Change Control - Knowledge Center

Transcrição

Produkthandbuch
McAfee Change Control und McAfee
Application Control 7.0.0
Zur Verwendung mit McAfee ePolicy Orchestrator
COPYRIGHT
Copyright © 2016 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
MARKEN
Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfee
Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
TechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen
Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.
LIZENZINFORMATIONEN
LIZENZVEREINBARUNG
HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE
ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN
SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER
LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE,
DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET
HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT
EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN
HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.
2
McAfee Change Control und McAfee Application Control 7.0.0
Produkthandbuch
Inhaltsverzeichnis
Einleitung
Informationen zu diesem Handbuch .
Zielgruppe . . . . . . . .
Konventionen . . . . . . .
Quellen für Produktinformationen . .
Unterstützte McAfee ePO-Versionen .
Inhalt dieses Handbuchs . . . . .
1
9
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . 9
. . 9
. . 9
. 10
. 10
.
10
Einleitung
13
Application Control-Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funktionen von Application Control . . . . . . . . . . . . . . . . . . . . . . .
Vorteile von Application Control . . . . . . . . . . . . . . . . . . . . . . . . .
Change Control-Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funktionen von Change Control . . . . . . . . . . . . . . . . . . . . . . . . .
Vorteile von Change Control . . . . . . . . . . . . . . . . . . . . . . . . . .
2
Erste Schritte mit Change Control
21
Change Control-Modi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Was sind Regelgruppen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Beispiel für eine Regelgruppe . . . . . . . . . . . . . . . . . . . . . . . . . .
Besitzrechte für Regelgruppen . . . . . . . . . . . . . . . . . . . . . . . . .
Berechtigungen für Regelkonfigurationen . . . . . . . . . . . . . . . . . . . . .
Verwalten von Regelgruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ändern des Besitzers der Regelgruppe . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Berechtigungen für die Regelgruppen-Registerkarten . . . . . . . . . .
Erstellen von Regelgruppen . . . . . . . . . . . . . . . . . . . . . . . . . .
Importieren oder Exportieren einer Regelgruppe . . . . . . . . . . . . . . . . . .
Überprüfen des Imports für eine Regelgruppe . . . . . . . . . . . . . . . . . . .
Anzeigen von Zuweisungen für eine Regelgruppe . . . . . . . . . . . . . . . . . .
Aktivieren von Change Control . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
Überwachen von Dateisystem und Registrierung
21
22
22
23
23
25
25
26
26
27
30
30
30
33
Funktionsweise von Überwachungsregeln . . . . . . . . . . . . . . . . . . . . . . . .
Definieren von Überwachungsregeln . . . . . . . . . . . . . . . . . . . . . . . . . .
Systemvariablen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überlegungen zu Pfaden . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überwachungsregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen vordefinierter Überwachungsregeln . . . . . . . . . . . . . . . . . . . . .
Erstellen von Überwachungsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Inhaltsänderungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für die Überwachung von Inhaltsänderungen . . . . . . . . . . . . . .
Konfigurieren von Einstellungen für die Überwachung von Inhaltsänderungen . . . . . .
Verfolgen von Inhaltsänderungen . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Dateiversionen . . . . . . . . . . . . . . . . . . . . . . . . .
Dateien vergleichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
13
15
16
17
18
33
37
37
38
39
40
41
42
43
44
44
46
47
Produkthandbuch
3
Inhaltsverzeichnis
Empfangen von Änderungsdetails . . . . . . . . . . . . . . . . . . . . . . . .
4
Schützen von Dateisystem und Registrierung
51
Funktionsweise von Schutzregeln . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definieren von Schutzregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Systemvariablen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überlegungen zu Pfaden . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Schutzregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer Schutzrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aktivieren des Leseschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Überwachung und Berichterstellung
Ereignisse verwalten . . . . . . . .
Überprüfen von Ereignissen . .
Anzeigen von Inhaltsänderungen
Ereignisse ausschließen . . . .
Dashboards . . . . . . . . . . . .
Abfragen . . . . . . . . . . . . .
Anzeigen von Abfragen . . . . . . .
6
.
.
.
.
.
.
.
.
.
.
.
.
.
.
48
51
52
52
53
53
58
59
61
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Erste Schritte mit Application Control
.
.
.
.
.
.
.
61
61
62
63
64
64
67
69
Application Control-Modi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Datei- und Zertifikat-Reputation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Reputationsquellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Reputationsbasierter Workflow . . . . . . . . . . . . . . . . . . . . . . . . . 75
Von Quellen empfangene Reputationswerte . . . . . . . . . . . . . . . . . . . . 78
Berechnen der Reputation . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Konfigurieren der Reputationsquellen . . . . . . . . . . . . . . . . . . . . . . . 84
Verwenden von Reputationsinformationen . . . . . . . . . . . . . . . . . . . .
86
Techniken zum Speicherschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Was sind Regelgruppen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Beispiel für eine Regelgruppe . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Besitzrechte für Regelgruppen . . . . . . . . . . . . . . . . . . . . . . . . .
89
Was sind Zertifikate? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Was sind Prozesse des Aktualisierungsprogramms? . . . . . . . . . . . . . . . . . . . . 90
Was sind Installationsprogramme? . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Berechtigungen für Regelkonfigurationen . . . . . . . . . . . . . . . . . . . . . . . . 93
Konfigurieren und Verwalten von Regelgruppen . . . . . . . . . . . . . . . . . . . . . 95
Ändern des Besitzers der Regelgruppe . . . . . . . . . . . . . . . . . . . . . . 96
Verwalten von Berechtigungen für die Regelgruppen-Registerkarten . . . . . . . . . . 96
Erstellen einer Regelgruppe . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Importieren oder Exportieren einer Regelgruppe . . . . . . . . . . . . . . . . . . 98
Überprüfen des Imports für eine Regelgruppe . . . . . . . . . . . . . . . . . . . 100
Anzeigen von Zuweisungen für eine Regelgruppe . . . . . . . . . . . . . . . . . 101
Verwalten von Zertifikaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
101
Hinzufügen eines Zertifikats zu McAfee ePO . . . . . . . . . . . . . . . . . . .
102
Suchen nach einem Zertifikat . . . . . . . . . . . . . . . . . . . . . . . . . 103
Anzeigen von Zuweisungen für ein Zertifikat . . . . . . . . . . . . . . . . . . . 103
Verwalten von Installationsprogrammen . . . . . . . . . . . . . . . . . . . . . . . . 104
Hinzufügen eines Installationsprogramms zu McAfee ePO . . . . . . . . . . . . . . 104
Suchen nach einem Installationsprogramm . . . . . . . . . . . . . . . . . . . . 105
Anzeigen von Zuweisungen für ein Installationsprogramm . . . . . . . . . . . . . . 105
Konfigurieren der Paketkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
7
Definieren des Vertrauensmodells
109
Zulassen der Ausführung durch Application Control . . . . . . . . . . . . . . . . . . .
4
109
Produkthandbuch
Inhaltsverzeichnis
Definieren des Vertrauensmodells . . . . . . . . . . . . . . . . . . . . . . . . . .
Von Application Control für eine Datei durchgeführte Prüfungen . . . . . . . . . . .
Vordefinierte Regeln in Standardrichtlinien . . . . . . . . . . . . . . . . . . . .
Zulassen von Änderungen an Endpunkten . . . . . . . . . . . . . . . . . . . .
8
Bereitstellen von Application Control im Beobachtungsmodus
125
Was sind Beobachtungen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen im Beobachtungsmodus . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Versetzen der Endpunkte in den Beobachtungsmodus . . . . . . . . . . . . . . . . . .
Berechtigungen für die Richtlinienerkennung . . . . . . . . . . . . . . . . . . . . . .
Zulassen der Verwaltung von unternehmensweiten Anfragen durch nicht-globale
Administratoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Anfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen von Anfragen . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prozessanfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen von erstellten Regeln . . . . . . . . . . . . . . . . . . . . . . . .
Angeben von Filtern für Beobachtungen und Ereignisse . . . . . . . . . . . . . . . . . .
Beschränken von Beobachtungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definieren des Schwellenwerts . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen von Filterregeln . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von angesammelten Anfragen . . . . . . . . . . . . . . . . . . . . .
Neustart der Beobachtungsgenerierung . . . . . . . . . . . . . . . . . . . . .
Beenden des Beobachtungsmodus . . . . . . . . . . . . . . . . . . . . . . . . . .
9
Überwachen Ihres Schutzes
Verwalten des Inventars
130
131
131
133
142
142
143
143
144
144
144
145
147
149
150
151
151
152
152
152
153
154
155
156
156
160
163
Wie wird das Inventar aktualisiert? . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Inventaraktualisierungen . . . . . . . . . . . . . . . . . . . . . .
Richtlinien zum Abrufen des Inventars . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Einstellungen zum Abrufen des Inventars . . . . . . . . . . . . . . . .
Abrufen des Inventars . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Abrufen von McAfee GTI-Bewertungen für isolierte McAfee ePO-Umgebungen . . . . . . . . .
Exportieren von SHA-1s . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ausführen des Offline-GTI-Tools . . . . . . . . . . . . . . . . . . . . . . . .
Importieren der GTI-Ergebnisdatei . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen des Imports . . . . . . . . . . . . . . . . . . . . . . . . . . .
Festlegen der Enterprise-Reputation für Dateien und Zertifikate . . . . . . . . . . . . . .
Überprüfen des Inventars . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Optimieren der Inventaransicht . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten des Inventars . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
125
127
127
128
130
147
Aktivieren von Application Control . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen vordefinierter Regeln . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen von Ereignissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Ereignisdetails . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen von Endpunktdetails . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Anfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Dateidetails . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ändern der Datei-Reputation . . . . . . . . . . . . . . . . . . . . . . . . .
Definieren von Regeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen benutzerdefinierter Regeln . . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ereignisse ausschließen . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definieren von Umgehungsregeln . . . . . . . . . . . . . . . . . . . . . . .
ActiveX-Steuerelemente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
110
110
114
116
163
164
164
166
166
167
168
168
169
170
170
170
174
176
Produkthandbuch
5
Inhaltsverzeichnis
Festlegen von Filtern für Inventardaten . . .
Festlegen des Basisabbilds . . . . . . . .
Vergleichen des Inventars . . . . . . . .
Ausführen des Inventarvergleichs . .
Überprüfen der Vergleichsergebnisse .
11
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Verwalten von Genehmigungsanfragen
183
Was ist Selbstgenehmigung? . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aktivieren der Selbstgenehmigung an Endpunkten . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Berechtigungen für die Richtlinienerkennung . . . . . . . . . . . . . . . . . . . . . .
Zulassen der Verwaltung von unternehmensweiten Anfragen durch nicht-globale
Administratoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen von Anfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prozessanfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zulassen einer Datei auf allen Endpunkten . . . . . . . . . . . . . . . . . . . .
Zulassen nach Zertifikat auf allen Endpunkten . . . . . . . . . . . . . . . . . .
Sperren nach SHA-1 auf allen Endpunkten . . . . . . . . . . . . . . . . . . . .
Definieren von Regeln für bestimmte Endpunkte . . . . . . . . . . . . . . . . . .
Zulassen durch Hinzufügen zu Whitelist für bestimmte Endpunkte . . . . . . . . . .
Ändern der Datei-Reputation . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Dateidetails . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ereignisse anzeigen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Löschen von Anfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen von erstellten Regeln . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
178
179
179
180
181
Verwenden von Dashboards und Abfragen
183
184
186
187
187
188
189
191
191
192
193
194
195
195
196
196
196
199
Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
199
Abfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
199
Anzeigen von Abfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
13
Pflege Ihrer Systeme
203
Überwachen des Status der Endpunkte im Unternehmen . . . . . . . . . . . . . . . . .
Überprüfen von Datenstaustatus und -trend . . . . . . . . . . . . . . . . . . .
Konfigurieren von Benachrichtigungen . . . . . . . . . . . . . . . . . . . . . .
Durchführen von Notfalländerungen . . . . . . . . . . . . . . . . . . . . . . . . .
Versetzen der Endpunkte in den Aktualisierungsmodus . . . . . . . . . . . . . . .
Versetzen der Endpunkte in den Modus "Aktiviert" . . . . . . . . . . . . . . . . .
Verwalten der Beschränkung in Ihrem Unternehmen . . . . . . . . . . . . . . . . . . .
Einrichten der Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Beschränkungswerte . . . . . . . . . . . . . . . . . . . . .
Verwalten der Beschränkung . . . . . . . . . . . . . . . . . . . . . . . . .
Ändern des CLI-Kennworts . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erfassen von Debugging-Informationen . . . . . . . . . . . . . . . . . . . . . . . .
Versetzen der Endpunkte in den Modus "Deaktiviert" . . . . . . . . . . . . . . . . . . .
Senden von McAfee GTI-Feedback . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfiguration von Server-Tasks . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Server-Tasks . . . . . . . . . . . . . . . . . . . . . . . .
Bereinigen von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
Feinabstimmung Ihrer Konfiguration
203
204
205
206
207
207
208
209
209
210
214
214
215
216
217
217
218
219
Konfigurieren eines Syslog-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Solidcore-Berechtigungssätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Anpassen von Endbenutzerbenachrichtigungen . . . . . . . . . . . . . . . . . . . . . 223
6
Produkthandbuch
Inhaltsverzeichnis
A
Häufig gestellte Fragen
225
B
Change Control- und Application Control-Ereignisse
237
Index
243
Produkthandbuch
7
Inhaltsverzeichnis
8
Produkthandbuch
Einleitung
In diesem Handbuch finden Sie die erforderlichen Informationen für die Arbeit mit Ihrem
McAfee-Produkt.
Inhalt
Informationen zu diesem Handbuch
Quellen für Produktinformationen
Unterstützte McAfee ePO-Versionen
Inhalt dieses Handbuchs
Informationen zu diesem Handbuch
In diesem Abschnitt werden die Zielgruppe des Handbuchs, die verwendeten typografischen
Konventionen und Symbole sowie die Gliederung des Handbuchs beschrieben.
Zielgruppe
Die Dokumentation wurde von McAfee nach eingehender Recherche mit Blick auf die Zielgruppe
verfasst.
Die Informationen in diesem Handbuch richten sich in erster Linie an:
•
Administratoren: Personen, die für die Implementierung und Durchsetzung des
Sicherheitsprogramms eines Unternehmens verantwortlich sind.
•
Benutzer: Personen, die den Computer nutzen, auf dem die Software ausgeführt wird, und die auf
einige oder alle Funktionen zugreifen können.
Konventionen
In diesem Handbuch werden folgende typografische Konventionen und Symbole verwendet.
Buchtitel, Begriff,
Hervorhebung
Titel eines Buchs, Kapitels oder Themas; ein neuer Begriff; eine
Hervorhebung.
Fett
Text, der stark hervorgehoben wird.
Benutzereingabe, Code,
Meldung
Befehle oder andere Texte, die vom Benutzer eingegeben werden; ein
Code-Beispiel; eine angezeigte Meldung.
Benutzeroberflächentext
Wörter aus der Benutzeroberfläche des Produkts, z. B. Optionen,
Menüs, Schaltflächen und Dialogfelder.
Hypertext-Blau
Ein Link auf ein Thema oder eine externe Website.
Hinweis: Zusätzliche Informationen, beispielsweise eine alternative
Methode für den Zugriff auf eine Option.
Tipp: Vorschläge und Empfehlungen.
Produkthandbuch
9
Einleitung
Wichtig/Vorsicht: Wichtige Ratschläge zum Schutz Ihres
Computersystems, der Software-Installation, des Netzwerks, Ihres
Unternehmens oder Ihrer Daten.
Warnung: Wichtige Ratschläge, um körperliche Verletzungen bei der
Nutzung eines Hardware-Produkts zu vermeiden.
Im ServicePortal finden Sie Informationen zu veröffentlichten Produkten, unter anderem die
Produktdokumentation und technische Hilfsartikel.
Vorgehensweise
1
Rufen Sie das ServicePortal unter https://support.mcafee.com auf, und klicken Sie auf die
Registerkarte Knowledge Center.
2
Klicken Sie im Fenster Knowledge Base unter Inhaltsquelle auf Produktdokumentation.
3
Wählen Sie ein Produkt aus, und klicken Sie dann auf Suchen, um eine Liste der gewünschten
Dokumente anzuzeigen.
Unterstützte McAfee ePO-Versionen
®
®
®
Diese Version von McAfee Application Control und McAfee Change Control ist mit folgenden McAfee
ePolicy Orchestrator (McAfee ePO ) -Versionen kompatibel.
®
•
McAfee ePO 5.1.0–5.1.3
•
McAfee ePO 5.3.0–5.3.1
™
Es wird nicht garantiert, dass Application Control und Change Control mit anderen Versionen von
McAfee ePO funktionieren.
Dieses Handbuch ist so gegliedert, dass Sie die gewünschten Informationen schnell finden können.
Dieses Dokument ist als Nachschlagewerk zur Verwendung mit Change Control, Application Control
und McAfee ePO gedacht. Es enthält Informationen zur Konfiguration und Verwendung von Change
Control und Application Control.
10
Abschnitt
Beschreibung
Einführung
Bietet einen Überblick über die Produkte
Change Control und Application Control.
Erste Schritte mit Change
Control
Enthält Einzelheiten zu den
verschiedenen Change
Control-Konzepten, beispielsweise zu
den Modi und Regelgruppen, und
beschreibt die Aktivierung des Produkts.
Gilt für
Change
Control
Gilt für
Application
Control
Nicht
verfügbar
Produkthandbuch
Einleitung
Abschnitt
Beschreibung
Überwachen von
Dateisystem und
Registrierung
Bietet Konzepte und Anweisungen zum
Definieren von Regeln für die
Überwachung von Änderungen an
Dateien und Registrierungseinträgen.
Nicht
verfügbar
Schützen von Dateisystem
und Registrierung
Bietet Konzepte und Anweisungen zum
Definieren von Regeln für das Festlegen
von Lese- bzw. Schreibschutz für Dateien
und Registrierungseinträge.
Nicht
verfügbar
Überwachung und
Berichterstellung
Beschreibt das Verwenden von
Ereignissen, Dashboards und Abfragen
zum Überwachen des
Unternehmensstatus bei Verwendung
des Change Control-Produkts.
Nicht
verfügbar
Erste Schritte mit
Application Control
Beschreibt die verschiedenen Konzepte
im Zusammenhang mit Application
Control, z. B. Modi, Vertrauensmodell,
Regelgruppen, Installationsprogramme
und Zertifikate.
Bereitstellen von Application Bietet detaillierte Anweisungen zum
Control im
Versetzen von Application Control in den
Beobachtungsmodus
Beobachtungsmodus und Durchführen
eines Probedurchlaufs für das Produkt.
Gilt für
Change
Control
Nicht
verfügbar
Nicht
verfügbar
Beschreibt das Aktivieren von Application
Control und enthält Einzelheiten zu
Routine-Tasks, die im aktivierten Modus
durchgeführt werden.
Nicht
verfügbar
Bietet Anweisungen zum Abrufen,
Überprüfen und Verwalten des
Software-Inventars für geschützte
Endpunkte.
Nicht
verfügbar
Verwalten von
Genehmigungsanfragen
Bietet Anweisungen zum Überprüfen,
Verarbeiten und Verwalten von
Genehmigungsanfragen, die von den
Endpunkten im Unternehmen gesendet
wurden.
Nicht
verfügbar
Verwenden von Dashboards
und Abfragen
Beschreibt das Verwenden von
Dashboards und Abfragen zum
Überwachen des Unternehmensstatus
bei Verwendung des Application
Control-Produkts.
Nicht
verfügbar
Wartung Ihrer Systeme
Gibt Einzelheiten zu verschiedenen Tasks
an, mit denen Sie die geschützten
Endpunkte warten können.
√
Optimieren Ihrer
Konfiguration
Beschreibt erweiterte
Konfigurations-Tasks, mit denen Sie Ihre
Konfiguration optimieren können.
√
FAQs
Bietet Antworten auf häufig gestellte
Fragen.
√
Change Control- und
Application
Control-Ereignisse
Enthält eine detaillierte Liste aller
Change Control- und Application
Control-Ereignisse.
√
Gilt für
Application
Control
Produkthandbuch
11
Einleitung
12
Produkthandbuch
1
Einleitung
Machen Sie sich mit der McAfee Change Control- und McAfee Application Control-Software vertraut,
und erfahren Sie, wie diese Programme Ihre Umgebung schützen können.
Bevor Sie Change Control oder Application Control konfigurieren und verwenden können, müssen Sie
Folgendes tun:
•
Stellen Sie sicher, dass eine unterstützte Version von McAfee ePO installiert ist und ausgeführt wird.
Informationen zu den unterstützten McAfee ePO-Versionen finden Sie unter Unterstützte McAfee
ePO-Versionen. Weitere Informationen zum Installieren von McAfee ePO finden Sie im McAfee
ePolicy Orchestrator-Installationshandbuch für Ihre Version der Software.
•
Stellen Sie sicher, dass Change Control oder Application Control installiert ist und ausgeführt wird.
Weitere Informationen zur Installation finden Sie im McAfee Change Control- und McAfee
Application Control-Installationshandbuch.
•
Stellen Sie sicher, dass gültige Lizenzen zur Verwendung von Change Control und Application
Control vorhanden sind. Weitere Informationen zum Hinzufügen von Lizenzen finden Sie im McAfee
Change Control- und Application Control-Installationshandbuch.
Inhalt
Application Control-Überblick
Change Control-Überblick
Heutzutage sind die IT-Abteilungen einem enormen Druck ausgesetzt, da sie dafür sorgen müssen,
dass ihre Endpunkte verschiedenen Sicherheitsrichtlinien, Vorgehensweisen, internen IT-Standards
und Bestimmungen gerecht werden. Die Verlängerung der Lebensdauer von Fixed-Function-Geräten
wie Kassen, Kundendienstterminals und älteren Windows NT-Plattformen ist nunmehr von
entscheidender Bedeutung.
Application Control nutzt die dynamische Erstellung von Whitelists, um sicherzustellen, dass auf
Geräten, Servern und Desktop-PCs nur vertrauenswürdige Anwendungen ausgeführt werden. Auf
diese Weise hat die IT den umfassendsten Überblick und die bestmögliche Kontrolle über Clients und
unterstützt dadurch das Erzwingen der Softwarelizenz-Compliance.
Funktionen von Application Control
Die Application Control-Software blockiert nicht autorisierte Anwendungen und nicht autorisierten
Code auf Servern, firmeneigenen Desktop-Computern und Geräten mit fester Funktion. Diese zentral
verwaltete Whitelist-Lösung nutzt ein dynamisches Vertrauensmodell und neuartige
Sicherheitsfunktionen, die APTs ("Advanced Persistent Threats", fortgeschrittene, andauernde
Produkthandbuch
13
1
Einleitung
Bedrohungen) abwehren, ohne dass Signaturaktualisierungen oder aufwändiges Verwalten von Listen
notwendig sind.
Dynamische Whitelist
Durch diese Funktion wird das manuelle Suchen und Verwalten von anwendungsbezogenen Dateien
überflüssig. Die Application Control-Whitelist gruppiert alle Binärdateien (EXEs, DLLs, Treiber und
Skripts) in Ihrem gesamten Unternehmen nach Anwendung und Anbieter und zeigt sie in einem
intuitiven und hierarchischen Format an. Anwendungen werden als vertrauenswürdig, bösartig oder
unbekannt kategorisiert. Sie können auch einfach nützliche Informationen anzeigen, z. B. welche
Anwendungen in dieser Woche hinzugefügt wurden, nicht zertifizierte Binärdateien, Dateien mit
unbekannter Reputation, Systeme, auf denen veraltete Versionen von Adobe Reader ausgeführt
werden, und vieles mehr. So können Sie rasch Schwachstellen identifizieren und die Compliance von
Software-Lizenzen prüfen.
Umfassender Schutz
Application Control erweitert den Schutz auf ausführbare Dateien, Bibliotheken, Treiber,
Java-Anwendungen, ActiveX-Steuerelemente, Skripts und speziellen Code für mehr Kontrolle über
Anwendungskomponenten.
Erweiterter Speicherschutz
Diese Funktion verhindert Exploits von Anwendungen in der Whitelist durch Speicher-Buffer
Overflow-Angriffe auf Windows-Systemen (32 und 64 Bit).
Wissenserwerb
Application Control ermöglicht das Wechseln in den Beobachtungsmodus, um Richtlinien für
dynamische Desktop-Computer-Umgebungen zu finden, ohne eine Sperre der Whitelist zu erzwingen.
Dieser Modus hilft Ihnen, Application Control schrittweise in Umgebungen vor dem Betrieb oder zu
einem frühen Zeitpunkt des Betriebs bereitzustellen, ohne Anwendungen zu unterbrechen. Außerdem
können Administratoren mithilfe der Software auf der Seite Richtlinienerkennung Richtlinien definieren.
