Ansichten:
Warnung
Warnung
Application Control überwacht kontinuierlich Ihren Server und protokolliert ein Ereignis, wann immer eine Softwareänderung auftritt. Es ist nicht für Umgebungen mit sich selbst ändernder Software oder Umgebungen gedacht, die normalerweise ausführbare Dateien erstellen, wie einige Web- oder Mailserver. Um sicherzustellen, dass Application Control für Ihre Umgebung geeignet ist, überprüfen Sie Was erkennt Application Control als Softwareänderung?.
Weitere Informationen darüber, wie Application Control funktioniert, finden Sie unter Über Application Control und Application Control Vertrauensentitäten.
Um Application Control zu aktivieren und Softwareänderungen zu überwachen:

Prozedur

  1. Application Control aktivieren.
  2. Neue und geänderte Software überwachen.
  3. Aktivieren Sie den Wartungsmodus, wenn geplante Änderungen vorgenommen werden.

Nächste Schritte

Dieser Artikel bietet auch Tipps und Überlegungen zur Application Control, die Sie bei der Arbeit mit Application Control beachten sollten.
Sobald Sie Application Control aktiviert haben, können Sie auch lernen, wie Sie:

Aktivieren Application Control Übergeordnetes Thema

Sie können Application Control in den Einstellungen für einen Computer oder in Richtlinien aktivieren:

Prozedur

  1. Öffnen Sie den Computer- oder Richtlinien-Editor und gehen Sie zu Application ControlAllgemein.
  2. Setzen Sie Application Control State auf "Ein" oder "Geerbt (Ein)".
  3. Unter Enforcement wählen Sie den gewünschten Schutzstatus aus:
    • Block unrecognized software until it is explicitly allowed
    • Allow unrecognized software until it is explicitly blocked (wir empfehlen, diese Option bei der erstmaligen Einrichtung von Application Control zu wählen)
  4. Klicken Sie auf Save.

Nächste Schritte

ac-policy=35ba2b64-b6e4-48d1-802b-8e9551ea01fa.png
Das nächste Mal, wenn Server- und Workload Protection und der Agent eine Verbindung herstellen, durchsucht der Agent und erstellt dann ein Inventar aller auf dem Computer installierten Software und erstellt Regeln, die alle gefundene Software zulassen. Diese anfängliche Inventarisierung kann 15 Minuten oder länger dauern, abhängig von Ihrer Umgebung.
Um zu überprüfen, ob Application Control wie erwartet funktioniert, folgen Sie den Anweisungen in Überprüfen, ob Application Control aktiviert ist.

Neue und geänderte Software überwachen Übergeordnetes Thema

Sobald ein Inventar auf einem geschützten Computer erstellt wurde, werden alle Software-Executable-Dateien, die hinzugefügt oder geändert werden, als "Softwareänderung" klassifiziert und erscheinen auf der Aktionen-Seite in Server- und Workload Protection. Wenn nicht erkannte Software ausgeführt wird oder versucht wird, sie auszuführen und sie gesperrt wird, wird das Ereignis unter Events & ReportsEreignisseApplication Control EventsSecurity Events aufgeführt. Für weitere Informationen siehe Application Control-Ereignisse.
Nachdem Sie Application Control initial aktiviert haben, werden Sie wahrscheinlich viele Softwareänderungen auf der Aktionen-Seite sehen. Dies kann passieren, wenn erlaubte Software neue ausführbare Dateien erstellt, Dateien umbenennt oder Dateien im normalen Betriebsablauf verschiebt. Wenn Sie Regeln hinzufügen, um Application Control anzupassen, sollten Sie weniger Softwareänderungen sehen.
Um schnell alle Softwareänderungen auf allen Computern zu finden und einfach Erlauben- oder Sperren-Regeln dafür zu erstellen, verwenden Sie die Aktionen-Registerkarte.
Tipp
Tipp
Sie können die Erstellung von Software-Regelsätzen zum Erlauben oder Sperren von Regeln mithilfe der Server- und Workload Protection-API automatisieren. Weitere Informationen finden Sie unter Unbekannte Software erlauben oder sperren.

