Sicherheit

Mit diesen Einstellungen können Sie Benutzeraktivitäten in Workspace Environment Management steuern.


Anwendungssicherheit

Wichtig:

Um zu steuern, welche Anwendungen Benutzer ausführen können, können Sie die Windows AppLocker-Benutzeroberfläche oder Workspace Environment Management verwenden, um Windows AppLocker-Regeln zu verwalten. Sie können jederzeit zwischen diesen Ansätzen wechseln, wir empfehlen jedoch, dass Sie nicht beide Ansätze gleichzeitig verwenden.

Mit diesen Einstellungen können Sie die Anwendungen steuern, die Benutzer ausführen dürfen, indem Sie Regeln definieren. Diese Funktionalität ähnelt Windows AppLocker. Wenn Sie Workspace Environment Management zum Verwalten von Windows AppLocker-Regeln verwenden, verarbeitet (konvertiert) der Agent Regeln der Registerkarte Anwendungssicherheit in Windows AppLocker-Regeln auf dem Agenthost. Wenn Sie die Verarbeitungsregeln des Agents beenden, bleiben sie im Konfigurationssatz erhalten und AppLocker wird weiterhin mit den letzten Anweisungen ausgeführt, die vom Agent verarbeitet wurden.

Anwendungssicherheit

Auf dieser Registerkarte werden die Sicherheitsregeln für die Anwendung im aktuellen Workspace Environment Management-Konfigurationssatz aufgeführt. Mit Suchen können Sie die Liste nach einer Textzeichenfolge filtern.

Wenn Sie auf der Registerkarte Sicherheit das Element “Anwendungssicherheit” auf der obersten Ebene auswählen, werden die folgenden Optionen verfügbar, um die Regelverarbeitung zu aktivieren oder zu deaktivieren:

  • Anwendungssicherheitsregeln verarbeiten. Wenn diese Option ausgewählt ist, sind die Steuerelemente der Registerkarte Anwendungssicherheit aktiviert, und der Agent verarbeitet Regeln im aktuellen Konfigurationssatz und konvertiert sie in AppLocker-Regeln auf dem Agenthost. Wenn diese Option nicht ausgewählt ist, sind die Steuerelemente der Registerkarte “ Anwendungssicherheit “ deaktiviert, und der Agent verarbeitet keine Regeln in AppLocker-Regeln. (In diesem Fall werden AppLocker-Regeln nicht aktualisiert.)

    Hinweis:

    Diese Option ist nicht verfügbar, wenn die Workspace Environment Management-Verwaltungskonsole unter Windows 7 SP1 oder Windows Server 2008 R2 SP1 (oder früheren Versionen) installiert ist.

  • DLL-Regeln verarbeiten. Wenn diese Option ausgewählt ist, verarbeitet der Agent DLL-Regeln in der aktuellen Konfiguration, die in AppLocker-DLL-Regeln auf dem Agenthost festgelegt ist. Diese Option ist nur verfügbar, wenn Sie Sicherheitsregeln für Anwendungen verarbeitenauswählen.

    Wichtig:

    Wenn Sie DLL-Regeln verwenden, müssen Sie eine DLL-Regel mit der Berechtigung “Zulassen” für jede DLL erstellen, die von allen zulässigen Apps verwendet wird.

    Achtung:

    Wenn Sie DLL-Regeln verwenden, kann es zu einer Leistungsminderung kommen. Dies passiert, weil AppLocker jede DLL überprüft, die eine App lädt, bevor sie ausgeführt werden darf.

  • Mit den Einstellungen Überschreiben und Zusammenführen können Sie bestimmen, wie der Agent Anwendungssicherheitsregeln verarbeitet.