Auf den Benutzer ausgerichtete Lösung
Application Control bietet mehrere Möglichkeiten, um Benutzern das Installieren neuer Anwendungen
zu ermöglichen:
•
Endbenutzerbenachrichtigung – Benutzer können informative Pop-Up-Nachrichten auf
Endpunkten erhalten, in denen erklärt wird, warum der Zugriff auf nicht autorisierte Anwendungen
nicht zulässig ist. In diesen Nachrichten werden Benutzer dazu aufgefordert, Genehmigungen per
E-Mail oder über den Helpdesk anzufordern.
•
Selbstgenehmigung – Benutzer dürfen neue Software installieren, ohne auf die Genehmigung der
IT-Abteilung zu warten. Diese kann die Selbstgenehmigungsanfragen überprüfen und Richtlinien
erstellen, um die Anwendung zu sperren oder für alle bzw. ausgewählte Systeme im Unternehmen
zuzulassen.
Ausführung nach Reputation
Application Control empfängt Informationen zur Reputation von Dateien und Zertifikaten von einer
Reputationsquelle. In Abhängigkeit davon lässt Application Control die Ausführung und Installation der
Software zu oder sperrt sie.
14
Produkthandbuch
1
Einleitung
•
McAfee Threat Intelligence Exchange (TIE) Server – Der TIE Server liefert ein geschlossenes
Framework, in dem Sicherheitsprodukte gemeinsam Bedrohungen identifizieren und als ein
einheitliches Abwehrsystem agieren, das robuste Sicherheit und Immunität gegen Infektionen
bietet. Dadurch können Endpunkte, Systeme und Geräte in Ihrer Umgebung unmittelbar
miteinander kommunizieren. Ermöglicht wird dies durch eine neue Technologie, dem McAfee Data
Exchange Layer (DXL)-Framework. Der TIE Server gewährleistet eine schnelle Erkennung von
Sicherheitsbedrohungen sowie Malware und einen entsprechenden Schutz. Das Produkt analysiert
rasch Dateien und Inhalte aus verschiedenen Quellen in der Umgebung und trifft mithilfe der
Datei-Reputation und Ihrer Kriterien fundierte Entscheidungen in Sachen Sicherheit.
®
®
®
®
Außerdem bietet TIE Echtzeitintegration mit McAfee Advanced Threat Defense und McAfee Global
Threat Intelligence (McAfee GTI), um detaillierte Bewertungen und Daten zur Klassifizierung von
Malware bereitzustellen. Dank dieser Integration können Sie auf Bedrohungen reagieren und die
Informationen in der gesamten Umgebung nutzen.
™
•
McAfee Global Threat Intelligence – McAfee GTI ist ein umfassender, Cloud-basierter Dienst, der
Bedrohungsabwehrdaten in Echtzeit liefert, damit McAfee-Produkte Kunden vor Bedrohungen
schützen können. McAfee GTI ergänzt Ihre McAfee-Produkte (lokal oder als SaaS-Produkte) durch
die Bereitstellung der neuesten Reputationsdaten, sodass die Software bei Bedrohungen
entsprechend reagieren kann.
Application Control lässt sich in McAfee GTI integrieren, eine exklusive McAfee-Technologie zum
Verfolgen der Reputation von Dateien, Nachrichten und Absendern in Echtzeit unter Nutzung von
Millionen Sensoren weltweit. Mithilfe dieses Cloud-basierten Wissens stellt die Software die
Reputation aller Dateien in Ihrer Computer-Umgebung fest und klassifiziert sie als
vertrauenswürdig, bösartig oder unbekannt. Die Reputationsverfolgung von McAfee GTI ist sowohl
in sicheren als auch in isolierten Umgebungen und verbundenen Infrastrukturen möglich. Dank der
McAfee GTI-Integration werden Sie zuverlässig informiert, wenn Malware irrtümlicherweise in die
Whitelist aufgenommen wurde.
Zentrale Verwaltung
Die Integration von Application Control in die McAfee ePO-Software ermöglicht eine konsolidierte und
zentrale Verwaltung mit einer globalen Übersicht der Unternehmenssicherheit ohne blinde Flecken.
McAfee ePO integriert Application Control-Software in McAfee Firewall und andere McAfee-Produkte zur
Sicherheits- und Risikoverwaltung von Partnern der McAfee Security Innovation Alliance sowie in Ihre
internen Verwaltungsanwendungen. Die Installation und Aktualisierung der Application
Control-Bereitstellung kann in nur einem Schritt über den Microsoft System Center Configuration
Manager erfolgen. Als zusätzliche Schutzebene kann die McAfee Network Security Platform- oder
McAfee Host Intrusion Prevention-Software Kernel-Schwachstellen-Exploits und
Denial-of-Service-Angriffe (DoS) verhindern.
®
®
Vorteile von Application Control
Die Application Control-Software bietet folgende Vorteile.
•
Schützt Ihr Unternehmen vor Malware-Angriffen, noch bevor diese geschehen – durch proaktives
Steuern der auf Ihren Desktop-Computern, Laptops und Servern ausgeführten Anwendungen.
•
Erzwingt die Steuerung auf verbundenen oder nicht verbundenen Servern, virtuellen Maschinen
(VMs), Endpunkten und Geräten mit festem Standort wie Kiosk- und Kassensystemen.
•
Akzeptiert neue Software, die durch autorisierte Prozesse hinzugefügt wurde.
•
Sperrt die geschützten Endpunkte bei Bedrohungen und unerwünschten Änderungen, ohne Scans
des Dateisystems oder anderweitige periodische Aktivitäten durchführen zu müssen, die sich
nachteilig auf die Leistung des Systems auswirken könnten.
Produkthandbuch
15
1
Einleitung
•
Ergänzt herkömmliche Sicherheitslösungen und ermöglicht es der IT-Abteilung, nur zugelassene
System- und Anwendungssoftware ausführen zu lassen. Blockiert ohne großen operativen Aufwand
nicht autorisierte oder anfällige Anwendungen, die Endpunkte kompromittieren könnten. Auf diese
Weise wird sichergestellt, dass Endbenutzer nicht versehentlich Software installieren können, die
für das Unternehmen eine Gefahr bedeuten könnte.
•
Nutzt die dynamische Erstellung von Whitelists, um sicherzustellen, dass auf Geräten, Servern und
Desktop-PCs nur vertrauenswürdige Anwendungen ausgeführt werden. Dieses Vertrauensmodell
von McAfee auf der Basis dynamischer Whitelists beseitigt die Arbeit und die Kosten, die bei
anderen Whitelist-Technologien anfallen. Dadurch wird der Aufwand verringert und die Kontinuität
gesteigert.
•
Ermöglicht IT-Abteilungen Kontrolle über Endpunkte und unterstützt das Erzwingen der
Softwarelizenz-Compliance. Mit Application Control sind IT-Abteilungen in der Lage, nicht
autorisierte Software auf Endpunkten zu eliminieren und Mitarbeitern dennoch mehr Flexibilität bei
der Nutzung der benötigten Ressourcen zu bieten.
•
Macht das manuelle Verwalten von Listen genehmigter Anwendungen durch IT-Administratoren
überflüssig. Dies ermöglicht IT-Abteilungen einen flexiblen Ansatz, bei dem ein Repository von
vertrauenswürdigen Anwendungen auf Endpunkten ausgeführt werden kann. Dadurch wird die
Ausführung sämtlicher nicht autorisierter Software-Skripts und DLLs verhindert, was für
zusätzlichen Schutz vor Speicher-Exploits sorgt.
•
Arbeitet effektiv sowohl mit McAfee ePO als auch eigenständig ohne Netzwerkzugriff. Das Produkt
kann für viele Netzwerk- und Firewall-Konfigurationen verwendet werden.
•
Wird in transparenter Form auf Endpunkten ausgeführt. Es lässt sich rasch und mit geringem
Aufwand sowohl am Anfang als auch während des Betriebs sowie mit minimalen Auswirkungen auf
CPU-Zyklen einrichten.
•
Schützt nicht mehr unterstützte ältere Systeme wie Microsoft Windows NT, 2000 und XP. Auf den
älteren Systemen sind jedoch einige Funktionen nicht verfügbar. Entsprechende Informationen
finden Sie in diesem Handbuch.
Change Control ermöglicht Ihnen das Überwachen und Verhindern von Änderungen am Dateisystem,
an der Registrierung und an Benutzerkonten. Sie können detailliert anzeigen, von wem Änderungen
vorgenommen wurden, welche Dateien bearbeitet wurden, welche Änderungen an den Dateien
vorgenommen wurden sowie wann und wie die Änderungen vorgenommen wurden. Sie können
wichtige Dateien und Registrierungsschlüssel durch einen Schreibschutz vor nicht autorisierten
Zugriffen schützen. Sensible Dateien können mit einem Leseschutz versehen werden. Zur
Vereinfachung der Wartung können Sie vertrauenswürdige Programme oder Benutzer definieren, die
geschützte Dateien und Registrierungsschlüssel aktualisieren dürfen.
Das bedeutet, dass eine Änderung nur dann zulässig ist, wenn sie entsprechend der Change
Control-Richtlinien durchgeführt wird. Mit Change Control können Sie die folgenden Aktionen
ausführen.
16
•
Erkennen, Verfolgen und Validieren von Änderungen in Echtzeit
•
Einsehen von Ad-hoc-Änderungen
•
Eliminieren von Ad-hoc-Änderungen mithilfe von Schutzregeln
•
Erzwingen von genehmigten Änderungsrichtlinien und Compliance
Produkthandbuch
Einleitung
1
Funktionen von Change Control
Die Change Control-Software kann Änderungen in Server-Umgebungen blockieren, um
Sicherheitslücken, Datenlecks und Ausfälle zu verhindern. Dies erleichtert das Einhalten von
Compliance-Anforderungen. Im Folgenden werden die wichtigsten Funktionen von Change Control
beschrieben.
Echtzeitüberwachung
Change Control erfüllt die Anforderungen des Payment Card Industry (PCI) Data Security Standard
(DSS) (Standard zur Datensicherheit für die Kreditkartenbranche) 10 und 11.5 für die
Dateiintegritätsüberwachung (File Integrity Monitoring, FIM). Die Software ermöglicht die
Echtzeitüberwachung für Datei- und Registrierungsänderungen. Durch die Echtzeitüberwachung
entfallen endlose Scans an Endpunkten, und es werden vorübergehende Änderungsverletzungen
erkannt, beispielsweise wenn eine Datei geändert und anschließend wieder in ihren vorherigen
Zustand zurückversetzt wird. Die Software erfasst alle Änderungsinformationen, die im Folgenden
aufgeführt sind:
•
Zeitpunkt der Änderung
•
Benutzer, der die Änderung vorgenommen hat
•
Programm, mit dem die Änderung vorgenommen wurde
•
Ob die Änderung manuell oder von einem autorisierten Programm vorgenommen wurde
Die Software legt eine umfassende und aktuelle Datenbank an (in McAfee ePO), in der alle
Änderungsversuche an Registrierungsschlüsseln und lokalen Benutzerkonten protokolliert werden.
Überwachung von Inhaltsänderungen
Change Control ermöglicht das Überwachen von Inhalts- und Attributänderungen für Dateien.
Änderungen an Dateiinhalten können parallel angezeigt und verglichen werden, um zu sehen, was
hinzugefügt, gelöscht oder geändert wurde. Das ist praktisch bei der Fehlerbehebung von
konfigurationsbezogenen Ausfällen. Die Software enthält spezielle Warnmechanismen für die sofortige
Benachrichtigung über kritische Änderungen, sodass Sie konfigurationsbezogene Ausfälle verhindern
können – eine für ITIL (Information Technology Infrastructure Library) empfohlene Vorgehensweise.
Außerdem stehen Formulare für Qualified Security Assessors (QSA, qualifizierte Sicherheitsgutachter)
zur einfachen PCI-Berichterstellung zur Verfügung.
Anpassbare Filter
Sie können Filter verwenden, um sicherzustellen, dass nur relevante Änderungen in die Datenbank
aufgenommen werden. Sie können Filter für Dateinamen, Verzeichnisnamen, Registrierungsschlüssel,
Prozessnamen, Dateierweiterungen und Benutzernamen definieren. Mit diesen Kriterien können Sie
zwei Arten von Filtern definieren.
•
Einschlussfilter, um Informationen zu Ereignissen zu erhalten, die den angegebenen Filterkriterien
entsprechen.
•
Ausschlussfilter, um Informationen zu Ereignissen zu ignorieren, die den angegebenen
Filterkriterien entsprechen.
Eine Filterung von Ereignissen ist erforderlich, um die Menge der Änderungsereignisse kontrollieren zu
können. Normalerweise werden einige Änderungen von Programmen generiert und müssen dem
Systemadministrator nicht gemeldet werden. Wenn viele Änderungen durch Programme und
automatisch durchgeführt werden, ist das System der großen Anzahl an Änderungsereignissen unter
Umständen nicht mehr gewachsen. Durch Filter kann sichergestellt werden, dass nur relevante
Änderungsereignisse aufgezeichnet werden.
Produkthandbuch
17
1
Einleitung
Effiziente Richtlinienerzwingung
Change Control erzwingt Änderungen an Richtlinien, die innerhalb eines bestimmten Zeitfensters
erfolgen müssen, nur durch vertrauenswürdige Quellen. Change Control kann jedoch auch angepasst
werden, damit native Anwendungen ihre Dateien fortwährend ohne Unterbrechung aktualisieren
können, während alle anderen Anwendungen oder Benutzer keine Änderungen durchführen oder
bestimmte Dateien nicht lesen dürfen.
Leseschutz
Leseschutzregeln verhindern, dass Benutzer den Inhalt bestimmter Dateien, Verzeichnisse und
Volumes lesen. Wenn ein Verzeichnis oder Volume lesegeschützt ist, sind alle Dateien in diesem
Verzeichnis oder Volume lesegeschützt. Nach ihrer Festlegung werden Leseschutzregeln an
Unterverzeichnisse vererbt. Registrierungsschlüssel können nicht lesegeschützt werden.
Standardmäßig ist der Leseschutz deaktiviert.
Schreibschutz
Schreibschutzregeln verhindern, dass Benutzer Dateien (einschließlich Verzeichnissen und
Registrierungsschlüsseln) erstellen und bestehende Dateien, Verzeichnisse und Registrierungsschlüssel
ändern. Dateien bzw. Registrierungsschlüssel mit Schreibschutz können nur gelesen und nicht
unerwartet aktualisiert werden. Folgende Aktionen sind für schreibgeschützte Dateien bzw.
Registrierungsschlüssel nicht möglich:
•
Löschen
•
Umbenennen
•
Erstellen von festen Links
•
Ändern von Inhalten
•
Hinzufügen als Anhang
•
Kürzen
•
Ändern von Attributen (z. B. Besitzer, Gruppe und Berechtigungen)
•
Erstellen eines alternativen Datenstroms (nur Microsoft Windows)
Vorteile von Change Control
Die Change Control-Software bietet folgende Vorteile.
18
•
Bietet eine fortwährende Sichtbarkeit und Echtzeitverwaltung von Änderungen an wichtigen
System-, Konfigurations- oder Inhaltsdateien.
•
Verhindert das Manipulieren wichtiger Dateien und Registrierungsschlüssel durch nicht autorisierte
Benutzer.
•
Erfüllt die PCI-DSS-Vorschrift für FIM.
•
Lässt sich dank vordefinierter FIM-Regeln einfach einrichten.
•
Enthält QSA-geeignete Berichte für einfache PCI-Berichterstellung.
•
Verhindert das Überwachen irrelevanter Informationen durch die Funktion zum Ausschließen mit
nur einem Klick.
Produkthandbuch
Einleitung
•
Bietet effiziente Richtlinienerzwingung zum Blockieren unerwünschter Änderungen, bevor diese
angewendet werden.
•
Lässt sich für eine zentrale IT-Verwaltung in McAfee ePO integrieren.
Produkthandbuch
1
19
1
Einleitung
20
Produkthandbuch
2
Machen Sie sich mit der Software und den zugehörigen Begriffen vertraut, bevor Sie Change Control
zum ersten Mal verwenden.
Inhalt
Change Control-Modi
Was sind Regelgruppen?
Verwalten von Regelgruppen
Aktivieren von Change Control
Change Control-Modi
Change Control kann jederzeit in einem der folgenden Modi ausgeführt werden:
Aktiviert
Gibt an, dass die Software wirksam ist und Änderungen an den Endpunkten gemäß
den definierten Richtlinien überwacht und gesteuert werden. Im aktivierten Modus
überwacht und schützt Change Control Dateien und Registrierungsschlüssel
entsprechend den definierten und konfigurierten Richtlinien. Der aktivierte Modus ist
der empfohlene Betriebsmodus.
Vom aktivierten Modus können Sie in den deaktivierten Modus oder in den
Aktualisierungsmodus wechseln.
Aktualisierung Zeigt an, dass die Software wirksam ist, gestattet Ad-hoc-Änderungen an den
Endpunkten und verfolgt die Änderungen an den Endpunkten. Verwenden Sie den
Aktualisierungsmodus, um geplante Änderungen oder Notfalländerungen
auszuführen, etwa Software- und Patch-Installationen.
Im aktivierten Modus können Sie keine lesegeschützten Dateien lesen und keine
schreibgeschützten Dateien ändern (wie in den definierten Richtlinien festgelegt). Im
Aktualisierungsmodus wird jedoch sämtlicher aktiver Lese- und Schreibschutz außer
Kraft gesetzt. Verwenden Sie den Aktualisierungsmodus, um ein Änderungsfenster zu
definieren, während Sie Änderungen an Endpunkten vornehmen und diese
Änderungen autorisieren können.
Vom Aktualisierungsmodus können Sie in den aktivierten oder deaktivierten Modus
wechseln. Wechseln Sie in den aktivierten Modus, wenn die Änderungen
abgeschlossen sind.
Deaktiviert
Gibt an, dass die Software nicht wirksam ist. Obwohl die Software installiert ist, sind
die zugehörigen Funktionen nicht aktiv. Wenn Sie die Endpunkte in den Modus
"Deaktiviert" versetzen, werden die Endpunkte von der Anwendung neu gestartet.
Vom deaktivierten Modus können Sie in den aktivierten Modus oder in den
Aktualisierungsmodus wechseln.
Produkthandbuch
21
2
Eine Regelgruppe ist eine Sammlung von Regeln. Sie können zwar jeder McAfee ePO-basierten
Richtlinie direkt Regeln hinzufügen, jedoch sind die innerhalb einer Richtlinie definierten Regeln
spezifisch für diese Richtlinie. Eine Regelgruppe hingegen ist eine unabhängige Einheit, die einen Satz
aus ähnlichen oder zueinander in Beziehung stehenden Regeln zusammenfasst.
Nach dem Definieren einer Regelgruppe können Sie die darin enthaltenen Regeln wiederholt
verwenden, indem Sie die Regelgruppe mit verschiedenen Richtlinien verknüpfen. Um eine Regel zu
ändern, aktualisieren Sie die Regel auch in der Regelgruppe, und die Änderung wird automatisch an
alle verknüpften Richtlinien verteilt.
Die Software bietet vordefinierte Regelgruppen, damit häufig verwendete Anwendungen reibungslos
ausgeführt werden können. Sie können die vordefinierten Regelgruppen zwar nicht ändern, jedoch
können Sie eine vorhandene Regelgruppe als Ausgangspunkt verwenden, um Regelgruppen zu
entwickeln. Bei Bedarf können Sie Regelgruppen auch importieren oder exportieren.
Regelgruppen können den Aufwand zur Definition ähnlicher Regeln für mehrere Richtlinien erheblich
verringern. Wenn Sie in einer umfangreichen Installation die Software an mehrere Endpunkte
verteilen, minimieren Sie den Zeit- und Arbeitsaufwand für die Verteilung mithilfe von Regelgruppen.
Beispiel für eine Regelgruppe
Nachstehend sehen Sie ein Beispiel zum besseren Verständnis der Nutzung von Regelgruppen.
In einem Unternehmen läuft Oracle auf mehreren Servern. Jeder dieser Server wird von den
Abteilungen Personal, Entwicklung und Buchhaltung für unterschiedliche Zwecke genutzt. Um
Regelredundanz zu verringern, definieren wir die folgenden Regelgruppen mit Oracle-spezifischen
Regeln.
•
Eine Integrity Monitor-Regelgruppe (genannt "IM-Oracle") mit Regeln für die Überwachung und
Verfolgung von Konfigurationsdateien und Registrierungsschlüsseln (um die Prüfung kritischer
Änderungen an der Oracle-Konfiguration zu unterstützen)
•
Eine Change Control-Regelgruppe (genannt "CC-Oracle") mit Regeln zum Schutz kritischer Dateien
für Oracle (um unautorisierte Änderungen zu verhindern)
Nachdem die Regelgruppen definiert sind, können wir diese Regelgruppen in den Richtlinien für die
Abteilungen Personal, Entwicklung und Buchhaltung wiederholt verwenden. Fügen Sie also bei der
Definition der Richtlinien für Personal-Server die IM-Oracle-Regelgruppe zu einer
Überwachungsrichtlinie (Integrity Monitor) und die CC-Oracle-Regelgruppe zu einer Schutzrichtlinie
(Change Control) zusammen mit Regelgruppen für die anderen Anwendungen hinzu, die auf dem
Personal-Server installiert sind. Fügen Sie auf die gleiche Weise die IM-Oracle- und
CC-Oracle-Regelgruppen den relevanten Richtlinien für die Technik-Server und Finanz-Server hinzu.
Wenn Sie nach dem Definieren der Richtlinien feststellen, dass die Regel für eine systemwichtige Datei
nicht erstellt wurde, aktualisieren Sie die Regelgruppe direkt. Es werden dann alle Richtlinien
automatisch aktualisiert.
22
Produkthandbuch
2
Besitzrechte für Regelgruppen
Benutzer dürfen nur die Regelgruppen bearbeiten und löschen, deren Besitzer sie sind.
Ein Benutzer, der eine Regelgruppe erstellt, wird automatisch zum Besitzer der Regelgruppe. Nur der
Besitzer und der McAfee ePO-Administrator können die Regelgruppe bearbeiten und löschen. Nur der
Administrator kann Besitzrechte anderen Benutzern zuweisen oder die Besitzrechte widerrufen. In
diesem Fall werden die Besitzrechte automatisch dem McAfee ePO-Administrator gewährt.
Wenn Sie ein Upgrade auf Version 6.2.0 oder höher durchführen, wird der McAfee ePO-Administrator
zum Besitzer aller Regelgruppen im Unternehmen. Die von allen Besitzern erstellten Regelgruppen
können nur vom McAfee ePO-Administrator bearbeitet werden. Der McAfee ePO-Administrator muss die
Besitzrechte für Regelgruppen gegebenenfalls anderen Benutzern zuweisen.
Benutzer, die keine Regelgruppe besitzen, können die Regelgruppe und ihre Richtlinienzuweisungen
anzeigen sowie die Regelgruppe duplizieren und sie Richtlinien hinzufügen. Wenn der Besitzer oder
McAfee ePO-Administrator eine Regel in der Regelgruppe aktualisiert, wirkt die Änderung kaskadierend
über alle verbundenen McAfee ePO-Richtlinien fort.
Dieses Szenario ist für nicht-globale Administratoren geeignet, die eine (vom McAfee
ePO-Administrator erstellte) Regelgruppe benutzen möchten, ohne sie pflegen zu müssen. Falls dieses
Szenario Ihren Anforderungen nicht entsprechen sollte, sollten Sie die Regelgruppe (deren Besitzer Sie
nicht sind) duplizieren und das Duplikat dann Richtlinien zuweisen. Auf diese Weise werden Sie
Besitzer der duplizierten Regelgruppe.
Berechtigungen für Regelkonfigurationen
Der McAfee ePO-Administrator kann Berechtigungen für die Solidcore-Konfiguration konfigurieren.
Wenn in Ihrem Unternehmen mehrere Administratoren arbeiten, überprüfen und verwalten Sie für
jeden Administrator die Berechtigungen.
Wann weise ich Berechtigungen zu?
Der typische McAfee ePO-Administrator ist der globale Administrator, der das gesamte Unternehmen
verwaltet und Zugriff auf alle Solidcore-Seiten hat. Der nicht-globale Administrator kann hingegen ein
Site-Administrator sein, der eine bestimmte Site oder Gruppe von Systemen im Unternehmen
verwaltet. Im Unternehmen können die Standorte nach Ort, Sektor oder Funktionsgruppe kategorisiert
sein.
Beispiel: In einem Unternehmen mit mehreren Betrieben an verschiedenen Orten (Norden, Süden,
Osten, Westen) verwaltet der McAfee ePO-Administrator das gesamte Unternehmen, während
Standortadministratoren oder nicht-globale Administratoren für die einzelnen Betriebe zuständig sind.
Berechtigungen auf der Seite Regelgruppen
Sie können Berechtigungen für die Seite Regelgruppen konfigurieren, die auf der Seite Menü | Konfiguration
| Solidcore-Regelnenthalten ist. Die Berechtigungen legen die Aktionen fest, die Sie auf der Seite
Regelgruppen vornehmen können, und ob diese Seite auf anderen Solidcore-Seiten sichtbar ist.
