Produktdokumentation
Workspace Environment Management
Service Current Release 2402 2311 2308 2305 2303 2212 2209 2206 2203
PDF anzeigen
Danke für das Feedback

Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)

  Auf Englisch anzeigen

Sicherheit

April 9, 2025
Beitrag von: 
C

Anwendungssicherheit

Mit der Anwendungssicherheitsfunktion können Sie Regeln definieren, um zu steuern, welche Anwendungen und Dateien die Benutzer ausführen können. Sie können Anwendungssicherheitsregeln in der Webkonsole konfigurieren und ein Tool zum Abrufen der für die Regelkonfiguration erforderlichen Informationen bereitstellen. Darüber hinaus können Sie diese Funktion verwenden, um Zuweisungsgruppen mit Sicherheitsregeln zu erstellen. Wenn die Prozessanwendungsregeln und Prozess-DLL-Regeln aktiviert sind, ist der Überschreibmodus standardmäßig eingeschaltet. Im Modus Overwrite überschreiben die am Ende verarbeiteten Regeln die zuvor verarbeiteten Regeln. Wir empfehlen, diesen Modus nur auf Einzelsitzungsmaschinen anzuwenden. Mit dieser Funktion können Sie außerdem die folgenden Regeln erstellen:

  • Ausführbare Regeln
  • Regeln für das Windows-Installationsprogramm
  • Skriptregeln
  • Regeln für gepackte Apps
  • DLL-Regeln

Hinweis:

Es wird empfohlen, vor dem Erstellen von Regeln zuerst die Standardregeln hinzuzufügen, um sicherzustellen, dass wichtige Systemdateien ausgeführt werden können.

Erstellen einer Windows Installer-Regel

Hierzu gehören zwei Menüpunkte, Grundlegende Informationen und Ausnahmen. Um eine Windows-Installer-Regel zu erstellen, führen Sie die folgenden Schritte unter Grundlegende Informationen und Ausnahmenaus:

  • Wenn Sie Regel erstellen auswählen, gelangen Sie zur Seite Windows-Installer-Regel erstellen .
  • Geben Sie den Namen und eine optionale Beschreibung ein.
  • Wählen Sie die gewünschte Aktion.
  • Wählen Sie die Schaltfläche Typ des Kriteriums wie Pfad, Verlagoder Datei-Hash aus der Dropdown-Liste.
  • Wenn Sie „Dateiinfo-Viewer öffnen“ auswählen, gelangen Sie zum WEM Tool Hub. Nutzen Sie den WEM Tool Hub**, um schnell die benötigten Informationen zu erhalten. Weitere Informationen finden Sie unter Dateiinfo-Viewer.
  • Optional können Sie Ausnahmen hinzufügen, um Dateien einzuschließen, die normalerweise basierend auf den primären Kriterien in der Regel enthalten sind. Um diese Aufgabe auszuführen, wählen Sie Ausnahme hinzufügenaus.
  • Gehen Sie zum WEM Tool Hub, um Daten aus einem der angegebenen Kriterien unter File Info Viewer zu kopieren, und klicken Sie dann auf Einfügen aus File Info Viewer.
  • Klicken Sie auf Fertig.
  • Wählen Sie Weiter mit Aufgabe aus, um die Aufgaben wie erforderlich auf der Seite Aufgaben verwalten zu aktualisieren.
  • Wählen Sie Zuweisungsziele (Benutzer und Gruppen) aus, denen dieses Element zugewiesen werden soll. Verwenden Sie Filter, um die Aufgabe zu kontextualisieren. Von Ihnen angegebene Filter sind nur im Modus „ Überschreiben “ wirksam und werden nur von Agenten der Version 2406 oder höher unterstützt.
  • Geben Sie ein Sternchen ein, wenn eine bestimmte Regel auf alle Dateien angewendet werden soll.

