Sicherheit
Anwendungssicherheit
Mit der Anwendungssicherheitsfunktion können Sie Regeln definieren, um zu steuern, welche Anwendungen und Dateien die Benutzer ausführen können. Sie können Anwendungssicherheitsregeln in der Webkonsole konfigurieren und ein Tool zum Abrufen der für die Regelkonfiguration erforderlichen Informationen bereitstellen. Darüber hinaus können Sie diese Funktion verwenden, um Zuweisungsgruppen mit Sicherheitsregeln zu erstellen. Wenn die Prozessanwendungsregeln und Prozess-DLL-Regeln aktiviert sind, ist der Überschreibmodus standardmäßig eingeschaltet. Im Modus Overwrite überschreiben die am Ende verarbeiteten Regeln die zuvor verarbeiteten Regeln. Wir empfehlen, diesen Modus nur auf Einzelsitzungsmaschinen anzuwenden. Mit dieser Funktion können Sie außerdem die folgenden Regeln erstellen:
- Ausführbare Regeln
- Regeln für das Windows-Installationsprogramm
- Skriptregeln
- Regeln für gepackte Apps
- DLL-Regeln
Hinweis:
Es wird empfohlen, vor dem Erstellen von Regeln zuerst die Standardregeln hinzuzufügen, um sicherzustellen, dass wichtige Systemdateien ausgeführt werden können.
Erstellen einer Windows Installer-Regel
Hierzu gehören zwei Menüpunkte, Grundlegende Informationen und Ausnahmen. Um eine Windows-Installer-Regel zu erstellen, führen Sie die folgenden Schritte unter Grundlegende Informationen und Ausnahmenaus:
- Wenn Sie Regel erstellen auswählen, gelangen Sie zur Seite Windows-Installer-Regel erstellen .
- Geben Sie den Namen und eine optionale Beschreibung ein.
- Wählen Sie die gewünschte Aktion.
- Wählen Sie die Schaltfläche Typ des Kriteriums wie Pfad, Verlagoder Datei-Hash aus der Dropdown-Liste.
- Wenn Sie „Dateiinfo-Viewer öffnen“ auswählen, gelangen Sie zum WEM Tool Hub. Nutzen Sie den WEM Tool Hub**, um schnell die benötigten Informationen zu erhalten. Weitere Informationen finden Sie unter Dateiinfo-Viewer.
- Optional können Sie Ausnahmen hinzufügen, um Dateien einzuschließen, die normalerweise basierend auf den primären Kriterien in der Regel enthalten sind. Um diese Aufgabe auszuführen, wählen Sie Ausnahme hinzufügenaus.
- Gehen Sie zum WEM Tool Hub, um Daten aus einem der angegebenen Kriterien unter File Info Viewer zu kopieren, und klicken Sie dann auf Einfügen aus File Info Viewer.
- Klicken Sie auf Fertig.
- Wählen Sie Weiter mit Aufgabe aus, um die Aufgaben wie erforderlich auf der Seite Aufgaben verwalten zu aktualisieren.
- Wählen Sie Zuweisungsziele (Benutzer und Gruppen) aus, denen dieses Element zugewiesen werden soll. Verwenden Sie Filter, um die Aufgabe zu kontextualisieren. Von Ihnen angegebene Filter sind nur im Modus „ Überschreiben “ wirksam und werden nur von Agenten der Version 2406 oder höher unterstützt.
- Geben Sie ein Sternchen ein, wenn eine bestimmte Regel auf alle Dateien angewendet werden soll.
Berechtigungserhöhung
Diese Funktion definiert Regeln zum Ausführen bestimmter Programme mit Administratorrechten. Sie können die Berechtigungen nichtadministrativer Benutzer auf die für einige ausführbare Dateien erforderliche Administratorebene erhöhen. Infolgedessen können die Benutzer diese ausführbaren Dateien so starten, als wären sie Mitglieder der Administratorengruppe.
Optionen zur Rechteerweiterung
-
Regeln zur Rechteerhöhung verarbeiten: Wenn diese Option ausgewählt ist, können Agenten Einstellungen zur Rechteerhöhung verarbeiten. Zudem werden auf der Registerkarte „Rechteerhöhung“ andere Optionen verfügbar.
-
Auf Windows Server-Betriebssysteme anwenden: Steuert, ob Einstellungen zur Rechteerhöhung auf Windows Server-Betriebssysteme angewendet werden. Wenn diese Option ausgewählt ist, funktionieren die Benutzern zugewiesenen Regeln auf Windows Server-Computern. Standardmäßig ist diese Option deaktiviert.