    • Überschreiben. Ermöglicht das Überschreiben vorhandener Regeln. Bei Auswahl dieser Option überschreiben die zuletzt verarbeiteten Regeln, die zuvor verarbeitet wurden. Wir empfehlen, diesen Modus nur auf Einzelsitzungsmaschinen anzuwenden.
    • Verschmelzen. Ermöglicht das Zusammenführen von Regeln mit bestehenden Regeln. Wenn Konflikte auftreten, überschreiben die zuletzt verarbeiteten Regeln, die zuvor verarbeitet wurden. Wenn Sie die Einstellung zur Regelerzwingung während des Zusammenführens ändern müssen, verwenden Sie den Überschreibmodus, da der Zusammenführungsmodus den alten Wert beibehält, falls er sich unterscheidet.

Regelsammlungen

Regeln gehören zu AppLocker-Regelsammlungen. Jeder Sammlungsname gibt an, wie viele Regeln er enthält, z. B. (12). Klicken Sie auf einen Sammlungsnamen, um die Regelliste nach einer der folgenden Sammlungen zu filtern:

  • Ausführbare Regeln. Regeln, die Dateien mit den Erweiterungen .exe und .com enthalten, die einer Anwendung zugeordnet sind.
  • Windows-Regeln. Regeln, die Dateiformate des Installationsprogramms (.msi, .msp, .mst) enthalten, die die Installation von Dateien auf Clientcomputern und Servern steuern.
  • Skriptregeln. Regeln, die Dateien der folgenden Formate enthalten: .ps1, .bat, .cmd, .vbs, .js.
  • Verpackte Regeln. Regeln, die gepackte Apps enthalten, die auch als Universal Windows Apps bezeichnet werden. In gepackten Apps teilen alle Dateien innerhalb des App-Pakets dieselbe Identität. Daher kann eine Regel die gesamte App steuern. Workspace Environment Management unterstützt nur Publisher-Regeln für gepackte Apps.
  • DLL-Regeln. Regeln, die Dateien der folgenden Formate enthalten: .dll, .ocx.

Wenn Sie die Regelliste in eine Sammlung filtern, steht die Option Regelerzwingung zur Verfügung, um zu steuern, wie AppLocker alle Regeln in dieser Sammlung auf dem Agenthost erzwingt. Die folgenden Regelerzwingungswerte sind möglich:

Aus (Standardeinstellung). Regeln werden erstellt und auf “off” gesetzt, was bedeutet, dass sie nicht angewendet werden.

Auf. Regeln werden erstellt und auf “erzwingen” festgelegt, was bedeutet, dass sie auf dem Agenthost aktiv sind.

Audit. Regeln werden erstellt und auf “Audit” gesetzt, was bedeutet, dass sie sich auf dem Agenthost in einem inaktiven Zustand befinden. Wenn ein Benutzer eine App ausführt, die gegen eine AppLocker-Regel verstößt, darf die App ausgeführt werden, und die Informationen über die App werden dem AppLocker-Ereignisprotokoll hinzugefügt.

So importieren Sie AppLocker-Regeln

Sie können aus AppLocker exportierte Regeln in Workspace Environment Management importieren. Importierte Windows AppLocker-Einstellungen werden allen vorhandenen Regeln auf der Registerkarte Sicherheit hinzugefügt. Alle ungültigen Anwendungssicherheitsregeln werden automatisch gelöscht und in einem Berichtsdialogfeld aufgeführt.

  1. Klicken Sie in der Multifunktionsleiste auf AppLocker-Regeln importieren.

  2. Navigieren Sie zu der XML-Datei, die aus AppLocker exportiert wurde, die Ihre AppLocker-Regeln enthält.

  3. Klicken Sie auf Importieren.

Die Regeln werden der Liste der Anwendungssicherheitsregeln hinzugefügt.

So fügen Sie eine Regel hinzu

  1. Wählen Sie einen Namen der Regelsammlung in der Seitenleiste aus. Um beispielsweise eine ausführbare Regel hinzuzufügen, wählen Sie die Auflistung “Ausführbare Regeln” aus.