Prozedur

  1. In der Server- und Workload Protection-Konsole gehen Sie zu Aktionen.
  2. Es gibt mehrere Möglichkeiten, um nur bestimmte Vorkommen von nicht erkannter Software anzuzeigen.
    Tipp
    Tipp
    Anstatt jede Softwareänderung auf jedem Computer einzeln zu bewerten, verwenden Sie die unten beschriebenen Filter, um Softwareänderungen zu finden, von denen Sie wissen, dass sie gut sind, und erlauben Sie sie in großen Mengen.
    actions=94298770-add2-4b7d-8bcf-44c3f9d71a46.png
    Um die Anzahl der angezeigten Softwareänderungen zu reduzieren:
    • Wählen Sie aus der Dropdown-Liste neben Application Control: Software Changes einen Zeitraum wie Letzte 7 Tage aus. Sie können auch auf einen Balken im Diagramm oben auf der Seite klicken, um die Änderungen für diesen Zeitraum anzuzeigen.
    • Klicken Sie im Bereich auf der linken Seite auf Computers und wählen Sie einen einzelnen Computer oder eine Gruppe aus, oder klicken Sie auf Smart Folders, um nur die Computer anzuzeigen, die in einem bestimmten intelligenten Ordner enthalten sind (siehe Computer dynamisch mit intelligenten Ordnern gruppieren).
      Hinweis
      Hinweis
      Im Gegensatz zur Computers-Registerkarte zeigt der Software Changes-Bereich normalerweise nicht alle Computer an. Er zeigt nur Computer an, bei denen Application Control Softwareänderungen erkannt hat, für die noch keine Erlauben- oder Sperren-Regeln vorhanden sind.
    • Geben Sie Suchbegriffe und Operatoren in das Suchfilterfeld ein. Sie suchen nach diesen Attributen: Änderung durch Prozess, Änderung durch Benutzer, Dateiname, Host-Name, Installationspfad, MD5, SHA1 und SHA256. Zum Beispiel könnten Sie alle Änderungen finden, die von einem bestimmten Benutzer vorgenommen wurden, dem Sie vertrauen, und auf Allow All klicken, um alle seine Änderungen zuzulassen. Oder wenn ein bestimmtes Software-Update in Ihrer Organisation installiert wurde (während der Wartungsmodus nicht aktiviert war), filtern Sie die Seite nach dem Hash-Wert der Datei und klicken Sie auf Allow All, um alle Vorkommen zuzulassen.
      Tipp
      Tipp
      Details zu einer Softwareänderung werden im rechten Bereich angezeigt. Sie können auf den Dateinamen oder den Computernamen in den Details klicken, um ihn zu Ihrem Suchfilter hinzuzufügen.
    • Wählen Sie, ob Sie Group by File (Hash) oder Group by Computer möchten.
  3. Klicken Sie entweder auf Zulassen oder Sperren, um eine Erlauben- oder Sperren-Regel auf diesem Computer für diese Software hinzuzufügen. Wenn Sie weitere Informationen benötigen, um zu entscheiden, ob Sie erlauben oder sperren möchten, klicken Sie auf den Softwarenamen und verwenden Sie das Detailfenster auf der rechten Seite.
    Das nächste Mal, wenn der Agent eine Verbindung mit Server- und Workload Protection herstellt, erhält er die neuen Regeln.

Nächste Schritte

Tipps zum Umgang mit Änderungen Übergeordnetes Thema

  • Für die meisten Umgebungen empfehlen wir, die Option Allow unrecognized software until it is explicitly blocked auszuwählen, um Softwareänderungen standardmäßig zuzulassen, wenn Sie zuerst Application Control aktivieren und Erlauben- und Sperren-Regeln für Änderungen hinzufügen, die Sie auf der Seite Aktionen sehen. Schließlich sollte die Rate der Softwareänderungen abnehmen. Zu diesem Zeitpunkt könnten Sie in Betracht ziehen, Softwareänderungen standardmäßig zu sperren und Erlauben-Regeln für die Software zu erstellen, von der Sie wissen, dass sie gut ist. Einige Organisationen ziehen es vor, weiterhin Änderungen standardmäßig zuzulassen und die Seite Aktionen zu überwachen, um Software zu identifizieren, die gesperrt werden sollte.
  • Möglicherweise möchten Sie zunächst Sicherheitsereignisse bewerten, anstatt sich zuerst mit nicht erkannter Software zu befassen. Sicherheitsereignisse zeigen Ihnen, welche nicht erkannte Software ausgeführt wurde (oder versucht wurde, auszuführen). Weitere Informationen zu Sicherheitsereignissen finden Sie unter Application Control-Ereignisse überwachen.
  • Wenn eine nicht erkannte Datei ausgeführt werden darf und Sie sie weiterhin zulassen möchten, erstellen Sie eine Zulassungsregel. Zusätzlich zur Erlaubnis der Ausführung der Datei wird das Ereignis für diese Datei nicht mehr protokolliert, was das Rauschen reduziert und wichtige Ereignisse leichter auffindbar macht.
  • Wenn die Ausführung einer bekannten Datei gesperrt ist, sollten Sie in Erwägung ziehen, diese Datei vom Computer zu bereinigen, insbesondere bei wiederholtem Auftreten.
  • Beachten Sie, dass Softwareänderungen für jeden Computer aufgelistet werden, auf dem sie auftreten. Sie müssen die Software für jeden Computer zulassen oder sperren.
  • Regeln werden Computern zugewiesen, nicht Richtlinien. Wenn zum Beispiel helloworld.py auf drei Computern erkannt wird, wirkt sich ein Klick auf Allow All oder Block All nur auf diese drei Computer aus. Zukünftige Erkennungen auf anderen Computern werden nicht beeinflusst, da diese ihre eigenen Regelsätze haben.
  • Wenn Sie Änderungen im Zusammenhang mit Software-Updates sehen, die Sie steuern können, verwenden Sie die Wartungsmodus-Funktion, wenn Sie diese Updates durchführen. Siehe Wartungsmodus aktivieren, wenn geplante Änderungen vorgenommen werden.
  • Führen Sie Application Control nicht im Lockdown-Modus auf Computern und Servern aus, die automatische Updates aktiviert haben.

