Produktdokumentation
Workspace Environment Management
Service Current Release 2402 2311 2308 2305 2303 2212 2209 2206 2203
PDF anzeigen
Danke für das Feedback

Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)

  Auf Englisch anzeigen

Sicherheit

April 9, 2025
Beitrag von: 
C

Mit diesen Einstellungen können Sie Benutzeraktivitäten innerhalb des Workspace Environment Management (WEM) steuern.

Anwendungssicherheit

Wichtig:

Um zu steuern, welche Anwendungen Benutzer ausführen können, verwenden Sie die Windows AppLocker-Schnittstelle oder WEM, um Windows AppLocker-Regeln zu verwalten. Sie können jederzeit zwischen diesen Ansätzen wechseln. Wir empfehlen, nicht beide Ansätze gleichzeitig zu verwenden.

Mit diesen Einstellungen können Sie durch die Definition von Regeln steuern, welche Anwendungen Benutzer ausführen dürfen. Diese Funktion ähnelt Windows AppLocker. Wenn Sie WEM zum Verwalten von Windows AppLocker-Regeln verwenden, konvertiert der Agent die Regeln der Registerkarte Anwendungssicherheit in Windows AppLocker-Regeln auf dem Agent-Host. Wenn Sie die Agentenverarbeitungsregeln stoppen, bleiben diese im Konfigurationssatz erhalten. AppLocker wird weiterhin ausgeführt, indem der letzte vom Agenten verarbeitete Anweisungssatz verwendet wird.

Anwendungssicherheit

Auf dieser Registerkarte sind die Anwendungssicherheitsregeln im aktuellen WEM-Konfigurationssatz aufgelistet. Verwenden Sie Find , um die Liste nach einer Textzeichenfolge zu filtern.

Wenn Sie auf der Registerkarte „ Sicherheit “ das oberste Element „Anwendungssicherheit“ auswählen, stehen die folgenden Optionen zur Verfügung:

  • Verarbeiten von Anwendungssicherheitsregeln. Wenn diese Option ausgewählt ist, wird die Anwendungssicherheit Registerkartensteuerelemente sind aktiviert, und der Agent verarbeitet Regeln im aktuellen Konfigurationssatz und konvertiert sie in AppLocker-Regeln auf dem Agent-Host. Wenn diese Option nicht ausgewählt ist, sind die Registerkartensteuerelemente „ Anwendungssicherheit “ deaktiviert und der Agent konvertiert keine Regeln in AppLocker-Regeln. (In diesem Fall werden die AppLocker-Regeln nicht aktualisiert.)

    Hinweis:

    Diese Option ist nicht verfügbar, wenn die WEM-Verwaltungskonsole unter Windows 7 SP1 oder Windows Server 2008 R2 SP1 (oder früheren Versionen) installiert ist.

  • DLL-Regeln verarbeiten. Wenn diese Option ausgewählt ist, konvertiert der Agent DLL-Regeln im aktuellen Konfigurationssatz in AppLocker-DLL-Regeln auf dem Agent-Host. Diese Option ist nur verfügbar, wenn Sie Anwendungssicherheitsregeln verarbeitenauswählen.

    Wichtig:

    Wenn Sie DLL-Regeln verwenden, müssen Sie für jede DLL, die von allen zulässigen Apps verwendet wird, eine DLL-Regel mit der Berechtigung “Zulassen” erstellen.

    Achtung:

    Wenn Sie DLL-Regeln verwenden, kann es bei Benutzern zu Leistungseinbußen kommen. Dieses Problem tritt auf, weil AppLocker jede DLL überprüft, die eine App lädt, bevor die Ausführung der App zugelassen wird.

  • Das Überschreiben und Verschmelzen Mit den Einstellungen können Sie festlegen, wie der Agent Anwendungssicherheitsregeln verarbeitet.

    • Überschreiben. Ermöglicht das Überschreiben vorhandener Regeln. Bei Auswahl dieser Option überschreiben die zuletzt verarbeiteten Regeln, die zuvor verarbeitet wurden. Es wird empfohlen, diesen Modus nur auf Maschinen mit Einzelsitzungen anzuwenden.
    • Verschmelzen. Ermöglicht das Zusammenführen von Regeln mit vorhandenen Regeln. Wenn Konflikte auftreten, überschreiben die zuletzt verarbeiteten Regeln, die zuvor verarbeitet wurden. Wenn Sie die Einstellung für die Regeldurchsetzung während des Zusammenführens ändern müssen, verwenden Sie den Überschreibungsmodus, da der Zusammenführungsmodus den alten Wert beibehält, wenn er sich unterscheidet.

Regel-Auflistungen

Regeln gehören zu AppLocker-Regelsammlungen. Jeder Sammlungsname gibt an, wie viele Regeln er enthält, z. B. (12). Klicken Sie auf einen Sammlungsnamen, um die Regelliste nach einer der folgenden Sammlungen zu filtern:

  • Ausführbare Regeln. Regeln, die Dateien mit den Erweiterungen .exe und .com einschließen, die einer Anwendung zugeordnet sind.
  • Windows-Regeln. Regeln, die Installationsdateiformate (.msi, .msp, .mst) umfassen, steuern die Installation von Dateien auf Clientcomputern und Servern.
  • Skript-Regeln. Regeln, die Dateien der folgenden Formate enthalten: .ps1, .bat, .cmd, .vbs, .js.
  • Gepackte Regeln. Regeln, die gepackte Apps einschließen, auch als universelle Windows-Apps bezeichnet. In gepackten Apps weisen alle Dateien innerhalb des App-Pakets dieselbe Identität auf. Daher kann eine Regel die gesamte App steuern. WEM unterstützt nur Publisher-Regeln für gepackte Apps.
  • DLL-Regeln. Regeln, die Dateien der folgenden Formate enthalten: .dll, .ocx.

Wenn Sie die Regelliste nach einer Sammlung filtern, wird die Durchsetzung von Regeln ist verfügbar, um zu steuern, wie AppLocker alle Regeln in dieser Auflistung auf dem Agenthost erzwingt. Die folgenden Regelerzwingungswerte sind möglich:

Aus (Standardeinstellung). Regeln werden erstellt und auf “Aus” gesetzt, was bedeutet, dass sie nicht angewendet werden.

Auf. Regeln werden erstellt und auf “erzwingen” gesetzt, was bedeutet, dass sie auf dem Agent-Host aktiv sind.

Rechnungsprüfung. Regeln werden erstellt und auf „Audit“ gesetzt, was bedeutet, dass sie sich auf dem Agent-Host im inaktiven Zustand befinden. Wenn ein Benutzer eine App ausführt, die gegen eine AppLocker-Regel verstößt, darf die App ausgeführt werden, und die Informationen über die App werden dem AppLocker-Ereignisprotokoll hinzugefügt.