  2. Klicken Sie auf Regel hinzufügen.

  3. Geben Sie im Abschnitt “ Anzeige “ die folgenden Details ein:

    • Name. Der Anzeigename der Regel, wie er in der Regelliste angezeigt wird.
    • Beschreibung. Zusätzliche Informationen zur Ressource (optional).
  4. Klicken Sie im Abschnitt Typ auf eine Option:

    • Pfad. Die Regel stimmt mit einem Dateipfad oder Ordnerpfad überein.
    • Herausgeber. Die Regel stimmt mit einem ausgewählten Herausgeber überein.
    • Hash. Die Regel entspricht einem bestimmten Hash-Code.
  5. Klicken Sie im Abschnitt “ Berechtigungen “ darauf, ob diese Regel die Ausführung von Anwendungen zulässt oder verweigert.

  6. Um diese Regel Benutzern oder Benutzergruppen zuzuweisen, wählen Sie im Bereich Zuweisungen die Option Benutzer oder Gruppen aus, denen diese Regel zugewiesen werden soll. In der Spalte “Zugewiesen” wird ein Häkchen-Symbol für zugewiesene Benutzer oder Gruppen angezeigt.

    Tipp:

    • Sie können die üblichen Windows-Auswahlmodifikatortasten verwenden, um eine Mehrfachauswahl zu treffen, oder Alle auswählen verwenden, um alle Zeilen auszuwählen.
    • Benutzer müssen sich bereits in der Benutzerliste von Workspace Environment Management befinden.
    • Sie können Regeln zuweisen, nachdem die Regel erstellt wurde.
  7. Klicken Sie auf Weiter.

  8. Geben Sie die Kriterien an, die mit der Regel übereinstimmen, abhängig vom gewählten Regeltyp:

    • Pfad. Geben Sie einen Dateipfad oder Ordnerpfad an, der die Regel entsprechen soll. Wenn Sie einen Ordner auswählen, stimmt die Regel mit allen Dateien innerhalb und unter diesem Ordner überein.
    • Herausgeber. Geben Sie eine signierte Referenzdatei an, und stimmen Sie dann mit dem Schieberegler “Publisher-Informationen” die Ebene des Eigenschaftsabgleichs ab.
    • Hash. Geben Sie eine Datei an. Die Regel entspricht dem Hash-Code der Datei.
  9. Klicken Sie auf Weiter.

  10. Fügen Sie alle erforderlichen Ausnahmen hinzu (optional). Wählen Sie unter Ausnahme hinzufügen einen Ausnahmetyp aus und klicken Sie auf Hinzufügen. (Sie können Ausnahmen nach Bedarf bearbeiten und entfernen.)

  11. Um die Regel zu speichern, klicken Sie auf Erstellen.

So weisen Sie Benutzern Regeln zu

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann in der Symbolleiste oder im Kontextmenü auf Bearbeiten . Wählen Sie im Editor die Zeilen aus, die die Benutzer und Benutzergruppen enthalten, denen Sie die Regel zuweisen möchten, und klicken Sie dann auf OK. Sie können die Zuweisung der ausgewählten Regeln auch für alle Benutzer aufheben, indem Sie “Alle auswählen” verwenden, um alle Auswahlen zu löschen.

Hinweis: Wenn Sie mehrere Regeln auswählen und auf Bearbeitenklicken, werden alle Änderungen der Regelzuweisung für diese Regeln auf alle von Ihnen ausgewählten Benutzer und Benutzergruppen angewendet. Mit anderen Worten, bestehende Regelzuweisungen werden über diese Regeln hinweg zusammengeführt.

So fügen Sie Standardregeln

Klicken Sie auf Standardregeln hinzufügen. Ein Satz von AppLocker-Standardregeln wird der Liste hinzugefügt.

So bearbeiten Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann in der Symbolleiste oder im Kontextmenü auf Bearbeiten . Der Editor wird angezeigt, in dem Sie Einstellungen anpassen können, die für die von Ihnen getroffene Auswahl gelten.

So löschen Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann in der Symbolleiste oder im Kontextmenü auf Löschen .