Sie können eine dieser Berechtigungen für die Seite Regelgruppen zuweisen. Standardmäßig hat der
McAfee ePO-Administrator Bearbeitungsberechtigungen für alle Seiten.
Produkthandbuch
23
2
Berechtigung
Details
Keine Berechtigungen
Bedeutet, dass die Seite für den Benutzer nicht sichtbar ist.
Beispiel: Wenn ein Benutzer für die Seite Regelgruppen keine
Berechtigung besitzt, wird die Registerkarte auf den Seiten
Solidcore-Regeln und Richtlinienkatalog (Regelgruppenzuweisungen) nicht
angezeigt. Außerdem erbt der Benutzer keine Berechtigungen für die
Registerkarten Prozesse des Aktualisierungsprogramms, Benutzer und Filter.
Anzeigeberechtigungen
Bedeutet, dass die Seite für den Benutzer sichtbar ist. Benutzer kann
jedoch auf dieser Seite nichts bearbeiten oder löschen und auch keine
Benutzervorgänge ausführen.
Beispiel: Wenn ein Benutzer für die Seite Regelgruppen
Anzeigeberechtigungen besitzt, wird die Registerkarte auf den Seiten
Solidcore-Regeln und Richtlinienkatalog (Regelgruppenzuweisungen)
angezeigt. Der Benutzer kann zwar Informationen zu Regelgruppen
anzeigen und Zuweisungen überprüfen, nicht aber Regelgruppen
bearbeiten, duplizieren oder hinzufügen.
Bearbeitungsberechtigungen Bedeutet, dass die Registerkarte sichtbar ist und der Benutzer alle
Aktionen durchführen kann, die auf der Seite verfügbar sind.
Beispiel: Wenn ein Benutzer für die Registerkarte Regelgruppen
Bearbeitungsberechtigungen besitzt, wird die Registerkarte auf den
Seiten Solidcore-Regeln und Richtlinienkatalog (Regelgruppenzuweisungen)
angezeigt und der Benutzer kann alle Vorgänge durchführen.
Berechtigungen für Registerkarten, die in den Seiten "Regelgruppen" und
"Richtlinien" enthalten sind
Benutzerberechtigungen für die Seite Regelgruppen steuern die Berechtigungen für die Registerkarten
Prozesse des Aktualisierungsprogramms, Benutzer und Filter. Die für die Seite Regelgruppen verfügbaren
Berechtigungen geben die Berechtigungen für die darin enthaltenen Registerkarten an. Bei Bedarf
kann der McAfee ePO-Administrator die Berechtigungen für die einzelnen Registerkarten selektiv
ändern.
Wenn ein Benutzer Keine Berechtigungen oder Anzeigeberechtigungen besitzt, sind bestimmte Aktionen davon
betroffen und möglicherweise nicht verfügbar.
24
Blockierte Aktionen
Betroffene Seiten
Die Aktion Ereignisse ausschließen ist blockiert.
Seite Solidcore-Ereignisse Registerkarte Filter
Die Aktion Importieren funktioniert nicht, weil
registerkartenspezifische Regeln nicht
importiert werden.
Seite Regelgruppen
Berechtigungen
erforderlich für ...
Auf der Seite Regelgruppen
enthaltene Registerkarte
Produkthandbuch
2
Erstellen Sie Regelgruppen, um ähnliche oder zueinander in Beziehung stehende Regeln
zusammenzufassen. Sie können Regelgruppen importieren bzw. exportieren, um die Konfiguration von
Regelgruppen zu verwalten.
Aufgaben
•
Ändern des Besitzers der Regelgruppe auf Seite 25
Weisen Sie die Besitzrechte an Regelgruppen mehreren Benutzern zu, oder entfernen Sie
die Besitzrechte von Benutzern.
•
Verwalten von Berechtigungen für die Regelgruppen-Registerkarten auf Seite 26
Sie können Berechtigungen für die Seite Regelgruppen und die in den Seiten "Regelgruppen"
und "Richtlinien" enthaltenen Registerkarten verwalten.
•
Erstellen von Regelgruppen auf Seite 26
Erstellen Sie eine Regelgruppe, um die erforderlichen Regeln festzulegen.
•
Importieren oder Exportieren einer Regelgruppe auf Seite 27
Um die Regelgruppenkonfiguration von einem McAfee ePO-Server auf einen anderen zu
replizieren, exportieren Sie die Regelgruppenkonfiguration vom McAfee
ePO-Ausgangsserver in eine XML-Datei, und importieren Sie die XML-Datei auf den McAfee
ePO-Zielserver.
•
Überprüfen des Imports für eine Regelgruppe auf Seite 30
Sie können überprüfen, ob der Importvorgang für eine Regelgruppe erfolgreich war.
•
Anzeigen von Zuweisungen für eine Regelgruppe auf Seite 30
Anstatt durch alle erstellten Richtlinien zu navigieren, können Sie direkt alle Richtlinien
anzeigen, in denen eine bestimmte Regelgruppe verwendet wird. Diese Funktion stellt eine
bequeme Methode dar, um zu prüfen, ob jede Regelgruppe den relevanten Richtlinien
zugewiesen ist.
Ändern des Besitzers der Regelgruppe
Weisen Sie die Besitzrechte an Regelgruppen mehreren Benutzern zu, oder entfernen Sie die
Besitzrechte von Benutzern.
Bevor Sie beginnen
Für diesen Task müssen Sie ein globaler Administrator sein.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in der McAfee ePO-Konsole Menü | Konfiguration | Solidcore-Regelnaus.
2
Klicken Sie auf der Registerkarte Regelgruppen in der Spalte Besitzer auf den Besitzer für eine
Regelgruppe, um die Seite Besitzrechte für Regelgruppen zu öffnen.
3
Ändern Sie die standardmäßigen Besitzerberechtigungen, indem Sie die auf der Seite aufgelisteten
Benutzer auswählen bzw. ihre Auswahl aufheben.
4
Klicken Sie auf Speichern.
Die Änderungen an den Besitzern werden in der Spalte Besitzer für die ausgewählte Regelgruppe
dargestellt.
Produkthandbuch
25
2
Verwalten von Berechtigungen für die RegelgruppenRegisterkarten
Sie können Berechtigungen für die Seite Regelgruppen und die in den Seiten "Regelgruppen" und
"Richtlinien" enthaltenen Registerkarten verwalten.
Bevor Sie beginnen
Für diesen Task müssen Sie ein McAfee ePO-Administrator sein.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Benutzerverwaltung | Berechtigungssätze.
2
Klicken Sie auf Neu, um einen Berechtigungssatz zu erstellen.
3
Geben Sie einen Namen für den Berechtigungssatz an.
4
Wählen Sie die Benutzer aus, denen Sie den Berechtigungssatz zuweisen möchten.
Dabei wird dem Benutzer die Berechtigungsebene gewährt, die Sie im Berechtigungssatz festlegen.
Wenn mehrere Berechtigungssätze auf ein Benutzerkonto angewendet werden, werden sie
aggregiert. Dies ist zu berücksichtigen, wenn Sie die Strategie für die Gewährung von
Benutzerberechtigungen in Ihrer Umgebung planen. Weitere Informationen finden Sie unter
Solidcore-Berechtigungssätze.
5
Klicken Sie bei der Berechtigungskategorie Solidcore – Allgemein auf Bearbeiten.
6
Gewähren Sie für Regelgruppen die erforderlichen Berechtigungen.
7
Gewähren Sie erforderlichenfalls selektiv Berechtigungen für die Registerkarten (Prozesse des
Aktualisierungsprogramms, Benutzer und Filter) auf den Regelgruppen- und Richtlinienseiten.
Dies basiert auf den Berechtigungen, die dem Benutzer auf der Seite Regelgruppen zugewiesen sind.
Informationen finden Sie unter Berechtigungen für Regelkonfigurationen.
8
Erstellen von Regelgruppen
Vorgehensweise
1
2
Führen Sie einen dieser Schritte auf der Registerkarte Regelgruppen aus.
•
Wählen Sie Integrity Monitor, um eine Regelgruppe anzuzeigen oder zu definieren, durch die
durchgeführte Änderungen an kritischen Ressourcen überwacht werden.
•
Wählen Sie Change Control aus, um eine Regelgruppe anzuzeigen oder zu definieren, durch die
unautorisierte Änderungen an kritischen Ressourcen verhindert werden.
Sie können eine vorhandene Regelgruppe als Ausgangspunkt nehmen oder eine neue Regelgruppe
definieren. Führen Sie zum Ändern oder Bearbeiten einer vorhandenen Regelgruppe die Schritte 3,
5, 6 und 7 aus. Führen Sie zum Definieren einer neuen Regelgruppe die Schritte 4, 5, 6 und 7 aus.
26
Produkthandbuch
3
2
Erstellen Sie eine Regelgruppe auf der Grundlage einer vorhandenen Regelgruppe.
a
Klicken Sie für eine vorhandene Regelgruppe auf Duplizieren.
Das Dialogfeld Regelgruppe duplizieren wird angezeigt.
b
Geben Sie den Regelgruppennamen an, und klicken Sie dann auf OK.
Die Regelgruppe wird erstellt und auf der Seite Regelgruppen aufgeführt.
4
Definieren Sie eine neue Regelgruppe.
a
Klicken Sie auf Regelgruppe hinzufügen, um das Dialogfeld Regelgruppe hinzufügen zu öffnen.
b
Geben Sie den Regelgruppennamen an.
c
Wählen Sie den Typ der Regelgruppe und die Plattform aus.
d
Klicken Sie auf OK.
5
Klicken Sie für die Regelgruppe auf Bearbeiten.
6
Geben Sie die erforderlichen Regeln an.
Weitere Informationen zum Definieren von Regeln finden Sie in den Abschnitten Definieren von
Überwachungsregeln und Definieren von Schutzregeln.
7
Klicken Sie auf Regelgruppe speichern.
Importieren oder Exportieren einer Regelgruppe
Um die Regelgruppenkonfiguration von einem McAfee ePO-Server auf einen anderen zu replizieren,
exportieren Sie die Regelgruppenkonfiguration vom McAfee ePO-Ausgangsserver in eine XML-Datei,
und importieren Sie die XML-Datei auf den McAfee ePO-Zielserver.
Wenn Sie der Besitzer der Regelgruppe oder der globale Administrator sind, können Sie die XML-Datei
der Regelgruppe auf den McAfee ePO-Zielserver importieren. Sind Sie jedoch kein globaler
Administrator, können Sie nur für die Registerkarten Regeln importieren, für die Sie Berechtigungen
haben. Alle anderen Regeln werden nicht importiert und Details sind auf der Seite Server-Task-Protokoll
verfügbar. Informationen über Berechtigungen finden Sie unter Berechtigungen für
Regelkonfigurationen.
Wenn Sie Regelgruppen in einen McAfee ePO-(Ziel)-Server importieren, wird der beim McAfee
ePO-Server angemeldete Benutzer der Besitzer der importierten Regelgruppe. Wenn Sie Regelgruppen
aus einem McAfee ePO-Quellserver exportieren, werden die Besitzerinformationen nicht exportiert.
Stellen Sie beim Importieren oder Exportieren von Regelgruppen mit vertrauenswürdigen Gruppen
sicher, dass für den Active Directory-Server sowohl auf dem McAfee ePO-Ausgangs- als auch -Zielserver
derselbe Domänen- oder Servername (oder dieselbe IP-Adresse) konfiguriert ist.
Sie können Regelgruppen mittels McAfee ePO-Konsole oder Web-Dienst-APIs importieren bzw.
exportieren.
Aufgaben
•
Verwenden der McAfee ePO-Konsole auf Seite 28
Abhängig von Ihrem Setup können Sie mit der McAfee ePO-Konsole Regelgruppen
importieren bzw. exportieren.
•
Verwenden von Web-Dienst-APIs auf Seite 28
Abhängig von Ihrem Setup können Sie Regelgruppen mit Web-Dienst-APIs von Application
Control und Change Control importieren bzw. exportieren.
Produkthandbuch
27
2
Verwenden der McAfee ePO-Konsole
Abhängig von Ihrem Setup können Sie mit der McAfee ePO-Konsole Regelgruppen importieren bzw.
exportieren.
Sie können Regelgruppen auch in eine XML-Datei exportieren, die XML-Datei bearbeiten, um die
Regelgruppen bei Bedarf zu ändern, und die Datei auf den McAfee ePO-Server importieren, um die
geänderten Regelgruppen zu verwenden.
Vorgehensweise
1
2
•
Klicken Sie zum Importieren von Regelgruppen auf Importieren, suchen Sie dann die
Regelgruppendatei, und wählen Sie sie aus. Klicken Sie anschließend auf OK. Während des
Importvorgangs können Sie angeben, ob Regelgruppen überschrieben werden sollen (falls Sie
eine Regelgruppe mit demselben Namen wie eine vorhandene Regelgruppe importieren).
•
Klicken Sie zum Exportieren von ausgewählten Regelgruppen in eine XML-Datei auf Exportieren,
und speichern Sie die Datei.
Verwenden von Web-Dienst-APIs
Abhängig von Ihrem Setup können Sie Regelgruppen mit Web-Dienst-APIs von Application Control und
Change Control importieren bzw. exportieren.
Vorgehensweise
1
Öffnen Sie die Befehlszeile, und navigieren Sie zu folgendem Verzeichnis.
<ePO installation directory>\Remote‑Client\
Beispiel: C:\Programme\McAfee\ePolicy Orchestrator\Remote‑Client\
2
Führen Sie den folgenden Befehl für eine Verbindung zum McAfee ePO-Shellclient aus.
shell-client.bat <eposerverip:epoport> <epouserid> <epopassword> https post
Beispiel: shell-client.bat <xxx.xx.xx.xxx:xxxx> admin testP@ssword https post
3
28
Verwenden Sie bei Bedarf die folgenden Web-Dienst-APIs.
Web-Dienst-APIs
Beschreibung
scor.rulegroup.find
(ruleGroupOS,
ruleGroupType,
ruleGroupName)
Sucht die erforderliche Regelgruppe in der Liste aller
Solidcore-Regelgruppen. Bei diesem Dienst sind die folgenden
Parameter relevant.
ruleGroupOS
(Erforderlich) Mit der Regelgruppe verknüpftes
Betriebssystem. Mögliche Werte sind WIN und
UNIX.
ruleGroupType
Produkt. Mögliche Werte sind
APPLICATION_CONTROL, CHANGE_CONTROL und
INTEGRITY_MONITOR.
ruleGroupName
(Optional) Name der Regelgruppe.
Produkthandbuch
Web-Dienst-APIs
Beschreibung
scor.rulegroup.export
(ruleGroupOS,
ruleGroupType,
ruleGroupName,
exportFileName)
Exportiert die Regelgruppeninformationen aus dem McAfee
ePO-(Quell-)Server. Optional können Sie die
Regelgruppeninformationen in eine XML-Datei auf dem McAfee
ePO-Server exportieren. Bei diesem Dienst sind die folgenden
Parameter relevant.
ruleGroupOS
UNIX.
ruleGroupType
INTEGRITY_MONITOR.
ruleGroupName
2
Wenn Sie keinen Regelgruppennamen
angeben, werden alle bearbeitbaren Regeln
für das bestimmte Betriebssystem und den
Regelgruppentyp exportiert.
exportFileName (Optional) Name der XML-Datei, z. B. c:\foo
.xml, c:\foo\foo.xml, in der die exportierten
Regelgruppeninformationen gespeichert werden
sollen. Der Speicherort der XML-Datei muss sich
auf dem McAfee ePO-Server befinden. Stellen Sie
sicher, dass Sie als Wert den absoluten Pfad zum
Speicherort und nicht den relativen Pfad
angeben.
scor.rulegroup.import
(file, override)
Importiert die Regelgruppeninformationen aus einer XML-Datei auf
den McAfee ePO-(Ziel-)Server. Bei diesem Dienst sind die folgenden
Parameter relevant.
file
(Erforderlich) Pfad zur XML-Datei. Beachten Sie
je nach Speicherort der XML-Datei die folgenden
Hinweise.
• Befindet sich die XML-Datei auf dem McAfee
ePO-Server, geben Sie für diesen Parameter
den vollqualifizierten Namen als Wert an.
Beispiel: scor.rulegroup.import c:
\abc.xml.
• Befindet sich die XML-Datei auf einem lokalen
System, geben Sie für diesen Parameter den
Wert im Format file:/// gefolgt vom
Speicherort auf dem lokalen System an.
Beispiel: scor.rulegroup.import
file=file:///c:/abc.xml.
override
(Optional) Überschreibt eine vorhandene
übereinstimmende Regelgruppe auf dem McAfee
ePO-Zielserver. Standardmäßig ist der Wert für
diesen Parameter auf "falsch" gesetzt, sodass er
keine vorhandene übereinstimmende
Regelgruppe auf dem McAfee ePO-Zielserver
überschreibt.
Produkthandbuch
29
2
Überprüfen des Imports für eine Regelgruppe
Sie können Details über Importvorgänge einer Regelgruppe anzeigen, um sich zu vergewissern, dass
ein Vorgang erfolgreich verlaufen ist.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Automatisierung | Server-Task-Protokollaus.
2
Geben Sie den Task-Namen Solidcore-Regelgruppen importieren im Textfeld Schnellsuche an, und
klicken Sie dann auf Anwenden.
3
Stellen Sie sicher, dass dieser Server-Task im Status Abgeschlossen ist.
Wenn der Status des Tasks Fehlgeschlagen ist, war der Importvorgang nicht erfolgreich.
4
Klicken Sie auf den Server-Task, um die Seite Server-Task-Protokoll: Details zu öffnen.
Sehen Sie sich auf der Registerkarte Protokollmeldungen die Details zu den Regeln an.
Anzeigen von Zuweisungen für eine Regelgruppe
Anstatt durch alle erstellten Richtlinien zu navigieren, können Sie direkt alle Richtlinien anzeigen, in
denen eine bestimmte Regelgruppe verwendet wird. Diese Funktion stellt eine bequeme Methode dar,
um zu prüfen, ob jede Regelgruppe den relevanten Richtlinien zugewiesen ist.
Vorgehensweise
1
2
Klicken Sie auf der Registerkarte Regelgruppen auf Zuweisungen, um die Richtlinien anzuzeigen, denen
die ausgewählte Regelgruppe zugewiesen ist.
Aktivieren Sie die Change Control-Software, um die Änderungen an den Endpunkten nach den
definierten Richtlinien zu überwachen und zu steuern.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Systeme | Systemstrukturaus.
2
Führen Sie eine der folgenden Aktionen aus.
3
30
•
Gruppe – Wählen Sie eine Gruppe in der Systemstruktur aus, und wechseln Sie zur Registerkarte
Zugewiesene Client-Tasks.
•
Endpunkt – Wählen Sie den Endpunkt auf der Seite Systeme aus, und klicken Sie auf Aktionen |
Agent | Tasks auf einem einzelnen System ändern.
Klicken Sie auf Aktionen | Neue Client-Task-Zuweisung , um die Seite Generator für Client-Task-Zuweisung zu
öffnen.
Produkthandbuch
2
4
Wählen Sie Solidcore 7.0.0 | SC: Aktivieren aus, und klicken Sie dann auf Neuen Task erstellen, um die Seite
Client-Task-Katalog zu öffnen.
5
Geben Sie den Task-Namen ein, und fügen Sie beschreibende Angaben hinzu.
6
Wählen Sie die folgenden Felder aus.
7
a
Wählen Sie die Plattform aus.
b
Wählen Sie die Unterplattform aus.
c
Wählen Sie die Version aus (nur für die Unterplattform Alle außer NT/2000).
d
Stellen Sie sicher, dass die Option Change Control aktiviert ist.
Führen Sie zur Aktivierung von Change Control die folgenden Schritte aus.
Solidcore-Client-Version
Schritte
In der Solidcore-Client-Version:
Wählen Sie Endpunkt neu starten aus, um den Endpunkt neu
zu starten.
• 5.1.5 oder früher (Windows)
• 6.0.1 oder früher (UNIX)
Ein Neustart des Endpunkts ist erforderlich, um die
Software zu aktivieren.
Auf Windows-Plattformen wird fünf Minuten vor dem
Neustart des Endpunkts eine Popup-Meldung angezeigt.
Das ermöglicht dem Benutzer, seine Arbeit und Daten am
Endpunkt zu speichern.
Auf UNIX-Plattformen wird der Endpunkt neu gestartet,
wenn der Task angewendet wird.
In der Solidcore-Client-Version 6.0.0
oder höher (Windows)
Es ist keine Konfiguration erforderlich.
oder höher (UNIX)
Deaktivieren Sie Endpunkt neu starten.
Bei der Solidcore-Client-Version 6.1.0 oder höher ist kein
Neustart des Systems erforderlich, um die Software zu
aktivieren.
8
9
Klicken Sie auf Weiter, um die Seite Plan zu öffnen.
10 Geben Sie Planungsdetails an, und klicken Sie dann auf Weiter.
11 Überprüfen Sie die Task-Details, und klicken Sie dann auf Speichern.
12 (Optional) Reaktivieren Sie den Agent, um Ihren Client-Task sofort an den Endpunkt zu senden.
Produkthandbuch
31
2
32
Produkthandbuch
3
Überwachen von Dateisystem und
Registrierung
Change Control ermöglicht die Festlegung eines Satzes von Dateien und Registrierungseinträgen, die
auf Änderungen überwacht werden sollen.
Sie können auch Attribut- und Inhaltsänderungen für überwachte Dateien verfolgen. Um die
Benutzeraktivität für bestimmte Endpunkte zu verfolgen, müssen Sie Regeln definieren, in denen die
zu überwachenden Dateien und Registrierungsschlüssel angegeben sind, und explizit die
standardmäßig deaktivierte Funktion zur Überwachung der Benutzerkonten aktivieren.
Inhalt
Funktionsweise von Überwachungsregeln
Definieren von Überwachungsregeln
Überprüfen vordefinierter Überwachungsregeln
Erstellen von Überwachungsrichtlinien
Verwalten von Inhaltsänderungen
Mithilfe von Regeln können Dateien, Verzeichnisse, Registrierungsschlüssel, Dateitypen (nach
Dateinamenerweiterung), Programme und Benutzer überwacht werden.
Was können Sie überwachen?
Die folgenden Vorgänge werden für überwachte Dateien, Registrierungsschlüssel und Benutzerkonten
überwacht.
Produkthandbuch
33
3
Element
Verfolgte Vorgänge
Datei
• Dateierstellung
• Dateiänderung (Dateiinhalte und -attribute wie Berechtigungen,
Besitzer oder Gruppe)
• Dateilöschung
• Dateiumbenennung
• Erstellung von alternativem Datenstrom
• Änderung von alternativem Datenstrom (Inhalte und Attribute wie
Berechtigungen oder Besitzer)
• Löschung von alternativem Datenstrom
• Umbenennung von alternativem Datenstrom
Vorgänge im Zusammenhang mit alternativem Datenstrom gelten nur
für Windows.
Registrierungsschlüssel (nur • Erstellung von Registrierungsschlüssel
Windows)
• Änderung von Registrierungsschlüssel
• Löschung von Registrierungsschlüssel
Benutzerkonto (lokale und
Domänenkonten; nur
Windows)
• Erstellung von Benutzerkonto
• Änderung von Benutzerkonto
• Löschung von Benutzerkonto
• Benutzeranmeldung (erfolgreich und fehlgeschlagen)
• Benutzerabmeldung
Die Überwachung des Benutzerkontos ist standardmäßig deaktiviert.
Sie müssen diese Funktion aktivieren, wenn Sie die Vorgänge für die
einzelnen Benutzerkonten verfolgen möchten. Zur Aktivierung dieser
Funktion führen Sie den Client-Task SC: Befehle ausführen aus, um den
Befehl sadmin features enable mon‑uat am Endpunkt auszuführen.
34
Produkthandbuch
3
Welche Attribute werden für Dateien überwacht?
Betriebssystem Überwachte Attribute
Windows
• Ausgeblendet
• Schreibgeschützt
• Nicht indiziert
• System
• Offline
UNIX
• Besitzrechte
• Modusbits, z. B. Lese-, Schreib- und Ausführungsberechtigungen
• Folgende Dateisystemattribute:
• a: nur anhängen
• t: Fragmente nicht
zusammenführen
• c: komprimiert
• u: nicht löschbar
• d: nicht sichern
• A: Zugriffszeit nicht aktualisieren
• e: Format erweitern
• C: beim Schreiben nicht kopieren
• i: unveränderlich
• D: synchrone
Verzeichnisaktualisierung
• j: Data Journaling
• S: synchrone Aktualisierungen
• s: sicheres Löschen
• T: oben in Verzeichnishierarchie
Sind vordefinierte Regeln verfügbar?
