Sicherheit

Mit diesen Einstellungen können Sie Benutzeraktivitäten in Workspace Environment Management (WEM) steuern.


Anwendungssicherheit

Wichtig:

Um zu steuern, welche Anwendungen Benutzer ausführen können, verwenden Sie die Windows AppLocker-Schnittstelle oder WEM, um Windows AppLocker-Regeln zu verwalten. Sie können jederzeit zwischen diesen Ansätzen wechseln. Wir empfehlen, dass Sie nicht beide Ansätze gleichzeitig verwenden.

Mit diesen Einstellungen können Sie die Anwendungen steuern, die Benutzer ausführen dürfen, indem Sie Regeln definieren. Diese Funktionalität ähnelt Windows AppLocker. Wenn Sie WEM zum Verwalten von Windows AppLocker-Regeln verwenden, konvertiert der Agent Regeln der Registerkarte “ Anwendungssicherheit “ in Windows AppLocker-Regeln auf dem Agenten-Host. Wenn Sie die Agent-Verarbeitungsregeln beenden, werden sie im Konfigurationssatz beibehalten. AppLocker wird weiterhin ausgeführt, indem der letzte Satz von Anweisungen verwendet wird, die vom Agenten verarbeitet wurden.

Anwendungssicherheit

Auf dieser Registerkarte werden die Anwendungssicherheitsregeln im aktuellen WEM-Konfigurationssatz aufgeführt. Verwenden Sie Suchen, um die Liste nach einer Textzeichenfolge zu filtern.

Wenn Sie auf der Registerkarte Sicherheit den Punkt “Anwendungssicherheit” auf der obersten Ebene auswählen, werden die folgenden Optionen verfügbar:

  • Anwendungssicherheitsregeln verarbeiten. Wenn diese Option ausgewählt ist, sind die Steuerelemente der Registerkarte Anwendungssicherheit aktiviert, und der Agent verarbeitet Regeln im aktuellen Konfigurationssatz und konvertiert sie in AppLocker-Regeln auf dem Agenten-Host. Wenn diese Option nicht ausgewählt ist, sind die Steuerelemente der Registerkarte “ Anwendungssicherheit “ deaktiviert, und der Agent wandelt keine Regeln in AppLocker-Regeln um. (In diesem Fall werden AppLocker-Regeln nicht aktualisiert.)

    Hinweis:

    Diese Option ist nicht verfügbar, wenn die WEM-Verwaltungskonsole unter Windows 7 SP1 oder Windows Server 2008 R2 SP1 (oder früheren Versionen) installiert ist.

  • DLL-Regeln verarbeiten. Wenn diese Option aktiviert ist, konvertiert der Agent DLL-Regeln im aktuellen Konfigurationssatz in AppLocker-DLL-Regeln auf dem Agent-Host. Diese Option ist nur verfügbar, wenn Sie Prozessanwendungssicherheitsregelnauswählen.

    Wichtig:

    Wenn Sie DLL-Regeln verwenden, müssen Sie eine DLL-Regel mit der Berechtigung “Zulassen” für jede DLL erstellen, die von allen zulässigen Apps verwendet wird.

    Achtung:

    Wenn Sie DLL-Regeln verwenden, kann es zu einer langsamen Leistung kommen. Dieses Problem tritt auf, weil AppLocker jede DLL überprüft, die eine App lädt, bevor die App ausgeführt werden darf.

  • Mit den Einstellungen Überschreiben und Zusammenführen können Sie bestimmen, wie der Agent Anwendungssicherheitsregeln verarbeitet.

    • Überschreiben. Ermöglicht das Überschreiben vorhandener Regeln. Bei Auswahl dieser Option überschreiben die zuletzt verarbeiteten Regeln, die zuvor verarbeitet wurden. Wir empfehlen, diesen Modus nur auf Einzelsitzungsmaschinen anzuwenden.
    • Verschmelzen. Ermöglicht das Zusammenführen von Regeln mit bestehenden Regeln. Wenn Konflikte auftreten, überschreiben die zuletzt verarbeiteten Regeln, die zuvor verarbeitet wurden.

Regelsammlungen

Regeln gehören zu AppLocker-Regelsammlungen. Jeder Sammlungsname gibt an, wie viele Regeln er enthält, z. B. (12). Klicken Sie auf einen Sammlungsnamen, um die Regelliste nach einer der folgenden Sammlungen zu filtern:

  • Ausführbare Regeln. Regeln, die Dateien mit den Erweiterungen.exe und .com enthalten, die einer Anwendung zugeordnet sind.
  • Windows-Regeln. Regeln, die Installationsdateiformate (MSI, MSP, MST) enthalten, die die Installation von Dateien auf Clientcomputern und Servern steuern.
  • Skriptregeln. Regeln, die Dateien der folgenden Formate enthalten: .ps1, .bat, .cmd, .vbs, .js.
  • Verpackte Regeln. Regeln, die gepackte Apps enthalten, die auch als universelle Windows-Apps bezeichnet werden. In gepackten Apps teilen alle Dateien innerhalb des App-Pakets dieselbe Identität. Daher kann eine Regel die gesamte App steuern. WEM unterstützt nur Publisher-Regeln für gepackte Apps.
  • DLL-Regeln. Regeln, die Dateien der folgenden Formate enthalten: .dll, .ocx.

Wenn Sie die Regelliste in eine Sammlung filtern, steht die Option Regelerzwingung zur Verfügung, um zu steuern, wie AppLocker alle Regeln in dieser Sammlung auf dem Agenthost erzwingt. Die folgenden Regelerzwingungswerte sind möglich:

Aus (Standardeinstellung). Regeln werden erstellt und auf “off” gesetzt, was bedeutet, dass sie nicht angewendet werden.