So sichern Sie Anwendungssicherheitsregeln

Sie können alle Anwendungssicherheitsregeln in Ihrem aktuellen Konfigurationssatz sichern. Regeln werden alle als einzelne XML-Datei exportiert. Sie können Wiederherstellen verwenden, um die Regeln in einem beliebigen Konfigurationssatz wiederherzustellen. Klicken Sie in der Multifunktionsleiste auf Backup und wählen Sie dann Sicherheitseinstellungenaus.

So stellen Sie Anwendungssicherheitsregeln wieder her

Sie können Anwendungssicherheitsregeln aus XML-Dateien wiederherstellen, die mit dem Backupbefehl “Workspace Environment Management” erstellt wurden. Der Wiederherstellungsvorgang ersetzt die Regeln im aktuellen Konfigurationssatz durch die Regeln im Backup. Wenn Sie auf die Registerkarte Sicherheit wechseln oder diese aktualisieren, werden alle ungültigen Sicherheitsregeln für Anwendungen erkannt. Ungültige Regeln werden automatisch gelöscht und in einem Berichtsdialogfeld aufgeführt, das Sie exportieren können.

Während des Wiederherstellungsvorgangs können Sie auswählen, ob Sie Regelzuweisungen für Benutzer und Benutzergruppen in Ihrem aktuellen Konfigurationssatz wiederherstellen möchten. Die Neuzuweisung ist nur erfolgreich, wenn die gesicherten Benutzer/Gruppen in Ihrem aktuellen Konfigurationsset/Active Directory vorhanden sind. Alle nicht übereinstimmenden Regeln werden wiederhergestellt, bleiben jedoch nicht zugewiesen. Nach der Wiederherstellung werden sie in einem Berichtsdialog aufgelistet, den Sie im CSV-Format exportieren können.

1. Klicken Sie in der Multifunktionsleiste auf Wiederherstellen, um den Wiederherstellungsassistenten zu starten.

2. Wählen Sie Sicherheitseinstellungen aus, und klicken Sie dann zweimal auf Weiter .

3. Navigieren Sie unter Ordner wiederherstellenzu dem Ordner, der die Backupdatei enthält.

4. Wählen Sie AppLocker-Regeleinstellungenaus, und klicken Sie dann auf Weiter.

5. Bestätigen Sie, ob Sie Regelzuweisungen wiederherstellen möchten oder nicht:

Ja. Stellen Sie Regeln wieder her und weisen Sie sie denselben Benutzern und Benutzergruppen in Ihrem aktuellen Konfigurationssatz neu zu.

Nein. Stellen Sie Regeln wieder her und lassen Sie sie nicht zugewiesen.

6. Um mit der Wiederherstellung zu beginnen, klicken Sie auf Einstellungen wiederherstellen.


Prozess-Management

Mit diesen Einstellungen können Sie bestimmte Prozesse auf die Positiv- oder Sperrliste setzen.

Prozess-Management

Prozessverwaltung aktivieren. Dies schaltet ein, ob das Verarbeiten von Positiv-/Sperrlisten in Kraft ist. Wenn diese Option deaktiviert ist, werden keine der Einstellungen auf den Tabs Process BlackList und Process WhiteList berücksichtigt.

Hinweis:

Diese Option funktioniert nur, wenn der Sitzungsagent in der Sitzung des Benutzers ausgeführt wird. Verwenden Sie dazu die Agenteinstellungen Hauptkonfiguration, um die Launch-Agent-Optionen (bei Anmeldung/bei Wiederverbindung/für Administratoren) entsprechend dem Benutzer-/Sitzungstyp zu starten und den Agenttyp auf “UI” festzulegen. Diese Optionen werden in Erweiterte Einstellungenbeschrieben.

Process BlackLists

Diese Einstellungen ermöglichen es Ihnen, bestimmte Prozesse auf die Sperrliste zu setzen.