Ja, Change Control umfasst vordefinierte Überwachungsregeln. Weitere Informationen finden Sie unter
Überprüfen vordefinierter Überwachungsregeln.
Es gibt eine Rangordnung für Überwachungsregeln
Entnehmen Sie der Tabelle die Rangordnung (vom höchsten zum niedrigsten Rang), wenn Sie
Überwachungsregeln verarbeiten.
Tabelle 3-1 Rangordnung für Überwachungsregeln
Reihenfolge Regeltyp
Beschreibung
1.
Regeln für erweiterte
Ausschlussfilter (AEF, Advanced
Exclusion Filters) haben Vorrang.
Weitere Informationen zu AEF-Regeln finden Sie
unter Was sind erweiterte Ausschlussfilter (AEF)
oder -regeln?.
2.
Ausschlussregeln haben Vorrang
vor Einschlussregeln.
Wenn Sie beispielsweise versehentlich eine
Einschluss- und eine Ausschlussregel für dieselbe
Datei definieren, gilt die Ausschlussregel.
3.
Regeln auf der Basis des
Der in der Regel angegebene Benutzername wird
Benutzernamens haben Vorrang vor mit dem Benutzernamen verglichen, auf den im
allen anderen Regeltypen mit
Ereignis verwiesen wird.
Ausnahme von AEF-Regeln.
4.
Regeln auf der Basis von
Programmnamen haben Vorrang
vor Regeln auf der Basis von
Dateinamenerweiterung,
Dateiname, Verzeichnisname oder
Registrierungsschlüssel.
Der in der Regel angegebene Programmname
wird mit dem Programmnamen verglichen, auf
den im Ereignis verwiesen wird.
Produkthandbuch
35
3
Tabelle 3-1 Rangordnung für Überwachungsregeln (Fortsetzung)
Reihenfolge Regeltyp
Beschreibung
5.
Auf Dateinamenserweiterungen
basierende Regeln haben Vorrang
vor Regeln, die auf dem Datei- oder
Verzeichnisnamen (oder Pfad)
basieren.
Die in der Regel angegebene
Dateinamenserweiterung wird mit der
Dateinamenserweiterung verglichen, auf die im
Ereignis verwiesen wird.
Regeln auf der Basis von
Dateinamen oder Pfaden haben
Vorrang vor Regeln auf der Basis
von Verzeichnisnamen. Längere
Pfade haben also Vorrang vor
namensbasierten Regeln.
Der angegebene Pfad wird mit dem im Ereignis
angegebenen Pfad verglichen. Pfade (für Dateien
oder Verzeichnisse) werden ab dem Anfang
verglichen. Nehmen Sie folgende Beispiele.
6.
Wenn beispielsweise C:\Programme\Oracle
(durch eine dateibasierte Regel) von der
Überwachung ausgeschlossen wird und die
Erweiterung .ora in die Überwachung
eingeschlossen wird, werden Ereignisse für
Dateien mit der Erweiterung .ora generiert, z. B.
listener.ora und tnsnames.ora.
Windows-Plattform Wenn das Verzeichnis C:
\temp ausgeschlossen und
die Datei C:\temp\foo.cfg
eingeschlossen wird, werden
die Änderungen an der Datei
foo.cfg überwacht. Wenn
Sie den Schlüssel HKEY
_LOCAL_MACHINE
ausschließen und den
Schlüssel HKEY_LOCAL
_MACHINE\System
einschließen, werden die
Änderungen an dem
Schlüssel HKEY_LOCAL
_MACHINE\System
überwacht.
UNIX-Plattform
Wenn das Verzeichnis /usr/
dir1/dir2 ein- und das
Verzeichnis /usr/dir1
ausgeschlossen ist, werden
alle Vorgänge für die Dateien
im Verzeichnis /usr/dir1/
dir2 überwacht, da der Pfad
/usr/dir1/dir2 länger ist
und daher Vorrang hat.
In der oben erwähnten Rangordnung gelten alle Regeln (außer Regel 5) auch für
Registrierungsschlüssel.
Was sind erweiterte Ausschlussfilter (AEF) oder -regeln?
Sie können erweiterte Filter definieren, um Änderungen anhand einer Kombination verschiedener
Bedingungen auszuschließen. Beispiel: Sie möchten Änderungen überwachen, die an der Datei tomcat
.log durch alle Programme mit Ausnahme des Programms tomcat.exe vorgenommen werden.
Definieren Sie zu diesem Zweck einen erweiterten Filter, der alle Änderungen an der Protokolldatei
ausschließt, die durch das Inhaberprogramm erfolgen. Damit wird sichergestellt, dass Sie nur
Ereignisse empfangen, wenn die Protokolldatei von Nicht-Inhaber-Programmen geändert wird. In
diesem Fall ähnelt der definierte Filter Alle Ereignisse ausschließen, in denen Dateiname <log-file>
und Programmname <owner-program> ist.
36
Produkthandbuch
3
Verwenden Sie AEF, um vom System generierte Änderungsereignisse zu löschen, die nicht für Ihre
Überwachungsanforderungen relevant sind. Bei verschiedenen Anwendungen, insbesondere bei
Webbrowsern, wird der Anwendungsstatus in Registrierungsschlüsseln verwaltet, und mehrere
Registrierungsschlüssel werden routinemäßig aktualisiert. Die Einstellung ESENT wird beispielsweise
routinemäßig von der Windows Explorer-Anwendung geändert und generiert das Ereignis
"Registrierungsschlüssel geändert". Diese Statusänderungen erfolgen routinemäßig und müssen nicht
überwacht oder gemeldet werden. Durch Definieren von AEFs können Sie sämtliche Ereignisse
eliminieren, die nicht zur Erfüllung von Compliance-Anforderungen erforderlich sind, und sicherstellen,
dass die Ereignisliste nur sinnvolle Benachrichtigungen enthält.
Unabhängig davon, ob Sie eine neue Überwachungsrichtlinie erstellen oder eine
Überwachungsregelgruppe definieren, ist das verfügbare Framework zur Definition von
Überwachungsregeln identisch.
Systemvariablen
Der in einer Überwachungsregel angegebene Pfad kann Systemumgebungsvariablen enthalten (nur
auf der Windows-Plattform). In der folgenden Tabelle sind die unterstützten Systemvariablen
aufgeführt.
Variable
Beispielwert (für die meisten Windows-Plattformen)
%ALLUSERSPROFILE%
C:\ProgramData
C:\Dokumente und Einstellungen\Alle Benutzer (frühere
Windows-Versionen)
%APPDATA%
C:\Benutzer\(Benutzername)\AppData\Roaming
C:\Dokumente und Einstellungen\{Benutzername}
\Anwendung (frühere Windows-Versionen)
%COMMONPROGRAMFILES%
C:\Programme\Gemeinsame Dateien
%COMMONPROGRAMFILES (x86)%
C:\Programme (x86)\Gemeinsame Dateien
%HOMEDRIVE%
C:
%HOMEPATH%
C:\Benutzer\(Benutzername)
C:\Dokumente und Einstellungen\{Benutzername} oder \
(frühere Windows-Versionen)
%PROGRAMFILES%
C:\Programme
%PROGRAMFILES (x86)%
C:\Programme (x86) (nur für 64-Bit-Versionen)
%SYSTEMDRIVE%
C:
%SYSTEMROOT%
C:\WINDOWS (C:\WINNT in früheren Windows-Versionen)
%TEMP% (System) %tmp% (Benutzer) C:\Benutzer\(Benutzername)\AppData\Lokal\Temp
C:\Dokumente und Einstellungen\{Benutzername}\Lokale
Einstellungen\Temp (frühere Windows-Versionen)
C:\Temp (frühere Windows-Versionen)
Produkthandbuch
37
3
Variable
%USERPROFILE%
C:\Benutzer\(Benutzername)
(frühere Windows-Versionen)
C:WINNT\Profile\{Benutzername} (frühere
Windows-Versionen)
%WINDIR%
C:\Windows
Überlegungen zu Pfaden
Die folgenden Überlegungen beziehen sich auf pfadbasierte Regeln.
•
Pfade müssen beim Festlegen von Regeln zur Überwachung von Dateien und Verzeichnissen absolut
sein.
•
Pfade brauchen beim Festlegen von Regeln zur Überwachung der Programmaktivität nicht absolut
zu sein. Sie können beispielsweise einen partiellen Pfad wie AcroRd32.exe oder Reader\AcroRd32
.exe bzw. einen vollqualifizierten Pfad wie C:\Programme\Adobe\Reader 9.0\Reader\AcroRd32
.exe angeben. Wenn Sie den partiellen Pfad angeben, werden alle Programme überwacht, die mit
der angegebenen Zeichenfolge übereinstimmen. Geben Sie hingegen den vollqualifizierten Pfad an,
wird nur die Aktivität des angegebenen Programms überwacht.
•
Pfade können Leerzeichen enthalten.
•
Pfade können das Platzhalterzeichen (*) enthalten. Damit kann jedoch nur eine vollständige
Pfadkomponente dargestellt werden. Hier sind ein paar Beispiele.
Windows-Plattform Die Verwendung von \abc\*\def ist zulässig, während \abc\*.doc, \abc\*.*
oder \abc\doc.* nicht unterstützt werden.
UNIX-Plattform
Die Verwendung von /abc/*/def ist zulässig, während /abc/*.sh, /abc/*.*
oder /abc/doc.* nicht unterstützt werden.
Das Platzhalterzeichen können Sie nicht beim Definieren von Regeln zum Verfolgen von Inhalts- und
Attributänderungen für eine überwachte Datei verwenden.
•
Pfade, die in auf Registrierungsschlüsseln basierenden Regeln verwendet werden, können das
Platzhalterzeichen (*) enthalten. Das Platzhalterzeichen kann jedoch nur eine Pfadkomponente im
Registrierungspfad darstellen. Verwenden Sie das Zeichen für die Komponente auf keinen Fall am
Ende des kompletten Registrierungspfads (andernfalls ist die Regel nicht wirksam).
Außerdem ist CurrentControlSet in der Windows-Registrierung stets mit dem relevanten Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX verknüpft. Beispielsweise kann HKEY_LOCAL
_MACHINE\SYSTEM\CurrentControlSet mit dem Schlüssel HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001 verknüpft werden. Wenn eine Änderung an einer der Verknüpfungen erfolgt,
werden automatisch beide Verknüpfungen entsprechend aktualisiert. Für einen überwachten
Schlüssel werden Ereignisse immer mit dem Pfad von CurrentControlSet (nicht ControlSetXXX)
gemeldet.
38
Produkthandbuch
3
Überwachungsregeln
Definieren Sie Überwachungsregeln mithilfe dieser Tabelle. Sie können die folgenden Aktionen
ausführen, wenn Sie eine Überwachungsrichtlinie oder -regelgruppe (Integrity Monitor) erstellen oder
ändern.
Aktion
Schritte
Dateien und Verzeichnisse
überwachen
1 Klicken Sie auf der Registerkarte Datei auf Hinzufügen. Das
Dialogfeld Datei hinzufügen wird angezeigt.
2 Geben Sie den Datei- oder Verzeichnisnamen an.
3 Geben Sie an, ob die Datei in die Überwachung eingeschlossen
oder daraus ausgeschlossen werden soll.
4 (Optional) Sie können zur Verfolgung von Inhalts- und
Attributänderungen Überwachung von Inhaltsänderungen aktivieren
auswählen und die anderen Optionen angeben. Weitere
Informationen finden Sie unter Verfolgen von Inhaltsänderungen.
5 Klicken Sie auf OK.
Registrierungsschlüssel
überwachen (nur
Windows-Plattform)
1 Klicken Sie auf der Registerkarte Registrierung auf Hinzufügen. Das
Dialogfeld Registrierung hinzufügen wird angezeigt.
2 Geben Sie den Registrierungsschlüssel an.
oder daraus ausgeschlossen werden soll, und klicken Sie auf OK.
Bestimmte Dateitypen
überwachen
1 Klicken Sie auf der Registerkarte Erweiterung auf Hinzufügen. Das
Dialogfeld Erweiterung hinzufügen wird angezeigt.
2 Geben Sie die Dateinamenserweiterung ein. Der Punkt in der
Erweiterung darf dabei nicht angegeben werden. Beispiel: log.
Programmaktivität überwachen
(d. h. festlegen, ob alle Dateiund Registrierungsänderungen,
die das Programm vornimmt,
überwacht werden sollen)
1 Klicken Sie auf der Registerkarte Programm auf Hinzufügen. Das
Dialogfeld Programm hinzufügen wird angezeigt.
2 Geben Sie den Namen oder den vollständigen Pfad des
Programms ein.
Es wird empfohlen, Hintergrundprozesse wie den Prozess lsass
.exe auszuschließen.
Produkthandbuch
39
3
Aktion
Schritte
Benutzer angeben, die aus der 1 Klicken Sie auf der Registerkarte Benutzer auf Hinzufügen. Das
Überwachung ausgeschlossen
Dialogfeld Benutzer hinzufügen wird angezeigt.
werden sollen (d. h. alle
Änderungen, die der
2 Geben Sie den Benutzernamen an, und berücksichtigen Sie dabei
angegebene Benutzer
Folgendes:
vornimmt, werden nicht
• Leerzeichen in Benutzernamen müssen in Anführungszeichen
verfolgt)
stehen.
• Der Domänenname kann auf der Windows-Plattform Teil des
Benutzernamens sein. Wenn der Domänenname nicht
angegeben ist, wird der Benutzername für alle Domänen aus
der Überwachung ausgeschlossen.
• Schließen Sie alle Benutzer in einer bestimmten Domäne (auf
der Windows-Plattform) mithilfe von MY-DOMAIN\* oder
*@MY-DOMAIN aus.
Erweiterte Ausschlussfilter für
Ereignisse angeben
1 Klicken Sie auf der Registerkarte Filter auf Regel hinzufügen. Eine
neue Filterzeile wird angezeigt. Sie können Filter auf der Basis
von Dateien, Ereignissen, Programmen, Registrierungsschlüsseln
und Benutzern erstellen.
2 Bearbeiten Sie die Einstellungen, um den Filter festzulegen.
3 Klicken Sie auf + oder Regel hinzufügen, um zusätzliche AND- oder
OR-Bedingungen festzulegen.
Sie können über die Seite Solidcore-Ereignisse auch erweiterte
Ausschlussfilter (AEF, Advanced Exclusion Filter) definieren. Weitere
Informationen finden Sie unter Ausschließen von Ereignissen.
Change Control bietet mehrere vordefinierte Filter, die sich für die Überwachung relevanter Dateien auf
verschiedenen Betriebssystemen eignen.
Standardmäßig werden diese Filter auf den globalen Stamm in der Systemstruktur angewendet und
daher an alle von McAfee ePO verwalteten Endpunkte vererbt, auf denen Change Control installiert ist.
Sobald ein Endpunkt eine Verbindung zum McAfee ePO-Server aufbaut, kommt die Richtlinie "Minimale
Systemüberwachung" ins Spiel, die auf das Betriebssystem des Endpunkts anwendbar ist.
Sie können die vordefinierten Filter in der Richtlinie "Minimale Systemüberwachung" (die auf Ihr
Betriebssystem anwendbar ist) überprüfen.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Richtlinie | Richtlinienkatalogaus.
2
Wählen Sie das Produkt Solidcore 7.0.0: Integrity Monitor aus.
Es sind alle Richtlinien für alle Kategorien aufgeführt. Für jedes unterstützte Betriebssystem ist eine
Richtlinie Minimale Systemüberwachung vorhanden.
40
Produkthandbuch
3
3
Öffnen Sie die entsprechende Richtlinie Minimale Systemüberwachung.
Standardmäßig wird die (leere) Regelgruppe My Rules geöffnet.
4
Wählen Sie eine Regelgruppe im Bereich Regelgruppen aus, um die Filter zu prüfen, die sich in der
Regelgruppe befinden.
Damit etwaige Regeln in der Richtlinie Minimale Systemüberwachung außer Kraft gesetzt werden, können
Sie die relevante Regelgruppe (in der sich die erforderlichen Regeln befinden) duplizieren, die
Regelgruppe bearbeiten, um die neuen Regeln hinzuzufügen, und die Regelgruppe einer Richtlinie
hinzufügen. Stellen Sie für die meisten anderen Zwecke sicher, dass die Richtlinie Minimale
Systemüberwachung auf die Endpunkte angewendet wird und zusätzliche Regeln mit einer separaten
Richtlinie angewendet werden.
5
Klicken Sie auf Abbrechen.
Mithilfe einer Überwachungsrichtlinie können Sie Änderungen überwachen oder verschiedene Einheiten
eines Dateisystems und einer Registrierung aus der Überwachung ausschließen. Sie können die
Überwachung von Dateien, Verzeichnissen, Registrierungsschlüsseln, Dateitypen (nach
Dateinamenerweiterung), Programmen und Benutzern steuern. Hierbei handelt es sich um Richtlinien
für mehrere Slots. Sie können einem einzelnen Knoten in der Systemstruktur mehrere Richtlinien
zuweisen.
Zur Erstellung einer Überwachungsrichtlinie können Sie Regeln in einer Regelgruppe definieren (um
die wiederholte Verwendung von Regeln zu ermöglichen) und die Regelgruppe einer Richtlinie
hinzufügen oder die Regeln direkt in einer Richtlinie definieren.
Vorgehensweise
1
2
Wählen Sie das Produkt Solidcore 7.0.0: Integrity Monitor aus.
3
Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie erstellen zu öffnen.
4
Wählen Sie die Kategorie aus.
5
Wählen Sie Leere Vorlage aus der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen, um eine
Richtlinie von Grund auf neu zu erstellen.
6
Geben Sie den Namen der Richtlinie an, und klicken Sie auf OK.
7
Klicken Sie auf den Namen der Richtlinie, um die Seite Richtlinieneinstellungen zu öffnen.
Sie können nun die Regeln definieren, die in die Richtlinie aufgenommen werden sollen. Sie können
der Richtlinie entweder bestehende Regelgruppen oder direkt die neuen Regeln hinzufügen.
•
Um eine Regelgruppe zu verwenden, führen Sie die Schritte 8 und 10 aus. Weitere
Informationen finden Sie im Abschnitt Erstellen von Regelgruppen.
•
Führen Sie die Schritte 9 und 10 aus, um die Regeln der Richtlinie direkt hinzuzufügen.
Produkthandbuch
41
3
8
Fügen Sie der Richtlinie eine Regelgruppe hinzu.
a
Klicken Sie im Bereich Regelgruppen auf Hinzufügen, um das Dialogfeld Regelgruppen auswählen zu
öffnen.
b
Wählen Sie die Regelgruppe aus, die Sie hinzufügen möchten.
c
Klicken Sie auf OK.
d
Wählen Sie die Regelgruppe im Bereich Regelgruppen aus.
Die in der Regelgruppe enthaltenen Regeln werden auf den verschiedenen Registerkarten
angezeigt.
e
9
Überprüfen Sie die Regeln.
Fügen Sie der Richtlinie die Überwachungsregeln hinzu.
Weitere Informationen zum Definieren von Regeln finden Sie im Abschnitt Definieren von
Überwachungsregeln.
10 Speichern Sie die Richtlinie.
Mithilfe von Change Control können Sie Inhalts- und Attributänderungen für eine einzelne überwachte
Datei oder für alle Dateien in einem Verzeichnis und seinen Unterverzeichnissen verfolgen.
Wenn Sie die Überwachung von
Inhaltsänderungen für eine bestimmte
Datei aktivieren
Jede Änderung des Inhalts oder der Attribute der Datei
erzeugt eine neue Dateiversion auf dem McAfee
ePO-Server
Wenn Sie die Überwachung von
Inhaltsänderungen für ein Verzeichnis
aktivieren
Jede Änderung des Inhalts oder der Attribute der
Dateien im Verzeichnis erzeugt neue Dateiversionen auf
dem McAfee ePO-Server
Sie können die unterschiedlichen Versionen, die für eine Datei erstellt wurden, anzeigen und
vergleichen. Sie können auch zwei beliebige Dateien oder Dateiversionen vergleichen, die am selben
Endpunkt oder an unterschiedlichen Endpunkten vorhanden sind. Konfigurieren Sie eine automatische
Reaktion, damit eine E-Mail gesendet wird, sobald eine wichtige Datei geändert wird. (In der E-Mail
werden die genauen Änderungen an der Datei hervorgehoben.) Um einen Überblick über die
Änderungen an den überwachten Dateien in Ihrem Setup zu erhalten, können Sie auch die Erstellung
eines Berichts planen.
42
Produkthandbuch
3
Aufgaben
•
Einstellungen für die Überwachung von Inhaltsänderungen auf Seite 43
Sie können die folgenden Einstellungen für die Überwachung von Inhaltsänderungen
konfigurieren:
•
Konfigurieren von Einstellungen für die Überwachung von Inhaltsänderungen auf Seite 44
Geben Sie die maximale Dateigröße für die Überwachung von Inhaltsänderungen an sowie
Dateierweiterungen, für die nur Attribute überwacht werden, und die maximale Anzahl der
Dateien, die pro Regel abgerufen werden sollen.
•
Verfolgen von Inhaltsänderungen auf Seite 44
Beim Erstellen oder Ändern einer Überwachungsrichtlinie (Integrity Monitor)
oder -regelgruppe können Sie die Dateien angeben, für die Inhaltsänderungen verfolgt
werden sollen.
•
Verwalten von Dateiversionen auf Seite 46
Überprüfen Sie alle für eine Datei verfügbaren Versionen, vergleichen Sie Dateiversionen,
setzen Sie die Basisversion zurück, und löschen Sie Versionen.
•
Dateien vergleichen auf Seite 47
Vergleichen Sie zwei Dateien oder zwei Versionen einer einzigen Datei. Sie können Dateien
oder Versionen auf demselben Endpunkt oder auf unterschiedlichen Endpunkten
vergleichen.
•
Empfangen von Änderungsdetails auf Seite 48
Sie können Benachrichtigungen und Berichte basierend auf den Änderungen empfangen,
die an den Dateien in Ihrem Setup vorgenommen werden.
Einstellungen für die Überwachung von Inhaltsänderungen
Sie können die folgenden Einstellungen für die Überwachung von Inhaltsänderungen konfigurieren:
Einstellung
Beschreibung
Maximale Dateigröße
Standardmäßig können Sie Änderungen für jede Datei mit einer Größe von
höchstens 1.000 KB überwachen. Bei Bedarf können Sie die maximale
Dateigröße für die Überwachung von Inhaltsänderungen konfigurieren.
Das Ändern der maximalen Dateigröße hat Auswirkungen auf die
Anforderungen der McAfee ePO-Datenbankdimensionierung und
möglicherweise auch auf die Leistung.
Dateierweiterungen,
für die nur
Attributänderungen
überwacht werden
Bei Binärdateien verfolgt die Funktion zur Überwachung von
Inhaltsänderungen nur Attributänderungen (keine Inhaltsänderungen). Das
Beibehalten der Inhaltsunterschiede für Dateien mit nicht anzeigbaren
Inhalten würde unnötig Datenbankkapazität und McAfee ePO-Ressourcen
verbrauchen. Standardmäßig werden Attributänderungen nur für die
folgenden Erweiterungen überwacht.
• zip
• tar
• bz2
• tiff
• bmp
• gz
• jpg
• sys
• 7z
• bz
• exe
• png
• pdf
• tgz
• gif
• jar
• rar
• dll
Produkthandbuch
43
3
Einstellung
Beschreibung
Sie können die Liste bearbeiten, um für Ihr Setup spezifische
Dateierweiterungen anzugeben, für die nur Attributänderungen überwacht
werden sollen.
Maximal abgerufene
Anzahl an Dateien pro
Regel
Wenn Sie die Regel zur Überwachung von Inhaltsänderungen auf ein
Verzeichnis anwenden, werden Basisversionen aller Dateien im Verzeichnis,
die den festgelegten Mustern zum Einschließen oder Ausschließen
entsprechen, erfasst und an den McAfee ePO-Server gesendet. Diese
Basisversionen werden zum Verfolgen von Inhaltsänderungen und für
Vergleiche mit zukünftigen Versionen der Dateien verwendet.
Ist die Anzahl der einer bestimmten Regel entsprechenden Dateien zu hoch,
kann sich die Betriebsleistung des Endpunkts und gelegentlich des McAfee
ePO-Servers vermindern. Um solche Unterbrechungen zu vermeiden, können
Sie einen Wert zur Steuerung der maximal pro Regel abgerufenen Anzahl an
Dateien angeben. Diese Beschränkung gilt für die Anzahl der betroffenen
Dateien im Verzeichnis (die den Mustern für das Einschließen und
Ausschließen und den rekursiven und nicht-rekursiven Optionen
entsprechen), und nicht für die gesamten Dateien im Verzeichnis.
Überschreitet die Anzahl der einer bestimmten Regel entsprechenden
Dateien den festgelegten Schwellenwert, werden die Basisversionen der
Dateien nicht vom McAfee ePO-Server abgerufen. Alle nachfolgenden
Änderungen an den Dateien werden jedoch gemeldet, und Basisversionen
der neuen Dateien werden an den McAfee ePO-Server gesendet.