An. Regeln werden erstellt und auf “erzwingen” festgelegt, was bedeutet, dass sie auf dem Agent-Host aktiv sind.

Audit. Regeln werden erstellt und auf “Audit” festgelegt, was bedeutet, dass sie sich auf dem Agent-Host im inaktiven Zustand befinden. Wenn ein Benutzer eine App ausführt, die gegen eine AppLocker-Regel verstößt, darf die App ausgeführt werden, und die Informationen über die App werden dem AppLocker-Ereignisprotokoll hinzugefügt.

So fügen Sie eine Regel hinzu

  1. Wählen Sie einen Namen der Regelsammlung in der Seitenleiste aus. Um beispielsweise eine ausführbare Regel hinzuzufügen, wählen Sie die Auflistung “Ausführbare Regeln” aus.

  2. Klicken Sie auf Regel hinzufügen.

  3. Geben Sie im Abschnitt “ Anzeige “ die folgenden Details ein:

    • Name. Der Anzeigename der Regel, wie er in der Regelliste angezeigt wird.

    • Beschreibung. Zusätzliche Informationen zur Ressource (optional).

  4. Wählen Sie im Abschnitt Typ eine Option aus:

    • Pfad. Die Regel entspricht einem Dateipfad.

    • Verlag. Die Regel stimmt mit einem ausgewählten Herausgeber überein.

    • Hash. Die Regel entspricht einem bestimmten Hash-Code.

  5. Wählen Sie im Abschnitt “ Berechtigungen “ die Option Zulassen oder Verweigernaus. Die Auswahl steuert, ob die Ausführung von Anwendungen zugelassen oder verhindert werden soll.

  6. Um diese Regel Benutzern oder Benutzergruppen zuzuweisen, wählen Sie im Bereich Zuweisungen die Option Benutzer oder Gruppen aus, denen Sie diese Regel zuweisen möchten. In der Spalte “Zugewiesen” wird ein Häkchen-Symbol für zugewiesene Benutzer oder Gruppen angezeigt.

    Tipp:

    -  Sie können die üblichen Windows-Auswahlmodifikatortasten verwenden, um eine Mehrfachauswahl zu treffen, oder **Alle auswählen** verwenden, um alle Zeilen auszuwählen.
    
    • Benutzer müssen sich bereits in der Liste der WEM-Benutzer befinden.
    • Sie können Regeln zuweisen, nachdem die Regel erstellt wurde.
  7. Klicken Sie auf Weiter.

  8. Geben Sie die Kriterien an, die mit der Regel übereinstimmen, abhängig vom gewählten Regeltyp:

    • Pfad. Geben Sie den Pfad zu der Datei oder dem Ordner ein, auf die Sie die Regel anwenden möchten. Der WEM-Agent wendet die Regel entsprechend dem Pfad der ausführbaren Datei auf eine ausführbare Datei an.

    • Verlag. Füllen Sie die folgenden Felder aus: Herausgeber, Produktname, DateinameundDateiversion. Sie können keines der Felder leer lassen, aber Sie können stattdessen ein Sternchen (*) eingeben. Der WEM-Agent wendet die Regel gemäß den Informationen des Herausgebers an. Bei Anwendung können Benutzer ausführbare Dateien ausführen, die dieselben Publisherinformationen verwenden.

    • Hash. Klicken Sie auf Hinzufügen, um einen Hash hinzuzufügen. Geben Sie im Fenster Hash hinzufügen den Dateinamen und den Hashwert ein. Sie können das Tool AppInfoViewer verwenden, um einen Hash aus einer ausgewählten Datei oder einem ausgewählten Ordner zu erstellen. Der WEM-Agent wendet die Regel auf identische ausführbare Dateien an, wie angegeben. Daher können Benutzer ausführbare Dateien ausführen, die mit der angegebenen identisch sind.

  9. Klicken Sie auf Weiter.

  10. Fügen Sie alle erforderlichen Ausnahmen hinzu (optional). Wählen Sie unter Ausnahme hinzufügeneinen Ausnahmetyp aus und klicken Sie dann auf Hinzufügen. (Sie können Ausnahmen bei Bedarf bearbeiten oder entfernen.)

  11. Um die Regel zu speichern, klicken Sie auf Erstellen.

So weisen Sie Benutzern Regeln zu

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann in der Symbolleiste oder im Kontextmenü auf Bearbeiten. Wählen Sie im Editor die Zeilen aus, die die Benutzer und Benutzergruppen enthalten, denen Sie die Regel zuweisen möchten, und klicken Sie dann auf OK. Sie können die Zuweisung der ausgewählten Regeln auch für alle Benutzer aufheben, indem Sie “Alle auswählen” verwenden, um alle Auswahlen zu löschen.

Hinweis: Wenn Sie mehrere Regeln auswählen und auf Bearbeitenklicken, gelten alle Änderungen der Regelzuweisung für diese Regeln für alle von Ihnen ausgewählten Benutzer und Benutzergruppen. Mit anderen Worten, bestehende Regelzuweisungen werden über diese Regeln hinweg zusammengeführt.

So fügen Sie Standardregeln

Klicken Sie auf Standardregeln hinzufügen. Ein Satz von AppLocker-Standardregeln wird der Liste hinzugefügt.

So bearbeiten Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann in der Symbolleiste oder im Kontextmenü auf Bearbeiten. Der Editor wird angezeigt, in dem Sie Einstellungen anpassen können, die für die von Ihnen getroffene Auswahl gelten.

So löschen Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann in der Symbolleiste oder im Kontextmenü auf Löschen.

So sichern Sie Anwendungssicherheitsregeln

Sie können alle Anwendungssicherheitsregeln in Ihrem aktuellen Konfigurationssatz sichern. Regeln werden alle als einzelne XML-Datei exportiert. Sie können Wiederherstellen verwenden, um die Regeln in einem beliebigen Konfigurationssatz wiederherzustellen. Klicken Sie in der Multifunktionsleiste auf Backup und wählen Sie dann Sicherheitseinstellungenaus.