Enable Process Blacklist. Dies ermöglicht die Sperrliste von Prozessen. Sie müssen Prozesse mit ihrem Namen der ausführbaren Datei hinzufügen (z. B. cmd.exe).

Lokale Administratoren ausschließen. Schließt lokale Administratorkonten aus der Sperrliste des Prozesses aus.

Angegebene Gruppen ausschließen. Ermöglicht es Ihnen, bestimmte Benutzergruppen von der Sperrliste des Prozesses auszuschließen.

Process WhiteList

Mit diesen Einstellungen können Sie bestimmte Prozesse auf die Positivliste setzen. Verarbeiten von Sperr- und Positivlisten schließen sich gegenseitig aus.

Enable Process Whitelist. Dies ermöglicht Positivlisten für Prozesse. Sie müssen Prozesse mit ihrem Namen der ausführbaren Datei hinzufügen (z. B. cmd.exe). Hinweis Wenn diese Option aktiviert ist, setzt Enable Process Whitelist automatisch alle Prozesse auf die Sperrliste, die nicht in der Positivliste enthalten sind.

Lokale Administratoren ausschließen. Schließt lokale Administratorkonten von der Positivliste des Prozesses aus (sie können alle Prozesse ausführen).

Angegebene Gruppen ausschließen. Ermöglicht es Ihnen, bestimmte Benutzergruppen von der Positivliste des Prozesses auszuschließen (sie können alle Prozesse ausführen).


Berechtigungserhöhung

Hinweis:

Diese Funktion gilt nicht für virtuelle Apps von Citrix.

Mit der Funktion “Berechtigungserhöhung” können Sie die Berechtigungen von Nicht-Administratorbenutzern auf eine Administratorebene erhöhen, die für einige ausführbare Dateien erforderlich ist. Infolgedessen können die Benutzer diese ausführbaren Dateien so starten, als wären sie Mitglieder der Administratorengruppe.

Berechtigungserhöhung

Wenn Sie den Bereich Berechtigungserhöhung unter Sicherheitauswählen, werden die folgenden Optionen angezeigt:

  • Einstellungen für Berechtigungserhöhen verarbeiten. Steuert, ob das Privilegerhöhungs-Feature aktiviert werden soll. Wenn diese Option ausgewählt ist, können Agents Einstellungen für Berechtigungen verarbeiten, und andere Optionen auf der Registerkarte Berechtigungserhöhung werden verfügbar.

  • Nicht auf Windows Server-Betriebssysteme anwenden. Steuert, ob Einstellungen für Berechtigungserhöhen auf Windows Server-Betriebssysteme angewendet werden sollen. Wenn diese Option ausgewählt ist, funktionieren die Benutzern zugewiesenen Regeln nicht auf Windows Server-Computern. Die Standardeinstellung ist ‘Auf Remotesitzung nur im Vollbildmodus zugreifen’.

  • Durchsetzung von RunAsInvoker. Steuert, ob alle ausführbaren Dateien unter dem aktuellen Windows-Konto ausgeführt werden sollen. Wenn diese Option ausgewählt ist, werden Benutzer nicht aufgefordert, ausführbare Dateien als Administratoren auszuführen.

Auf dieser Registerkarte wird auch die vollständige Liste der Regeln angezeigt, die Sie konfiguriert haben. Klicken Sie auf Ausführbare Regeln oder Windows Installer Rules, um die Regelliste nach einem bestimmten Regeltyp zu filtern. Sie können Suchen verwenden, um die Liste zu filtern. In der Spalte Zugewiesen wird ein Häkchensymbol für zugewiesene Benutzer oder Benutzergruppen angezeigt.

Unterstützte Regeln

Sie können Berechtigungserweiterungen mithilfe von zwei Arten von Regeln anwenden: ausführbare Regeln und Regeln für Windows Installer.

  • Ausführbare Regeln. Regeln, die Dateien mit den Erweiterungen .exe und .com enthalten, die mit einer Anwendung verknüpft sind.

