 |
HinweisSie können Application Control für Computer aktivieren, die Version 10.0+ des Agents
ausführen. Eine Liste der Betriebssysteme, auf denen Application Control unterstützt
wird, finden Sie unter Unterstützte Funktionen nach Plattform.
|
Application Control überwacht kontinuierlich Ihre geschützten Server auf Softwareänderungen
und erlaubt oder sperrt diese basierend auf den Durchsetzungseinstellungen sowie den
Computer- und Richtlinienkonfigurationen für Software-Regelsätze, globale Regelsätze
und Vertrauenseinheiten:
- Die Durchsetzungseinstellung von Application Control (in einer Richtlinie oder im Application Control-Tab des Computers) kann entweder auf "unerkannte Software sperren, bis sie ausdrücklich erlaubt ist" oder "unerkannte Software erlauben, bis sie ausdrücklich gesperrt ist" gesetzt werden. Welche Option Sie wählen, hängt von dem gewünschten Kontrollniveau über Ihre Umgebung ab.
- Regeln in Software-Regelsätzen erlauben entweder die Ausführung von Software oder sperren sie. Sobald eine Softwareänderung explizit von der Server- und Workload ProtectionAktionen-Seite oder von einem Application Control-Ereignis (in ) erlaubt oder gesperrt wurde, wird sie im zugewiesenen Software-Regelsatz aktualisiert.
- Mithilfe der API ermöglichen globale Regeln Ihnen, Sperrregeln durchzusetzen und zu verfolgen, die auf alle Ihre geschützten Computer angewendet werden können.
- Die Funktion Vertrauensentitäten ermöglicht es Ihnen, Vertrauensregeln zu konfigurieren, um bestimmte Softwareänderungen basierend auf vordefinierten Eigenschaften automatisch zu autorisieren. Dadurch werden Einträge vermieden, die sonst erscheinen und manuell auf der Seite Aktionen oder der Seite Application Control Security Events erlaubt oder gesperrt werden müssten () in Server- und Workload Protection.
Um festzustellen, ob Software neu ist oder sich geändert hat, vergleicht der Agent
den SHA-256-Hash und die Dateigröße einer Datei mit ihrem ursprünglich installierten
SHA-256-Hash und ihrer Dateigröße.
 |
TippSie können die Erstellung und Konfiguration von Application Control mithilfe der API
automatisieren. Weitere Informationen finden Sie unter Application Control konfigurieren.
|
Wichtige Konzepte des Software-Regelwerks 
Die grundlegenden Konzepte des Software-Regelwerks werden unten beschrieben.
|
HinweisWeitere Informationen zum automatischen Autorisieren von Softwareänderungen, um die
Anzahl der manuell erlaubten oder gesperrten Änderungen mithilfe von Software-Regelsätzen
zu reduzieren, finden Sie unter [Application Control Trust Entities]
|
Targeted protection state: Eine der Hauptentscheidungen, die Sie bei der Einrichtung von Application Control
treffen müssen, ist die Festlegung Ihres gewünschten Schutzstatus. Möchten Sie verhindern,
dass alle neuen oder geänderten Softwareprogramme ausgeführt werden, es sei denn,
Sie geben manuell an, dass sie erlaubt sind? Oder möchten Sie, dass sie standardmäßig
ausgeführt werden, es sei denn, Sie sperren sie ausdrücklich? Ein Ansatz besteht darin,
zunächst unbekannte Software auszuführen, wenn Sie Application Control aktivieren
und es viele unbekannte Software gibt. Wenn Sie Application Control-Regeln hinzufügen
und das Volumen der unbekannten Software abnimmt, könnten Sie in den Sperrmodus wechseln.
Software ruleset rules:-Regeln legen fest, ob Software auf einem bestimmten Computer erlaubt oder gesperrt
ist.
Inventory: Anfangsliste der Software, die auf dem Computer installiert ist. Stellen Sie sicher,
dass nur die Software installiert ist, die Sie zulassen möchten. Wenn Sie Application
Control aktivieren, wird die derzeit installierte Software dem Softwarebestand des
Computers hinzugefügt und darf ausgeführt werden. Wenn sich ein Computer im Wartungsmodus
befindet, werden alle Änderungen an der Software des Computers dem Softwarebestand
hinzugefügt und dürfen ausgeführt werden. Die Softwarebestandsliste eines Computers
wird auf dem Agenten gespeichert und nicht in der Server- und Workload Protection-Konsole angezeigt.
