Ansichten:

So konfigurieren Sie Ihre Umgebung, bevor Sie den Lockdown-Modus in Application Control aktivieren.

Wichtig
Wichtig
Der Lockdown-Modus kann potenziell wichtige Programmfunktionen wie den Trend Vision One Endpunkt Security Agent-Installer oder Windows Update sperren. Überprüfen Sie dieses Thema, um zu verstehen, wie Sie vertrauenswürdige Programme während des Lockdown-Modus ausführen und Aktualisierungen vornehmen können.
Server & Workload Protection kann nicht alle Microsoft-Prozesse für Updates zulassen, und Windows-Sicherheitsupdates können nicht deaktiviert werden. Wenn Sie den Lockdown-Modus auf Server & Workload Protection anwenden, überwachen Sie den Veröffentlichungszyklus von Windows Update und planen Sie Zeiten, um den Lockdown-Modus zu deaktivieren, damit Updates installiert werden können.
Der Lockdown-Modus in Application Control für Endpoint Security Policies bietet die Möglichkeit, die Installation oder Ausführung neuer oder nicht vertrauenswürdiger Software auf Ihren Endpunkten zu sperren. Wenn Sie den Lockdown-Modus aktivieren, führt der Trend Vision One Endpoint Security Agent einen Inventarscan durch, um eine Liste der vorhandenen Anwendungen und installierten Software zu erstellen, die der Agent ausführen lässt. Der Agent sperrt Anwendungen, wenn:
  • Die Anwendung wird in der Inventarliste des Endpunkt-Durchsuchens nicht gefunden
  • Die Anwendung befindet sich nicht in der Liste der vertrauenswürdigen Programme
  • Die Anwendung entspricht keiner Application Control-Regel mit der Aktion Zulassen
  • Die Anwendung entspricht allen Application Control-Regeln mit der Aktion Sperren
Windows Update ist eine komplexe Anwendung in Bezug auf Verhalten und Prozessnutzung, die mehrere Application Control-Regeln erfordert, um Microsoft-Updates zu installieren.
  • Einige Endpunkte, die mit .NET Framework oder Windows Defender installiert sind, lösen ein anderes Update-Paket aus als andere Endpunkte.
  • Installationspakete variieren zwischen Windows-Plattformen. Zum Beispiel können Installationspakete für Windows 10 und Windows 11 völlig unterschiedlich sein, selbst wenn das Update dasselbe Problem behebt.
  • Das Update-Paket unterscheidet sich für Endpunkte, die mit verschiedenen Sprachpaketen installiert sind. Das Update-Paket wird entsprechend der Systemsprache der Windows-Plattform ausgewählt.
Bevor Sie den Sperrmodus aktivieren, verwenden Sie die folgenden Schritte, um sicherzustellen, dass wichtige Funktionen im Sperrmodus nicht gesperrt werden.