So stellen Sie Anwendungssicherheitsregeln wieder her

Sie können Anwendungssicherheitsregeln aus XML-Dateien wiederherstellen, die mit dem Sicherungsbefehl “Workspace Environment Management” erstellt wurden. Der Wiederherstellungsvorgang ersetzt die Regeln im aktuellen Konfigurationssatz durch diese Regeln in der Sicherung. Wenn Sie auf die Registerkarte Sicherheit wechseln oder diese aktualisieren, werden alle ungültigen Sicherheitsregeln für Anwendungen erkannt. Ungültige Regeln werden automatisch gelöscht und in einem Berichtsdialogfeld aufgeführt, das Sie exportieren können.

Während des Wiederherstellungsvorgangs können Sie auswählen, ob Sie Regelzuweisungen für Benutzer und Benutzergruppen in Ihrem aktuellen Konfigurationssatz wiederherstellen möchten. Die Neuzuweisung ist nur erfolgreich, wenn die gesicherten Benutzer/Gruppen in Ihrem aktuellen Konfigurationsset/Active Directory vorhanden sind. Alle nicht übereinstimmenden Regeln werden wiederhergestellt, bleiben jedoch nicht zugewiesen. Nach der Wiederherstellung werden sie in einem Berichtsdialog aufgelistet, den Sie im CSV-Format exportieren können.

  1. Klicken Sie in der Multifunktionsleiste auf Wiederherstellen, um den Wiederherstellungsassistenten zu starten.

  2. Wählen Sie Sicherheitseinstellungen aus, und klicken Sie dann zweimal auf Weiter .

  3. Navigieren Sie unter Ordner wiederherstellenzu dem Ordner, der die Sicherungsdatei enthält.

  4. Wählen Sie AppLocker-Regeleinstellungenaus, und klicken Sie dann auf Weiter.

  5. Bestätigen Sie, ob Sie Regelzuweisungen wiederherstellen möchten:

    • Ja. Stellt Regeln wieder her und weist sie denselben Benutzern und Benutzergruppen in Ihrem aktuellen Konfigurationssatz zu.

    • Nein. Stellt Regeln wieder her und lässt sie nicht zugewiesen werden.

  6. Um mit der Wiederherstellung zu beginnen, klicken Sie auf Einstellungen wiederherstellen.


Prozess-Management

Mit diesen Einstellungen können Sie bestimmte Prozesse auf die Positivliste oder auf die Sperrliste setzen.

Prozess-Management

Prozessverwaltung aktivieren. Diese Option schaltet ein, ob Prozess-Positivlisten und Sperrlisten wirksam sind. Wenn diese Option deaktiviert ist, wird keine der Einstellungen auf den Registerkarten Process BlackList und Process WhileList wirksam.

Hinweis:

Diese Option funktioniert nur, wenn der Agent in der Sitzung des Benutzers ausgeführt wird. Um die Ausführung des Agenten in der Sitzung zu ermöglichen, verwenden Sie die Registerkarte Erweiterte Einstellungen > Konfiguration > Hauptkonfiguration, um die Optionen des Launch Agent zu aktivieren (unter Logon / bei Reconnect / for Admins) und stellen Sie den Agententyp auf die Benutzeroberflächeein. Diese Optionen werden unter Erweiterte Einstellungen beschrieben.

Process blackList

Mit diesen Einstellungen können Sie bestimmte Prozesse auf die Sperrliste setzen.

Enable Process Blacklist. Diese Option aktiviert die Sperrliste von Prozessen. Fügen Sie Prozesse mithilfe ihrer ausführbaren Namen hinzu (z. B. cmd.exe).

Lokale Administratoren ausschließen. Schließt lokale Administratorkonten von der Sperrliste des Prozesses aus.

Angegebene Gruppen ausschließen. Hiermit können Sie bestimmte Benutzergruppen aus der Sperrliste des Prozesses ausschließen.

Process whiteList

Mit diesen Einstellungen können Sie bestimmte Prozesse auf die Positivliste setzen. Verarbeiten von Sperr- und Positivlisten schließen sich gegenseitig aus.

Enable Process Whitelist. Mit dieser Option wird die Positivliste für Prozesse aktiviert. Fügen Sie Prozesse mithilfe ihrer ausführbaren Namen hinzu (z. B. cmd.exe).

Hinweis:

Wenn diese Option aktiviert ist, führt Enable Process Whitelist automatisch alle Prozesse auf, die nicht in der Positivliste enthalten sind.

Lokale Administratoren ausschließen. Schließt lokale Administratorkonten von der Positivliste des Prozesses aus (sie können alle Prozesse ausführen).

Angegebene Gruppen ausschließen. Hiermit können Sie bestimmte Benutzergruppen aus der Positivliste des Prozesses ausschließen (sie können alle Prozesse ausführen).


Berechtigungserhöhung

Mit der Funktion “Berechtigungserhöhung” können Sie die Berechtigungen von Nicht-Administratorbenutzern auf eine Administratorebene erhöhen, die für einige ausführbare Dateien erforderlich ist. Infolgedessen können die Benutzer diese ausführbaren Dateien so starten, als wären sie Mitglieder der Administratorengruppe.

Berechtigungserhöhung

Wenn Sie den Bereich Berechtigungserhöhung unter Sicherheitauswählen, werden die folgenden Optionen angezeigt:

  • Einstellungen für Berechtigungserhöhen verarbeiten. Steuert, ob das Privilegerhöhungs-Feature aktiviert werden soll. Wenn diese Option ausgewählt ist, können Agenten Einstellungen für Berechtigungen verarbeiten, und andere Optionen auf der Registerkarte Berechtigungserhöhung werden verfügbar.