Standardmäßig ist die Zahl auf 100 Dateien pro Regel beschränkt. Sie
können diese Einstellung bei Bedarf für Ihr Setup konfigurieren.
Konfigurieren von Einstellungen für die Überwachung von
Inhaltsänderungen
Geben Sie die maximale Dateigröße für die Überwachung von Inhaltsänderungen an sowie
Dateierweiterungen, für die nur Attribute überwacht werden, und die maximale Anzahl der Dateien,
die pro Regel abgerufen werden sollen.
Vorgehensweise
1
2
Wählen Sie das Produkt Solidcore 7.0.0: Allgemein aus.
Die McAfee Default-Richtlinie umfasst benutzerdefinierbare Konfigurationseinstellungen.
3
Klicken Sie für die Richtlinie McAfee Default in der Kategorie Konfiguration (Client) auf Duplizieren.
4
Die Richtlinie wird erstellt und auf der Seite Richtlinienkatalog aufgelistet.
5
Klicken Sie auf die neue Richtlinie, um sie zu öffnen.
6
Wechseln Sie zur Registerkarte Verschiedenes.
7
Geben Sie Werte für die Einstellungen an.
8
Speichern Sie die Richtlinie, und wenden Sie sie auf die relevanten Endpunkte an.
Verfolgen von Inhaltsänderungen
Beim Erstellen oder Ändern einer Überwachungsrichtlinie (Integrity Monitor) oder -regelgruppe können
Sie die Dateien angeben, für die Inhaltsänderungen verfolgt werden sollen.
44
Produkthandbuch
3
Vorgehensweise
1
Navigieren Sie zur Registerkarte Datei.
2
Führen Sie einen dieser Schritte aus:
3
•
Klicken Sie auf Hinzufügen, um Änderungen für eine neue Datei zu überwachen und zu verfolgen.
•
Wählen Sie eine vorhandene Regel aus, und klicken Sie auf Bearbeiten.
Prüfen Sie die Dateiinformationen, oder fügen Sie sie hinzu.
Sie können keine Änderungen an Netzwerkdateien (Dateien auf Netzwerkpfaden) verfolgen.
4
Wählen Sie Überwachung von Inhaltsänderungen aktivieren aus.
5
Wählen Sie die Dateicodierung aus.
Sie können zwischen Automatische Erkennung, ASCII, UTF-8 und UTF-16 wählen. Automatische Erkennung kann
für die meisten Dateien verwendet werden. Wenn Sie die Dateicodierung kennen, wählen Sie ASCII,
UTF-8 bzw. UTF-16 aus. Bei Bedarf können Sie neue Dateicodierungswerte hinzufügen. Wenden Sie
sich an den McAfee-Support, um Hilfe beim Hinzufügen eines Dateicodierungswerts zu erhalten.
6
Verfolgen Sie Inhaltsänderungen für Dateien in einem Verzeichnis.
a
Wählen Sie Ist Verzeichnis aus.
b
Wählen Sie Rekursion für Verzeichnis durchführen aus, um Änderungen an Dateien in allen
Unterverzeichnissen des angegebenen Verzeichnisses zu verfolgen.
c
(Optional) Geben Sie in den Optionen Muster einschließen bzw. Muster ausschließen Muster an, die mit
Dateinamen übereinstimmen sollen. Stellen Sie beim Festlegen mehrerer Muster sicher, dass
sich jedes Muster in einer einzelnen Zeile befindet.
Wenn Sie kein Muster angeben, werden alle Dateien bei der Änderungsüberwachung
berücksichtigt. Sie können am Anfang oder am Ende eines Musters ein Sternchen (*)
hinzufügen. Wenn Sie *.txt als Einschlussmuster festlegen, werden nur .txt-Dateien im
Verzeichnis überwacht. Wenn Sie *.ini als Ausschlussmuster angeben, werden keine
.ini-Dateien im Verzeichnis überwacht. Stellen Sie beim Festlegen mehrerer Muster unbedingt
sicher, dass sich jedes Muster in einer einzelnen Zeile befindet. Beispiel:
*.log
Test.txt
Test*
Wenn Sie fälschlicherweise *.log und Test.txt in eine Zeile schreiben, betrachtet die Software
dies als ein Muster und sucht nach entsprechenden Übereinstimmungen.
Das Ausschließen von Mustern hat Vorrang vor dem Einschließen. Wenn Sie demnach
versehentlich ein Einschluss- und ein Ausschlussmuster für dieselbe Datei definieren, gilt das
Ausschlussmuster.
7
Klicken Sie auf OK.
Produkthandbuch
45
3
Verwalten von Dateiversionen
Überprüfen Sie alle für eine Datei verfügbaren Versionen, vergleichen Sie Dateiversionen, setzen Sie
die Basisversion zurück, und löschen Sie Versionen.
Die Basisversion identifiziert den Anfangspunkt bzw. das Anfangsdokument, das für den Vergleich oder
die Kontrolle verwendet werden soll. In der Regel ist die älteste Version einer Datei als Basisversion
festgelegt. Das bedeutet, wenn Sie beginnen, Änderungen für eine Datei zu verfolgen, werden der
anfängliche Dateiinhalt und Attribute in der McAfee ePO-Datenbank gespeichert und als Basisversion
festgelegt.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Berichterstellung | Überwachung von Inhaltsänderungenaus.
Alle Dateien, für die die Überwachung von Inhaltsänderungen aktiviert ist, sind aufgelistet.
2
3
Geben Sie die Datei an, für die Versionen geprüft werden sollen.
•
Geben Sie den Endpunkt oder den Dateinamen in das Feld Schnellsuche ein, und klicken Sie auf
Übernehmen. Die Liste wird auf der Basis der eingegebenen Suchzeichenfolge aktualisiert.
•
Sortieren Sie die Liste nach Systemname, Dateipfad oder Status.
Führen Sie Dateivorgänge durch.
Zweck
Vorgehensweise
Überprüfen Sie den In der Spalte Dateistatus wird der aktuelle Status der Überwachung von
Dateistatus.
Inhaltsänderungen angegeben.
Überprüfen Sie die
Version.
Klicken Sie auf Versionen anzeigen. Auf der Seite Dateirevisionen werden alle
Versionen der Datei angezeigt. Von dieser Seite aus können Sie
Dateiversionen vergleichen, die Basisversion festlegen und Dateiversionen
aus der McAfee ePO-Datenbank löschen.
Vergleichen Sie die
Dateiversionen.
1 Geben Sie an, was verglichen werden soll.
• Klicken Sie für eine Version auf Vergleich mit vorherigem, um diese Version
mit der vorherigen Version der Datei zu vergleichen, die in der McAfee
ePO-Konsole verfügbar ist.
• Klicken Sie für eine Version auf Vergleich mit Basis, um diese Version mit der
Basisversion zu vergleichen.
• Wählen Sie zwei beliebige Versionen aus (indem Sie die zugehörigen
Kontrollkästchen aktivieren), und wählen Sie dann Aktionen | Dateien
vergleichen aus, um die ausgewählten Versionen zu vergleichen.
Die Versionen werden verglichen, und Unterschiede zwischen Dateiinhalt
und Dateiattributen werden angezeigt.
2 Klicken Sie auf Schließen.
46
Produkthandbuch
Zweck
Vorgehensweise
Setzen Sie die
Basisversion
zurück.
1 Wählen Sie eine Dateiversion aus, die Sie als Basisversion festlegen
möchten, indem Sie das zugehörige Kontrollkästchen aktivieren.
3
2 Wählen Sie Aktionen | Als Basisversion festlegen aus, um das Dialogfeld Als
Basisversion festlegen zu öffnen.
3 Klicken Sie auf OK. Dadurch wird die Basisversion zurückgesetzt, und alle
früheren Versionen der Datei (die älter als die neue Basisversion sind)
werden gelöscht.
Mit der Software können bis zu 200 Versionen einer Datei überwacht werden.
Wenn die Anzahl der überwachten Versionen 200 überschreitet, löscht die
Anwendung die ältesten Versionen, um die zulässige Anzahl von 200
Versionen beizubehalten. Anschließend wird die älteste Version automatisch
als Basisversion festgelegt. Bei Bedarf können Sie die Anzahl der Versionen
konfigurieren, die für eine Datei beibehalten werden sollen. Bitten Sie den
McAfee-Support bei der Konfiguration der Anzahl der Versionen, die für eine
Datei beibehalten werden sollen, um Unterstützung.
Löschen Sie
Dateiversionen.
Durch Löschen von Dateiversionen werden die ausgewählten Dateiversionen
aus der McAfee ePO-Datenbank entfernt. Dadurch wird die auf dem
Endpunkt vorhandene Datei nicht geändert oder gelöscht.
1 Wählen Sie eine oder mehrere Dateiversionen aus, indem Sie die
zugehörigen Kontrollkästchen aktivieren.
2 Wählen Sie Aktionen | Löschenaus, und klicken Sie dann auf OK.
4
Klicken Sie auf Schließen.
Dateien vergleichen
Vergleichen Sie zwei Dateien oder zwei Versionen einer einzigen Datei. Sie können Dateien oder
Versionen auf demselben Endpunkt oder auf unterschiedlichen Endpunkten vergleichen.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Berichterstellung | Überwachung von Inhaltsänderungenaus.
2
Klicken Sie auf Erweiterter Dateivergleich.
3
Geben Sie Informationen für die erste Datei an.
a
Wählen Sie eine Gruppe aus der Liste aus.
b
Geben Sie den Hostnamen ein.
c
Geben Sie den Namen und den Pfad der Datei ein.
d
Wählen Sie die zu vergleichende Version aus.
4
Geben Sie Informationen für die zweite Datei an.
5
Klicken Sie auf Vergleich anzeigen.
Die Attribute und der Inhalt der Dateien werden verglichen, und die Unterschiede werden
angezeigt.
Produkthandbuch
47
3
6
Prüfen Sie die Ergebnisse.
7
Empfangen von Änderungsdetails
Sie können Benachrichtigungen und Berichte basierend auf den Änderungen empfangen, die an den
Dateien in Ihrem Setup vorgenommen werden.
Aufgaben
•
Überwachen aller Dateiänderungen auf Seite 48
Wenn Sie Änderungen an einer wichtigen Datei genau beobachten möchten, können Sie
festlegen, dass Sie bei jeder Änderung der Datei eine E-Mail mit den Änderungsdetails
erhalten.
•
Konsolidierten Bericht erstellen auf Seite 49
Um einen Überblick über die Änderungen an den überwachten Dateien in Ihrem Setup zu
erhalten, planen Sie die Erstellung eines konsolidierten Berichts auf der Grundlage der
erforderlichen Kriterien.
Überwachen aller Dateiänderungen
Wenn Sie Änderungen an einer wichtigen Datei genau beobachten möchten, können Sie festlegen,
dass Sie bei jeder Änderung der Datei eine E-Mail mit den Änderungsdetails erhalten.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Automatisierung | Automatische Reaktionenaus.
2
Klicken Sie auf Aktionen | Neue Reaktion , um die SeiteAntwort-Generator zu öffnen.
3
48
a
Geben Sie den Reaktionsnamen ein.
b
Wählen Sie die Gruppe Solidcore-Ereignisse und den Typ Dateiinhaltsänderungsereignis aus.
c
Wählen Sie Aktiviert aus.
d
Klicken Sie auf Weiter, um die Seite Filter zu öffnen.
Geben Sie den Datei- und/oder Systemnamen an.
•
Damit Sie jedes Mal eine E-Mail erhalten, wenn sich eine bestimmte verfolgte Datei ändert (an
allen verwalteten Endpunkten), geben Sie nur den Dateinamen an.
•
Damit Sie jedes Mal eine E-Mail erhalten, wenn sich eine beliebige verfolgte Datei an einem
Endpunkt ändert, geben Sie nur den Systemnamen an.
•
Damit Sie jedes Mal eine E-Mail erhalten, wenn sich eine bestimmte Datei an einem Endpunkt
ändert, geben Sie den Dateinamen und den Systemnamen an.
4
Klicken Sie auf Weiter, um die Seite Aggregation zu öffnen.
5
Geben Sie Aggregationsdetails an, und klicken Sie dann auf Weiter, um die Seite Aktionen zu öffnen.
6
Wählen Sie Dateiinhaltsänderungs-E-Mail senden aus, geben Sie die E-Mail-Details an, und klicken Sie auf
Weiter, um die Seite Zusammenfassung zu öffnen.
7
Prüfen Sie die Angaben, und klicken Sie auf Speichern.
Produkthandbuch
3
Konsolidierten Bericht erstellen
Um einen Überblick über die Änderungen an den überwachten Dateien in Ihrem Setup zu erhalten,
planen Sie die Erstellung eines konsolidierten Berichts auf der Grundlage der erforderlichen Kriterien.
Vorgehensweise
1
Klicken Sie in der McAfee ePO-Konsole auf Menü | Berichterstellung | Abfragen und Berichte.
2
Wählen Sie in der McAfee ePO-Konsole unter McAfee-Gruppen die Change Control-Gruppe aus.
3
Bericht für alle
Verwenden Sie die Abfrage Erstellung des Berichts zur Überwachung von Inhaltsänderungen –
überwachten
mit Gruppe 'Eigenes Unternehmen'.
Dateien im Setup
generieren
Diese Abfrage ruft Informationen zu allen überwachten Dateien in Ihrem Setup
ab und kann sich daher auf die Leistung auswirken. Wir empfehlen Ihnen, diese
Abfrage zu duplizieren, um eine neue Abfrage zu erstellen und für Ihr Setup
relevante Kriterien anzugeben.
Bericht basierend 1 Klicken Sie für die Abfrage Erstellung des Berichts zur Überwachung von
auf spezifischen
Inhaltsänderungen – mit Gruppe 'Eigenes Unternehmen' auf Duplizieren, damit das
Kriterien
Dialogfeld Duplizieren geöffnet wird.
generieren
2 Geben Sie den Abfragenamen und die Abfragegruppe an, und klicken Sie
dann auf OK.
3 Navigieren Sie zur erstellten Abfrage, und klicken Sie auf Bearbeiten, um den
Assistenten Abfragen-Generator zu öffnen.
4 Wechseln Sie zur Registerkarte Filter.
5 Fügen Sie die erforderlichen Filter hinzu.
• Verwenden Sie die Eigenschaft Erstellungszeit, um Informationen zu in einem
bestimmten Intervall vorgenommenen Inhaltsänderungen abzurufen.
• Verwenden Sie die Eigenschaft Dateipfad, um Informationen zu einer oder
mehreren bestimmten Dateien abzurufen.
• Verwenden Sie die Eigenschaften Systemname, Gruppe und Tags, um die
Endpunkte anzugeben, für die Informationen abgerufen werden sollen.
6 Klicken Sie auf Speichern, um die Seite Abfrage speichern zu öffnen.
7 Klicken Sie auf Speichern.
4
Wählen Sie in der McAfee ePO-Konsole Menü | Automatisierung | Server-Tasksaus.
5
Klicken Sie auf Aktionen | Neuer Task , um den Assistenten Generator für Server-Tasks zu öffnen.
6
Geben Sie den Task-Namen ein, und klicken Sie dann auf Weiter, um die Seite Aktionen zu öffnen.
7
Wählen Sie aus der Liste Aktionen die Option Solidcore: Erstellung des Berichts zur Überwachung von
Inhaltsänderungen aus.
8
Konfigurieren Sie die Einstellungen für den Task.
a
Geben Sie die Regelgruppe an (Integrity Monitor).
b
Geben Sie die Abfrage an (aus Schritt 2).
Produkthandbuch
49
3
c
Geben Sie die Anzahl der abzurufenden Revisionen für jede Datei an.
Beispiel: Eine Datei wurde auf der Grundlage des spezifischen Intervalls in der Abfrage in den
letzten sieben Tagen 50-mal geändert. Um Informationen zu den letzten 15 Versionen der Datei
abzurufen, legen Sie den Wert für Letzte N Revisionen abrufen auf 15 fest. Der Standardwert für die
Anzahl von Revisionen ist 10, der maximal zulässige Wert ist 100, der Mindestwert 1.
d
Geben Sie die E-Mail-Adressen (durch Kommas getrennt) an, um den generierten Bericht zu
versenden.
Stellen Sie sicher, dass der E-Mail-Server im McAfee ePO-Server konfiguriert ist.
e
Geben Sie den Betreff der E-Mail an.
f
Geben Sie den Berichtsnamen an.
Dem Berichtsnamen wird standardmäßig Datum und Uhrzeit hinzugefügt, wenn der Bericht
erstellt wird.
Der vom Server-Task generierte Bericht (PDF-Datei) wird standardmäßig als E-Mail-Anhang an alle
Empfänger gesendet. Eine bis zu 20 MB große Datei kann per E-Mail verschickt werden. Wenn die
Dateigröße 20 MB überschreitet, werden die Empfänger mit einer Fehlermeldung per E-Mail
darüber informiert. Da der generierte Bericht groß sein kann, können Sie ihn an einem
Remote-Standort speichern und einen Link per E-Mail an alle Empfänger senden.
9
(Optional) Legen Sie den generierten Bericht in einem freigegebenen Ordner ab, und senden Sie
den entsprechenden Link per E-Mail an alle Empfänger.
a
Wählen Sie Verwenden Sie diese Option, um den Bericht in eine Netzwerkfreigabe zu kopieren und Informationen zur
Netzwerkfreigabe per E-Mail zu senden aus.
b
Geben Sie einen Pfad zum Speicherort des generierten Berichts an.
c
Geben Sie die Netzwerkzugangsdaten für den Zugriff auf den angegebenen Pfad an.
d
Klicken Sie auf Verbindung testen, um sicherzustellen, dass die angegebenen Anmeldeinformationen
funktionieren.
10 Klicken Sie auf Weiter.
11 Geben Sie den Zeitplan für den Task an, und klicken Sie auf Weiter, um die Seite Zusammenfassung zu
öffnen.
12 Überprüfen Sie die Task-Zusammenfassung, und klicken Sie dann auf Speichern.
13 Wählen Sie auf der Seite Server-Tasks für diesen Server-Task Ausführen.
50
Produkthandbuch
4
Schützen von Dateisystem und
Registrierung
Mithilfe von Change Control können Sie Änderungen am Dateisystem und der Registrierung
verhindern.
Inhalt
Funktionsweise von Schutzregeln
Definieren von Schutzregeln
Erstellen einer Schutzrichtlinie
Aktivieren des Leseschutzes
Funktionsweise von Schutzregeln
Sie definieren Lese- und Schreibschutzregeln, um unberechtigte Zugriffe und Änderungen zu
verhindern.
Leseschutzregeln
Verhindern, dass Benutzer den Inhalt angegebener Dateien, Verzeichnisse und
Volumes lesen können.
Wenn ein Verzeichnis lesegeschützt ist, sind alle Dateien im Verzeichnis
lesegeschützt. Jeglicher nicht autorisierte Versuch, Daten aus geschützten
Dateien zu lesen, wird verhindert, und es wird ein Ereignis generiert. Schreiben
in lesegeschützte Dateien ist erlaubt.
Für Registrierungsschlüssel können keine Leseschutzregeln festgelegt werden
Schreibschutzregeln Verhindern, dass Benutzer neue Dateien (einschließlich Verzeichnisse und
Registrierungsschlüssel) erstellen und bestehende Dateien, Verzeichnisse und
Registrierungsschlüssel ändern.
• Definieren Sie Schreibschutzregeln für Dateien und Verzeichnisse, um sie vor
nicht autorisierten Änderungen zu schützen. Schützen Sie nur systemwichtige
Dateien. Wenn ein Verzeichnis in den Schreibschutz aufgenommen wird, sind
sämtliche Dateien in diesem Verzeichnis und dessen Unterverzeichnissen
schreibgeschützt.
• Definieren Sie Schreibschutzregeln für wichtige Registrierungsschlüssel, um
sie vor Änderung zu schützen.
Kann ich definierte Regeln außer Kraft setzen?
Sie können Regeln zum Schutz und ebenso zusätzliche Regeln definieren, um den geltenden Schreibund Leseschutz selektiv zu umgehen.
Produkthandbuch
51
4
•
Geben Sie Programme an, die den Lese- und Schreibschutz selektiv umgehen dürfen.
•
Geben Sie Benutzer an (nur auf der Windows-Plattform), die den Lese- und Schreibschutz selektiv
umgehen dürfen.
Es gibt eine Rangordnung für Schutzregeln
Folgende Bedingungen bestehen, wenn Schutzregeln auf dem Endpunkt angewendet werden.
•
Ausschlussregeln haben Vorrang vor Einschlussregeln.
Wenn Sie beispielsweise versehentlich eine Einschluss- und eine Ausschlussregel für dieselbe Datei
definieren, gilt die Ausschlussregel.
•
Längere Pfade haben Vorrang.
Wenn beispielsweise C:\temp für den Schreibschutz eingeschlossen und C:\temp\foo.cfg
ausgeschlossen wird, werden die Änderungen an foo.cfg zugelassen. Wenn Sie den Schlüssel HKEY
_LOCAL_MACHINE für den Schreibschutz ausschließen und den Schlüssel HKEY_LOCAL_MACHINE
\System einschließen, werden die Änderungen an dem Schlüssel HKEY_LOCAL_MACHINE\System
verhindert.
Unabhängig davon, ob Sie eine neue Regelgruppe oder Richtlinie verwenden, ist das verfügbare
Framework zur Definition von Schutzregeln identisch.
Systemvariablen
Der in einer Schutzregel angegebene Pfad kann Systemumgebungsvariablen enthalten (nur auf der
Windows-Plattform). In der folgenden Tabelle sind die unterstützten Systemvariablen aufgeführt.
Variable
%ALLUSERSPROFILE%
C:\Dokumente und Einstellungen\Alle Benutzer
%APPDATA%
\Anwendung
%HOMEDRIVE%
C:
%HOMEPATH%
C:\Dokumente und Einstellungen\{Benutzername} (\ in
früheren Windows-Versionen)
%PROGRAMFILES%
C:\Programme
%SYSTEMDRIVE%
C:
%SYSTEMROOT%
%TEMP% (System) %tmp% (Benutzer) C:\Dokumente und Einstellungen\{Benutzername}\Lokale
Einstellungen\Temp
C:\Temp
52
%USERPROFILE%
C:\Dokumente und Einstellungen\{Benutzername} (C:WINNT
\profiles\{Benutzername} in früheren Versionen)
%WINDIR%
C:\Windows
Produkthandbuch
4
•
Pfade müssen beim Festlegen von Regeln zum Lese- und Schreibschutz von Dateien und
Verzeichnissen absolut sein.
•
Pfade brauchen beim Festlegen von Regeln zum Hinzufügen eines vertrauenswürdigen Programms
oder Aktualisierungsprogramms nicht absolut zu sein. Sie können beispielsweise einen partiellen
Pfad wie AcroRd32.exe oder Reader\AcroRd32.exe bzw. einen vollqualifizierten Pfad wie C:
\Programme\Adobe\Reader 9.0\Reader\AcroRd32.exe angeben. Wenn Sie den partiellen Pfad
angeben, werden alle Programme, die mit der angegebenen Zeichenfolge übereinstimmen, als
vertrauenswürdige Programme hinzugefügt. Geben Sie hingegen den vollqualifizierten Pfad an, wird
nur das angegebene Programm als vertrauenswürdiges Programm hinzugefügt.
•
•
Pfadkomponente dargestellt werden. Hier ein paar Beispiele:
UNIX-Plattform
•
Pfade, die in auf Registrierungsschlüsseln basierenden Regeln verwendet werden, können das
Platzhalterzeichen (*) enthalten. Das Platzhalterzeichen kann jedoch nur eine Pfadkomponente im
Registrierungspfad darstellen. Verwenden Sie das Zeichen für die Komponente auf keinen Fall am
Ende des kompletten Registrierungspfads (andernfalls ist die Regel nicht wirksam).
Schutzregeln
Sie können Schutzregeln definieren, wenn Sie eine Schutzrichtlinie oder -regelgruppe (Change
Control) erstellen oder ändern möchten.
Aktion
Schritte
Leseschutz für Dateien
und Verzeichnisse
festlegen
1 Klicken Sie auf der Registerkarte Leseschutz festlegen auf Hinzufügen. Das
Dialogfeld Datei hinzufügen wird angezeigt.
3 Geben Sie an, ob die Datei bzw. das Verzeichnis in den Leseschutz
eingeschlossen oder daraus ausgeschlossen werden soll.
Der Leseschutz ist an den Endpunkten standardmäßig deaktiviert.
Schreibschutz für Dateien
und Verzeichnisse
festlegen
1 Klicken Sie auf der Registerkarte Schreibschutz für Datei festlegen auf
Hinzufügen. Das Dialogfeld Datei hinzufügen wird angezeigt.