So importieren Sie AppLocker-Regeln

Sie können aus AppLocker exportierte Regeln in Workspace Environment Management importieren. Importierte Windows AppLocker-Einstellungen werden allen vorhandenen Regeln in der Sicherheit Registerkarte. Alle ungültigen Anwendungssicherheitsregeln werden automatisch gelöscht und in einem Berichtsdialog aufgelistet.

  1. Klicken Sie im Menüband auf Importieren von AppLocker-Regeln.

  2. Navigieren Sie zu der XML-Datei, die aus AppLocker exportiert wurde und Ihre AppLocker-Regeln enthält.

  3. Klicken Importieren.

Die Regeln werden der Liste der Anwendungssicherheitsregeln hinzugefügt.

So fügen Sie eine Regel hinzu

  1. Wählen Sie in der Seitenleiste den Namen einer Regelsammlung aus. Um beispielsweise eine ausführbare Regel hinzuzufügen, wählen Sie die Sammlung “Ausführbare Regeln” aus.

  2. Klicken Regel hinzufügen.

  3. Im Zeigen geben Sie die folgenden Details ein:

    • Name. Der Anzeigename der Regel, wie er in der Regelliste angezeigt wird.

    • Beschreibung. Zusätzliche Informationen über die Ressource (optional).

  4. Wählen Sie im Abschnitt Typ eine Option aus:

    • Hash. Die Regel stimmt mit einem Dateipfad überein.

    • Gilt nur für signierte ausführbare Dateien. Die Regel stimmt mit einem ausgewählten Herausgeber überein.

    • Hash. Die Regel stimmt mit einem bestimmten Hashcode überein.

  5. Wählen Sie im Abschnitt Berechtigungen die Option Zulassen oder Verweigernaus. Die Auswahl steuert, ob die Ausführung von Anwendungen zugelassen oder verboten wird.

  6. Um diese Regel Benutzern oder Benutzergruppen zuzuweisen, wählen Sie im Bereich „ Zuweisungen “ Benutzer oder Gruppen aus, denen Sie diese Regel zuweisen möchten. In der Spalte “Zugewiesen” wird ein “Häkchen”-Symbol für zugewiesene Benutzer oder Gruppen angezeigt.

    Tipp

    • Sie können die üblichen Windows-Auswahlmodifiziertasten verwenden, um mehrere Auswahlen vorzunehmen, oder Alles auswählen , um alle Zeilen auszuwählen.
    • Benutzer müssen bereits in der WEM-Benutzerliste sein.
    • Sie können Regeln zuweisen, nachdem die Regel erstellt wurde.

  7. Klicken Sie auf Weiter.

  8. Geben Sie die Kriterien an, denen die Regel entsprechen muss, abhängig vom gewählten Regeltyp:

    • Hash. Geben Sie den Pfad zu der Datei oder dem Ordner ein, auf die bzw. den Sie die Regel anwenden möchten. Der WEM-Agent wendet die Regel auf eine ausführbare Datei entsprechend dem Pfad der ausführbaren Datei an.

    • Gilt nur für signierte ausführbare Dateien. Füllen Sie die folgenden Felder aus: Verlag, Produktname, Dateinameund Dateiversion. Sie können keines der Felder leer lassen, sondern stattdessen ein Sternchen (*) eingeben. Der WEM-Agent wendet die Regel entsprechend den Verlagsinformationen an. Wenn angewendet, können Benutzer ausführbare Dateien ausführen, die dieselben Herausgeberinformationen verwenden.

    • Hash. Klicken Hinzufügen , um einen Hash hinzuzufügen. Im Hash hinzufügen den Dateinamen und den Hash-Wert ein. Sie können die Funktion AppInfoViewer (Englisch) , um einen Hash aus einer ausgewählten Datei oder einem ausgewählten Ordner zu erstellen. Der WEM-Agent wendet die Regel wie angegeben auf identische ausführbare Dateien an. Daher können Benutzer ausführbare Dateien ausführen, die mit der angegebenen Datei identisch sind.

  9. Klicken Sie auf Weiter.

  10. Fügen Sie alle erforderlichen Ausnahmen hinzu (optional). Wählen Sie in Ausnahme hinzufügeneinen Ausnahmetyp aus und klicken Sie dann auf Hinzufügen. (Sie können Ausnahmen bei Bedarf bearbeiten oder entfernen.)

  11. Um die Regel zu speichern, klicken Sie auf Schaffen.

So weisen Sie Benutzern Regeln zu

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann in der Symbolleiste oder im Kontextmenü auf Bearbeiten . Wählen Sie im Editor die Zeilen mit den Benutzern und Benutzergruppen aus, denen Sie die Regel zuweisen möchten, und klicken Sie dann auf OK. Sie können die Zuweisung der ausgewählten Regeln auch für alle Benutzer aufheben, indem Sie Alles auswählen , um alle Auswahlen aufzuheben.

Hinweis: Wenn Sie mehrere Regeln auswählen und auf Bearbeitenklicken, gelten alle Änderungen der Regelzuweisung für diese Regeln für alle von Ihnen ausgewählten Benutzer und Benutzergruppen. Mit anderen Worten, vorhandene Regelzuweisungen werden über diese Regeln hinweg zusammengeführt.

So fügen Sie Standardregeln hinzu

Klicken Hinzufügen von Standardregeln. Der Liste wird ein Satz von AppLocker-Standardregeln hinzugefügt.

So bearbeiten Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann in der Symbolleiste oder im Kontextmenü auf Bearbeiten . Der Editor wird angezeigt und ermöglicht Ihnen, Einstellungen anzupassen, die für die von Ihnen getroffene Auswahl gelten.

So löschen Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann in der Symbolleiste oder im Kontextmenü auf Löschen .

So sichern Sie Anwendungssicherheitsregeln

Sie können alle Anwendungssicherheitsregeln in Ihrem aktuellen Konfigurationssatz sichern. Alle Regeln werden als eine einzige XML-Datei exportiert. Sie können Wiederherstellen , um die Regeln in einem beliebigen Konfigurationssatz wiederherzustellen. Klicken Sie im Menüband auf Sicherungskopie Wählen Sie dann Sicherheitseinstellungen.

So stellen Sie Anwendungssicherheitsregeln wieder her

Sie können Anwendungssicherheitsregeln aus XML-Dateien wiederherstellen, die mit dem Sicherungsbefehl Workspace Environment Management erstellt wurden. Der Wiederherstellungsprozess ersetzt die Regeln im aktuellen Konfigurationssatz durch die Regeln in der Sicherung. Wenn Sie zu der Datei wechseln oder diese aktualisieren. Sicherheit werden ungültige Anwendungssicherheitsregeln erkannt. Ungültige Regeln werden automatisch gelöscht und in einem Berichtsdialog aufgelistet, den Sie exportieren können.