Berechtigungserhöhung

Diese Funktion definiert Regeln zum Ausführen bestimmter Programme mit Administratorrechten. Sie können die Berechtigungen nichtadministrativer Benutzer auf die für einige ausführbare Dateien erforderliche Administratorebene erhöhen. Infolgedessen können die Benutzer diese ausführbaren Dateien so starten, als wären sie Mitglieder der Administratorengruppe.

Optionen zur Rechteerweiterung

  • Regeln zur Rechteerhöhung verarbeiten: Wenn diese Option ausgewählt ist, können Agenten Einstellungen zur Rechteerhöhung verarbeiten. Zudem werden auf der Registerkarte „Rechteerhöhung“ andere Optionen verfügbar.

  • Auf Windows Server-Betriebssysteme anwenden: Steuert, ob Einstellungen zur Rechteerweiterung auf Windows Server-Betriebssysteme angewendet werden. Wenn diese Option ausgewählt ist, funktionieren die Benutzern zugewiesenen Regeln auf Windows Server-Computern. Standardmäßig ist diese Option deaktiviert.

  • RunAsInvoker erzwingen: Steuert, ob die Ausführung aller ausführbaren Dateien unter dem aktuellen Windows-Konto erzwungen werden soll. Wenn diese Option ausgewählt ist, werden Benutzer nicht aufgefordert, ausführbare Dateien als Administratoren auszuführen.

In diesem Bereich wird auch die vollständige Liste der von Ihnen konfigurierten Regeln angezeigt. Klicken Sie auf Ausführbare Regeln, Windows Installer-Regelnoder Selbsterhöhung , um die Regelliste nach einem bestimmten Regeltyp zu filtern. Sie können Suchen verwenden, um die Liste zu filtern. In der Spalte „Zugewiesen“ wird für zugewiesene Benutzer oder Benutzergruppen ein Häkchensymbol angezeigt.

Unterstützte Regeln

Sie können die Berechtigungserhöhung mithilfe von zwei Arten von Regeln konfigurieren: ausführbare Regeln und Regeln für Windows Installer.

  • Ausführbare Regeln: Regeln, die Dateien mit den Erweiterungen .exe und .com einschließen, die einer Anwendung zugeordnet sind.

  • Windows Installer-Regeln: Regeln, die Installationsdateien mit den Erweiterungen .msi und .msp einschließen, die einer Anwendung zugeordnet sind. Berücksichtigen Sie beim Hinzufügen von Windows-Installationsregeln das folgende Szenario:

    • Die Berechtigungshöhe gilt nur für Microsofts msiexec.exe. Stellen Sie sicher, dass das Tool, das Sie zum Bereitstellen von Windows Installer-Dateien des Typs .msi und .msp verwenden, msiexec.exe ist.
    • Angenommen, ein Prozess stimmt mit einer angegebenen Windows-Installationsregel überein und sein übergeordneter Prozess entspricht einer bestimmten ausführbaren Regel. Der Prozess kann keine erhöhten Berechtigungen erhalten, es sei denn, die Einstellung Auf untergeordnete Prozesse anwenden ist in der angegebenen ausführbaren Regel aktiviert.

  • Selbsterhöhung: Wenn aktiviert, ist die Option Mit Administratorrechten ausführen im Kontextmenü verfügbar, wenn Sie mit der rechten Maustaste auf eine Datei klicken. Nachdem Sie diese Option ausgewählt haben, werden Sie aufgefordert, einen Grund für die Erhöhung anzugeben. Die Erhöhung wird dann je nach den von Ihnen angegebenen Kriterien entweder zugelassen oder verweigert. Zum Konfigurieren der Regel können Sie den WEM Tool Hub > File Info Viewer verwenden, um schnell die erforderlichen Informationen wie Pfad, Herausgeber und Hash-Werte zu erhalten. Sie können außerdem den Zeitraum angeben, den Wochentag auswählen und optional auch die Kriterien festlegen, um die Maschinen zu bestimmen, auf denen die Regel wirksam ist. Wenn die Option Selbsterhöhung Wenn die Umschaltung zum ersten Mal in einem Konfigurationssatz aktiviert ist, wird die Regel für die Selbsterhöhung erstellt und ist in der Regelliste zu finden, wenn Zuweisungen für ein Zuweisungsziel verwaltet werden. Nach der Erstellung wird die Regel nie entfernt.