3 Geben Sie an, ob die Datei bzw. das Verzeichnis in den Schreibschutz
Produkthandbuch
53
4
Aktion
Schritte
Schreibschutz für
festlegen
1 Klicken Sie auf der Registerkarte Schreibschutz für Registrierung festlegen auf
Hinzufügen. Das Dialogfeld Registrierung hinzufügen wird angezeigt.
2 Geben Sie den Registrierungsschlüssel an.
3 Geben Sie an, ob die Datei bzw. das Verzeichnis in den Schreibschutz
54
Produkthandbuch
4
Aktion
Schritte
Vertrauenswürdige
1 Klicken Sie auf der Registerkarte Aktualisierungsprogramme auf Hinzufügen.
Programme angeben, die
Das Dialogfeld Aktualisierungsprogramm hinzufügen wird angezeigt.
die Lese- und
Schreibschutzregeln außer 2 Geben Sie an, ob das Aktualisierungsprogramm basierend auf dem
Kraft setzen können
Dateinamen oder dem SHA-1 hinzugefügt werden soll. Wenn Sie das
Aktualisierungsprogramm anhand des Namens hinzufügen, wird es
nicht automatisch autorisiert. Das Aktualisierungsprogramm wird
jedoch autorisiert, wenn Sie es anhand des SHA-1 hinzufügen.
3 Geben Sie den Speicherort (bei Hinzufügen nach Name) oder den
SHA-1-Wert der ausführbaren Datei oder Binärdatei an.
4 Geben Sie eine eindeutige Identifizierungsbeschriftung für die
ausführbare Datei ein. Wenn Sie beispielsweise Adobe Updater-Änderungen
als Identifizierungsbeschriftung für die Datei Adobe_Updater.exe
angeben, werden alle Änderungsereignisse durch Adobe_Updater.exe
mit dieser Beschriftung gekennzeichnet.
5 Wenn Sie ein Aktualisierungsprogramm nach Name hinzufügen, geben
Sie Bedingungen an, die die Binärdatei erfüllen muss, um als
Aktualisierungsprogramm ausgeführt zu werden.
• Wählen Sie Keine aus, damit die Binärdatei als
Aktualisierungsprogramm ganz ohne Bedingungen ausgeführt
werden darf.
• Wählen Sie Bibliothek aus, um die Ausführung der Binärdatei als
Aktualisierungsprogramm erst zuzulassen, wenn die angegebene
Bibliothek geladen ist. Wenn Sie beispielsweise iexplore.exe als ein
Aktualisierungsprogramm konfigurieren, damit Internet Explorer für
Windows-Updates verwendet werden darf, geben Sie wuweb.dll als
Bibliothek an. Dadurch wird sichergestellt, dass das Programm
iexplore.exe nur so lange über
Aktualisierungsprogramm-Berechtigungen verfügt, bis die
Web-Kontrollbibliothek (wuweb.dll) geladen ist.
• Wählen Sie Übergeordnet aus, damit die Binärdatei nur dann als
Aktualisierungsprogramm ausgeführt werden kann, wenn sie vom
angegebenen übergeordneten Prozess gestartet wird. Wenn Sie
beispielsweise updater.exe als Aktualisierungsprogramm
konfigurieren, um Änderungen an Mozilla Firefox zuzulassen, geben
Sie firefox.exe als übergeordneten Prozess an. Zwar ist updater
.exe ein generischer Name, der Teil jeder installierten Anwendung
sein kann, jedoch stellt die Verwendung des übergeordneten
Prozesses sicher, dass nur das richtige Programm als
Aktualisierungsprogramm ausgeführt werden kann.
Sie an, ob die Vererbung für das entsprechende
Aktualisierungsprogramm deaktiviert werden soll. Wenn beispielsweise
Prozess A (als Aktualisierungsprogramm festgelegt) das übergeordnete
Element ist und Prozess B startet, stellt die Deaktivierung der
Vererbung für Prozess A sicher, dass B kein Aktualisierungsprogramm
werden kann.
Sie an, ob Ereignisse unterdrückt werden sollen, die für die Aktionen
eines Aktualisierungsprogramms generiert werden. In der Regel wird
Produkthandbuch
55
4
Aktion
Schritte
ein Ereignis des Typs "Datei geändert" generiert, sobald ein
Aktualisierungsprogramm eine geschützte Datei ändert. Indem Sie
diese Option auswählen, werden keine Ereignisse für Änderungen
generiert, die das Aktualisierungsprogramm ausführt.
56
Produkthandbuch
4
Aktion
Schritte
Benutzer angeben, die die
Lese- und
Schreibschutzregeln außer
Kraft setzen können
Sie können die Benutzerdetails entweder eingeben oder Benutzer- und
Gruppendetails aus einem Active Directory-Verzeichnis importieren.
Stellen Sie sicher, dass das Active Directory-Verzeichnis als registrierter
Server konfiguriert ist.
Geben Sie Details an, um Benutzer zu autorisieren, die Lese- und
Schreibschutzregeln außer Kraft zu setzen. (Nur für Windows)
1 Klicken Sie auf der Registerkarte Benutzer auf Hinzufügen. Das Dialogfeld
Benutzer hinzufügen wird angezeigt.
2 Erstellen Sie für jeden Benutzer 2 Regeln.
• Mit UPN/SAM und dem Domänen-Kontonamen (im Format
Domänenname\Benutzer)
• Mit dem NetBIOS-Namen der Domäne (im Format NetBIOS-Name
\Benutzer)
3 Geben Sie eine eindeutige Identifizierungsbeschriftung für den
Benutzer ein. Wenn Sie beispielsweise Max Mustermann-Änderungen als
Identifizierungsbeschriftung für den Benutzer Max Mustermann
eingeben, werden alle Änderungen durch den Benutzer mit dieser
Beschriftung gekennzeichnet.
4 Geben Sie den Benutzernamen ein.
Importieren Sie Benutzerdetails aus einem Active Directory-Verzeichnis.
1 Klicken Sie auf der Registerkarte Benutzer auf AD-Import. Daraufhin wird
das Dialogfeld Aus Active Directory importieren angezeigt.
2 Wählen Sie den Server aus.
3 Wählen Sie Suche im globalen Katalog aus, um Benutzer im Katalog zu
suchen (nur wenn es sich beim ausgewählten Active
Directory-Verzeichnis um einen Server des globalen Katalogs handelt).
4 Wählen Sie aus, ob Sie anhand des UPN (User Principal Name,
Benutzerprinzipalname) oder anhand des SAM-Kontonamens nach
Benutzern suchen möchten. Ihre Suchkriterien bestimmen den
autorisierten Benutzer. Stellen Sie sicher, dass Sie das
vertrauenswürdige Konto verwenden, um sich beim Endpunkt
anzumelden. Wenn Sie beim Hinzufügen eines Benutzers den
UPN-Namen verwenden, stellen Sie sicher, dass der Benutzer, der sich
Produkthandbuch
57
4
Aktion
Schritte
mit dem UPN-Namen am Endpunkt anmeldet, über die Berechtigungen
als vertrauenswürdiger Benutzer verfügt.
5 Geben Sie den Benutzernamen an. Das Suchkriterium Enthält wird auf
den angegebenen Benutzernamen angewendet.
6 Geben Sie für die Suche nach Benutzern in einer Gruppe einen
Gruppennamen an. Sie können einer Richtlinie nicht direkt eine Gruppe
hinzufügen, die im Active Directory-Verzeichnis vorhanden ist. Wenn
Sie alle Benutzer in einer Gruppe autorisieren möchten, fügen Sie die
Benutzergruppe einer Regelgruppe hinzu, und nehmen Sie die
Regelgruppe anschließend in eine Richtlinie auf. Wenn Sie eine
Benutzergruppe in eine Regelgruppe einschließen, werden folgende
Aktionen ausgelöst.
a Application Control führt einen Task im Hintergrund aus, um eine
Abfrage im konfigurierten Active Directory-Server durchzuführen und
Benutzerdetails abzurufen.
b Der Active Directory-Server sendet eine Liste der Benutzer und der
dazugehörigen Attribute, beispielsweise netbiosName und
Benutzername, für alle Benutzer der angegebenen Benutzergruppe.
Diese Details werden in der Regelgruppe gespeichert.
c Application Control fügt jeden Benutzer in der Benutzergruppe als
vertrauenswürdigen Benutzer hinzu. Diese Benutzer werden in der
Benutzerschnittstelle nicht als individuelle Benutzer angezeigt. Die
Benutzerliste ist jedoch verfügbar, wenn Sie die Regelgruppedaten in
eine XML-Datei exportieren.
Durch das Hinzufügen von Benutzergruppen wird sichergestellt, dass
alle Änderungen an einer Benutzergruppe automatisch über alle
Regelgruppen und zugehörigen Richtlinien verteilt werden.
7 Klicken Sie auf Suchen. Die Suchergebnisse werden angezeigt.
8 Wählen Sie die hinzuzufügenden Benutzer auf der Seite mit den
Suchergebnissen aus, und klicken Sie auf OK.
Schutzrichtlinien sind Richtlinien für mehrere Richtlinienplätze. Sie können einem einzelnen Knoten in
der Systemstruktur mehrere Richtlinien zuweisen.
Vorgehensweise
58
1
2
Wählen Sie das Produkt Solidcore 7.0.0: Change Control aus.
3
Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie erstellen zu öffnen.
4
Produkthandbuch
4
5
Wählen Sie Leere Vorlage aus der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen, um eine
Richtlinie von Grund auf neu zu erstellen.
6
Geben Sie den Namen der Richtlinie an, und klicken Sie auf OK, um die Seite Richtlinieneinstellungen zu
öffnen.
7
Geben Sie Schutzregeln an.
Die Leseschutzfunktion ist standardmäßig deaktiviert. Aktivieren Sie zur Verwendung von
Leseschutzregeln die Leseschutzfunktion für die Endpunkte.
8
Speichern Sie die Richtlinie.
Die Leseschutzfunktion ist für eine optimale Systemleistung standardmäßig deaktiviert. Führen Sie
einen Befehl am Endpunkt aus, der den Leseschutz aktiviert.
Vorgehensweise
1
2
•
•
a
Klicken Sie auf Aktionen | Neue Client-Task-Zuweisung.
Die Seite Generator für Client-Task-Zuweisung wird angezeigt.
b
Wählen Sie das Produkt Solidcore 7.0.0 und den Task-Typ SC: Befehle ausführen aus, und klicken Sie auf
Neuen Task erstellen.
Die Seite Client-Task-Katalog wird angezeigt.
c
3
Geben Sie den folgenden Befehl ein.
features enable deny-read
4
Wählen Sie Reaktion erforderlich aus, wenn der Status der Befehle unter Menü | Automatisierung |
Solidcore-Client-Task-Protokoll angezeigt werden soll.
5
6
7
Geben Sie Planungsdetails an, und klicken Sie dann auf Weiter.
8
Überprüfen Sie die Task-Details, und klicken Sie dann auf Speichern.
9
(Optional) Reaktivieren Sie den Agent, um Ihren Client-Task sofort an den Endpunkt zu senden.
Produkthandbuch
59
4
60
Produkthandbuch
5
Wenn eine überwachte Datei oder ein überwachter Registrierungsschlüssel geändert wird oder
versucht wird, auf eine geschützte Ressource zuzugreifen oder diese zu ändern, wird am Endpunkt ein
Ereignis generiert und an den McAfee ePO-Server gesendet. Prüfen und verwalten Sie die generierten
Ereignisse, um den Netzwerkstatus zu überwachen.
Mithilfe anpassbarer Dashboards können Sie auch wichtige Sicherheitsstatus auf einen Blick
überwachen und in vorkonfigurierten, anpassbaren Abfragen und Berichten an relevante Mitarbeiter
und Entscheidungsträger melden.
Inhalt
Ereignisse verwalten
Dashboards
Abfragen
Anzeigen von Abfragen
Zeigen Sie die Ereignisse über die McAfee ePO-Konsole an, und verwalten Sie sie dort.
Aufgaben
•
Überprüfen von Ereignissen auf Seite 61
Überprüfen Sie die Ereignisse durch Angabe der Zeitdauer und Endpunktinformationen.
•
Anzeigen von Inhaltsänderungen auf Seite 62
Ein Ereignis wird jedes Mal generiert, wenn sich die Attribute oder der Inhalt für eine Datei
ändern, die auf Änderungen verfolgt wird.
•
Ereignisse ausschließen auf Seite 63
Sie können Regeln definieren, um routinemäßig vom System generierte
Änderungsereignisse zu löschen, die nicht für die Überwachung oder Überprüfung relevant
sind.
Überprüfen von Ereignissen
Überprüfen Sie die Ereignisse durch Angabe der Zeitdauer und Endpunktinformationen.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Berichterstellung | Solidcore-Ereignisseaus.
2
Geben Sie die Zeitdauer an, für die Ereignisse geprüft werden sollen, indem Sie eine Option in der
Liste Zeitfilter auswählen.
Produkthandbuch
61
5
3
4
Geben Sie die Endpunkte an, für die Ereignisse angezeigt werden sollen.
a
Wählen Sie in der Systemstruktur die gewünschte Gruppe aus.
b
Wählen Sie eine Option in der Liste Systemstrukturfilter aus.
(Optional) Zeigen Sie nur bestimmte Ereignisse an, indem Sie einen oder mehrere Filter anwenden.
a
Klicken Sie auf Erweiterte Filter, um die Seite Filterkriterien bearbeiten zu öffnen.
b
Klicken Sie auf eine verfügbare Eigenschaft.
c
Geben Sie den Vergleichsoperator und Wert für die Eigenschaft an.
Wenn beispielsweise nur Ereignisse des Typs "Datei geändert" angezeigt werden sollen, wählen
Sie die Eigenschaft "Ereignisanzeigename" aus, legen Sie den Vergleich auf "Ist gleich" fest, und
wählen Sie den Wert "Datei geändert" aus.
d
Klicken Sie auf Filter aktualisieren.
Es werden Ereignisse angezeigt, die den angegebenen Kriterien entsprechen.
5
(Optional) Klicken Sie auf Was bedeutet Ausführung nach Reputation?, um die von Application
Control durchgeführten Prüfungen in festgelegter Reihenfolge zum Zulassen oder Sperren der
Ausführung einer Datei anzuzeigen.
6
Zeigen Sie die Details für ein Ereignis an.
7
a
Klicken Sie auf eine Ereigniszeile.
b
Überprüfen Sie die Ereignisdetails.
c
Klicken Sie auf Zurück.
Überprüfen Sie Endpunktdetails für mindestens ein Ereignis.
a
Wählen Sie ein oder mehrere Ereignisse aus.
b
Klicken Sie auf Aktionen | Verwandte Systeme anzeigen.
Auf der Seite Verwandte Systeme sind die Endpunkte gemäß den ausgewählten Ereignissen
aufgeführt.
c
Klicken Sie auf eine Zeile, um die aufgeführten Informationen für den Endpunkt zu prüfen.
d
(Optional) Führen Sie eine Aktion für den Endpunkt aus.
Anzeigen von Inhaltsänderungen
Ein Ereignis wird jedes Mal generiert, wenn sich die Attribute oder der Inhalt für eine Datei ändern, die
auf Änderungen verfolgt wird.
Basierend auf der an der Datei erfolgten Änderung wird eines der folgenden Ereignisse generiert.
•
FILE_CREATED
•
FILE_ATTR_SET
•
FILE_DELETED
•
FILE_ATTR_CLEAR
•
FILE_MODIFIED
•
ACL_MODIFIED
•
FILE_RENAMED
•
OWNER_MODIFIED
•
FILE_ATTR_MODIFIED
Wenn eines der oben aufgeführten Ereignisse für eine Datei generiert wird, für die Sie
Inhaltsänderungen überwachen, können Sie Details zur Änderung an der Datei anzeigen. Zeigen Sie
Details zu Änderungen an einer Datei an, für die Sie Inhaltsänderungen überwachen.
62
Produkthandbuch
5
Vorgehensweise
1
2
Klicken Sie auf Inhaltsänderungen anzeigen für das Ereignis.
Auf der Seite werden zwei Versionen der Datei verglichen.
3
Prüfen Sie Informationen zu Host, Dateiattribut und Dateiinhalt.
Die an der Datei erfolgte Änderung wird hervorgehoben.
4
Ereignisse ausschließen
Sie können Regeln definieren, um routinemäßig vom System generierte Änderungsereignisse zu
löschen, die nicht für die Überwachung oder Überprüfung relevant sind.
Sie können Ereignisse ausschließen oder ignorieren, die nicht zur Erfüllung von
Compliance-Anforderungen erforderlich sind. Sie benötigen die entsprechenden Berechtigungen, um
diesen Task ausführen zu können. Wenn Sie die Berechtigungen nicht haben, kontaktieren Sie den
McAfee ePO-Administrator. Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen
für Regelkonfigurationen.
Vorgehensweise
1
2
Wählen Sie die auszuschließenden Ereignisse aus.
3
Klicken Sie auf Aktionen | Ereignisse ausschließen , um den Ereignisausschluss-Assistenten zu öffnen.
4
Wählen Sie die Zielplattform für die Regeln aus.
5
Wählen Sie den Typ der Regelgruppe aus, und klicken Sie auf Weiter, um die Seite Regeln definieren zu
öffnen.
6
Regeln werden aufgrund der ausgewählten Ereignisse automatisch aufgestellt.
7
Prüfen und verfeinern Sie vorhandene Regeln wie erforderlich, und fügen Sie bei Bedarf neue
Regeln hinzu.
8
Klicken Sie auf Weiter, um die Seite Regelgruppe auswählen zu öffnen.
9
Fügen Sie die Regeln einer vorhandenen oder neuen Regelgruppe hinzu, und klicken Sie auf
Speichern.
10 Stellen Sie sicher, dass die Regelgruppe der relevanten Richtlinie hinzugefügt und die Richtlinie den
Endpunkten zugewiesen wird.
Nachdem sie ausgeschlossen wurden, werden ähnliche neue Ereignisse nicht mehr in der McAfee
ePO-Konsole angezeigt. Durch Ausschluss von Ereignissen werden vorhandene oder ähnliche
Ereignisse nicht von der Seite Ereignisse entfernt.
Produkthandbuch
63
5
Dashboards
Dashboards
Dashboards sind Sammlungen von Monitoren, die Ihnen helfen, ein Auge auf Ihre Umgebung zu
haben.
Change Control stellt die folgenden Standard-Dashboards bereit.
•
Solidcore: Integrity Monitor-Dashboard gestattet es Ihnen, die überwachten Endpunkte zu beobachten.
•
Solidcore: Change Control-Dashboard hilft Ihnen dabei, die geschützten Endpunkte zu kontrollieren.
•
Solidcore: Systemüberwachung-Dashboard hilft Ihnen beim Überwachen des Status der geschützten
Endpunkte in Ihrem Unternehmen.
Das Erstellen, Duplizieren und Exportieren von Dashboards ist ebenfalls möglich. Weitere
Informationen zum Verwenden von Dashboards finden Sie im McAfee ePolicy
Orchestrator-Produkthandbuch.
Abfragen
Prüfen Sie mithilfe der verfügbaren Abfragen Informationen für die Endpunkte anhand der Daten, die
in der McAfee ePO-Datenbank gespeichert sind.
Diese Change Control- und Systemüberwachungsabfragen sind in der McAfee ePO-Konsole verfügbar.
Tabelle 5-1 Change Control-Abfragen
Abfrage
Beschreibung
Warnungen
Zeigt die aktiven Warnungen der letzten 3 Monate nach
Schweregrad an.
Verletzungsversuche in den letzten 24
Stunden
Zeigt die in den letzten 24 Stunden entdeckten
Verletzungsversuche an. Das Liniendiagramm zeichnet Daten auf
Stundenbasis. Klicken Sie auf einen Wert im Diagramm, um
Ereignisdetails zu prüfen.
Verletzungsversuche in den letzten 7 Tagen Zeigt die in den letzten 7 Tagen entdeckten Verletzungsversuche
an. Das Liniendiagramm zeichnet Daten auf Tagesbasis. Klicken
Sie auf einen Wert im Diagramm, um Ereignisdetails zu prüfen.
64
Erstellung des Berichts zur Überwachung
von Inhaltsänderungen – mit Gruppe
'Eigenes Unternehmen'
Ruft Informationen aus der McAfee ePO-Datenbank für alle
Dateien in Ihrem Setup ab, für die Sie Inhaltsänderungen
verfolgen. Anschließend werden die abgerufenen Informationen
verwendet, wenn Sie den Server-Task Erstellung des Berichts zur
Überwachung von Inhaltsänderungen ausführen, um einen Bericht zu
generieren, in dem Inhalts- und Attributänderungen beschrieben
sind, die an den Dateien, deren Inhaltsänderungen Sie
überwachen, vorgenommen wurden.
Integrity Monitor-Agentenstatus
Zeigt den Status aller Endpunkte mit der Change Control-Lizenz
an, die durch den McAfee ePO-Server verwaltet werden. Das
Kreisdiagramm kategorisiert die Informationen auf der Basis des
Client-Status. Klicken Sie auf ein Segment, um die Informationen
für den Endpunkt zu prüfen.
Integrity Monitor-Ereignisse in den letzten
24 Stunden
Zeigt die in den letzten 24 Stunden erkannten Ereignisse mit
Bezug zur Überwachung an. Das Liniendiagramm zeichnet Daten
auf Stundenbasis. Klicken Sie auf einen Wert im Diagramm, um
Integrity Monitor-Ereignisse in den letzten
7 Tagen
Zeigt die in den letzten sieben Tage erkannten Ereignisse mit
Bezug zur Überwachung an. Das Liniendiagramm zeichnet Daten
auf Tagesbasis. Klicken Sie auf einen Wert im Diagramm, um
Produkthandbuch
Abfragen
5
Tabelle 5-1 Change Control-Abfragen (Fortsetzung)
Abfrage
Beschreibung
Nicht konforme Solidcore-Agenten
Listet die Endpunkte auf, die derzeit nicht konform sind. Die Liste
wird nach dem Grund für die Nichtkonformität sortiert. Ein
Endpunkt kann nicht konform sein, wenn er sich im deaktivierten
Modus oder im Aktualisierungsmodus befindet oder wenn der
lokale CLI-Zugriff (Command Line Interface,
Befehlszeilenschnittstelle) wiederhergestellt wurde.
Out-of-Band-Änderungsereignisse in den
letzten 24 Stunden
Zeigt die in den letzten 24 Stunden generierten Ereignisse an, die
nicht mit der Aktualisierungsrichtlinie konform sind. Das
Liniendiagramm zeichnet Daten auf Stundenbasis. Klicken Sie auf
einen Wert im Diagramm, um Ereignisdetails zu prüfen.
Out-of-Band-Änderungsereignisse in den
letzten 7 Tagen
Zeigt die in den letzten 7 Tagen generierten Ereignisse an, die
nicht mit der Aktualisierungsrichtlinie konform sind. Das
Liniendiagramm zeichnet Daten auf Tagesbasis. Klicken Sie auf
PCI DSS-Anforderung 10.3.1:
Benutzerberichtdetails – 90 Tage
fortlaufend
Zeigt eine ausführliche Liste von Änderungen an, die nach dem
Benutzernamen gruppiert sind. Mithilfe dieses Berichts können Sie
die PCI DSS-Anforderung 10.3.1 erfüllen.
PCI DSS-Anforderung 10.3.1:
Benutzerberichtübersicht – 90 Tage
fortlaufend
Zeigt die zusammengefasste Liste von Änderungen an, die nach
dem Benutzernamen und dem Datum sortiert sind. Mithilfe dieses
Berichts können Sie die PCI DSS-Anforderung 10.3.1 erfüllen.
PCI DSS-Anforderung 11.5: Detaillierte
Zeigt ein detailliertes Audit-Protokoll der wichtigen System-,
PCI-Dateiintegritätsüberwachung – 90 Tage Anwendungs- und Konfigurationsdateien an. Mithilfe dieses
fortlaufend
Berichts können Sie die Anforderung 11.5 des
PCI-Datensicherheitsstandards (PCI DSS) erfüllen.
PCI DSS-Anforderung 11.5:
Zusammenfassung der
Dateiintegritätsüberwachung – 90 Tage
fortlaufend
Zeigt ein zusammengefasstes Audit-Protokoll der wichtigen
System-, Anwendungs- und Konfigurationsdateien an. Mithilfe
dieses Berichts können Sie die PCI DSS-Anforderung 11.5 erfüllen.
PCI-Anforderung 10.3:
Dateiintegritätsüberwachung – 90 Tage
fortlaufend
Zeigt die Zusammenfassung von Änderungen an, die nach dem
Programmnamen gruppiert sind. Mithilfe dieses Berichts können
Sie die PCI-Anforderung 10.3 erfüllen.
Richtlinienzuweisungen nach System
Listet die Anzahl an Richtlinien auf, die auf die verwalteten
Endpunkte angewendet werden. Klicken Sie auf ein System, um
die Informationen zu den angewendeten Richtlinien zu prüfen.