  • Regeln für Windows Installer. Regeln, die Installationsdateien with.msi und .msp-Erweiterungen enthalten, die mit einer Anwendung verknüpft sind. Beachten Sie beim Hinzufügen von Windows Installer-Regeln das folgende Szenario:

    • Die Berechtigungshöhe gilt nur für Microsofts msiexec.exe. Stellen Sie sicher, dass das Tool, das Sie zum Bereitstellen von Windows Installer-Dateien des Typs .msi und .msp verwenden, msiexec.exe ist.
    • Angenommen, ein Prozess stimmt mit einer angegebenen Windows-Installationsregel überein und sein übergeordneter Prozess entspricht einer bestimmten ausführbaren Regel. Der Prozess kann keine erhöhten Berechtigungen erhalten, es sei denn, die Einstellung Auf untergeordnete Prozesse anwenden ist in der angegebenen ausführbaren Regel aktiviert.

Nachdem Sie auf die Ausführbare Regeln oder die Registerkarte Regeln fürWindows Installergeklickt haben, werden im AbschnittAktionen die folgenden Aktionen angezeigt, die Ihnen zur Verfügung stehen:

  • Bearbeiten: Ermöglicht das Bearbeiten einer bestehenden ausführbaren Regel.

  • Löschen. Ermöglicht das Löschen einer vorhandenen ausführbaren Regel.

  • Regel hinzufügen Ermöglicht das Hinzufügen einer ausführbaren Regel.

So fügen Sie eine Regel hinzu

  1. Navigieren Sie zu Ausführbare Regeln oder Windows Installer-Regeln und klicken Sie auf Regel hinzufügen. Das Fenster “Regel hinzufügen “ wird angezeigt.

  2. Geben Sie im Abschnitt “ Anzeige “ Folgendes ein:

    • Name. Geben Sie den Anzeigenamen der Regel ein. Der Name wird in der Regelliste angezeigt.
    • Beschreibung. Geben Sie zusätzliche Informationen über die Regel ein.
  3. Wählen Sie im Abschnitt Typ eine Option aus.

    • Pfad. Die Regel entspricht einem Dateipfad.
    • Herausgeber. Die Regel stimmt mit einem ausgewählten Herausgeber überein.
    • Hash. Die Regel entspricht einem bestimmten Hash-Code.
  4. Konfigurieren Sie im Abschnitt Einstellungen bei Bedarf Folgendes:

    • Auf untergeordnete Prozesseanwenden. Falls ausgewählt, wendet die Regel auf alle untergeordneten Prozesse an, die die ausführbare Datei startet. Verwenden Sie die folgenden Optionen, um die Berechtigungserhebung auf einer detaillierteren Ebene zu verwalten:

      • Gilt nur für ausführbare Dateien im selben Ordner. Wenn diese Option ausgewählt ist, wird die Regel nur auf ausführbare Dateien angewendet, die denselben Ordner verwenden.
      • Gilt nur für signierte ausführbare Dateien. Wenn diese Option ausgewählt ist, wird die Regel nur auf ausführbare Dateien angewendet, die signiert sind.
      • Bewerben Sie sich nur für ausführbare Dateien desselben Herausgebers. Wenn diese Option ausgewählt ist, wird die Regel nur auf ausführbare Dateien angewendet, die dieselben Herausgeberinformationen verwenden. Diese Einstellung funktioniert nicht mit Universal Windows Platform (UWP) -Apps.

      Hinweis:

      Wenn Sie Windows-Installationsregeln hinzufügen, ist die Einstellung Auf untergeordnete Prozesse anwenden standardmäßig aktiviert und Sie können sie nicht bearbeiten.

    • Startzeit. Hier können Sie einen Zeitpunkt festlegen, zu dem Agents mit der Anwendung der Regel beginnen. Das Zeitformat ist HH:MM. Die Zeit basiert auf der Zeitzone des Agents.