Sie können den Zeitraum angeben, in dem die Regel wirksam ist. Optional können Sie auch die Kriterien festlegen, um zu bestimmen, auf welchen Computern die Regel angewendet wird. Sie können wählen, ob Sie alle oder eines der folgenden Kriterien erfüllen möchten:

  • Name des Maschinenkatalogs
  • Name der Bereitstellungsgruppe
  • Gerätename
  • IP-Adresse
  • Betriebssystemplattformtyp
  • Version des Betriebssystems
  • Status des persistenten Computers

Nachdem Sie die Ausführbare Regeln, die Windows Installer-Regelnoder die Selbsterhöhungsregeln ausgewählt haben, werden im Abschnitt Aktionen die folgenden für Sie verfügbaren Aktionen angezeigt:

  • Zurücksetzen. Ermöglicht das Löschen einer vorhandenen ausführbaren Regel.

  • Löschen. Geben Sie zusätzliche Informationen über die Regel ein.

  • Regel erstellen. Ermöglicht Ihnen, eine ausführbare Regel zu erstellen. Befolgen Sie die Anweisungen des Assistenten, um eine ausführbare Regel zu erstellen.

Steuerung der Prozesshierarchie

Die Funktion zur Steuerung der Prozesshierarchie steuert, ob bestimmte untergeordnete Prozesse in Parent-Kind-Szenarien von ihren übergeordneten Prozessen aus gestartet werden können. Sie erstellen eine Regel, indem Sie übergeordnete Prozesse definieren und dann eine Positivliste oder eine Sperrliste für ihre untergeordneten Prozesse festlegen. Lesen Sie diesen gesamten Abschnitt, bevor Sie die Funktion verwenden.

Hinweis:

  • Diese Funktion gilt nur für Citrix Virtual Apps.

Um zu verstehen, wie die Regel funktioniert, beachten Sie Folgendes:

  • Ein Prozess unterliegt nur einer Regel. Wenn Sie mehrere Regeln für denselben Prozess definieren, wird nur die Regel mit der höchsten Priorität erzwungen.

  • Die von Ihnen definierte Regel ist nicht nur auf die ursprüngliche über- und untergeordnete Hierarchie beschränkt, sondern gilt auch für jede Ebene dieser Hierarchie. Regeln, die auf einen übergeordneten Prozess anwendbar sind, haben Vorrang vor Regeln, die auf seine untergeordneten Prozesse anwendbar sind, unabhängig von der Priorität der Regeln. Sie definieren beispielsweise die folgenden zwei Regeln:

    • Regel 1: Word kann CMD nicht öffnen.
    • Regel 2: Notepad kann CMD öffnen.

    Mit den beiden Regeln können Sie CMD nicht aus Notepad heraus öffnen, indem Sie zuerst Word öffnen und dann Notepad aus Word heraus öffnen, unabhängig von der Priorität der Regeln.

Diese Funktion ist auf bestimmte prozessbasierte Beziehungen zwischen über- und untergeordneten Elementen angewiesen, um zu funktionieren. Um die Beziehungen zwischen über- und untergeordneten Elementen in einem Szenario zu visualisieren, verwenden Sie die Prozessstrukturfunktion des Process Explorer-Tools. Weitere Informationen zum Prozess-Explorer finden Sie unter https://docs.microsoft.com/en-us/sysinternals/downloads/procmon.