Richtliniendetails
Kategorisiert und listet die Regeln auf, die in einer ausgewählten
Überwachungs- oder Schutzrichtlinie definiert sind. Wenn Sie den
Bericht anzeigen möchten, klicken Sie für die Abfrage auf
Bearbeiten, navigieren Sie zur Seite "Filter", wählen Sie einen
Richtliniennamen aus, und klicken Sie auf Ausführen. Klicken Sie auf
eine Kategorie, um alle Regeln in der Kategorie zu prüfen.
Solidcore Agent-Lizenzbericht
Gibt die Anzahl der Solidcore-Agenten an, die durch den McAfee
ePO-Server verwaltet werden. Die Informationen werden auf der
Grundlage der Application Control- und Change
Control-Lizenzinformationen kategorisiert und weiter auf der Basis
des Betriebssystems am Endpunkt sortiert.
Solidcore Agent-Statusbericht
Zeigt den Status aller Endpunkte an, die durch den McAfee
ePO-Server verwaltet werden. Dieser Bericht kombiniert
Informationen für Application Control- und Change
Control-Lizenzen. Das Kreisdiagramm kategorisiert die
Informationen auf der Basis des Client-Status. Klicken Sie auf ein
Segment, um detaillierte Informationen zu prüfen.
Produkthandbuch
65
5
Abfragen
Tabelle 5-1 Change Control-Abfragen (Fortsetzung)
66
Abfrage
Beschreibung
Die 10 häufigsten Änderungsereignisse in
den letzten 7 Tagen
Zeigt die zehn häufigsten Änderungsereignisse an, die in den
letzten 7 Tagen generiert wurden. Das Diagramm enthält einen
Balken für jeden Ereignistyp und gibt die Anzahl der Ereignisse an,
die für jeden Ereignistyp generiert wurden. Im Balkendiagramm
sind die Daten in absteigender Reihenfolge sortiert. Klicken Sie auf
einen Balken im Diagramm, um detaillierte Informationen
anzuzeigen.
Die 10 Programme mit den meisten
Änderungsereignissen in den letzten
7 Tagen
Zeigt die zehn Programme mit den meisten Änderungen in den
letzten 7 Tagen an. Das Diagramm enthält einen Balken für jedes
Programm und gibt die Anzahl der Ereignisse an, die von jedem
Programm generiert wurden. Im Balkendiagramm sind die Daten
in absteigender Reihenfolge sortiert. Klicken Sie auf einen Balken
im Diagramm, um detaillierte Informationen anzuzeigen.
Die 10 Systeme mit den meisten
7 Tagen
Zeigt die 10 Systeme mit den meisten Änderungen in den letzten
7 Tagen an. Das Diagramm enthält einen Balken für jedes System
und gibt die Anzahl der Ereignisse an, die für jedes System
generiert wurden. Im Balkendiagramm sind die Daten in
absteigender Reihenfolge sortiert. Klicken Sie auf einen Balken im
Diagramm, um detaillierte Informationen anzuzeigen.
Verletzungen in den letzten 24 Stunden
Zeigt die 10 Systeme mit der maximalen Anzahl an Verletzungen
in den letzten 24 Stunden an. Das Diagramm enthält einen Balken
für jedes System und gibt die Anzahl der Verletzungen für jedes
System an. Klicken Sie auf einen Balken im Diagramm, um
detaillierte Informationen anzuzeigen.
Verletzungen in den letzten 7 Tagen
Zeigt die 10 Systeme mit der maximalen Anzahl an Verletzungen
in den letzten 7 Tagen an. Das Diagramm enthält einen Balken für
jedes System und gibt die Anzahl der Verletzungen für jedes
System an. Klicken Sie auf einen Balken im Diagramm, um
Die 10 Benutzer mit den meisten
7 Tagen
Zeigt die 10 Benutzer mit den meisten Änderungen in den letzten
7 Tagen an. Das Diagramm enthält einen Balken für jeden
Benutzer und gibt die Anzahl der Ereignisse an, die von jedem
Benutzer generiert wurden. Im Balkendiagramm sind die Daten in
Zeigt die 10 Benutzer mit den meisten
Richtlinienverletzungsversuchen in den letzten 7 Tagen an. Das
Diagramm enthält einen Balken für jeden Benutzer und gibt die
Anzahl der Richtlinienverletzungsversuche für jeden Benutzer an.
Im Balkendiagramm sind die Daten in absteigender Reihenfolge
sortiert. Klicken Sie auf einen Balken im Diagramm, um
Richtlinienverletzungsversuchen in den letzten 24 Stunden an.
Das Diagramm enthält einen Balken für jeden Benutzer und gibt
die Anzahl der Richtlinienverletzungsversuche für jeden Benutzer
an. Im Balkendiagramm sind die Daten in absteigender
Reihenfolge sortiert. Klicken Sie auf einen Balken im Diagramm,
um detaillierte Informationen anzuzeigen.
Produkthandbuch
5
Tabelle 5-2 Systemüberwachungsabfragen
Abfrage
Beschreibung
Client-Task-Protokolle – Datenstautrend in den Zeigt den Datenstautrend für Client-Task-Protokolle in den
letzten 7 Tagen
letzten 7 Tagen an. Das Liniendiagramm zeichnet Daten auf
Tagesbasis. Klicken Sie auf einen Wert im Diagramm, um
Details zu prüfen.
Anzahl der Systeme, auf denen Beschränkung Zeigt die Anzahl der Systeme an, auf denen die Beschränkung
in den letzten 7 Tagen gestartet wurde
von Ereignissen in den letzten 7 Tagen gestartet wurde. In der
Übersichtstabelle sind die Daten in absteigender Reihenfolge
sortiert.
Häufigste 10 Ereignisse für die 10 auffälligsten Zeigt die häufigsten 10 Ereignisse für die auffälligsten Systeme
Systeme in den letzten 7 Tagen
in den letzten 7 Tagen an. Im Balkendiagramm sind die Daten
in absteigender Reihenfolge sortiert. Klicken Sie auf einen
Balken im Diagramm, um detaillierte Informationen
anzuzeigen.
Zeigen Sie eine Change Control- oder Solidcore Systemüberwachung-Abfrage an.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Berichterstellung | Abfragen und Berichteaus.
2
Wählen Sie in der McAfee ePO-Konsole unter McAfee-Gruppen die Gruppe Change Control oder Solidcore
Systemüberwachung aus.
3
Prüfen Sie die Abfragen in der Liste.
4
Navigieren Sie zur gewünschten Abfrage, und klicken Sie dann auf Ausführen.
Das Ergebnis für die ausgewählte Abfrage wird angezeigt.
5
Klicken Sie auf Schließen, um zur vorhergehenden Seite zurückzukehren.
Produkthandbuch
67
5
68
Produkthandbuch
6
Lesen Sie dieses Kapitel, und machen Sie sich mit Application Control und den zugehörigen Begriffen
vertraut, bevor Sie das Produkt zum ersten Mal verwenden.
Inhalt
Application Control-Modi
Datei- und Zertifikat-Reputation
Techniken zum Speicherschutz
Was sind Zertifikate?
Was sind Prozesse des Aktualisierungsprogramms?
Was sind Installationsprogramme?
Konfigurieren und Verwalten von Regelgruppen
Verwalten von Zertifikaten
Verwalten von Installationsprogrammen
Konfigurieren der Paketkontrolle
Produkthandbuch
69
6
Application Control kann in einem der folgenden Modi ausgeführt werden.
Beobachtung
Gibt an, dass die Anwendung wirksam ist, verhindert aber keine Ausführung oder
Änderungen auf Endpunkten. Der Beobachtungsmodus ist ein Probedurchlauf für
Application Control, um Informationen zu sammeln, ohne eine Aktion auszuführen.
Der Beobachtungsmodus ist nur auf der Windows-Plattform verfügbar.
Techniken zum Speicherschutz sind im Beobachtungsmodus nicht aktiviert.
Der Beobachtungsmodus hilft bei der Ermittlung relevanter Richtlinien für Ihr
Unternehmen. Das Produkt identifiziert Richtlinienkandidaten, indem es alle
Ausführungsaktivitäten überwacht und mit dem lokalen Inventar sowie
vordefinierten Regeln vergleicht. Bei der Ausführung im Beobachtungsmodus wird
mit Application Control der aktivierte Modus emuliert, doch es werden nur
Beobachtungen protokolliert.
Der Beobachtungsmodus unterstützt auch die Ausführung nach Reputation. Wenn
Sie eine Datei auf einem Endpunkt ausführen, ruft die Software deren Reputation
und die Reputation sämtlicher mit der Datei verknüpften Zertifikate ab, um zu
ermitteln, ob die Dateiausführung zugelassen oder gesperrt werden soll.
• Vertrauenswürdige Dateien – Wenn die Reputation für eine Binärdatei oder ein
verknüpftes Zertifikat "Vertrauenswürdig" lautet, ist die Ausführung der Datei
zulässig, sofern sie nicht durch eine vordefinierte Sperrregel blockiert wird. Es
werden keine entsprechenden Beobachtungen oder Ereignisse generiert.
• Bösartige Dateien – Wenn die Reputation für eine Binärdatei oder ein
verknüpftes Zertifikat "Bösartig" lautet, wird die Ausführung der Binärdatei nicht
zugelassen, und es wird keine entsprechende Beobachtung generiert. Ein
entsprechendes Ereignis wird generiert und auf der Seite Solidcore-Ereignisse
angezeigt. Die für Ihr Unternehmen konfigurierten Einstellungen legen fest,
welche Reputationswerte gesperrt sind. Sie können festlegen, nur Dateien mit der
Reputation "Als bösartig bekannt", "Höchstwahrscheinlich bösartig",
"Möglicherweise bösartig" bzw. alle Dateien mit diesen Reputationswerten zu
sperren.
• Unbekannt – Wenn die Reputation für eine Binärdatei oder ein verknüpftes
Zertifikat "Unbekannt" lautet, wird über die Ausführung nicht mithilfe der
Reputation entschieden. Application Control führt mehrere weitere Prüfungen
70
Produkthandbuch
6
durch, um zu bestimmen, ob die Datei zugelassen oder blockiert werden soll.
Weitere Informationen finden Sie unter Von Application Control für eine Datei
durchgeführte Prüfungen.
Wenn für eine Binärdatei eine Regel zum Sperren nach Name oder SHA-1 vorhanden
ist, wird die Ausführung der Datei unabhängig von ihrer Reputation gesperrt. Es wird
keine entsprechende Beobachtung generiert. Ein entsprechendes Ereignis wird
generiert und auf der Seite Solidcore-Ereignisse angezeigt.
Alle Dateien, deren Ausführung im Beobachtungsmodus zulässig ist, werden
automatisch der Whitelist hinzugefügt, wenn sie darin noch nicht enthalten sind. Es
wird eine Beobachtung protokolliert, die der Aktion von Application Control im
aktivierten Modus entspricht. Wenn beispielsweise Adobe Reader nicht autorisiert
ist, wird dessen Ausführung im aktivierten Modus verhindert. Im
Beobachtungsmodus ist die Ausführung der Datei zulässig, sofern sie nicht von
einer bestimmten Regel gesperrt wird oder über eine bösartige Reputation verfügt.
Das Versetzen von Application Control in den Beobachtungsmodus ermöglicht
Folgendes:
• Prüfen der Kompatibilität von Application Control mit bestehender Software bei
der ersten Bereitstellung
• Testen einer Anwendung vor unternehmensweiter Bereitstellung auf Endpunkten,
auf denen Application Control bereits ausgeführt wird
• Erstellen von Richtlinien für vertrauenswürdige Aktualisierungsprogramme für die
Anwendungen in Ihrem Unternehmen
Weitere Informationen zum Beobachtungsmodus finden Sie unter Bereitstellen von
Application Control im Beobachtungsmodus.
Aktiviert
Zeigt an, dass der Schutz wirksam ist. Der aktivierte Modus ist der empfohlene
Betriebsmodus.
Der aktivierte Modus unterstützt die Ausführung nach Reputation. Wenn Sie eine
Datei auf einem Endpunkt ausführen, ruft die Software deren Reputation und die
Reputation sämtlicher mit der Datei verknüpften Zertifikate ab, um zu ermitteln, ob
die Dateiausführung zugelassen oder gesperrt werden soll.
• Vertrauenswürdige Dateien – Wenn die Reputation für eine Binärdatei oder ein
verknüpftes Zertifikat "Vertrauenswürdig" lautet, ist die Ausführung der Datei
zulässig, sofern sie nicht durch eine vordefinierte Sperrregel blockiert wird. Es
werden keine entsprechenden Ereignisse oder Beobachtungen generiert.
angezeigt. Die für Ihr Unternehmen konfigurierten Einstellungen legen fest,
welche Reputationswerte gesperrt sind. Sie können festlegen, nur Dateien mit der
Reputation "Als bösartig bekannt", "Höchstwahrscheinlich bösartig",
"Möglicherweise bösartig" bzw. alle Dateien mit diesen Reputationswerten zu
sperren.
• Unbekannt – Wenn die Reputation für eine Binärdatei oder ein verknüpftes
Zertifikat "Unbekannt" lautet, wird über die Ausführung nicht mithilfe der
Reputation entschieden. Application Control führt mehrere weitere Prüfungen
Produkthandbuch
71
6
durch, um zu bestimmen, ob die Datei zugelassen oder blockiert werden soll.
Weitere Informationen finden Sie unter Von Application Control für eine Datei
Im aktivierten Modus gilt für Application Control Folgendes:
• Lässt nur die Ausführung vertrauenswürdiger (basierend auf Reputation) und
autorisierter (basierend auf Regeln) Anwendungen und Installationsprogramme
auf Servern und Endpunkten zu
• Verhindert das Ausführen von sämtlichem nicht autorisierten Code, darunter
Binärdateien und Skripts, sowie bösartiger Dateien
• Es besteht Schutz vor speicherbasierten Angriffen und Manipulation von
Anwendungen.
72
Produkthandbuch
6
Aktualisierung Zeigt an, dass die Anwendung wirksam ist, gestattet Ad-hoc-Änderungen am
System und verfolgt die Änderungen an den Endpunkten. Der
Aktualisierungsmodus bezeichnet ein Intervall, in dem alle Änderungen an einem
geschützten Endpunkt zugelassen sind. Wenn für eine Binärdatei eine Regel zum
Sperren nach Name oder SHA-1 vorhanden ist, wird die Ausführung nicht
zugelassen.
Der Aktualisierungsmodus unterstützt die Ausführung nach Reputation. Wenn Sie
eine Datei auf einem Endpunkt ausführen, ruft die Software deren Reputation und
die Reputation sämtlicher mit der Datei verknüpften Zertifikate ab, um zu ermitteln,
ob die Dateiausführung zugelassen oder gesperrt werden soll.
• Vertrauenswürdige und unbekannte Dateien – Wenn die Reputation für eine
Binärdatei oder ein verknüpftes Zertifikat "Vertrauenswürdig" oder "Unbekannt"
lautet, ist die Ausführung der Datei zulässig, sofern sie nicht durch eine
vordefinierte Sperrregel blockiert wird. Es werden keine entsprechenden
Ereignisse oder Beobachtungen generiert.
angezeigt.
Empfohlen für – Verwenden Sie den Aktualisierungsmodus nur zur Installation von
kleineren Software-Aktualisierungen. Definieren Sie beispielsweise ein Zeitfenster,
um dem IT-Team die Ausführung von Wartungsaufgaben zu gestatten, z. B. die
Installation von Patches oder die Aktualisierung von Software. Verwenden Sie den
Aktualisierungsmodus nur, um geplante Änderungen oder Notfalländerungen
vorzunehmen, die nicht möglich sind, wenn Application Control im aktivierten
Modus ausgeführt wird. Um Änderungen zuzulassen, sollten Sie nach Möglichkeit
andere bevorzugte Methoden verwenden, z. B. Benutzer, Verzeichnisse, Zertifikate,
Prozesse des Aktualisierungsprogramms oder Installationsprogramme.
Wenn Sie im aktivierten Modus neue Software installieren oder neue Binärdateien
hinzufügen, werden die Dateien nicht der Whitelist hinzugefügt, und sie dürfen
nicht ausgeführt werden (außer durch eine vertrauenswürdige Änderungsmethode).
Wenn Sie jedoch Software installieren oder deinstallieren oder neue Binärdateien im
Aktualisierungsmodus hinzufügen, werden alle Änderungen nachverfolgt und der
Whitelist hinzugefügt.
Zum Autorisieren und Genehmigen von Änderungen an Endpunkten wird ein
Änderungsfenster definiert, in dem Benutzer und Programme Änderungen am
Endpunkt vornehmen können. Sie können praktisch im Aktualisierungsmodus
Software- und Patch-Installationen planen, Software entfernen oder ändern und die
lokale Whitelist dynamisch aktualisieren. Die Anwendung generiert das Ereignis
FILE_SOLIDIFIED für Dateien, die im Aktualisierungsmodus hinzugefügt wurden,
und das Ereignis FILE_UNSOLIDIFIED für Dateien, die im Aktualisierungsmodus
gelöscht wurden. Wenn sich ein Endpunkt im Aktualisierungsmodus befindet,
werden außerdem durch sämtliche Änderungen an den vorhandenen Dateien im
Inventar entsprechende Aktualisierungsmodus-Ereignisse generiert, beispielsweise
FILE_MODIFIED_UPDATE und FILE_RENAMED_UPDATE.
Techniken zum Speicherschutz sind im Aktualisierungsmodus aktiviert. Dadurch wird
sichergestellt, dass laufende Programme nicht ausgenutzt werden können.
Deaktiviert
Gibt an, dass die Anwendung nicht wirksam ist. Obwohl die Anwendung installiert
ist, sind die zugehörigen Funktionen nicht aktiv.
Produkthandbuch
73
6
Wechseln zwischen Modi
•
Vom Beobachtungsmodus können Sie in den aktivierten oder deaktivierten Modus wechseln.
•
Vom aktivierten Modus können Sie in den deaktivierten, Aktualisierungs- oder Beobachtungsmodus
wechseln.
•
Vom Aktualisierungsmodus können Sie in den aktivierten oder deaktivierten Modus wechseln.
•
Vom deaktivierten Modus können Sie in den aktivierten, Aktualisierungs- oder Beobachtungsmodus
wechseln.
Application Control kann Reputationsinformationen für Dateien und Zertifikate von mehreren Quellen
abrufen.
Die Reputationsinformationen in der McAfee ePO-Konsole helfen Ihnen, rasche und fundierte
Entscheidungen für Binärdateien und Zertifikate in Ihrem Unternehmen zu treffen. Die
Reputationsinformationen stehen Administratoren zur Verfügung und senken ihren Arbeitsaufwand. Sie
ermöglichen das schnelle Definieren von Richtlinien für das Unternehmen auf dem McAfee ePO-Server.
Auf den Endpunkten erlaubt die Integration eine Ausführung nach Reputation. Wenn Sie eine Datei auf
einem Endpunkt ausführen, ruft die Software deren Reputation und die Reputation sämtlicher mit der
Datei verknüpften Zertifikate ab, um zu ermitteln, ob die Dateiausführung zugelassen oder gesperrt
werden soll. Die für Ihr Unternehmen konfigurierten Einstellungen legen fest, welche Reputationswerte
zugelassen und welche gesperrt sind.
•
Vertrauenswürdige Dateien – Wenn die Reputation für eine Binärdatei oder ein verknüpftes
Zertifikat "Vertrauenswürdig" lautet, ist die Ausführung der Datei zulässig, sofern sie nicht durch
eine vordefinierte Sperrregel blockiert wird.
•
Bösartige Dateien – Wenn die Reputation für eine Binärdatei oder ein verknüpftes Zertifikat
"Bösartig" lautet, wird die Ausführung der Binärdatei nicht zugelassen.
•
Unbekannt – Wenn die Reputation für eine Binärdatei oder ein verknüpftes Zertifikat "Unbekannt"
lautet, wird über die Ausführung nicht mithilfe der Reputation entschieden. Application Control
führt mehrere weitere Prüfungen durch, um zu bestimmen, ob die Datei zugelassen oder blockiert
werden soll. Weitere Informationen finden Sie unter Von Application Control für eine Datei
Wenn eine Datei entsprechend einer Regel blockiert oder nicht autorisiert ist, wird die Ausführung
verhindert.
Die Ausführung nach Reputation wird auf allen Windows-Plattformen außer Windows Vista und
Windows 2008 unterstützt. Die Ausführung nach Reputation ist auf UNIX-Plattformen nicht verfügbar.
74
Produkthandbuch
6
Reputationsquellen
Application Control kann Reputationsinformationen von mehreren Quellen abrufen.
Je nach Konfiguration wird die Software regelmäßig mit folgenden Quellen synchronisiert:
TIE
Server-Modul
Der TIE Server ist ein lokaler Reputations-Server, der mit mehreren
Reputationsquellen kommuniziert. Er kombiniert effektiv intelligente Daten aus
globalen Quellen mit lokalen Bedrohungsabwehrdaten und benutzerdefiniertem
Organisationswissen, um aggregierte Reputationswerte bereitzustellen.
Der TIE Server kommuniziert mit McAfee GTI, McAfee Advanced Threat Defense
oder Drittanbieter-Feeds, die lokale Bedrohungsabwehrdaten aus bestehenden oder
Echtzeit-Ereignisdaten von Endpunkten, Gateways und anderen
Sicherheitskomponenten einschließen.
®
TIE gibt Administratoren die Möglichkeit, die Quelldaten zusammenzutragen, außer
Kraft zu setzen, zu erweitern und abzustimmen, damit sie die Daten an ihre
Umgebung und ihr Unternehmen anpassen können. Weitere Informationen finden
Sie im McAfee Threat Intelligence Exchange-Produkthandbuch für Ihre Version der
Software.
McAfee GTI
Server
Der McAfee GTI-Datei-Reputationsdienst ist ein Cloud-basierter Dienst, der als
Reputationsquelle fungiert. Application Control wird in regelmäßigen Abständen mit
dem McAfee GTI-Server synchronisiert, um Bewertungen für Binärdateien und
Zertifikate abzurufen. Die Server-Tasks Details zur Binärdatei vom McAfee GTI-Server abrufen
und Zertifikat-Reputation vom McAfee GTI-Server abrufen sind interne Tasks, die automatisch
mehrmals pro Tag ausgeführt werden, um McAfee GTI-Bewertungen für Binärdateien
und Zertifikate abzurufen.
Application Control kommuniziert folgendermaßen mit dem TIE Server und McAfee GTI-Server.
•
TIE Server – Application Control kommuniziert direkt mit dem in Ihrer Umgebung konfigurierten
TIE Server.
•
McAfee GTI-Server – Application Control kommuniziert direkt mit dem McAfee GTI-Server. Sollte in
Ihrem Setup ein Proxy-Server konfiguriert sein, verwendet Application Control zur Kommunikation
mit dem McAfee GTI-Server den Proxy-Server. Der Proxy-Server wird auf der Seite Menü |
Konfiguration | Server-Einstellungen | Proxy-Einstellungen konfiguriert.
Solidcore ePO-Erweiterung und Endpunkte kommunizieren zur Reputations-Suche mit dem McAfee
GTI-Server. Stellen Sie sicher, dass der McAfee ePO-Server über Port 443 mit cwl.gti.mcafee.com
kommunizieren kann, indem Sie die entsprechenden Firewall- oder Proxy-Einstellungen
konfigurieren. Vergewissern Sie sich auch, dass die Uhrzeit auf den Endpunkten korrekt eingestellt
ist, damit diese mit dem McAfee GTI-Server kommunizieren können.
Reputationsbasierter Workflow
Application Control empfängt die Reputation für Binärdateien und Zertifikate von relevanten Quellen,
etwa dem McAfee GTI-Server und TIE Server.
McAfee ePO-Workflow
Im Folgenden wird der in Application Control über die McAfee ePO-Konsole verfügbare
reputationsbasierte Workflow beschrieben.
Application Control kommuniziert in regelmäßigen Abständen mit dem McAfee GTI-Server, um
Reputationsinformationen zu Binärdateien und Zertifikaten im Unternehmen abzurufen. Ist jedoch der
TIE Server in Ihrer Umgebung konfiguriert, empfängt Application Control vom TIE Server auch
fortwährend Benachrichtigungen zu Reputationsänderungen.
Eine Änderung an der Unternehmensreputation jeglicher Datei löst eine Benachrichtigung zur
Reputationsänderung aus, die auf der Seite Server-Task-Protokoll angezeigt wird. Basierend auf den
Änderungen an der Unternehmensreputation von Dateien innerhalb der letzten Minute werden die
Werte auf den Seiten aktualisiert, und ein entsprechender Reputation geändert-Eintrag wird der Seite
Produkthandbuch
75
6
Server-Task-Protokolldetails für Benachrichtigung zur Reputationsänderung hinzugefügt. Suchen Sie in den Reputation
geändert-Einträgen nach Informationen zur Reputationsänderung für Inventarelemente. Jeder Eintrag
enthält Informationen zu einer oder mehreren betroffenen Binärdateien. Für jedes betroffene Element
können Sie die alte Reputation, die aktualisierte Reputation und den Datei-SHA-1 einsehen. Ist die
Kommunikation mit dem TIE Server aus irgendeinem Grund zeitweise unterbrochen, werden alle
ausgelassenen Benachrichtigungen nach Fortsetzung der Kommunikation synchronisiert.