Während des Wiederherstellungsvorgangs können Sie auswählen, ob Sie Regelzuweisungen für Benutzer und Benutzergruppen in Ihrem aktuellen Konfigurationssatz wiederherstellen möchten. Die Neuzuweisung ist nur erfolgreich, wenn die gesicherten Benutzer/Gruppen in Ihrem aktuellen Konfigurationssatz/Active Directory vorhanden sind. Nicht übereinstimmende Regeln werden wiederhergestellt, bleiben aber nicht zugewiesen. Nach der Wiederherstellung werden sie in einem Berichtsdialog aufgelistet, den Sie im CSV-Format exportieren können.

  1. Klicken Sie im Menüband auf Wiederherstellen , um den Wiederherstellungsassistenten zu starten.

  2. Wählen Sie Sicherheitseinstellungen aus und klicken Sie dann auf Nächster zweimal.

  3. In Wiederherstellen aus Ordner, navigieren Sie zu dem Ordner, der die Sicherungsdatei enthält.

  4. Auswählen Einstellungen für AppLocker-Regelnund klicke dann auf Nächster.

  5. Bestätigen Sie, ob Sie Regelzuweisungen wiederherstellen möchten:

    • Ja. Stellt Regeln wieder her und weist sie denselben Benutzern und Benutzergruppen in Ihrem aktuellen Konfigurationssatz neu zu.

    • Nein. Stellt Regeln wieder her und lässt sie unzugeordnet.

  6. Um die Wiederherstellung zu starten, klicken Sie auf Einstellungen wiederherstellen.

Prozessmanagement

Mit diesen Einstellungen können Sie bestimmte Prozesse auf die Whitelist oder Blacklist setzen.

Prozessmanagement

Aktivieren des Prozessmanagements. Mit dieser Option können Sie festlegen, ob Whitelists und Blacklists für Prozesse wirksam sind. Wenn deaktiviert, werden keine der Einstellungen auf den Registerkarten Prozess-Blacklist und Prozess-Whitelist wirksam.

Hinweis:

Diese Option funktioniert nur, wenn der Agent in der Sitzung des Benutzers ausgeführt wird. Um die Ausführung des Agenten in der Sitzung zu aktivieren, verwenden Sie die Registerkarte „ Erweiterte Einstellungen > Konfiguration > Hauptkonfiguration “, um die Optionen „ Agent starten “ (bei Anmeldung / bei erneuter Verbindung / für Administratoren) zu aktivieren und legen Sie „ Agententyp “ auf „ Benutzeroberfläche“ fest. Diese Optionen werden in Erweiterte Einstellungenbeschrieben.

Prozess-BlackList

Mit diesen Einstellungen können Sie bestimmte Prozesse auf die schwarze Liste setzen.

Prozess-Blacklist aktivieren. Diese Option aktiviert die Prozess-Blacklist. Fügen Sie Prozesse hinzu, indem Sie ihre ausführbaren Namen verwenden (z. B. cmd.exe).

Lokale Administratoren ausschließen. Schließt lokale Administratorkonten von der Prozess-Blacklist aus.

Angegebene Gruppen ausschließen. Ermöglicht Ihnen, bestimmte Benutzergruppen von der Prozess-Blacklist auszuschließen.

Prozess-Whitelist

Mit diesen Einstellungen können Sie bestimmte Prozesse auf die Whitelist setzen. Prozess-Blacklists und Prozess-Whitelists schließen sich gegenseitig aus.

Prozess-Whitelist aktivieren. Diese Option aktiviert die Whitelist von Prozessen. Fügen Sie Prozesse hinzu, indem Sie ihre ausführbaren Namen verwenden (z. B. cmd.exe).

Hinweis:

Wenn aktiviert, setzt Enable Process Whitelist automatisch alle Prozesse auf die schwarze Liste, die nicht in der Whitelist stehen.

Lokale Administratoren ausschließen. Schließt lokale Administratorkonten von der Prozess-Whitelist aus (sie können alle Prozesse ausführen).

Angegebene Gruppen ausschließen. Ermöglicht Ihnen, bestimmte Benutzergruppen von der Prozess-Whitelist auszuschließen (sie können alle Prozesse ausführen).

Berechtigungserhöhung

Hinweis:

Dieses Feature gilt nicht für virtuelle Citrix Apps.

Mit der Funktion zur Erhöhung von Berechtigungen können Sie die Berechtigungen von Benutzern ohne Administratorrechte auf eine Administratorebene erhöhen, die für einige ausführbare Dateien erforderlich ist. Infolgedessen können die Benutzer diese ausführbaren Dateien so starten, als wären sie Mitglieder der Administratorengruppe.

Berechtigungserhöhung

Wenn Sie die Schaltfläche Erhöhung von Berechtigungen Bereich in Sicherheitklicken, werden die folgenden Optionen angezeigt:

  • Einstellungen für die Erhöhung von Prozessberechtigungen. Steuert, ob die Funktion für Berechtigungserweiterungen aktiviert werden soll. Wenn diese Option aktiviert ist, können Agenten Einstellungen für die Erhöhung von Berechtigungen und andere Optionen auf der Registerkarte Erhöhung von Berechtigungen verfügbar werden.

  • Nicht auf Windows Server-Betriebssysteme anwenden. Steuert, ob Einstellungen für die Erhöhung von Berechtigungen auf Windows Server-Betriebssysteme angewendet werden sollen. Wenn diese Option aktiviert ist, funktionieren Regeln, die Benutzern zugewiesen sind, nicht auf Windows Server-Computern. Standardmäßig ist diese Option ausgewählt.

  • Erzwingen von RunAsInvoker. Steuert, ob die Ausführung aller ausführbaren Dateien unter dem aktuellen Windows-Konto erzwungen werden soll. Wenn diese Option ausgewählt ist, werden Benutzer nicht aufgefordert, ausführbare Dateien als Administratoren auszuführen.

Auf dieser Registerkarte wird auch die vollständige Liste der Regeln angezeigt, die Sie konfiguriert haben. Klicken Ausführbare Regeln oder Windows Installer-Regeln , um die Regelliste nach einem bestimmten Regeltyp zu filtern. Sie können Finden , um die Liste zu filtern. Das Zugewiesen zeigt ein Häkchensymbol für zugewiesene Benutzer oder Benutzergruppen an.

Unterstützte Regeln

Sie können die Berechtigungserhöhung mithilfe von zwei Arten von Regeln konfigurieren: ausführbare Regeln und Regeln für Windows Installer.

  • Ausführbare Regeln. Regeln, die Dateien mit .exe und .com Erweiterungen enthalten, die einer Anwendung zugeordnet sind.

