewiesen. Nach der Wiederherstellung werden sie in einem Berichtsdialog aufgelistet, den Sie im CSV-Format exportieren können.

1. Klicken Sie in der Multifunktionsleiste auf Wiederherstellen, um den Wiederherstellungsassistenten zu starten.

2. Wählen Sie Sicherheitseinstellungen aus, und klicken Sie dann** zweimal auf **Weiter.

3. Navigieren Sie unter Wiederherstellen aus Ordner zu dem Ordner, der die Sicherungsdatei enthält.

4. Wählen Sie AppLocker-Regeleinstellungen aus, und klicken Sie dann auf Weiter.

5. Bestätigen Sie, ob Sie Regelzuweisungen wiederherstellen möchten oder nicht:

Ja. Stellen Sie Regeln wieder her, und weisen Sie sie denselben Benutzern und Benutzergruppen im aktuellen Konfigurationssatz neu zu.

Nein. Stellen Sie Regeln wieder her und lassen Sie sie nicht zugewiesen.

6. Um mit der Wiederherstellung zu beginnen, klicken Sie auf Einstellungen wiederherstellen.


Prozessmanagement

Mit diesen Einstellungen können Sie bestimmte Prozesse auf die weiße oder schwarze Liste setzen.

Prozessmanagement

Aktivieren Sie die Prozessverwaltung. Dies schaltet ein, ob Prozess-Whitelists/Blacklists in Kraft sind. Wenn diese Option deaktiviert ist, werden keine der Einstellungen auf den ** Registerkarten BlackList **verarbeiten und WhileList verarbeiten berücksichtigt.

Hinweis:

Diese Option funktioniert nur, wenn der Sitzungsagent in der Sitzung des Benutzers ausgeführt wird. Verwenden Sie dazu die Einstellungen des ** Hauptkonfigurations-Agents, um die ** Start-Agent-Optionen (**beiAnmelden/bei Wiederverbindung/für Administratoren) entsprechend dem Benutzer/Sitzungstyp zu starten, und legen Sie **Agent-Typ auf „UI“. Diese Optionen werden unter Erweiterte Einstellungen beschrieben.

BlackLists verarbeiten

Diese Einstellungen ermöglichen es Ihnen, bestimmte Prozesse auf die Blacklist zu setzen.

Blacklist für Prozess-Blacklist aktivieren. Dies ermöglicht die Blacklist von Prozessen. Sie müssen Prozesse hinzufügen, indem Sie den Namen der ausführbaren Datei verwenden (z. B. cmd.exe).

Lokale Administratoren ausschließen. Schließt lokale Administratorkonten aus der Blacklist des Prozesses aus.

Angegebene Gruppen ausschließen. Ermöglicht es Ihnen, bestimmte Benutzergruppen von der Blacklist des Prozesses auszuschließen.

WhiteList verarbeiten

Mit diesen Einstellungen können Sie bestimmte Prozesse auf die weiße Liste setzen. Prozess-Black- und Prozess-Whitelists schließen sich gegenseitig aus.

Positivliste für den Prozess aktivieren. Dies ermöglicht die Whitelisting von Prozessen. Sie müssen Prozesse hinzufügen, indem Sie den Namen der ausführbaren Datei verwenden (z. B. cmd.exe). Hinweis: Wenn diese Option aktiviert ist, ** werden automatisch alle Prozesse, die sich nicht in der Whitelist befinden, auf die schwarze Liste gesetzt.

Lokale Administratoren ausschließen. Schließt lokale Administratorkonten von der Whitelisting des Prozesses aus (sie können alle Prozesse ausführen).

Angegebene Gruppen ausschließen. Ermöglicht es Ihnen, bestimmte Benutzergruppen von der Whitelisting des Prozesses auszuschließen (sie können alle Prozesse ausführen).

Sicherheit