  • Nicht auf Windows Server-Betriebssysteme anwenden. Steuert, ob Einstellungen für Berechtigungserhöhen auf Windows Server-Betriebssysteme angewendet werden sollen. Wenn diese Option ausgewählt ist, funktionieren die Benutzern zugewiesenen Regeln nicht auf Windows Server-Computern. Die Standardeinstellung ist ‘Auf Remotesitzung nur im Vollbildmodus zugreifen’.

  • Durchsetzung von RunAsInvoker. Steuert, ob alle ausführbaren Dateien unter dem aktuellen Windows-Konto ausgeführt werden sollen. Wenn diese Option ausgewählt ist, werden Benutzer nicht aufgefordert, ausführbare Dateien als Administratoren auszuführen.

Auf dieser Registerkarte wird auch die vollständige Liste der Regeln angezeigt, die Sie konfiguriert haben. Klicken Sie auf Ausführbare Regeln oder Windows Installer Rules, um die Regelliste nach einem bestimmten Regeltyp zu filtern. Sie können Suchen verwenden, um die Liste zu filtern. In der Spalte Zugewiesen wird ein Häkchensymbol für zugewiesene Benutzer oder Benutzergruppen angezeigt.

Unterstützte Regeln

Sie können die Berechtigungserhöhung auf zwei Arten von Regeln anwenden: ausführbare Regeln und Regeln des Windows-Installationsprogramms.

  • Ausführbare Regeln. Regeln, die Dateien mit den Erweiterungen .exe und .com enthalten, die mit einer Anwendung verknüpft sind.

  • Regeln für Windows Installer. Regeln, die Installationsdateien with.msi und .msp-Erweiterungen enthalten, die mit einer Anwendung verknüpft sind. Beachten Sie beim Hinzufügen von Windows Installer-Regeln das folgende Szenario:

    • Die Berechtigungshöhe gilt nur für Microsofts msiexec.exe. Stellen Sie sicher, dass das Tool, das Sie zum Bereitstellen .msi und .msp Windows Installer-Dateien verwenden, msiexec.exe ist.
    • Angenommen, ein Prozess stimmt mit einer angegebenen Windows-Installationsregel überein und sein übergeordneter Prozess entspricht einer bestimmten ausführbaren Regel. Der Prozess kann keine erhöhten Berechtigungen erhalten, es sei denn, die Einstellung Auf untergeordnete Prozesse anwenden ist in der angegebenen ausführbaren Regel aktiviert.

Nachdem Sie auf die Ausführbare Regeln oder die Registerkarte Regeln fürWindows Installergeklickt haben, werden im AbschnittAktionen die folgenden Aktionen angezeigt, die Ihnen zur Verfügung stehen:

  • Bearbeiten. Ermöglicht das Bearbeiten einer bestehenden ausführbaren Regel.

  • Löschen. Ermöglicht das Löschen einer vorhandenen ausführbaren Regel.

  • Regel hinzufügen Ermöglicht das Hinzufügen einer ausführbaren Regel.

So fügen Sie eine Regel hinzu

  1. Navigieren Sie zu Ausführbare Regeln oder Windows Installer-Regeln und klicken Sie auf Regel hinzufügen. Das Fenster “Regel hinzufügen “ wird angezeigt.

  2. Geben Sie im Abschnitt “ Anzeige “ Folgendes ein:

    • Name. Geben Sie den Anzeigenamen der Regel ein. Der Name wird in der Regelliste angezeigt.
    • Beschreibung. Geben Sie zusätzliche Informationen über die Regel ein.
  3. Wählen Sie im Abschnitt Typ eine Option aus.

    • Pfad. Die Regel entspricht einem Dateipfad.
    • Verlag. Die Regel stimmt mit einem ausgewählten Herausgeber überein.
    • Hash. Die Regel entspricht einem bestimmten Hash-Code.
  4. Konfigurieren Sie im Abschnitt Einstellungen bei Bedarf Folgendes:

    • Auf untergeordnete Prozesseanwenden. Falls ausgewählt, wendet die Regel auf alle untergeordneten Prozesse an, die die ausführbare Datei startet.

      Hinweis:

      Wenn Sie Windows-Installationsregeln hinzufügen, ist die Einstellung Auf untergeordnete Prozesse anwenden standardmäßig aktiviert und Sie können sie nicht bearbeiten.

    • Startzeit. Hier können Sie einen Zeitpunkt festlegen, zu dem Agenten mit der Anwendung der Regel beginnen. Das Zeitformat ist HH:MM. Die Zeit basiert auf der Zeitzone des Agenten.

    • Endzeit. Hier können Sie einen Zeitpunkt angeben, zu dem Agenten die Anwendung der Regel beenden sollen. Das Zeitformat ist HH:MM. Ab dem angegebenen Zeitpunkt wenden Agenten die Regel nicht mehr an. Die Zeit basiert auf der Zeitzone des Agenten.

    • Parameter hinzufügen. Ermöglicht es Ihnen, die Berechtigungshöhe auf ausführbare Dateien zu beschränken, die dem angegebenen Parameter entsprechen. Der Parameter arbeitet als Übereinstimmungskriterium. Stellen Sie sicher, dass der von Ihnen angegebene Parameter korrekt ist. Ein Beispiel für die Verwendung dieser Funktion finden Sie unter Ausführbare Dateien, die mit Parametern ausgeführt werden. Wenn dieses Feld leer ist oder nur Leerzeichen enthält, wendet der Agent die Berechtigungshöhe auf relevante ausführbare Dateien an, unabhängig davon, ob sie mit Parametern ausgeführt werden oder nicht.