Unrecognized software: Software, das sich nicht im Inventar eines Computers befindet und nicht bereits durch
eine Application Control-Regel abgedeckt ist. Siehe Was erkennt Application Control als Softwareänderung?
Maintenance mode: Wenn Sie planen, Software zu installieren oder zu aktualisieren, empfehlen wir dringend,
den Wartungsmodus zu aktivieren. Im Wartungsmodus blockiert Application Control weiterhin
Software, die durch eine Application Control-Regel speziell gesperrt ist, erlaubt
jedoch das Ausführen neuer oder aktualisierter Software und fügt sie der Inventarliste
des Computers hinzu. Siehe Wartungsmodus bei geplanten Änderungen aktivieren.
Wie funktionieren die Regelwerke der Application Control-Software?
Prozedur
- Sie aktivieren Application Control in einer Richtlinie und weisen die Richtlinie einem
Computer zu, der durch einen Agenten geschützt ist (siehe Application Control aktivieren).
- Wenn der Agent die Richtlinie erhält, erstellt er ein Inventar aller auf dem Computer installierten Software. Alle im Inventar aufgeführten Software wird als sicher angesehen und darf auf diesem Computer ausgeführt werden. Diese Inventarliste ist nicht über die Server- und Workload Protection-Konsole sichtbar, was bedeutet, dass Sie absolut sicherstellen müssen, dass nur gute Software auf einem Computer installiert ist, auf dem Sie Application Control aktivieren möchten.
- Nachdem die Inventarisierung abgeschlossen ist, erkennt Application Control alle Softwareänderungen
auf dem Computer. Eine Softwareänderung kann neue Software sein, die auf dem Computer
erscheint, oder Änderungen an bestehender Software.
- Wenn sich der Computer im Wartungsmodus befindet, fügt der Agent die Software seinem Inventar hinzu und sie darf ausgeführt werden. Diese Änderung ist in der Server- und Workload Protection-Konsole nicht sichtbar. Siehe Aktivieren Sie den Wartungsmodus bei geplanten Änderungen.
- Wenn die Änderung von einem vertrauenswürdigen Installationsprogramm vorgenommen wurde,
fügt der Agent die Software seinem Inventar hinzu und erlaubt deren Ausführung. Wenn
beispielsweise Microsoft Windows ein Komponenten-Update selbst initiiert, können Hunderte
neuer ausführbarer Dateien installiert werden. Application Control autorisiert automatisch
viele Dateiänderungen, die durch bekannte Windows-Prozesse erstellt werden, und listet
diese Änderungen nicht in der Server- und Workload Protection-Konsole auf. Das Entfernen des "Rauschens", das mit erwarteten Softwareänderungen
verbunden ist, bietet Ihnen eine klarere Sicht auf Änderungen, die möglicherweise
Ihre Aufmerksamkeit erfordern.
Hinweis
Die Funktion des vertrauenswürdigen Installers ist mit der Agentenversion 10.2 oder höher verfügbar. - Wenn das Regelwerk der Software auf dem Computer eine Regel für genau diese Software
enthält, wird die Software gemäß der bestehenden Regel erlaubt oder gesperrt. Siehe
Was erkennt Application Control als Softwareänderung?
- Wenn Software nicht im Inventar des Computers vorhanden ist und nicht durch eine bestehende
Regel abgedeckt wird, wird sie als nicht erkannte Software betrachtet. Die dem Computer
zugewiesene Richtlinie legt fest, wie mit nicht erkannter Software umgegangen wird.
Abhängig von der Richtlinienkonfiguration darf sie entweder ausgeführt werden oder
wird gesperrt. Wenn die Software gesperrt ist und Fehlermeldungen im Betriebssystem
erzeugen kann, zeigt eine Fehlermeldung auf dem geschützten Computer an, dass die
Software keine Berechtigung zum Ausführen hat oder der Zugriff verweigert wird.Die nicht erkannte Software erscheint auf der Application Control - Software Changes-Seite in der Server- und Workload Protection-Konsole. Auf dieser Seite kann ein Administrator auf Zulassen oder Sperren klicken, um eine Erlauben- oder Sperren-Regel für diese Software auf einem bestimmten Computer zu erstellen. Eine Erlauben- oder Sperren-Regel hat Vorrang vor der in der Richtlinie festgelegten Standardaktion. Siehe Neue und geänderte Software überwachen.