  • Windows Installer-Regeln. Regeln, die Installationsdateien with.msi und MSP-Erweiterungen enthalten, die einer Anwendung zugeordnet sind. Wenn Sie Windows Installer-Regeln hinzufügen, beachten Sie das folgende Szenario:

    • Die Berechtigungshöhe gilt nur für Microsofts msiexec.exe. Stellen Sie sicher, dass das Tool, das Sie zum Bereitstellen von Windows Installer-Dateien des Typs .msi und .msp verwenden, msiexec.exe ist.
    • Angenommen, ein Prozess stimmt mit einer angegebenen Windows-Installationsregel überein und sein übergeordneter Prozess entspricht einer bestimmten ausführbaren Regel. Der Prozess kann keine erhöhten Berechtigungen erhalten, es sei denn, die Einstellung Auf untergeordnete Prozesse anwenden ist in der angegebenen ausführbaren Regel aktiviert.

Nachdem Sie auf das Symbol Ausführbare Regeln oder die Windows Installer-Regeln die Registerkarte Aktionen zeigt die folgenden Aktionen an, die Ihnen zur Verfügung stehen:

  • Zurücksetzen. Ermöglicht das Löschen einer vorhandenen ausführbaren Regel.

  • Löschen. Geben Sie zusätzliche Informationen über die Regel ein.

  • Regel hinzufügen. Ermöglicht das Hinzufügen einer ausführbaren Regel.

So fügen Sie eine Regel hinzu

  1. Navigieren Sie zu Ausführbare Regeln oder Windows Installer-Regeln und klicken Sie auf Regel hinzufügen. Das Regel hinzufügen wird angezeigt.

  2. Im Zeigen Geben Sie Folgendes ein:

    • Name. Geben Sie den Anzeigenamen der Regel ein. Der Name wird in der Regelliste angezeigt.
    • Beschreibung. Geben Sie zusätzliche Informationen zur Regel ein.

  3. Im Art eine Option aus.

    • Hash. Die Regel stimmt mit einem Dateipfad überein.
    • Gilt nur für signierte ausführbare Dateien. Die Regel stimmt mit einem ausgewählten Herausgeber überein.
    • Hash. Die Regel stimmt mit einem bestimmten Hashcode überein.

  4. Im Einstellungen konfigurieren Sie bei Bedarf Folgendes:

    • Auf untergeordnete Prozesse anwenden. Wenn diese Option ausgewählt ist, wird die Regel auf alle untergeordneten Prozesse angewendet, die von der ausführbaren Datei gestartet werden. Verwenden Sie die folgenden Optionen, um die Erhöhung von Berechtigungen auf einer detaillierteren Ebene zu verwalten:

      • Nur auf ausführbare Dateien im selben Ordner anwenden. Wenn diese Option ausgewählt ist, wird die Regel nur auf ausführbare Dateien angewendet, die denselben Ordner freigeben.
      • Nur auf signierte ausführbare Dateien anwenden. Wenn diese Option ausgewählt ist, wird die Regel nur auf ausführbare Dateien angewendet, die signiert sind.
      • Nur auf ausführbare Dateien desselben Herausgebers anwenden. Wenn diese Option ausgewählt ist, wird die Regel nur auf ausführbare Dateien angewendet, die dieselben Herausgeberinformationen verwenden. Diese Einstellung funktioniert nicht mit UWP-Apps (Universelle Windows-Plattform).

      Hinweis:

      Wenn Sie Windows-Installationsregeln hinzufügen, wird die Auf untergeordnete Prozesse anwenden Die Einstellung ist standardmäßig aktiviert und kann nicht bearbeitet werden.

    • Startzeit. Hier können Sie einen Zeitpunkt angeben, zu dem Agenten mit der Anwendung der Regel beginnen sollen. Das Zeitformat ist HH:MM. Die Zeit basiert auf der Zeitzone des Agents.

    • Endzeit. Hier können Sie einen Zeitpunkt angeben, zu dem Agenten die Anwendung der Regel beenden sollen. Das Zeitformat ist HH:MM. Ab dem angegebenen Zeitpunkt wenden Agenten die Regel nicht mehr an. Die Zeit basiert auf der Zeitzone des Agents.

    • Parameter hinzufügen. Ermöglicht das Einschränken der Rechteerweiterung auf ausführbare Dateien, die dem angegebenen Parameter entsprechen. Der Parameter fungiert als Übereinstimmungskriterium. Stellen Sie sicher, dass der von Ihnen angegebene Parameter korrekt ist. Ein Beispiel für die Verwendung dieser Funktion finden Sie unter Ausführbare Dateien, die mit Parametern ausgeführt werden. Wenn dieses Feld leer ist oder nur Leerzeichen enthält, wendet der Agent die Erhöhung von Berechtigungen auf relevante ausführbare Dateien an, unabhängig davon, ob sie mit Parametern ausgeführt werden oder nicht.

    • Aktivieren regulärer Ausdrücke. Hier können Sie steuern, ob reguläre Ausdrücke verwendet werden sollen, um das Kriterium weiter zu erweitern.

  5. Im Zuweisungen Wählen Sie Benutzer oder Benutzergruppen aus, denen Sie die Regel zuweisen möchten. Wenn Sie die Regel allen Benutzern und Benutzergruppen zuweisen möchten, wählen Sie Alles auswählen.

    Tipp

    • Sie können die üblichen Windows-Auswahlmodifiziertasten verwenden, um eine Mehrfachauswahl vorzunehmen.
    • Benutzer oder Benutzergruppen müssen bereits in der Liste enthalten sein, die auf der Seite Verwaltung > Benutzer Registerkarte.
    • Sie können die Regel später (nachdem die Regel erstellt wurde) zuweisen.

  6. Klicken Sie auf Weiter.

  7. Führen Sie einen der folgenden Schritte aus. Je nachdem, welchen Regeltyp Sie auf der vorherigen Seite ausgewählt haben, sind unterschiedliche Aktionen erforderlich.

    Wichtig:

    WEM stellt Ihnen ein Tool zur Verfügung, das AppInfoViewer (Englisch) , um die folgenden Informationen und weitere Informationen aus ausführbaren Dateien abzurufen: Publisher, Path und Hash. Weitere Informationen finden Sie unter Tool zum Abrufen von Informationen zu ausführbaren Dateien.