    • Aktivieren Sie Reguläre Ausdrücke. Ermöglicht es Ihnen, zu steuern, ob reguläre Ausdrücke verwendet werden sollen, um das Kriterium weiter zu erweitern.

  5. Wählen Sie im Bereich Zuweisungen Benutzer oder Benutzergruppen aus, denen Sie die Regel zuweisen möchten. Wenn Sie die Regel allen Benutzern und Benutzergruppen zuweisen möchten, wählen Sie Alle auswählen aus.

    Tipp:

    -  Sie können die üblichen Windows-Auswahlmodifikatortasten verwenden, um eine Mehrfachauswahl zu treffen.
    
    • Benutzer oder Benutzergruppen müssen sich bereits in der Liste befinden, die auf der Registerkarte Administration > Benutzer angezeigt wird.
    • Sie können die Regel später (nachdem die Regel erstellt wurde) zuweisen.
  6. Klicken Sie auf Weiter.

  7. Führen Sie eine der folgenden Aktionen aus. Je nach dem Regeltyp, den Sie auf der vorherigen Seite ausgewählt haben, sind verschiedene Aktionen erforderlich.

    Wichtig:

    WEM stellt Ihnen ein Tool namens AppInfoViewer zur Verfügung, mit dem Sie die folgenden Informationen und mehr aus ausführbaren Dateien erhalten können: Publisher, Pfad und Hash. Weitere Informationen finden Sie unter Tool zum Abrufen von Informationen für ausführbare Dateien.

    • Pfad. Geben Sie den Pfad zu der Datei oder dem Ordner ein, auf die Sie die Regel anwenden möchten. Der WEM-Agent wendet die Regel auf eine ausführbare Datei gemäß dem Pfad der ausführbaren Datei an.
    • Herausgeber. Füllen Sie die folgenden Felder aus: Herausgeber, Produktname, DateinameundDateiversion. Sie können keines der Felder leer lassen, aber Sie können stattdessen ein Sternchen (*) eingeben. Der WEM-Agent wendet die Regel gemäß den Informationen des Herausgebers an. Bei Anwendung können Benutzer ausführbare Dateien ausführen, die dieselben Publisherinformationen verwenden.
    • Hash. Klicken Sie auf Hinzufügen, um einen Hash hinzuzufügen. Geben Sie im Fenster Hash hinzufügen den Dateinamen und den Hashwert ein. Sie können das Tool AppInfoViewer verwenden, um einen Hash aus einer ausgewählten Datei oder einem ausgewählten Ordner zu erstellen. Der WEM-Agent wendet die Regel auf identische ausführbare Dateien an, wie angegeben. Daher können Benutzer ausführbare Dateien ausführen, die mit der angegebenen identisch sind.
  8. Klicken Sie auf Erstellen, um die Regel zu speichern und das Fenster zu verlassen.

Ausführbare Dateien, die mit Parametern ausgeführt werden

Sie können die Berechtigungshöhe auf ausführbare Dateien beschränken, die dem angegebenen Parameter entsprechen. Der Parameter arbeitet als Übereinstimmungskriterium. Verwenden Sie Tools wie Process Explorer oder Process Monitor, um Parameter anzuzeigen, die für eine ausführbare Datei verfügbar sind. Wenden Sie die Parameter an, die in diesen Tools angezeigt werden.

Angenommen, Sie möchten die Regel auf eine ausführbare Datei (z. B. cmd.exe) entsprechend dem Pfad der ausführbaren Datei anwenden. Sie möchten die Berechtigungshöhe nur auf anwenden test.bat. Sie können den Process Explorer verwenden, um die Parameter abzurufen.

CMD läuft mit Parametern

Im Feld Parameter hinzufügen können Sie Folgendes eingeben:

  • /c ""C:\test.bat""

In das Feld Pfad geben Sie dann Folgendes ein:

  • C:\Windows\System32\cmd.exe

In diesem Fall erhöhen Sie die Berechtigung der angegebenen Benutzer nur für auf Administratorebene test.bat .

So weisen Sie Benutzern Regeln zu

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann im Abschnitt Aktionen auf Bearbeiten. Wählen Sie im Fenster Regel bearbeiten Benutzer oder Benutzergruppen aus, denen Sie die Regel zuweisen möchten, und klicken Sie dann auf OK.

So löschen Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann im Abschnitt Aktionen auf Löschen.

So sichern Sie Regeln für Erhöhungen von Berechtigungen

Sie können alle Regeln für Erhöhungen von Berechtigungen in Ihrem aktuellen Konfigurationssatz sichern. Alle Regeln werden als eine einzige XML-Datei exportiert. Sie können Wiederherstellen verwenden, um die Regeln in einem beliebigen Konfigurationssatz wiederherzustellen.

Um die Backup abzuschließen, verwenden Sie den Backup-Assistenten, der im Menüband verfügbar ist. Weitere Informationen zur Verwendung des Backup-Assistenten finden Sie unter Menüband.

So stellen Sie Regeln für die Erhöhung von Berechtigungen wieder her

Sie können Regeln zur Erhöhung von Berechtigungen aus XML-Dateien wiederherstellen, die mit dem Assistenten für die Sicherung der Workspace Environment Management exportiert wurden. Der Wiederherstellungsvorgang ersetzt die Regeln im aktuellen Konfigurationssatz durch diese Regeln in der Sicherung. Wenn Sie zum Bereich Sicherheit > Berechtigungserhöhung wechseln oder diesen aktualisieren, werden alle ungültigen Regeln für die Berechtigungshöhe erkannt. Ungültige Regeln werden automatisch gelöscht und in einem Bericht aufgeführt, den Sie exportieren können. Weitere Informationen zur Verwendung des Wiederherstellungsassistenten finden Sie unter Menüband.