    • Endzeit. Hier können Sie einen Zeitpunkt angeben, zu dem Agents die Anwendung der Regel beenden sollen. Das Zeitformat ist HH:MM. Ab dem angegebenen Zeitpunkt wenden Agents die Regel nicht mehr an. Die Zeit basiert auf der Zeitzone des Agents.

    • Parameter hinzufügen. Ermöglicht es Ihnen, die Berechtigungshöhe auf ausführbare Dateien zu beschränken, die dem angegebenen Parameter entsprechen. Der Parameter arbeitet als Übereinstimmungskriterium. Stellen Sie sicher, dass der von Ihnen angegebene Parameter korrekt ist. Ein Beispiel für die Verwendung dieser Funktion finden Sie unter Ausführbare Dateien, die mit Parametern ausgeführtwerden. Wenn dieses Feld leer ist oder nur Leerzeichen enthält, wendet der Agent die Berechtigungshöhe auf relevante ausführbare Dateien an, unabhängig davon, ob sie mit Parametern ausgeführt werden oder nicht.

    • Aktivieren Sie Reguläre Ausdrücke. Ermöglicht es Ihnen, zu steuern, ob reguläre Ausdrücke verwendet werden sollen, um das Kriterium weiter zu erweitern.

  5. Wählen Sie im Bereich Zuweisungen Benutzer oder Benutzergruppen aus, denen Sie die Regel zuweisen möchten. Wenn Sie die Regel allen Benutzern und Benutzergruppen zuweisen möchten, wählen Sie Alle auswählen aus.

    Tipp:

    • Sie können die üblichen Windows-Auswahlmodifikatortasten verwenden, um eine Mehrfachauswahl zu treffen.
    • Benutzer oder Benutzergruppen müssen sich bereits in der Liste befinden, die auf der Registerkarte Administration > Benutzer angezeigt wird.
    • Sie können die Regel später (nachdem die Regel erstellt wurde) zuweisen.
  6. Klicken Sie auf Weiter.

  7. Führen Sie eine der folgenden Aktionen aus. Je nach dem Regeltyp, den Sie auf der vorherigen Seite ausgewählt haben, sind verschiedene Aktionen erforderlich.

    Wichtig:

    WEM stellt Ihnen ein Tool namens AppInfoViewer zur Verfügung, mit dem Sie die folgenden Informationen und mehr aus ausführbaren Dateien erhalten können: Publisher, Pfad und Hash. Das Tool kann nützlich sein, wenn Sie relevante Informationen für Anwendungen bereitstellen möchten, die in der Verwaltungskonsole konfiguriert werden sollen. Beispielsweise können Sie das Tool verwenden, um relevante Informationen aus Anwendungen zu extrahieren, wenn Sie die Anwendungssicherheitsfunktion verwenden. Das Tool befindet sich im Installationsordner des Agents.

    • Pfad. Geben Sie den Pfad zu der Datei oder dem Ordner ein, auf die Sie die Regel anwenden möchten. Der WEM-Agent wendet die Regel auf eine ausführbare Datei gemäß dem Pfad der ausführbaren Datei an.
    • Herausgeber. Füllen Sie die folgenden Felder aus: Herausgeber, Produktname, DateinameundDateiversion. Sie können keines der Felder leer lassen, aber Sie können stattdessen ein Sternchen (*) eingeben. Der WEM-Agent wendet die Regel gemäß den Informationen des Herausgebers an. Bei Anwendung können Benutzer ausführbare Dateien ausführen, die dieselben Publisherinformationen verwenden.
    • Hash. Klicken Sie auf Hinzufügen, um einen Hash hinzuzufügen. Geben Sie im Fenster Hash hinzufügen den Dateinamen und den Hashwert ein. Sie können das Tool AppInfoViewer verwenden, um einen Hash aus einer ausgewählten Datei oder einem ausgewählten Ordner zu erstellen. Der WEM-Agent wendet die Regel auf identische ausführbare Dateien an, wie angegeben. Daher können Benutzer ausführbare Dateien ausführen, die mit der angegebenen identisch sind.
  8. Klicken Sie auf Erstellen, um die Regel zu speichern und das Fenster zu verlassen.