    • Hash. Geben Sie den Pfad zu der Datei oder dem Ordner ein, auf die bzw. den Sie die Regel anwenden möchten. Der WEM-Agent wendet die Regel auf eine ausführbare Datei an, die dem Pfad der ausführbaren Datei.
    • Verlag. Füllen Sie die folgenden Felder aus: Verlag, Produktname, Dateinameund Dateiversion. Sie können keines der Felder leer lassen, sondern stattdessen ein Sternchen (*) eingeben. Der WEM-Agent wendet die Regel entsprechend den Verlagsinformationen an. Wenn angewendet, können Benutzer ausführbare Dateien ausführen, die dieselben Herausgeberinformationen verwenden.
    • Hash. Klicken Hinzufügen , um einen Hash hinzuzufügen. Im Hash hinzufügen den Dateinamen und den Hash-Wert ein. Sie können die Funktion AppInfoViewer (Englisch) , um einen Hash aus einer ausgewählten Datei oder einem ausgewählten Ordner zu erstellen. Der WEM-Agent wendet die Regel wie angegeben auf identische ausführbare Dateien an. Daher können Benutzer ausführbare Dateien ausführen, die mit der angegebenen Datei identisch sind.

  8. Klicken Schaffen , um die Regel zu speichern und das Fenster zu schließen.

Ausführbare Dateien, die mit Parametern ausgeführt werden

Sie können die Erhöhung von Berechtigungen auf ausführbare Dateien beschränken, die dem angegebenen Parameter entsprechen. Der Parameter fungiert als Übereinstimmungskriterium. Um die für eine ausführbare Datei verfügbaren Parameter anzuzeigen, verwenden Sie Tools wie Process Explorer oder Process Monitor. Wenden Sie die Parameter an, die in diesen Werkzeugen angezeigt werden.

Angenommen, Sie möchten die Regel auf eine ausführbare Datei (z. B. cmd.exe) gemäß dem Pfad der ausführbaren Datei anwenden. Sie möchten die Rechteerweiterung nur auf Folgendes anwenden: test.bat. Sie können den Prozess-Explorer verwenden, um die Parameter abzurufen.

CMD läuft mit Parametern

Im Parameter hinzufügen können Sie Folgendes eingeben:

  • /c ""C:\test.bat""

Geben Sie dann Folgendes in das Feld Pfad Feld:

  • C:\Windows\System32\cmd.exe

In diesem Fall erhöhen Sie die Berechtigungen der angegebenen Benutzer nur für test.bat auf Administratorebene.

So weisen Sie Benutzern Regeln zu

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann auf Redigieren im Aktionen Abschnitt. Im Regel bearbeiten , wählen Sie Benutzer oder Benutzergruppen aus, denen Sie die Regel zuweisen möchten, und klicken Sie dann auf OKAY.

So löschen Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann auf Löschen im Aktionen Abschnitt.

So sichern Sie Regeln für die Erhöhung von Berechtigungen

Sie können alle Regeln für die Erhöhung von Berechtigungen in Ihrem aktuellen Konfigurationssatz sichern. Alle Regeln werden als eine einzige XML-Datei exportiert. Sie können Wiederherstellen , um die Regeln in einem beliebigen Konfigurationssatz wiederherzustellen.

Um die Sicherung abzuschließen, verwenden Sie die Schaltfläche Sicherungskopie -Assistent, der in der Multifunktionsleiste verfügbar ist. Weitere Informationen zur Verwendung des Assistenten „ Backup “ finden Sie unter Menüband.

So stellen Sie Regeln für die Erhöhung von Berechtigungen wieder her

Sie können Regeln für die Erhöhung von Berechtigungen aus XML-Dateien wiederherstellen, die über den Workspace Environment Management-Sicherungsassistenten exportiert wurden. Der Wiederherstellungsprozess ersetzt die Regeln im aktuellen Konfigurationssatz durch die Regeln in der Sicherung. Wenn Sie zu der Datei wechseln oder diese aktualisieren. Sicherheit > Erhöhung von Berechtigungen werden ungültige Regeln für die Erhöhung von Berechtigungen erkannt. Ungültige Regeln werden automatisch gelöscht und in einem Bericht aufgelistet, den Sie exportieren können. Weitere Informationen zur Verwendung des Assistenten „ Wiederherstellen “ finden Sie unter Menüband.

Selbsterhöhung

Mit Selbsterhöhung können Sie die Berechtigungserhebung für bestimmte Benutzer automatisieren, ohne vorher die genauen ausführbaren Dateien bereitstellen zu müssen. Diese Benutzer können eine Selbsterhöhung für jede zutreffende Datei anfordern, indem sie einfach mit der rechten Maustaste auf die Datei klicken und dann im Kontextmenü Mit Administratorrechten ausführen auswählen. Danach erscheint eine Aufforderung, in der sie aufgefordert werden, einen Grund für die Erhöhung anzugeben. Der WEM-Agent validiert den Grund nicht. Der Grund für die Erhöhung wird zu Überwachungszwecken in der Datenbank gespeichert. Wenn die Kriterien erfüllt sind, wird die Höhe angewendet und die Dateien werden erfolgreich mit Administratorrechten ausgeführt.

Die Funktion gibt Ihnen auch die Flexibilität, die beste Lösung für Ihre Bedürfnisse auszuwählen. Sie können Zulassungslisten für die Dateien erstellen, mit denen Benutzer Listen für Dateien selbst erhöhen oder blockieren können, um zu verhindern, dass Benutzer sich selbst erhöhen.

Die Selbsterhöhung gilt für Dateien der folgenden Formate: .exe, .msi, .Fledermaus, .Cmd, .ps1und VBS (Englisch).

Hinweis:

Standardmäßig werden bestimmte Anwendungen zum Ausführen einiger Dateien verwendet. Beispielsweise wird cmd.exe zum Ausführen von .cmd Dateien und powershell.exe zum Ausführen von PS1-Dateien verwendet. In diesen Szenarien können Sie das Standardverhalten nicht ändern.

Wenn Sie Sicherheit > Selbsterhöhungklicken, werden die folgenden Optionen angezeigt:

  • Selbsterhöhung aktivieren. Steuert, ob das Feature mit Selbsterhöhung aktiviert werden soll. Wählen Sie die Option aus, um:

    • Aktivieren Sie Agents, um Einstellungen für die Selbsterhöhung zu verarbeiten.
    • Nehmen Sie weitere Optionen auf der Seite Selbsterhöhung Registerkarte verfügbar.
    • Machen Sie die Schaltfläche Ausführen mit Administratorrechten Diese Option ist im Kontextmenü verfügbar, wenn Benutzer mit der rechten Maustaste auf eine Datei klicken. Daher können Benutzer die Selbsterhöhung für Dateien anfordern, die den Bedingungen entsprechen, die Sie in der Selbsterhöhung Registerkarte.

  • Erlaubnisse. Ermöglicht Ihnen das Erstellen von Zulassungslisten für die Dateien, deren Rechte Sie Benutzern selbst erhöhen lassen möchten, oder von Sperrlisten für die Dateien, deren Rechte Sie Benutzern nicht selbst erhöhen möchten.