Auditing-Aktivitäten zur Berechtigungserhöhung

WEM unterstützt Auditing-Aktivitäten im Zusammenhang mit der Erhöhung von Privilegien. Weitere Informationen finden Sie unter Auditierung von Benutzeraktivitäten.

Steuerung der Prozesshierarchie

Die Funktion zur Steuerung der Prozesshierarchie steuert, ob bestimmte untergeordnete Prozesse in Über-/Untergeordneten Situationen aus ihren übergeordneten Prozessen gestartet werden können. Sie erstellen eine Regel, indem Sie übergeordnete Prozesse definieren und dann eine Positivliste oder eine Sperrliste für ihre untergeordneten Prozesse festlegen. Überprüfen Sie diesen gesamten Abschnitt, bevor Sie die Funktion verwenden.

Hinweis:

  • Diese Funktion gilt nur für veröffentlichte Citrix Virtual Apps-Anwendungen.

Um zu verstehen, wie die Regel funktioniert, bedenken Sie Folgendes:

  • Ein Prozess unterliegt nur einer Regel. Wenn Sie mehrere Regeln für denselben Prozess definieren, wird nur die Regel mit der höchsten Priorität durchgesetzt.

  • Die von Ihnen definierte Regel beschränkt sich nicht nur auf die ursprüngliche Parent-Child-Hierarchie, sondern gilt auch für jede Ebene dieser Hierarchie. Die für einen übergeordneten Prozess geltenden Regeln haben Vorrang vor Regeln, die für die untergeordneten Prozesse gelten, unabhängig von der Priorität der Regeln. Zum Beispiel definieren Sie die folgenden zwei Regeln:

    • Regel 1: Word kann CMD nicht öffnen.
    • Regel 2: Notepad kann CMD öffnen.

    Mit den beiden Regeln können Sie CMD nicht von Notepad aus öffnen, indem Sie zuerst Word öffnen und dann Notepad von Word aus öffnen, unabhängig von der Priorität der Regeln.

Diese Funktion beruht darauf, dass bestimmte prozessbasierte Eltern-Kind-Beziehungen funktionieren. Um die Eltern-Kind-Beziehungen in einem Szenario zu visualisieren, verwenden Sie die Prozessbaumfunktion des Werkzeugs Process Explorer. Weitere Informationen zu Process Explorer finden Sie unter https://docs.microsoft.com/en-us/sysinternals/downloads/procmon.

Um potenzielle Probleme zu vermeiden, empfehlen wir Ihnen, Citrix Studio zu verwenden, um einen ausführbaren Dateipfad hinzuzufügen, der auf VUEMAppCmd.exe verweist. VUEMAppCmd.exe stellt sicher, dass der WEM-Agent die Verarbeitungseinstellungen abschließt, bevor veröffentlichte Citrix Virtual Apps-Anwendungen gestartet werden. Führen Sie hierzu die folgenden Schritte aus:

  1. Navigieren Sie auf die Seite Anwendungen > Anwendungseinstellungen > Standort von Citrix Studio.

    Studio - Seite "Anwendungseinstellungen"

  2. Geben Sie den Pfad der lokalen Anwendung auf dem Endbenutzerbetriebssystem ein.

    • Geben Sie unter dem Feld Path to the executable file Folgendes ein: <%ProgramFiles%>\Citrix\Workspace Environment Management Agent\VUEMAppCmd.exe.
  3. Geben Sie das Befehlszeilenargument ein, um eine zu öffnende Anwendung anzugeben.

    • Geben Sie unter dem Feld Befehlszeilenargument den vollständigen Pfad zu der Anwendung ein, die Sie über VUEMAppCmd.exe starten möchten. Stellen Sie sicher, dass Sie die Befehlszeile für die Anwendung in doppelte Anführungszeichen umbrechen, wenn der Pfad Leerzeichen enthält.
    • Angenommen, Sie möchten iexplore.exe über VUEMAppCmd.exe starten. Sie können dies tun, indem Sie Folgendes eingeben:%ProgramFiles(x86)%\Internet Explorer\iexplore.exe.

Überlegungen

Damit die Funktion funktioniert, müssen Sie das AppInfoViewer-Tool auf jedem Agent-Computer verwenden, um das Feature zu aktivieren. Jedes Mal, wenn Sie das Tool zum Aktivieren oder Deaktivieren der Funktion verwenden, ist ein Neustart der Maschine erforderlich. Beachten Sie bei aktivierter Funktion die folgenden Überlegungen:

  • Sie müssen den Agent-Computer neu starten, nachdem Sie den Agent aktualisiert oder deinstalliert haben.

    Hinweis:

    Wenn Sie von den Versionen 2103.2.0.1 oder2104.1.0.1**upgraden oder deinstallieren, wird keine Neustartaufforderung angezeigt.

  • Die Funktion für das automatische Agent-Upgrade funktioniert bei der Agentversion 2105.1.0.1 oder höher nicht. Um die Funktion zum automatischen Agent-Upgrade zu verwenden, deaktivieren Sie zuerst die Funktion zur Steuerung der Prozesshierarchie mit dem AppInfoViewer-Tool .

  • Wenn Sie von den Versionen 2103.2.0.1 oder 2104.1.0.1upgraden, müssen Sie den Agent-Computer neu starten, nachdem das automatische Agent-Upgrade abgeschlossen ist.