Eine Tour durch die Application Control-Oberfläche
Es gibt einige Stellen in der Server- und Workload Protection-Konsole, an denen Sie Änderungen im Zusammenhang mit Application Control sehen können:
Application Control: Softwareänderungen (Aktionen)
Die Seite Application Control: Software Changes wird angezeigt, wenn Sie im Server- und Workload Protection-Konsolenfenster auf Aktionen klicken. Sie zeigt alle nicht erkannten Softwareprogramme an (Software, die nicht
im Inventar eines Computers enthalten ist und keine entsprechende Application Control-Regel
hat). Softwareänderungen sind auf Computerebene erlaubt oder gesperrt, sodass ein
bestimmtes Softwareprogramm, das auf fünfzig Computern installiert ist, auf dieser
Seite fünfzig Mal erscheint. Wenn Sie jedoch wissen, dass ein bestimmtes Softwareprogramm
überall erlaubt oder gesperrt sein sollte, können Sie die Seite Aktionen filtern, um die Änderungen nach Datei-Hash zu sortieren, und dann auf Allow All klicken, um es auf allen Computern zuzulassen, auf denen die Software installiert
ist.
Die auf einen Computer angewendete Richtlinie legt fest, ob alle nicht erkannten Software
standardmäßig ausgeführt oder gesperrt werden, aber es wird keine explizite Application
Control-Regel erstellt, bis Sie auf der Seite Aktionen auf "Zulassen" oder "Sperren" klicken. Wenn Sie auf Zulassen oder Sperren klicken,
erscheint eine entsprechende Regel im Software-Regelsatz für den Computer (unter ).
Application-Control-Software-Regelsätze
Um das Software-Regelwerk für einen Computer zu sehen, gehen Sie zu . Um zu sehen, welche Regeln Teil eines Regelwerks sind, doppelklicken Sie auf das
Regelwerk und gehen Sie zum Regeln-Tab. Der Tab "Regeln" zeigt die Softwareteile an, die mit Regeln verknüpft sind,
und ermöglicht es Ihnen, Erlaubnisregeln in Sperren zu ändern und umgekehrt.
Sicherheitsereignisse
zeigt alle nicht erkannte Software an, die entweder auf einem Computer ausgeführt
wurde oder durch eine Sperrregel am Ausführen gehindert wurde. Sie können diese Liste
nach Zeitraum und anderen Kriterien filtern.
Für jedes Ereignis (außer aggregierte Ereignisse) können Sie auf View rules klicken, um die Regel von Zulassen auf Sperren oder umgekehrt zu ändern. Der Agent
der Version 10.2+ enthält eine Ereignisaggregationslogik, um das Volumen der Protokolle
zu reduzieren, wenn dasselbe Ereignis wiederholt auftritt.
Application Control Trust Entities
zeigt Vertrauensregelsets und Vertrauensregeln, die Sie konfigurieren können, um
Softwareänderungen automatisch zu autorisieren. Für weitere Informationen siehe Application Control Vertrauenseinheiten.
Was erkennt Application Control als Softwareänderung?
Im Gegensatz zur Integritätsüberwachung, die jede Datei überwacht, sucht Application Control nur nach Softwaredateien, wenn
die anfängliche Installation überprüft und auf Änderungen überwacht wird.
Software kann sein:
- Windows-Anwendungen (.exe, .com, .dll, .sys), Linux-Bibliotheken (.so) und andere kompilierte Binärdateien und Bibliotheken
- Java-.jar- und .class-Dateien sowie andere kompilierte Bytecode
- PHP-, Python- und Shell-Skripte sowie andere Webanwendungen und Skripte, die interpretiert oder sofort kompiliert werden
- Windows PowerShell-Skripte, Batchdateien (.bat) und andere Windows-spezifische Skripte (.wsf, .vbs, .js)
Zum Beispiel würden WordPress und seine Plug-ins, Apache, IIS, nginx, Adobe Acrobat,
app.war und /usr/bin/ssh alle als Software erkannt werden.
Application Control überprüft die Dateierweiterung, um festzustellen, ob es sich um
ein Skript handelt. Zusätzlich behandelt Application Control unter Linux jede Datei
mit Ausführungsberechtigungen so, als ob sie ein Skript wäre.
|
HinweisAuf Windows-Computern verfolgt Application Control Änderungen im lokalen Dateisystem,
jedoch nicht an Speicherorten im Netzwerk, CD- oder DVD-Laufwerken oder USB-Geräten.
|
Application Control ist in den Kernel (auf Linux-Computern) und das Dateisystem integriert,
sodass es Berechtigungen hat, den gesamten Computer zu überwachen, einschließlich
der von root oder Administratorkonten installierten Software. Der Agent überwacht
die Schreibaktivität auf der Festplatte bei Softwaredateien und Versuche, Software
auszuführen.