Um mögliche Probleme zu vermeiden, empfehlen wir Ihnen, in der Verwaltungsschnittstelle „Vollständige Konfiguration“ einen ausführbaren Dateipfad hinzuzufügen, der auf VUEMAppCmd.exe verweist. VUEMAppCmd.exe stellt sicher, dass der WEM-Agent die Verarbeitung der Einstellungen vor dem Start veröffentlichter Anwendungen abschließt. Führen Sie hierzu die folgenden Schritte aus:

  1. Wählen Sie im Knoten Anwendung die Anwendung aus, klicken Sie in der Aktionsleiste auf Eigenschaften und wechseln Sie dann zur Seite Standort .

    Seite „Anwendungseinstellungen“ in der vollständigen Konfiguration

  2. Geben Sie den Pfad der lokalen Anwendung auf dem Betriebssystem des Endbenutzers ein.

    • Geben Sie im Feld Pfad zur ausführbaren Datei Folgendes ein:

         <%ProgramFiles%>\Citrix\Workspace Environment Management Agent\VUEMAppCmd.exe

  3. Geben Sie das Befehlszeilenargument ein, um eine zu öffnende Anwendung anzugeben.

    • Unter dem Befehlszeilen-Argument den vollständigen Pfad zu der Anwendung ein, über die Sie starten möchten VUEMAppCmd.exe. Stellen Sie sicher, dass Sie die Befehlszeile für die Anwendung in doppelte Anführungszeichen setzen, wenn der Pfad Leerzeichen enthält.
    • Angenommen, Sie möchten iexplore.exe über VUEMAppCmd.exe. Geben Sie dazu Folgendes ein: %ProgramFiles(x86)%\"Internet Explorer"\iexplore.exe.

Überlegungen

Damit die Funktion funktioniert, müssen Sie die Schaltfläche AppInfoViewer (Englisch) auf jedem Agent-Computer, um die Funktion zu aktivieren. (Das Tool befindet sich im Agentinstallationsordner.) Jedes Mal, wenn Sie das Tool zum Aktivieren oder Deaktivieren der Funktion verwenden, ist ein Neustart der Maschine erforderlich. Wenn die Funktion aktiviert ist, beachten Sie Folgendes:

  • Sie müssen den Agent-Computer nach dem Upgrade oder der Deinstallation des Agenten neu starten.

  • Die Funktion zum automatischen Agent-Upgrade funktioniert nicht, wenn die Funktion aktiviert ist. Um die Funktion zur automatischen Agent-Aktualisierung zu verwenden, deaktivieren Sie zunächst mit dem Tool AppInfoViewer die Funktion zur Prozesshierarchiesteuerung.

Um zu überprüfen, ob die Funktion zur Steuerung der Prozesshierarchie aktiviert ist, öffnen Sie die Registrierungs-Editor auf dem Agent-Computer. Das Feature ist aktiviert, wenn der folgende Registrierungseintrag vorhanden ist:

  • 32-Bit-Betriebssystem
    • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
  • 64-Bit-Betriebssystem
    • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_Dlls\WEM Hook

Voraussetzungen

Um die Funktion verwenden zu können, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Eine Citrix Virtual Apps-Bereitstellung.
  • Der Agent wird unter Windows 10 oder Windows Server ausgeführt.
  • Der Agent-Host wurde nach einem direkten Upgrade oder einer Neuinstallation neu gestartet.

Optionen zur Steuerung der Prozesshierarchie

Wenn Sie Steuerung der Prozesshierarchie in Sicherheitklicken, werden die folgenden Optionen angezeigt:

Prozesshierarchiesteuerung aktivieren: Steuert, ob die Funktion zur Prozesshierarchiesteuerung aktiviert werden soll. Wenn diese Option ausgewählt ist, werden andere Optionen auf der Registerkarte „ Prozesshierarchiesteuerung “ verfügbar und die konfigurierten Einstellungen werden wirksam. Sie können diese Funktion nur in einer Citrix Virtual Apps-Bereitstellung verwenden.