Um festzustellen, ob das Feature zur Steuerung der Prozesshierarchie aktiviert ist, öffnen Sie den Registrierungseditor auf dem Agent-Computer. Die Funktion ist aktiviert, wenn der folgende Registrierungseintrag vorhanden ist:

  • 32-Bit-Betriebssystem
    • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
  • 64-Bit-Betriebssystem
    • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_Dlls\WEM Hook

Wichtig:

In den Versionen 2103.2.0.1 und 2104.1.0.1 des Agenten wird die Funktion zur Steuerung der Prozesshierarchie möglicherweise automatisch aktiviert. Um festzustellen, ob das Feature zur Steuerung der Prozesshierarchie aktiviert ist, öffnen Sie den Registrierungseditor auf dem Agent-Computer. Wenn das Feature aktiviert ist, müssen Sie den Agentcomputer nach dem Upgrade oder Deinstallation des Agenten manuell neu starten.

Voraussetzungen

Um die Funktion zu nutzen, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Eine Citrix Virtual Apps-Bereitstellung.
  • Der Agent läuft unter Windows 10 oder Windows Server.
  • Der Agent-Host wurde nach einem In-Place-Upgrade oder einer Neuinstallation neu gestartet.

Steuerung der Prozesshierarchie

Wenn Sie Steuerung der Prozesshierarchie in Sicherheit auswählen, werden die folgenden Optionen angezeigt:

  • Aktivieren Sie die Steuerung der Prozesshierarchie. Steuert, ob die Funktion zur Steuerung der Prozesshierarchie aktiviert wird Wenn diese Option ausgewählt ist, werden andere Optionen auf der Registerkarte Steuerung der Prozesshierarchie verfügbar, und die konfigurierten Einstellungen können wirksam werden. Sie können diese Funktion nur in einer Citrix Virtual Apps-Bereitstellung verwenden.

  • Ausblenden Öffnen mit aus dem Kontextmenü. Steuert, ob die Option Öffnen mit im Kontextmenü von Windows aus dem Windows-Kontextmenü ein- oder ausgeblendet Wenn diese Option aktiviert ist, ist die Menüoption vor der Benutzeroberfläche verborgen. Wenn diese Option deaktiviert ist, ist sie sichtbar und Benutzer können sie verwenden, um einen Prozess zu starten. Die Funktion zur Steuerung der Prozesshierarchie gilt nicht für Prozesse, die mit der Option Öffnen mit gestartet wurden. Wir empfehlen, diese Einstellung zu aktivieren, um zu verhindern, dass Anwendungen Prozesse über Systemdienste starten, die nicht mit der aktuellen Anwendungshierarchie zusammenhängen.

Auf der Registerkarte Prozesshierarchiekontrolle wird auch die vollständige Liste der von Ihnen konfigurierten Regeln angezeigt. Sie können Suchen verwenden, um die Liste zu filtern. In der Spalte Zugewiesen wird ein Häkchensymbol für zugewiesene Benutzer oder Benutzergruppen angezeigt.

Im Abschnitt Aktionen werden die folgenden Aktionen angezeigt:

  • Bearbeiten. Ermöglicht das Bearbeiten einer bestehenden Regel.
  • Löschen. Ermöglicht das Löschen einer bestehenden Regel.
  • Regel hinzufügen Lässt Sie eine Regel hinzufügen.

So fügen Sie eine Regel hinzu

  1. Navigieren Sie zu Steuerung der Prozesshierarchie und klicken Sie auf Regel hinzufügen. Das Fenster “Regel hinzufügen “ wird angezeigt.

  2. Geben Sie im Abschnitt “ Anzeige “ Folgendes ein:

    • Name. Geben Sie den Anzeigenamen der Regel ein. Der Name wird in der Regelliste angezeigt.
    • Beschreibung. Geben Sie zusätzliche Informationen über die Regel ein.
  3. Wählen Sie im Abschnitt Typ eine Option aus.

    • Pfad. Die Regel entspricht einem Dateipfad.
    • Verlag. Die Regel stimmt mit einem ausgewählten Herausgeber überein.
    • Hash. Die Regel entspricht einem bestimmten Hash-Code.
  4. Wählen Sie im Bereich Modus eine der folgenden Optionen aus:

    • Fügen Sie der Sperrliste untergeordnete Prozesse hinzu. Wenn diese Option ausgewählt ist, können Sie eine Sperrliste für anwendbare untergeordneten Prozesse definieren, nachdem Sie eine Regel für ihre übergeordneten Prozesse konfiguriert haben. Eine Sperrliste verbietet nur das Ausführen von Prozessen, die Sie angegeben haben, und andere Prozesse dürfen ausgeführt werden.
    • Fügen Sie der Positivliste untergeordneten Prozesse hinzu. Wenn diese Option ausgewählt ist, können Sie eine Zulassungsliste für anwendbare untergeordneten Prozesse definieren, nachdem Sie eine Regel für ihre übergeordneten Prozesse konfiguriert haben. Eine Zulassungsliste lässt nur die von Ihnen angegebenen Prozesse laufen, und andere Prozesse dürfen nicht ausgeführt werden.

    Hinweis:

    Ein Prozess unterliegt nur einer Regel. Wenn Sie mehrere Regeln für denselben Prozess definieren, werden die Regeln in der Reihenfolge ihrer Priorität durchgesetzt.

  5. Wählen Sie im Bereich Zuweisungen Benutzer oder Benutzergruppen aus, denen Sie die Regel zuweisen möchten. Wenn Sie die Regel allen Benutzern und Benutzergruppen zuweisen möchten, wählen Sie Alle auswählen aus.

    Hinweis:

    -  Sie können die üblichen Windows-Auswahltasten verwenden, um eine Mehrfachauswahl zu treffen.
    
    • Benutzer oder Benutzergruppen müssen sich bereits in der Liste befinden, die auf der Registerkarte Administration > Benutzer angezeigt wird.
    • Sie können die Regel später (nachdem die Regel erstellt wurde) zuweisen.
  6. Klicken Sie auf Weiter.

  7. Führen Sie einen der folgenden Schritte aus, um die Regel für übergeordnete Prozesse zu konfigurieren. Abhängig vom Regeltyp, den Sie auf der vorherigen Seite ausgewählt haben, sind verschiedene Aktionen erforderlich.