Aktivieren Sie den Wartungsmodus, wenn geplante Änderungen vorgenommen werden Übergeordnetes Thema

Wenn Sie Patches installieren, Software aktualisieren oder Webanwendungen bereitstellen, wird Application Control diese erkennen. Abhängig von Ihrer Einstellung zur Handhabung nicht erkannter Software könnte diese Software gesperrt werden, bis Sie die Aktionen-Registerkarte verwenden, um Zulassungsregeln zu erstellen.
Um zusätzliche Ausfallzeiten und Warnungen während der Bereitstellungs- und Wartungsfenster zu vermeiden, können Sie Application Control in einen für Wartungsfenster konzipierten Modus versetzen. Während der Wartungsmodus aktiviert ist, wird Application Control weiterhin Software sperren, die durch eine Application Control-Regel speziell gesperrt ist, aber es wird neue oder aktualisierte Software zulassen und automatisch zum Inventar des Computers hinzufügen.
Tipp
Tipp
Sie können den Wartungsmodus mithilfe der Server- und Workload Protection-API automatisieren. Weitere Informationen finden Sie im Leitfaden Wartungsmodus während Upgrades konfigurieren.

Prozedur

  1. In der Server- und Workload Protection-Konsole gehen Sie zu Computers.
  2. Wählen Sie einen oder mehrere Computer aus und klicken Sie dann auf AktionenTurn On Maintenance Mode.
  3. Wählen Sie die Dauer Ihres Wartungsfensters aus.
    Der Wartungsmodus wird sich automatisch deaktivieren, wenn Ihr Wartungszeitfenster planmäßig endet. Alternativ, wenn Sie den Wartungsmodus manuell deaktivieren möchten, nachdem die Updates abgeschlossen sind, wählen Sie Indefinite.
    Auf dem Dashboard zeigt das Application Control Maintenance Mode Status-Widget an, ob der Befehl erfolgreich war.
  4. Software installieren oder aktualisieren.
  5. Wenn Sie sich entschieden haben, den Wartungsmodus manuell zu deaktivieren, denken Sie daran, den Wartungsmodus zu deaktivieren, um Softwareänderungen wieder zu erkennen.

Nächste Schritte

Tipps und Überlegungen zu Application Control Übergeordnetes Thema

  • Für eine bessere Leistung mit Application Control verwenden Sie Server- und Workload Protection Anti-Malware anstelle von Windows Defender. Siehe Stellen Sie sicher, dass Windows Defender nach der Installation des Anti-Malware-Moduls auf Windows Server 2016 vollständig deaktiviert ist.
  • Wenn Sie eine Sperrregel für eine Batch-Datei oder ein PowerShell-Skript erstellen, können Sie die Datei nicht kopieren, verschieben oder umbenennen, wenn Sie den zugehörigen Interpreter verwenden (powershell.exe für PowerShell-Skripte oder cmd.exe für Batch-Dateien).
  • Wenn Sie eine Erlauben- oder Sperren-Regel hinzufügen, wird diese normalerweise beim nächsten Verbindungsaufbau des Agents mit Server- und Workload Protection an den Agent gesendet. Wenn Sie eine Fehlermeldung sehen, die besagt, dass das Hochladen des Regelwerks nicht erfolgreich war, überprüfen Sie, ob Netzwerkgeräte zwischen dem Agent und Server- und Workload Protection oder Relay die Kommunikation auf der Heartbeat-Portnummer oder Relay-Portnummern erlauben.
  • Um zu überprüfen, ob eine Sperrregel funktioniert, versuchen Sie, die Software auszuführen, die Sie gerade gesperrt haben. (Weitere Informationen dazu, wie der Agent Änderungen erkennt, finden Sie unter Was erkennt Application Control als Softwareänderung?)
  • Wenn gesperrte Software installiert bleibt, zeichnet Application Control weiterhin Protokolle auf und zeigt Warnungen an, wenn es die Software am Ausführen hindert. Um die Fehlerprotokolle auf dem Computer zu reduzieren und Ihre Angriffsfläche zu verringern, deinstallieren Sie die Software, die von Application Control gesperrt wird. Sobald dies erledigt ist, können Sie, wenn Sie verwandte Warnungen ausblenden möchten, entweder zu Warnungen oder zu Dashboard gehen, die Warnung anklicken und dann auf Dismiss Alert klicken. Nicht alle Warnungen können ausgeblendet werden. Weitere Informationen finden Sie unter Vordefinierte Warnungsdefinitionen.
  • Aus Leistungsgründen wird Application Control bei zu vielen Softwareänderungen auf dem Computer weiterhin bestehende Regeln durchsetzen, aber die Erkennung und Anzeige von Softwareänderungen einstellen. Um dies zu beheben, siehe Application Control nach zu vielen Softwareänderungen zurücksetzen.