    • Erlauben. Erstellt Zulassungslisten für die Dateien, die Sie Benutzern zur Selbsterhöhung gestatten.
    • Leugnen. Erstellt Sperrlisten für Dateien, die Sie daran hindern möchten, dass Benutzer sich selbst erhöhen.

  • Sie können die folgenden Vorgänge ausführen:

    • Zurücksetzen. Ermöglicht das Bearbeiten einer vorhandenen Bedingung.
    • Löschen. Ermöglicht das Löschen einer vorhandenen Bedingung.
    • Füge hinzu. Ermöglicht das Hinzufügen einer Bedingung. Sie können eine Bedingung basierend auf einem Pfad, einem ausgewählten Herausgeber oder einem bestimmten Hashcode erstellen.

  • Einstellungen. Hier können Sie zusätzliche Einstellungen konfigurieren, mit denen gesteuert wird, wie Agenten Selbsterhöhungen anwenden.

    • Auf untergeordnete Prozesse anwenden. Wenn diese Option aktiviert ist, werden Bedingungen für die Selbsterhöhung auf alle untergeordneten Prozesse angewendet, die von der Datei gestartet werden.
    • Startzeit. Hier können Sie einen Zeitpunkt angeben, zu dem Agenten mit der Anwendung von Bedingungen für die Selbsterhöhung beginnen sollen. Das Zeitformat ist HH:MM. Die Zeit basiert auf der Zeitzone des Agents.
    • Endzeit. Hier können Sie einen Zeitpunkt angeben, zu dem Agents die Anwendung von Bedingungen für die Selbsterhöhung beenden sollen. Das Zeitformat ist HH:MM. Ab dem angegebenen Zeitpunkt wenden Agenten die Bedingungen nicht mehr an. Die Zeit basiert auf der Zeitzone des Agents.

  • Zuweisungen. Ermöglicht das Zuweisen der Bedingung für die Selbsterhöhung zu entsprechenden Benutzern oder Benutzergruppen. Um die Bedingung allen Benutzern und Benutzergruppen zuzuweisen, klicken Sie auf Alles auswählen oder wählen Sie Jeder. Das Alles auswählen ist nützlich in Szenarien, in denen Sie Ihre Auswahl aufheben und Benutzer und Benutzergruppen erneut auswählen möchten.

Überwachen von Aktivitäten zur Erhöhung von Berechtigungen

WEM unterstützt Auditing-Aktivitäten im Zusammenhang mit der Erhöhung von Berechtigungen. Weitere Informationen finden Sie unter Überwachen von Benutzeraktivitäten.

Steuerung der Prozesshierarchie

Die Funktion zur Steuerung der Prozesshierarchie steuert, ob bestimmte untergeordnete Prozesse in Parent-Kind-Szenarien von ihren übergeordneten Prozessen aus gestartet werden können. Sie erstellen eine Regel, indem Sie übergeordnete Prozesse definieren und dann eine Positivliste oder eine Sperrliste für ihre untergeordneten Prozesse festlegen. Lesen Sie diesen gesamten Abschnitt, bevor Sie die Funktion verwenden.

Hinweis:

  • Diese Funktion gilt nur für Citrix Virtual Apps.

Um zu verstehen, wie die Regel funktioniert, beachten Sie Folgendes:

  • Ein Prozess unterliegt nur einer Regel. Wenn Sie mehrere Regeln für denselben Prozess definieren, wird nur die Regel mit der höchsten Priorität erzwungen.

  • Die von Ihnen definierte Regel ist nicht nur auf die ursprüngliche über- und untergeordnete Hierarchie beschränkt, sondern gilt auch für jede Ebene dieser Hierarchie. Regeln, die auf einen übergeordneten Prozess anwendbar sind, haben Vorrang vor Regeln, die auf seine untergeordneten Prozesse anwendbar sind, unabhängig von der Priorität der Regeln. Sie definieren beispielsweise die folgenden zwei Regeln:

    • Regel 1: Word kann CMD nicht öffnen.
    • Regel 2: Notepad kann CMD öffnen.

    Mit den beiden Regeln können Sie CMD nicht aus Notepad heraus öffnen, indem Sie zuerst Word öffnen und dann Notepad aus Word heraus öffnen, unabhängig von der Priorität der Regeln.

Diese Funktion ist auf bestimmte prozessbasierte Beziehungen zwischen über- und untergeordneten Elementen angewiesen, um zu funktionieren. Um die Beziehungen zwischen über- und untergeordneten Elementen in einem Szenario zu visualisieren, verwenden Sie die Prozessstrukturfunktion des Process Explorer-Tools. Weitere Informationen zum Prozess-Explorer finden Sie unter https://docs.microsoft.com/en-us/sysinternals/downloads/procmon.

Um mögliche Probleme zu vermeiden, empfehlen wir Ihnen, in der Verwaltungsschnittstelle „Vollständige Konfiguration“ einen ausführbaren Dateipfad hinzuzufügen, der auf VUEMAppCmd.exe verweist. VUEMAppCmd.exe stellt sicher, dass der WEM-Agent die Verarbeitung der Einstellungen vor dem Start veröffentlichter Anwendungen abschließt. Führen Sie hierzu die folgenden Schritte aus:

  1. Wählen Sie im Knoten Anwendung die Anwendung aus, klicken Sie in der Aktionsleiste auf Eigenschaften und wechseln Sie dann zur Seite Standort .

    Seite „Anwendungseinstellungen“ in der vollständigen Konfiguration

  2. Geben Sie den Pfad der lokalen Anwendung auf dem Betriebssystem des Endbenutzers ein.

    • Geben Sie im Feld Pfad zur ausführbaren Datei Folgendes ein:

         <%ProgramFiles%>\Citrix\Workspace Environment Management Agent\VUEMAppCmd.exe

  3. Geben Sie das Befehlszeilenargument ein, um eine zu öffnende Anwendung anzugeben.

    • Unter dem Befehlszeilen-Argument den vollständigen Pfad zu der Anwendung ein, über die Sie starten möchten VUEMAppCmd.exe. Stellen Sie sicher, dass Sie die Befehlszeile für die Anwendung in doppelte Anführungszeichen setzen, wenn der Pfad Leerzeichen enthält.
    • Angenommen, Sie möchten iexplore.exe über VUEMAppCmd.exe. Geben Sie dazu Folgendes ein: %ProgramFiles(x86)%\"Internet Explorer"\iexplore.exe.

Überlegungen

Damit die Funktion funktioniert, müssen Sie die Schaltfläche AppInfoViewer (Englisch) auf jedem Agent-Computer, um die Funktion zu aktivieren. (Das Tool befindet sich im Agentinstallationsordner.) Jedes Mal, wenn Sie das Tool zum Aktivieren oder Deaktivieren der Funktion verwenden, ist ein Neustart der Maschine erforderlich. Wenn die Funktion aktiviert ist, beachten Sie Folgendes:

  • Sie müssen den Agent-Computer nach dem Upgrade oder der Deinstallation des Agenten neu starten.