    Wichtig:

    WEM stellt Ihnen ein Tool namens AppInfoViewer zur Verfügung, mit dem Sie die folgenden Informationen und mehr aus ausführbaren Dateien erhalten können: Publisher, Pfad und Hash. Weitere Informationen finden Sie unter Tool zum Abrufen von Informationen für ausführbare Dateien.

    • Pfad. Geben Sie den Pfad zu der Datei oder dem Ordner ein, auf den Sie die Regel auf übergeordnete Prozesse anwenden möchten. Der WEM-Agent wendet die Regel entsprechend dem Pfad der ausführbaren Datei auf eine ausführbare Datei an. Wir empfehlen nicht, dass Sie nur Sternchen (*) in dieses Feld eingeben, um eine Pfadübereinstimmung anzugeben. Dies kann zu unbeabsichtigten Leistungsproblemen führen.
    • Herausgeber. Füllen Sie die folgenden Felder aus: Herausgeber, Produktname, DateinameundDateiversion. Sie können keines der Felder leer lassen, aber Sie können stattdessen ein Sternchen (*) eingeben. Der WEM-Agent wendet die Regel entsprechend den Herausgeberinformationen auf übergeordnete Prozesse an. Bei Anwendung können Benutzer ausführbare Dateien ausführen, die dieselben Publisherinformationen verwenden.

    • Hash. Klicken Sie auf Hinzufügen, um einen Hash hinzuzufügen. Geben Sie im Fenster Hash hinzufügen den Dateinamen und den Hashwert ein. Sie können das Tool AppInfoViewer verwenden, um einen Hash aus einer ausgewählten Datei oder einem ausgewählten Ordner zu erstellen. Der WEM-Agent wendet die Regel auf identische ausführbare Dateien an, wie angegeben. Daher können Benutzer ausführbare Dateien ausführen, die mit der angegebenen identisch sind.
  8. Klicken Sie auf Weiter, um die Einstellungen für untergeordnete Prozesse

  9. Führen Sie einen der folgenden Schritte aus, um eine Positivliste oder eine Sperrliste für zutreffende untergeordnete Prozesse zu definieren.

    1. Wählen Sie im Menü einen Regeltyp aus und klicken Sie dann auf Hinzufügen. Das Fenster Untergeordnete Prozesse wird angezeigt
    2. Konfigurieren Sie im Fenster Child Process Einstellungen nach Bedarf. Die Benutzeroberfläche des Fensters Child Process unterscheidet sich je nach ausgewähltem Regeltyp. Für einen untergeordneten Prozess sind die folgenden Regeltypen verfügbar: Path, Publisher und Hash.
    3. Klicken Sie auf OK, um zum Fenster Regel hinzufügen zurückzukehren. Sie können weitere untergeordnete Prozesse hinzufügen oder auf Erstellen klicken, um die Regel zu speichern und das Fenster zu verlassen.

So weisen Sie Benutzern Regeln zu

Wählen Sie eine Regel in der Liste aus und klicken Sie dann im Abschnitt Aktionen auf Bearbeiten. Wählen Sie im Fenster Regel bearbeiten Benutzer oder Benutzergruppen aus, denen Sie die Regel zuweisen möchten, und klicken Sie dann auf OK.

So löschen Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann im Abschnitt Aktionen auf Löschen.

Um Regeln zu sichern

Sie können alle Regeln zur Kontrolle der Prozesshierarchie in Ihrem aktuellen Konfigurationssatz sichern. Alle Regeln werden als eine einzige XML-Datei exportiert. Sie können Wiederherstellen verwenden, um die Regeln in einem beliebigen Konfigurationssatz wiederherzustellen.

Um die Backup abzuschließen, verwenden Sie den Backup-Assistenten, der im Menüband verfügbar ist. Weitere Informationen zur Verwendung des Backup-Assistenten finden Sie unter Menüband.

Um Regeln wieder herzustellen

Sie können Regeln zur Prozesshierarchiekontrolle aus XML-Dateien wiederherstellen, die über den Assistenten zur Sicherung der Workspace Environment Management exportiert wurden. Der Wiederherstellungsvorgang ersetzt die Regeln im aktuellen Konfigurationssatz durch diese Regeln in der Sicherung. Wenn Sie zum Bereich Sicherheit > Prozesshierarchiesteuerung wechseln oder diesen aktualisieren, werden alle ungültigen Regeln erkannt. Ungültige Regeln werden automatisch gelöscht und in einem Bericht aufgeführt, den Sie exportieren können. Weitere Informationen zur Verwendung des Wiederherstellungsassistenten finden Sie unter Menüband.

Auditing Aktivitäten zur Kontrolle der Hierarchien

WEM unterstützt Auditing-Aktivitäten im Zusammenhang mit der Kontrolle von Prozesshierarchien. Weitere Informationen finden Sie unter Auditierung von Benutzeraktivitäten.

Auditierung von Benutzeraktivitäten

WEM unterstützt Auditing-Aktivitäten im Zusammenhang mit Berechtigungsheigerung und Prozesshierarchiekontrolle. Um die Prüfungen anzuzeigen, gehen Sie auf die Registerkarte Administration > Protokollierung > Agent. Konfigurieren Sie auf der Registerkarte Protokollierungseinstellungen, wählen Sie im Feld Aktionen die Option ElevationControl oder ProcessHierarchyControl aus, und klicken Sie dann auf Filter anwenden, um die Protokolle auf bestimmte Aktivitäten einzugrenzen. Sie können die gesamte Ausführungshistorie der Berechtigungshöhe oder der Prozesshierarchiesteuerung anzeigen.

Benutzeraktivitätsprotokolle

Sicherheit