„Öffnen mit“ im Kontextmenü ausblenden: Steuert, ob die Option „Öffnen mit“ im Windows-Kontextmenü angezeigt oder ausgeblendet werden soll. Wenn diese Option aktiviert ist, wird sie in der Benutzeroberfläche ausgeblendet. Wenn diese Option deaktiviert ist, ist sie sichtbar und Benutzer können sie verwenden, um einen Prozess zu starten. Die Funktion zur Steuerung der Prozesshierarchie gilt nicht für Prozesse, die über die Funktion Öffnen mit Option. Es wird empfohlen, diese Einstellung zu aktivieren, um zu verhindern, dass Anwendungen Prozesse über Systemdienste starten, die nicht mit der aktuellen Anwendungshierarchie verknüpft sind.

Das Steuerung der Prozesshierarchie zeigt auch die vollständige Liste der Regeln an, die Sie konfiguriert haben. Sie können Finden , um die Liste zu filtern. In der Spalte „Zugewiesen“ wird für zugewiesene Benutzer oder Benutzergruppen ein Häkchensymbol angezeigt.

Das Aktionen zeigt die folgenden Aktionen an:

  • Zurücksetzen. Ermöglicht das Bearbeiten einer Regel.
  • Löschen. Ermöglicht das Löschen einer Regel.
  • Regelerstellen. Ermöglicht das Hinzufügen einer Regel.

Regel erstellen

  1. Navigieren Sie zu Prozesshierarchiesteuerung und klicken Sie auf Regel erstellen. Die Seite „ Regel erstellen “ wird angezeigt.

  2. Im Zeigen Geben Sie Folgendes ein:
    • Name. Geben Sie den Anzeigenamen der Regel ein. Der Name wird in der Regelliste angezeigt.
    • Beschreibung. Geben Sie zusätzliche Informationen zur Regel ein.

  3. Legen Sie im Abschnitt Priorität die Priorität für die Regel fest. Beachten Sie beim Konfigurieren der Priorität Folgendes: Die Priorität bestimmt die Reihenfolge, in der die von Ihnen konfigurierten Regeln verarbeitet werden. Je größer der Wert, desto höher ist die Priorität. Geben Sie eine ganze Zahl ein. Kommt es zu einem Konflikt, hat die Regel mit der höheren Priorität Vorrang.

  4. Wählen Sie im Abschnitt Kriterientyp eine Option zum Hinzufügen von übergeordnetem Prozessaus.
    • Hash. Die Regel stimmt mit einem Dateipfad überein.
    • Gilt nur für signierte ausführbare Dateien. Die Regel stimmt mit einem ausgewählten Herausgeber überein.
    • Hash. Die Regel stimmt mit einem bestimmten Hashcode überein.
  5. Im Modus eine der folgenden Optionen aus:
    • Zulassungsliste. Legen Sie Kriterien für untergeordnete Prozesse fest, die vom übergeordneten Prozess aus geöffnet werden dürfen. Alles andere wird verneint.
    • Sperrliste. Legen Sie Kriterien für untergeordnete Prozesse fest, die nicht vom übergeordneten Prozess aus geöffnet werden dürfen. Alles andere ist erlaubt.

  6. Kriterien für untergeordnete Prozesse.

  7. Geben Sie den Zeitraum an, in dem die Regel gültig ist.

  8. Maschinenkriterien: Legen Sie Kriterien fest, um zu bestimmen, auf welchen Maschinen die Regel wirksam ist. Sie können optional Kriterien festlegen, um zu bestimmen, auf welchen Maschinen die Regel angewendet wird. Sie können wählen, ob Sie alle oder eines der folgenden Kriterien erfüllen möchten:
    • Name des Maschinenkatalogs
    • Name der Bereitstellungsgruppe
    • Gerätename
    • IP-Adresse
    • Betriebssystemplattformtyp
    • Version des Betriebssystems
    • Status des persistenten Computers

So weisen Sie Benutzern Regeln zu

Wählen Sie eine Regel in der Liste aus und klicken Sie dann im Abschnitt Aktionen auf Zuweisungen verwalten .

So löschen Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann auf Löschen im Aktionen Abschnitt.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.
Sicherheit
April 9, 2025
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.