    Hinweis:

    Wenn Sie von den Versionen 2103.2.0.1 oder 2104.1.0.1aktualisieren oder diese deinstallieren, wird keine Aufforderung zum Neustart angezeigt.

  • Die Funktion zur automatischen Agentenaktualisierung funktioniert nicht mit der Agentenversion 2105.1.0.1 oder höher. Um die Funktion zur automatischen Agent-Aktualisierung zu verwenden, deaktivieren Sie zunächst mit dem Tool AppInfoViewer die Funktion zur Prozesshierarchiesteuerung.

  • Wenn Sie ein Upgrade von den Versionen 2103.2.0.1 oder 2104.1.0.1durchführen, müssen Sie den Agent-Computer nach Abschluss des automatischen Agent-Upgrades neu starten.

Um zu überprüfen, ob die Funktion zur Steuerung der Prozesshierarchie aktiviert ist, öffnen Sie die Registrierungs-Editor auf dem Agent-Computer. Das Feature ist aktiviert, wenn der folgende Registrierungseintrag vorhanden ist:

  • 32-Bit-Betriebssystem
    • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
  • 64-Bit-Betriebssystem
    • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_Dlls\WEM Hook

Wichtig:

In den Versionen 2103.2.0.1 und 2104.1.0.1 des Agenten ist die Funktion zur Prozesshierarchiesteuerung möglicherweise automatisch aktiviert. Um zu überprüfen, ob die Funktion zur Prozesshierarchiesteuerung aktiviert ist, öffnen Sie den Registrierungs-Editor auf dem Agent-Computer. Wenn die Funktion aktiviert ist, müssen Sie den Agent-Computer nach dem Upgrade oder der Deinstallation des Agenten manuell neu starten.

Voraussetzungen

Um die Funktion verwenden zu können, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Eine Bereitstellung virtueller Citrix-Apps.
  • Der Agent wird unter Windows 10 oder Windows Server ausgeführt.
  • Der Agent-Host wurde nach einem direkten Upgrade oder einer Neuinstallation neu gestartet.

Steuerung der Prozesshierarchie

Wenn Sie Steuerung der Prozesshierarchie in Sicherheitklicken, werden die folgenden Optionen angezeigt:

  • Aktivieren der Prozesshierarchiesteuerung. Steuert, ob die Funktion zur Steuerung der Prozesshierarchie aktiviert werden soll. Wenn diese Option ausgewählt ist, werden weitere Optionen auf der Registerkarte Steuerung der Prozesshierarchie verfügbar werden und die dort konfigurierten Einstellungen können wirksam werden. Sie können diese Funktion verwenden nur in einer Citrix Virtual Apps-Bereitstellung.

  • Öffnen mit aus Kontextmenü ausblenden. Steuert, ob die Öffnen mit aus dem Windows-Kontextmenü mit der rechten Maustaste. Wenn diese Option aktiviert ist, wird sie in der Benutzeroberfläche ausgeblendet. Wenn diese Option deaktiviert ist, ist sie sichtbar und Benutzer können sie verwenden, um einen Prozess zu starten. Die Funktion zur Steuerung der Prozesshierarchie gilt nicht für Prozesse, die über die Funktion Öffnen mit Option. Es wird empfohlen, diese Einstellung zu aktivieren, um zu verhindern, dass Anwendungen Prozesse über Systemdienste starten, die nicht mit der aktuellen Anwendungshierarchie verknüpft sind.

Das Steuerung der Prozesshierarchie zeigt auch die vollständige Liste der Regeln an, die Sie konfiguriert haben. Sie können Finden , um die Liste zu filtern. Das Zugewiesen zeigt ein Häkchensymbol für zugewiesene Benutzer oder Benutzergruppen an.

Das Aktionen zeigt die folgenden Aktionen an:

  • Zurücksetzen. Ermöglicht das Bearbeiten einer Regel.
  • Löschen. Ermöglicht das Löschen einer Regel.
  • Regel hinzufügen. Ermöglicht das Hinzufügen einer Regel.

So fügen Sie eine Regel hinzu

  1. Navigieren Sie zu Steuerung der Prozesshierarchie und klicken Sie auf Regel hinzufügen. Das Regel hinzufügen wird angezeigt.

  2. Im Zeigen Geben Sie Folgendes ein:

    • Name. Geben Sie den Anzeigenamen der Regel ein. Der Name wird in der Regelliste angezeigt.
    • Beschreibung. Geben Sie zusätzliche Informationen zur Regel ein.

  3. Im Art eine Option aus.

    • Hash. Die Regel stimmt mit einem Dateipfad überein.
    • Gilt nur für signierte ausführbare Dateien. Die Regel stimmt mit einem ausgewählten Herausgeber überein.
    • Hash. Die Regel stimmt mit einem bestimmten Hashcode überein.

  4. Im Modus eine der folgenden Optionen aus:

    • Untergeordnete Prozesse zur Sperrliste hinzufügen. Wenn diese Option aktiviert ist, können Sie eine Sperrliste für die entsprechenden untergeordneten Prozesse definieren, nachdem Sie eine Regel für die übergeordneten Prozesse konfiguriert haben. Eine Sperrliste verhindert die Ausführung nur der von Ihnen angegebenen Prozesse, während andere Prozesse ausgeführt werden dürfen.
    • Hinzufügen von untergeordneten Prozessen zur Zulassungsliste. Wenn diese Option aktiviert ist, können Sie eine Zulassungsliste für entsprechende untergeordnete Prozesse definieren, nachdem Sie eine Regel für ihre übergeordneten Prozesse konfiguriert haben. Eine Zulassungsliste lässt nur die Ausführung der von Ihnen angegebenen Prozesse zu, während die Ausführung anderer Prozesse verboten ist.

    Hinweis:

    Ein Prozess unterliegt nur einer Regel. Wenn Sie mehrere Regeln für denselben Prozess definieren, werden die Regeln in der Reihenfolge ihrer Priorität durchgesetzt.

  5. Im Priorität legen Sie die Priorität für die Regel fest. Beachten Sie beim Konfigurieren der Priorität Folgendes: Die Priorität bestimmt die Reihenfolge, in der die von Ihnen konfigurierten Regeln verarbeitet werden. Je größer der Wert, desto höher ist die Priorität. Geben Sie eine ganze Zahl ein. Kommt es zu einem Konflikt, hat die Regel mit der höheren Priorität Vorrang.