Prozedur

  1. Programme zu den Trusted programs list in Ausnahmen hinzufügen.
    Wichtig
    Wichtig
    Nur Endpunkte mit Standard-Endpunkt-Schutz unterstützen die Verwendung der Liste vertrauenswürdiger Programme für den Sperrmodus. Für Server- und Workload Protection-Endpunkte müssen Sie Application Control-Regeln erstellen, um vertrauenswürdige Programme im Sperrmodus auszuführen.
  2. Erstellen Sie eine Application Control-Regel, um Trend Micro-Anwendungen das Ausführen und Ändern zu erlauben.
    Wichtig
    Wichtig
    Server & Workload Protection unterstützt keine Regeln mit Platzhaltern im Zertifikatwert. Um Trend Micro-Apps zu aktualisieren, empfiehlt Trend Micro, den Sperrmodus zu deaktivieren, wenn Updates geplant sind.
    1. In der Trend Vision One console navigieren Sie zu EndpunktsicherheitEndpoint Security ConfigurationRichtlinienressourcenApplication Control Regeln.
    2. Klicken Sie auf Add Application Control rule.
    3. Geben Sie Name und Beschreibung ein.
      Verwenden Sie etwas, das leicht zu identifizieren ist, wie zum Beispiel Allow Trend Micro.
    4. Wählen Sie Zulassen für die Aktion.
    5. Für Typ wählen Sie Zertifikat.
    6. Für Property wählen Sie Subject name (CN).
    7. Für !!Value!! geben Sie Trend Micro* ein.
    8. Klicken Sie auf Save.
  3. Erstellen Sie eine Application Control-Regel, um Microsoft Update auszuführen und Änderungen vorzunehmen.
    1. In der Trend Vision One console navigieren Sie zu EndpunktsicherheitEndpoint Security ConfigurationRichtlinienressourcenApplication Control Regeln.
    2. Klicken Sie auf Add Application Control rule.
    3. Geben Sie Name und Beschreibung ein.
      Verwenden Sie etwas, das leicht zu identifizieren ist, wie zum Beispiel Allow Windows Update.
    4. Wählen Sie Zulassen für die Aktion.
    5. Für Typ wählen Sie Dateipfad.
    6. Für Pfad geben Sie C:\Windows\System32\wuauclt.exe ein.
    7. Klicken Sie auf Save.
  4. Erstellen Sie eine Application Control-Regel für Apps, die von der Microsoft Corporation signiert sind.
    1. Um die Regel zu erstellen, klicken Sie auf Add Application Control rule.
    2. Geben Sie Name und Beschreibung ein.
      Verwenden Sie etwas, das leicht zu identifizieren ist, wie zum Beispiel Allow Microsoft Apps-1.
    3. Wählen Sie Zulassen für die Aktion.
    4. Für Typ wählen Sie Zertifikat.
    5. Für Property wählen Sie Subject name (CN).
    6. Für !!Value!! geben Sie Microsoft Corporation ein.
    7. Klicken Sie auf Save.
  5. Für Standard-Endpunkt-Schutzbereitstellungen erstellen Sie eine zusätzliche Regel, um jede App mit Microsoft als Herausgeber zuzulassen.
    Wichtig
    Wichtig
    Server & Workload Protection unterstützt keine Regeln mit Platzhaltern im Zertifikatwert. Siehe den nächsten Schritt für zusätzliche Regeln zum Zulassen von Microsoft-Apps.
    1. Um die Regel zu erstellen, klicken Sie auf Add Application Control rule.
    2. Geben Sie Name und Beschreibung ein.
      Verwenden Sie etwas, das leicht zu identifizieren ist, wie zum Beispiel Allow Microsoft Apps-2.
    3. Wählen Sie Zulassen für die Aktion.
    4. Für Typ wählen Sie Zertifikat.
    5. Für Property wählen Sie Issuer organization (O).
    6. Für !!Value!! geben Sie Microsoft Corporation ein.
    7. Klicken Sie auf Hinzufügen.
    8. Für Property wählen Sie Issuer name (CN).
    9. Für !!Value!! Typ Microsoft*.
    10. Klicken Sie auf Save.
  6. Wenn Sie die Richtlinie auf Server- und Workload Protection-Agenten anwenden, erstellen Sie zwei weitere Application Control-Regeln für von Microsoft signierte Apps.
    1. Um die erste Regel zu erstellen, klicken Sie auf Add Application Control rule.
    2. Geben Sie Name und Beschreibung ein.
      Verwenden Sie etwas, das leicht zu identifizieren ist, wie zum Beispiel Allow Microsoft Apps-3.
    3. Wählen Sie Zulassen für die Aktion.
    4. Für Typ wählen Sie Zertifikat.
    5. Für Property wählen Sie Subject name (CN).
    6. Für !!Value!! geben Sie Microsoft Windows Publisher ein.
    7. Klicken Sie auf Save.
    8. Um die nächste Regel hinzuzufügen, klicken Sie auf Add Application Control rule.
    9. Geben Sie Name und Beschreibung ein.
      Verwenden Sie etwas, das leicht zu identifizieren ist, wie zum Beispiel Allow Microsoft Apps-4.
    10. Wählen Sie Zulassen für die Aktion.
    11. Für Typ wählen Sie Zertifikat.
    12. Für Property wählen Sie Subject name (CN).
    13. Für !!Value!! geben Sie Microsoft Windows ein.
    14. Klicken Sie auf Save.
  7. Erstellen Sie eine Application Control-Regel, um Microsoft .NET die Ausführung und das Vornehmen von Änderungen zu erlauben.
    1. Klicken Sie auf Add Application Control rule.
    2. Geben Sie Name und Beschreibung ein.
      Verwenden Sie etwas, das leicht zu identifizieren ist, wie zum Beispiel Allow Microsoft NET.
    3. Wählen Sie Zulassen für die Aktion.
    4. Für Typ wählen Sie Dateipfad.
    5. Für Pfad geben Sie in separaten Zeilen ein:
      • C:\Windows\assembly\*
      • C:\Windows\Microsoft.NET\*
    6. Klicken Sie auf Save.
  8. Erstellen Sie Application Control-Regeln, um jedem anderen Programm, dem Sie vertrauen, die Ausführung im Sperrmodus zu erlauben.
    Weitere Informationen finden Sie unter Application Control-Regeln in den Richtlinienressourcen.