-
RunAsInvoker erzwingen: Steuert, ob die Ausführung aller ausführbaren Dateien unter dem aktuellen Windows-Konto erzwungen werden soll. Wenn diese Option ausgewählt ist, werden Benutzer nicht aufgefordert, ausführbare Dateien als Administratoren auszuführen.
In diesem Bereich wird auch die vollständige Liste der von Ihnen konfigurierten Regeln angezeigt. Klicken Sie auf Ausführbare Regeln, Windows Installer-Regelnoder Selbsterhöhung , um die Regelliste nach einem bestimmten Regeltyp zu filtern. Sie können Suchen verwenden, um die Liste zu filtern. In der Spalte „Zugewiesen“ wird für zugewiesene Benutzer oder Benutzergruppen ein Häkchensymbol angezeigt.
Unterstützte Regeln
Sie können die Berechtigungserhöhung mithilfe von zwei Arten von Regeln konfigurieren: ausführbare Regeln und Regeln für Windows Installer.
-
Ausführbare Regeln: Regeln, die Dateien mit den Erweiterungen .exe und .com einschließen, die einer Anwendung zugeordnet sind.
-
Windows Installer-Regeln: Regeln, die Installationsdateien mit den Erweiterungen
.msi
und.msp
einschließen, die einer Anwendung zugeordnet sind. Berücksichtigen Sie beim Hinzufügen von Windows-Installationsregeln das folgende Szenario:- Die Berechtigungshöhe gilt nur für Microsofts msiexec.exe. Stellen Sie sicher, dass das Tool, das Sie zum Bereitstellen von Windows Installer-Dateien des Typs
.msi
und.msp
verwenden, msiexec.exe ist. - Angenommen, ein Prozess stimmt mit einer angegebenen Windows-Installationsregel überein und sein übergeordneter Prozess entspricht einer bestimmten ausführbaren Regel. Der Prozess kann keine erhöhten Berechtigungen erhalten, es sei denn, die Einstellung Auf untergeordnete Prozesse anwenden ist in der angegebenen ausführbaren Regel aktiviert.
- Die Berechtigungshöhe gilt nur für Microsofts msiexec.exe. Stellen Sie sicher, dass das Tool, das Sie zum Bereitstellen von Windows Installer-Dateien des Typs
-
Selbsterhöhung: Wenn aktiviert, ist die Option Mit Administratorrechten ausführen im Kontextmenü verfügbar, wenn Sie mit der rechten Maustaste auf eine Datei klicken. Nachdem Sie diese Option ausgewählt haben, werden Sie aufgefordert, einen Grund für die Erhöhung anzugeben. Die Erhöhung wird dann je nach den von Ihnen angegebenen Kriterien entweder zugelassen oder verweigert. Zum Konfigurieren der Regel können Sie den WEM Tool Hub > File Info Viewer verwenden, um schnell die erforderlichen Informationen wie Pfad, Herausgeber und Hash-Werte zu erhalten. Sie können außerdem den Zeitraum angeben, den Wochentag auswählen und optional auch die Kriterien festlegen, um die Maschinen zu bestimmen, auf denen die Regel wirksam ist. Wenn die Option Selbsterhöhung Wenn die Umschaltung zum ersten Mal in einem Konfigurationssatz aktiviert ist, wird die Regel für die Selbsterhöhung erstellt und ist in der Regelliste zu finden, wenn Zuweisungen für ein Zuweisungsziel verwaltet werden. Nach der Erstellung wird die Regel nie entfernt.
Sie können den Zeitraum angeben, in dem die Regel wirksam ist. Optional können Sie auch die Kriterien festlegen, um zu bestimmen, auf welchen Computern die Regel angewendet wird. Sie können wählen, ob Sie alle oder eines der folgenden Kriterien erfüllen möchten:
- Name des Maschinenkatalogs
- Name der Bereitstellungsgruppe
- Gerätename
- IP-Adresse
- Betriebssystemplattformtyp
- Version des Betriebssystems
- Status des persistenten Computers
Nachdem Sie die Ausführbare Regeln, die Windows Installer-Regelnoder die Selbsterhöhungsregeln ausgewählt haben, werden im Abschnitt Aktionen die folgenden für Sie verfügbaren Aktionen angezeigt:
-
Zurücksetzen. Ermöglicht das Löschen einer vorhandenen ausführbaren Regel.
-
Löschen. Geben Sie zusätzliche Informationen über die Regel ein.
-
Regel erstellen. Ermöglicht Ihnen, eine ausführbare Regel zu erstellen. Befolgen Sie die Anweisungen des Assistenten, um eine ausführbare Regel zu erstellen.