  6. Im Zuweisungen Wählen Sie Benutzer oder Benutzergruppen aus, denen Sie die Regel zuweisen möchten. Wenn Sie die Regel allen Benutzern und Benutzergruppen zuweisen möchten, wählen Sie Alles auswählen.

    Hinweis:

    • Sie können die üblichen Windows-Auswahltasten verwenden, um eine Mehrfachauswahl vorzunehmen.
    • Benutzer oder Benutzergruppen müssen bereits in der Liste enthalten sein, die auf der Seite Verwaltung > Benutzer Registerkarte.
    • Sie können die Regel später (nachdem die Regel erstellt wurde) zuweisen.

  7. Klicken Sie auf Weiter.

  8. Führen Sie einen der folgenden Schritte aus, um die Regel für übergeordnete Prozesse zu konfigurieren. Je nachdem, welchen Regeltyp Sie auf der vorhergehenden Seite ausgewählt haben, sind unterschiedliche Aktionen erforderlich.

    Wichtig:

    WEM stellt Ihnen ein Tool zur Verfügung, das AppInfoViewer (Englisch) , um die folgenden Informationen und weitere Informationen aus ausführbaren Dateien abzurufen: Publisher, Path und Hash. Weitere Informationen finden Sie unter Tool zum Abrufen von Informationen zu ausführbaren Dateien.

    • Hash. Geben Sie den Pfad zur Datei oder zum Ordner ein, auf den Sie die Regel für übergeordnete Prozesse anwenden möchten. Der WEM-Agent wendet die Regel auf eine ausführbare Datei entsprechend dem Pfad der ausführbaren Datei an. Wir empfehlen, in dieses Feld nicht nur ein Sternchen (*) einzugeben, um eine Pfadübereinstimmung anzuzeigen. Dies kann zu unbeabsichtigten Leistungsproblemen führen.

    • Verlag. Füllen Sie die folgenden Felder aus: Verlag, Produktname, Dateinameund Dateiversion. Sie können keines der Felder leer lassen, sondern stattdessen ein Sternchen (*) eingeben. Der WEM-Agent wendet die Regel auf übergeordnete Prozesse gemäß den Verlagsinformationen an. Wenn angewendet, können Benutzer ausführbare Dateien ausführen, die dieselben Herausgeberinformationen verwenden.

    • Hash. Klicken Hinzufügen , um einen Hash hinzuzufügen. Im Hash hinzufügen den Dateinamen und den Hash-Wert ein. Sie können die Funktion AppInfoViewer (Englisch) , um einen Hash aus einer ausgewählten Datei oder einem ausgewählten Ordner zu erstellen. Der WEM-Agent wendet die Regel wie angegeben auf identische ausführbare Dateien an. Daher können Benutzer ausführbare Dateien ausführen, die mit der angegebenen Datei identisch sind.

  9. Klicken Nächster , um die Einstellungen für untergeordnete Prozesse zu konfigurieren.

  10. Führen Sie einen der folgenden Schritte aus, um eine Zulassungsliste oder eine Sperrliste für die entsprechenden untergeordneten Prozesse zu definieren.

    1. Wählen Sie im Menü einen Regeltyp aus und klicken Sie dann auf Hinzufügen. Das Untergeordneter Prozess wird angezeigt.
    2. Im Untergeordneter Prozess , konfigurieren Sie die Einstellungen nach Bedarf. Die Benutzeroberfläche des Untergeordneter Prozess ist je nach ausgewähltem Regeltyp unterschiedlich. Für einen untergeordneten Prozess stehen die folgenden Regeltypen zur Verfügung: Pfad, Verlagund Rautenzeichen.
    3. Klicken OKAY , um zum Regel hinzufügen Fenster. Sie können weitere untergeordnete Prozesse hinzufügen oder auf Schaffen , um die Regel zu speichern und das Fenster zu schließen.

So weisen Sie Benutzern Regeln zu

Wählen Sie eine Regel in der Liste aus und klicken Sie dann auf Redigieren im Aktionen Abschnitt. Im Regel bearbeiten , wählen Sie Benutzer oder Benutzergruppen aus, denen Sie die Regel zuweisen möchten, und klicken Sie dann auf OKAY.

So löschen Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann auf Löschen im Aktionen Abschnitt.

So sichern Sie Regeln

Sie können alle Regeln für die Steuerung der Prozesshierarchie in Ihrem aktuellen Konfigurationssatz sichern. Alle Regeln werden als eine einzige XML-Datei exportiert. Sie können Wiederherstellen , um die Regeln in einem beliebigen Konfigurationssatz wiederherzustellen.

Um die Sicherung abzuschließen, verwenden Sie die Schaltfläche Sicherungskopie -Assistent, der in der Multifunktionsleiste verfügbar ist. Weitere Informationen zur Verwendung des Assistenten „ Backup “ finden Sie unter Menüband.

So stellen Sie Regeln wieder her

Sie können Regeln zur Steuerung von Prozesshierarchien aus XML-Dateien wiederherstellen, die über den Workspace Environment Management-Sicherungsassistenten exportiert wurden. Der Wiederherstellungsprozess ersetzt die Regeln im aktuellen Konfigurationssatz durch die Regeln in der Sicherung. Wenn Sie zu der Datei wechseln oder diese aktualisieren. Sicherheit > Steuerung der Prozesshierarchie werden alle ungültigen Regeln gelöscht und in einem Bericht aufgelistet, den Sie exportieren können. Weitere Informationen zur Verwendung des Assistenten „ Wiederherstellen “ finden Sie unter Menüband.

Überwachen von Aktivitäten zur Steuerung der Prozesshierarchie

WEM unterstützt Auditierungsaktivitäten im Zusammenhang mit der Steuerung von Prozesshierarchien. Weitere Informationen finden Sie unter Überwachen von Benutzeraktivitäten.

Überwachen von Benutzeraktivitäten

WEM unterstützt Auditing-Aktivitäten im Zusammenhang mit der Erhöhung von Berechtigungen und der Steuerung von Prozesshierarchien. Um die Audits anzuzeigen, wechseln Sie zum Verwaltung > Protokollierung > Agent Registerkarte. Konfigurieren Sie auf der Registerkarte Protokollierungseinstellungen, wählen Sie ElevationControl, Selbsterhöhungoder ProcessHierarchyControl im Aktionen und klicken Sie dann auf Filter anwenden , um die Protokolle auf bestimmte Aktivitäten einzugrenzen. Sie können den gesamten Verlauf der Berechtigungserweiterung oder der Steuerung der Prozesshierarchie anzeigen.

Benutzeraktivitätsprotokolle

Weitere Informationen

Ein Beispiel für die Konfiguration der Prozesshierarchiesteuerung finden Sie unter Schützen von Citrix Workspace-Umgebungen mithilfe der Prozesshierarchiesteuerung.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.
Sicherheit
April 9, 2025
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.