Ausführbare Dateien, die mit Parametern ausgeführt werden

Sie können die Berechtigungshöhe auf ausführbare Dateien beschränken, die dem angegebenen Parameter entsprechen. Der Parameter arbeitet als Übereinstimmungskriterium. Verwenden Sie Tools wie Process Explorer oder Process Monitor, um Parameter anzuzeigen, die für eine ausführbare Datei verfügbar sind. Wenden Sie die Parameter an, die in diesen Tools angezeigt werden.

Angenommen, Sie möchten die Regel auf eine ausführbare Datei (z. B. cmd.exe) entsprechend dem Pfad der ausführbaren Datei anwenden. Sie möchten die Berechtigungshöhe nur auf anwenden test.bat. Sie können den Process Explorer verwenden, um die Parameter abzurufen.

CMD läuft mit Parametern

Im Feld Parameter hinzufügen können Sie Folgendes eingeben:

  • /c ""C:\test.bat""

In das Feld Pfad geben Sie dann Folgendes ein:

  • C:\Windows\System32\cmd.exe

In diesem Fall erhöhen Sie die Berechtigung der angegebenen Benutzer nur für test.bat auf Administratorebene.

So weisen Sie Benutzern Regeln zu

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann im Abschnitt Aktionen auf Bearbeiten. Wählen Sie im Fenster Regel bearbeiten Benutzer oder Benutzergruppen aus, denen Sie die Regel zuweisen möchten, und klicken Sie dann auf OK.

So löschen Sie Regeln

Wählen Sie eine oder mehrere Regeln in der Liste aus und klicken Sie dann im Abschnitt Aktionen auf Löschen.

So sichern Sie Regeln für Erhöhungen von Berechtigungen

Sie können alle Regeln für Erhöhungen von Berechtigungen in Ihrem aktuellen Konfigurationssatz sichern. Alle Regeln werden als eine einzige XML-Datei exportiert. Sie können Wiederherstellen verwenden, um die Regeln in einem beliebigen Konfigurationssatz wiederherzustellen.

Um die Backup abzuschließen, verwenden Sie den Backup-Assistenten, der im Menüband verfügbar ist. Weitere Informationen zur Verwendung des Backup-Assistenten finden Sie unter Multifunktionsleiste.

So stellen Sie Regeln für die Erhöhung von Berechtigungen wieder her

Sie können Regeln zur Erhöhung von Berechtigungen aus XML-Dateien wiederherstellen, die mit dem Assistenten für das Backup von Workspace Environment Management exportiert wurden. Der Wiederherstellungsvorgang ersetzt die Regeln im aktuellen Konfigurationssatz durch die Regeln im Backup. Wenn Sie zum Bereich Sicherheit > Berechtigungserhöhung wechseln oder diesen aktualisieren, werden alle ungültigen Regeln für die Berechtigungshöhe erkannt. Ungültige Regeln werden automatisch gelöscht und in einem Bericht aufgeführt, den Sie exportieren können. Weitere Informationen zur Verwendung des Wiederherstellungsassistenten finden Sie unter Multifunktionsleiste.

Auditing-Aktivitäten zur Berechtigungserhöhung

WEM unterstützt Auditing-Aktivitäten im Zusammenhang mit der Erhöhung von Privilegien. Um die Prüfungen anzuzeigen, gehen Sie auf die Registerkarte Administration > Protokollierung > Agent. Konfigurieren Sie auf der Registerkarte Protokollierungseinstellungen, wählen Sie im Feld Aktionen die Option EXE-Höhensteuerungoder MSI-Höhensteuerungaus, und klicken Sie dann aufFilter anwenden, um die Protokolle auf bestimmte Aktivitäten einzugrenzen. Sie können den gesamten Verlauf der Berechtigungserhöhung anzeigen.

Benutzeraktivitätsprotokolle

Sicherheit