Endpunkt-Workflow
Im Folgenden wird der in Application Control verfügbare reputationsbasierte Workflow beschrieben.
Der Solidcore-Client unterstützt die reputationsbasierte Ausführung auf den Endpunkten. Wenn der
Benutzer eine Binärdatei ausführt, kontaktiert Application Control die Reputationsquelle, um
Informationen zur Reputation wie folgt abzurufen:
76
Produkthandbuch
•
Wenn der TIE Server konfiguriert ist, kommuniziert der Endpunkt mit dem Server, um die
Reputation für die Binärdatei oder alle mit der Datei verknüpften Zertifikate abzurufen.
•
Ist der TIE Server nicht installiert oder nicht verfügbar, kommuniziert der Endpunkt mit dem
McAfee GTI-Server, um die Reputation für die Binärdatei oder alle mit der Datei verknüpften
Zertifikate abzurufen.
6
Um zu überprüfen, ob das Abrufen der Reputation vom TIE Server oder McAfee GTI-Server für einen
Endpunkt aktiviert ist, zeigen Sie den Wert für die Eigenschaft Reputation (TIE) bzw. Reputation (GTI) für den
Endpunkt an. Die Eigenschaft wird aufgerufen, indem Sie auf der Seite Systeme auf die dem Endpunkt
entsprechende Zeile und auf der Registerkarte Produkte auf Solidcore klicken.
Nachfolgend finden Sie eine allgemeine Beschreibung dazu, wie der Endpunkt über die Ausführung
einer Binärdatei entscheidet.
1
2
Es wird geprüft, ob eine explizite Sperrregel für die Datei vorhanden ist.
•
Ist dies der Fall, wird die Dateiausführung verhindert.
•
Ist dies nicht der Fall, wird die Datei- und Zertifikat-Reputation überprüft.
Die Dateiausführung wird basierend auf der Reputation entsprechend der definierten
Reputationseinstellungen zugelassen oder blockiert.
Zusätzlich zur Reputation verwendet Application Control definierte Regeln und Richtlinien, um den
Dateiausführungsstatus zu ermitteln. Weitere Informationen finden Sie unter Von Application Control
für eine Datei durchgeführte Prüfungen.
Produkthandbuch
77
6
Von Quellen empfangene Reputationswerte
Folgende Reputationswerte werden vom TIE Server und McAfee GTI-Server bereitgestellt.
Vom TIE Server
Der TIE Server stellt Faktoren verschiedener Anbieter wie ATD, McAfee GTI und ETL für eine Binärdatei
oder ein Zertifikat bereit. Diese werden von Application Control zur Berechnung der Reputation
verwendet. Folgende Werte werden bereitgestellt.
•
Als vertrauenswürdig bekannt
•
Möglicherweise bösartig
•
Höchstwahrscheinlich vertrauenswürdig
•
Höchstwahrscheinlich bösartig
•
Möglicherweise vertrauenswürdig
•
Als bösartig bekannt
•
Unbekannt
•
Nicht festgelegt
Von McAfee GTI
McAfee GTI stellt die Reputations- und Klassifizierungswerte für jede Binärdatei bereit.
78
Produkthandbuch
6
•
Datei-Hash-Reputation – Gibt an, ob die Datei vertrauenswürdig oder bösartig ist. Aufgrund der
von McAfee GTI abgerufenen Informationen werden die Anwendung und die Dateien auf den
Application Control-Seiten in Kategorien einsortiert.
•
Datei-Hash-Klassifizierung – Gibt die Zuverlässigkeit oder Vertrauenswürdigkeit der Datei an. Der
zugewiesene Wert zeigt an, ob die Datei vertrauenswürdig, unbekannt oder bösartig ist.
McAfee GTI stellt für jedes Zertifikat einen Faktor bereit, der dessen Reputation angibt.
McAfee GTI-Klassifizierung für
Dateien
McAfee GTI-Faktor
für Zertifikate
Beschreibung
known_clean
99
analysed_clean, assumed_clean
85
Höchstwahrscheinlich
vertrauenswürdig
raiden_analyzed_clean, noise_clean
70
unbekannt
50
Unbekannt
assumed_dirty, assumed_dirty2
30
assumed_dirty3, assumed_dirty4
15
pup, trojan, virus, app
1
Nicht verfügbar
0
Nicht festgelegt
Berechnen der Reputation
Reputationsinformationen für eine Datei werden in der McAfee ePO-Konsole aus verschiedenen Quellen
empfangen und anschließend zur Berechnung der Reputation zusammengetragen.
Beim Ermitteln der endgültigen Reputation einer Binärdatei in Ihrem Unternehmen verwendet
Application Control Werte und Parameter, die von den konfigurierten Quellen bereitgestellt werden.
Nachstehend sind die bei der Reputationsberechnung berücksichtigten Parameter und ihre möglichen
Werte aufgeführt.
Produkthandbuch
79
6
Parameter
Beschreibung
Mögliche Werte
Nutzung für
TIE Server
Siehe Reputationsquellen.
• Als vertrauenswürdig • Binärdateien
bekannt
• Zertifikate
• Höchstwahrscheinlich
vertrauenswürdig
• Möglicherweise
vertrauenswürdig
• Unbekannt
• Möglicherweise
bösartig
bösartig
• Als bösartig bekannt
Application Control-Reputation
Die Application
Control-Reputation, ehemals
Unternehmensvertrauensstufe,
richtet sich in erster Linie an
Benutzer, die von älteren
Versionen auf Version 7.0
migrieren. Sie stellt für
bestehende Kunden Kontinuität
sicher und übernimmt alle
Application
Control-Vertrauensstufenwerte,
die vor der Migration auf
Version 7.0 festgelegt wurden.
Ist dieser Wert festgelegt, wird
er nicht dazu verwendet, um
über die Dateiausführung auf
den Endpunkten zu
entscheiden. Er wird nur zur
Berechnung der endgültigen
Datei-Reputation verwendet,
die in der McAfee ePO-Konsole
angezeigt wird.
80
Application Control kann für
• Als bösartig bekannt Binärdateien
jede Binärdatei den Wert der
Unternehmensvertrauensstufe • Unbekannt
oder Application
• Als vertrauenswürdig
Control-Reputation verfolgen.
bekannt
Wenn der Wert für eine Datei
bearbeitet wird, wird die
vorhandene Reputation der
Datei außer Kraft gesetzt.
Beispiel: Ihr Unternehmen
nutzt eine intern entwickelte
Anwendung, die als
unbekannte Anwendung
festgelegt ist, da sie für Ihr
Unternehmen spezifisch ist.
Da Sie der Anwendung
vertrauen, können Sie sie als
vertrauenswürdige Datei neu
kategorisieren, indem Sie ihre
Reputation entsprechend
bearbeiten. Zur Bearbeitung
der Reputation wählen Sie die
Datei und auf der Seite Nach
Anwendungen im
Binärdateien-Fenster Aktionen |
Application Control-Reputation
festlegen aus.
Produkthandbuch
6
Parameter
Beschreibung
Mögliche Werte
Nutzung für
Advanced Threat
Defense-Vertrauensstufe
Wenn ATD im Setup
konfiguriert ist, bietet der TIE
Server Echtzeitintegration in
ATD, um detaillierte
Bewertungen und Daten zur
Klassifizierung von Malware
bereitzustellen. Dabei werden
bei minimaler
Benutzereingabe
Virenschutz-Signaturen,
Reputationsinformationen
sowie Abwehrmaßnahmen
durch Echtzeit-Emulation mit
detailliertem statischen Code
und dynamischer Analyse
(Sandbox) kombiniert, um
das tatsächliche Verhalten zu
analysieren.
• Unbekannt
Binärdateien
• Möglicherweise
bösartig
bösartig
Um herauszufinden, ob
die ATD-Übermittlung
für einen Endpunkt
aktiviert ist, überprüfen
Sie den Wert der
Eigenschaft
ATD-Übermittlung für den
Endpunkt. Die
Eigenschaft wird
aufgerufen, indem Sie
auf der Seite Systeme auf
die dem Endpunkt
entsprechende Zeile
und auf der
Registerkarte Produkte
auf Solidcore klicken.
McAfee
GTI-Vertrauensklassifizierung
Siehe Reputationsquellen.
• Als vertrauenswürdig • Binärdateien
bekannt
• Zertifikate
vertrauenswürdig
• Möglicherweise
vertrauenswürdig
• Unbekannt
• Möglicherweise
bösartig
bösartig
Application Control verwendet in der McAfee ePO-Konsole beim Berechnen der endgültigen Reputation
den Reputationswert einer Binärdatei und ihrer verknüpften Zertifikate.
Produkthandbuch
81
6
Die endgültige Reputation einer nicht signierten Datei wird folgendermaßen berechnet.
82
Produkthandbuch
6
Die endgültige Reputation einer signierten Datei wird folgendermaßen berechnet.
Lautet die Reputation einer Datei oder eines verknüpften Zertifikats auf dem TIE Server "Unbekannt",
wird die McAfee GTI-Bewertung für die Datei bzw. das Zertifikat nicht berücksichtigt. Die
Reputationsquelle für eine Datei wird außerdem basierend auf der Logik zum Bestimmen der
endgültigen Reputation festgelegt. Wenden Sie sich für weitere Informationen an den
McAfee-Support .
Produkthandbuch
83
6
Konfigurieren der Reputationsquellen
So können Sie Application Control für die Zusammenarbeit mit dem TIE Server und McAfee GTI-Server
konfigurieren.
Die Solidcore-Erweiterung und der Solidcore-Client kommunizieren mit dem TIE Server. Falls der TIE
Server in Ihrer Umgebung nicht verfügbar ist, kommunizieren Application Control-Endpunkte mit dem
McAfee GTI-Server, um die Datei- und Zertifikat-Reputation abzurufen. Die Solidcore-Erweiterung
empfängt Änderungsbenachrichtigungen vom TIE Server und ruft die Datei- und Zertifikat-Reputation
vom McAfee GTI-Server ab.
84
Produkthandbuch
6
Komponente
TIE Server
Solidcore-Erweiterung Wenn der TIE Server in Ihrer
Umgebung mit McAfee Agent 5.0
und McAfee Data Exchange Layer
(DXL) installiert und konfiguriert
wurde, kommuniziert Application
Control automatisch mit dem TIE
Server. Weitere Informationen zum
Installieren und Konfigurieren des
TIE Server finden Sie im McAfee
Threat Intelligence
Exchange-Installationshandbuch.
®
McAfee GTI Server
Wenn Sie die Solidcore-Erweiterung
installieren, wird ein registrierter
Server mit McAfee
GTI-Server-Einstellungen zur McAfee
ePO-Konsole hinzugefügt. Der Server
ruft Reputationsinformationen zur
Binärdatei und zum Zertifikat ab.
Gehen Sie wie folgt vor, um die
Konfiguration des McAfee GTI-Servers
zu bearbeiten.
1 Wählen Sie Menü | Konfiguration |
Registrierte Server aus.
2 Wählen Sie McAfee GTI-Server aus, und
klicken Sie auf Aktionen | Bearbeiten.
Die Seite Generator für registrierte Server
wird angezeigt.
3 Klicken Sie auf Weiter.
4 Bearbeiten Sie die McAfee
GTI-Server-Konfiguration,
einschließlich Adresse, Zertifikate,
Hostname und
Benutzeranmeldeinformationen.
5 Klicken Sie auf Verbindung testen, um
die Verbindung zu überprüfen.
6 Klicken Sie auf Speichern.
Die festgelegten Einstellungen werden
von der Solidcore-Erweiterung
verwendet, und die
Solidcore-Endpunkte kommunizieren
mit dem McAfee GTI-Server.
Solidcore-Endpunkte
Standardmäßig wird eine Richtlinie für alle Endpunkte mit dem
Solidcore-Client angewendet, um die Ausführung nach Reputation zu
aktivieren. Die Einstellungen in der Richtlinie bestimmen, wie Endpunkte mit
den konfigurierten Reputationsquellen kommunizieren. Gehen Sie wie folgt
vor, um die Einstellungen für Endpunkte zu bearbeiten.
1 Wählen Sie in der McAfee ePO-Konsole Menü | Richtlinie | Richtlinienkatalog aus.
2 Wählen Sie das Produkt Solidcore 7.0.0: Application Control aus.
3 Wählen Sie die Kategorie Application Control-Optionen (Windows) aus.
4 Klicken Sie auf die Richtlinie My Default, um die Richtlinie zu bearbeiten.
5 Klicken Sie auf der Registerkarte Reputation auf Was bedeutet Ausführung nach
Reputation?, um Informationen anzuzeigen, wie die Reputation als
Entscheidungsgrundlage zum Ausführen einer Datei verwendet wird.
6 Geben Sie die Reputationsquelle an.
Produkthandbuch
85
6
Komponente
TIE Server
McAfee GTI Server
Diese kann der TIE Server, der McAfee GTI-Server oder beides sein. Wenn
Sie beide verwenden, ist der TIE Server die primäre Reputationsquelle. Der
McAfee GTI-Server dient als alternative Quelle, die nur dann verwendet
wird, wenn der TIE Server nicht verfügbar ist.
7 Geben Sie die Reputationsstufen an, um die Ausführung an den Endpunkten
automatisch zuzulassen oder zu blockieren.
8 Geben Sie die ATD-Einstellungen an, wenn ATD in Ihrer Umgebung
konfiguriert wurde.
• Geben Sie die Reputationsstufen an, um automatisch Dateien an ATD zur
Analyse zu senden.
• Geben Sie die maximale Dateigröße für das Senden von Dateien an ATD
an.
9 Speichern Sie die Richtlinie, und wenden Sie sie auf die relevanten
Endpunkte an.
Verwenden von Reputationsinformationen
Mithilfe von Reputationsinformationen können Sie fundierte Entscheidungen für Ihr Unternehmen
treffen, und Sie bleiben immer auf dem neuesten Stand, was in Ihrem Setup erkannte Dateien betrifft.
Reputationsinformationen sind auf verschiedenen Application Control-Seiten verfügbar, z. B.
Richtlinienerkennung und Nach Anwendungen. Sie können die verfügbaren Reputationsinformationen dazu
nutzen, beim Verarbeiten von Anfragen sowie beim Definieren von Regeln und Richtlinien
Entscheidungen zu treffen.
Für jede in Ihrem Setup erkannte bösartige Datei bzw. jedes bösartige Zertifikat erstellt die Software
das Ereignis Bösartige Datei gefunden. Ändert sich die Reputation einer Binärdatei von bösartig in
vertrauenswürdig, wird das Ereignis Bösartige Datei ist vertrauenswürdig generiert. Diese Ereignisse können
auf der Seite Menü | Berichterstellung | Solidcore-Ereignisse und Menü | Berichterstellung | Bedrohungsereignisprotokoll
eingesehen werden. Zeigen Sie Ereignisdetails an, um den Bedrohungstyp zu ermitteln und
herauszufinden, ob der TIE Server oder der McAfee GTI-Server die Bedrohungsquelle darstellt. Bei
Bedarf können Sie die automatische Reaktion Fehlerhafte Binärdatei im Unternehmen erkannt bearbeiten, um sie
zu aktivieren, und die E-Mail-Adresse festlegen, an die Benachrichtigungen aufgrund solcher
Ereignisse gesendet werden sollen. Weitere Informationen zum Erstellen automatischer Reaktionen
finden Sie im McAfee ePolicy Orchestrator-Produkthandbuch.
Application Control stellt verschiedene Techniken zum Speicherschutz zur Verfügung, um
Zero-Day-Angriffe zu verhindern.
Techniken zum Speicherschutz bieten zusätzlichen Schutz, der über die nativen Windows-Funktionen
oder signaturbasierten Buffer Overflow-Schutzprodukte hinausgeht. Diese Techniken zum
Speicherschutz sind unter allen Windows-Betriebssystemen, einschließlich der 64-Bit-Plattformen,
verfügbar. Auf UNIX-Plattformen sind sie nicht verfügbar.
Auf hoher Ebene verhindern die verfügbaren Techniken zwei Arten von Exploits.
86
•
Buffer Overflow mit anschließender direkter Ausführung der Codes
•
Buffer Overflow mit anschließender indirekter Ausführung der Codes mit Hilfe von Return Oriented
Programming
Produkthandbuch
6
Eine detaillierte und aktualisierte Liste der Exploits, die durch die Techniken zum Speicherschutz
verhindert werden, erhalten Sie bei einer Registrierung für die Sicherheitsempfehlungen von McAfee
Threat Intelligence Services (MTIS).
Technik
Beschreibung
CASP – Critical Address
Space Protection (kritischer
Adressbereichsschutz,
mp-casp)
CASP ist eine Technik zum Speicherschutz, die jeglichen Code außer
Kraft setzt, der aus einem codefremden Bereich ausgeführt wird. Die
Ausführung von Code aus dem codefremden Bereich stellt ein nicht
normales Ereignis dar, das in der Regel unter Ausnutzung eines Buffer
Overflow auftritt.
CASP unterscheidet sich von der auf 64-Bit-Plattformen von Windows
verfügbaren DEP-Funktion (Datenausführungsverhinderung).
Während DEP die Ausführung des Codes in einem codefremden
Bereich vollständig verhindert (in der Regel unter Einsatz von
Hardware), lässt CASP die Ausführung von Code zwar zu, verhindert
jedoch alle sinnvollen API-Aufrufe, wie z. B. CreateProcess() und
DeleteFile(). Sinnvoller Exploit-Code versucht, mindestens eine dieser
APIs aufzurufen. Da diese jedoch von CASP blockiert werden,
scheitert der Exploit-Versuch, ohne Schaden angerichtet zu haben.
Wenn Sie CASP verwenden, werden bis auf einige Ausnahmen alle
auf Ihrem Windows-System ausgeführten Prozesse geschützt. Diese
Ausnahmen betreffen einige Prozesse, die bereits durch die
Integritätsschutzfunktion von Windows geschützt sind.
NX – No eXecute (mp-nx)
Unterstützte
Betriebssysteme
32-Bit-Versionen von Windows
Server 2008, Windows Vista, Windows 7,
Windows Embedded 7, Windows 8,
Windows Embedded 8, Windows 8.1,
Windows Embedded 8.1, Windows 10 und
Windows 10 IoT Enterprise
Standardstatus
Aktiviert
Generiertes Ereignis
PROCESS_HIJACK_ATTEMPTED
Die NX-Funktion nutzt die Datenausführungsverhinderung (DEP) von
Windows zum Schutz von Prozessen gegen Exploits, die versuchen,
Codes aus einem beschreibbaren Speicherbereich auszuführen
(Stack/Heap). Zusätzlich zur nativen DEP wendet MP-NX granulare
Umgehungsfunktionen an und löst Verletzungsereignisse aus, die in
der McAfee ePO-Konsole angezeigt werden können.
Windows DEP verhindert, dass Code aus dem nicht ausführbaren
Bereich des Speichers ausgeführt wird. Für gewöhnlich handelt es
sich bei der Ausführung derartiger Codes um nicht normale
Ereignisse. Am häufigsten tritt dies bei einem Buffer Overflow auf.
Der böswillige Exploit versucht, Code aus diesen nicht ausführbaren
Bereichen des Speichers auszuführen.
Unterstützte
Betriebssysteme
64-Bit-Versionen von Windows
Server 2008, Windows Server 2008 R2,
Windows Vista, Windows 7, Windows
Embedded 7, Windows 8, Windows
Embedded 8, Windows 8.1, Windows
Embedded 8.1, Windows 10, Windows IoT
Enterprise 10, Windows Server 2012 und
Windows Server 2012 R2
Diese Funktion steht für die
IA64-Architektur nicht zur Verfügung.
Standardstatus
Aktiviert
NX_VIOLATION_DETECTED
Produkthandbuch
87
6
Technik
Beschreibung
Erzwungene DLL-Verlagerung
(mp-vasr-forced-relocation)
Mit dieser Funktion wird die Verlagerung jener Dynamic Link Libraries
(DLLs) erzwungen, die die native ASLR-Funktion von Windows
abgewählt haben. Einige Malware-Typen erwarten, dass diese DLLs
stets unter denselben und bekannten Adressen geladen werden.
Indem diese DLLs verlagert werden, können die Angriffe verhindert
werden.
Unterstützte
Betriebssysteme
32- und 64-Bit-Versionen von Windows
Server 2008, Windows Server 2008 R2,
Windows Vista, Windows 7, Windows
Embedded 7, Windows 8, Windows
Embedded 8, Windows 8.1, Windows
Embedded 8.1, Windows 10, Windows IoT
Enterprise 10, Windows Server 2012 und
Windows Server 2012 R2
Standardstatus
Aktiviert
VASR_VIOLATION_DETECTED
Gelegentlich führen einige Anwendungen (im Rahmen der täglichen Verarbeitung) Codes auf eine
untypische Weise aus und werden daher möglicherweise durch die Techniken zum Speicherschutz an
der Ausführung gehindert. Um die Ausführung dieser Anwendungen zuzulassen, können Sie
spezifische Regeln definieren, mit denen die Techniken zum Speicherschutz umgangen werden. Siehe
Definieren von Umgehungsregeln.
Eine Regelgruppe ist eine Sammlung von Regeln. Sie können zwar jeder McAfee ePO-basierten
Richtlinie direkt Regeln hinzufügen, jedoch sind die innerhalb einer Richtlinie definierten Regeln
spezifisch für diese Richtlinie. Eine Regelgruppe hingegen ist eine unabhängige Einheit, die einen Satz
aus ähnlichen oder zueinander in Beziehung stehenden Regeln zusammenfasst.
Nach dem Definieren einer Regelgruppe können Sie die darin enthaltenen Regeln wiederholt
verwenden, indem Sie die Regelgruppe mit verschiedenen Richtlinien verknüpfen. Um eine Regel zu
ändern, aktualisieren Sie die Regel auch in der Regelgruppe, und die Änderung wird automatisch an
alle verknüpften Richtlinien verteilt.
Die Software bietet vordefinierte Regelgruppen, damit häufig verwendete Anwendungen reibungslos
ausgeführt werden können. Sie können die vordefinierten Regelgruppen zwar nicht ändern, jedoch
können Sie eine vorhandene Regelgruppe als Ausgangspunkt verwenden, um Regelgruppen zu
entwickeln. Bei Bedarf können Sie Regelgruppen auch importieren oder exportieren.
Regelgruppen können den Aufwand zur Definition ähnlicher Regeln für mehrere Richtlinien erheblich
verringern. Wenn Sie in einer umfangreichen Installation die Software an mehrere Endpunkte
verteilen, minimieren Sie den Zeit- und Arbeitsaufwand für die Verteilung mithilfe von Regelgruppen.
Beispiel für eine Regelgruppe
Im Folgenden sehen Sie ein Beispiel für die Verwendungsweise von Regelgruppen.
In einem Unternehmen läuft Oracle auf mehreren Servern. Jeder dieser Server wird von den
Abteilungen Personal, Entwicklung und Buchhaltung für unterschiedliche Zwecke genutzt. Zum
Verringern der Redundanz von Regeln wird eine Application Control-Regelgruppe (mit dem Namen
AC-Oracle) definiert, die Regeln enthält, um die relevanten Aktualisierungsprogramme zu definieren,
damit Oracle funktioniert.
88
Produkthandbuch
6
Nachdem die Regelgruppe definiert ist, kann sie in den Richtlinien für verschiedene Abteilungen
wiederholt verwendet werden. Fügen Sie also bei der Definition der Personal-Server-Richtlinie die
AC-Oracle-Regelgruppe zusammen mit Regelgruppen für die anderen Anwendungen hinzu, die auf
dem Personal-Server installiert sind. Fügen Sie auf die gleiche Weise die AC-Oracle-Regelgruppe den
relevanten Richtlinien für die Technik-Server und Finanz-Server hinzu. Wenn die Regel für eine
systemwichtige Datei nach dem Definieren der Richtlinien nicht erstellt wurde, aktualisieren Sie die
Regelgruppe direkt, um alle Richtlinien automatisch zu aktualisieren.
Besitzrechte für Regelgruppen
Benutzer dürfen nur die Regelgruppen bearbeiten und löschen, deren Besitzer sie sind.
Ein Benutzer, der eine Regelgruppe erstellt, wird automatisch zum Besitzer der Regelgruppe. Nur der
Besitzer und der McAfee ePO-Administrator können die Regelgruppe bearbeiten und löschen. Nur der
Administrator kann Besitzrechte anderen Benutzern zuweisen oder die Besitzrechte widerrufen. In
diesem Fall werden die Besitzrechte automatisch dem McAfee ePO-Administrator gewährt.
Wenn Sie ein Upgrade auf Version 6.2.0 oder höher durchführen, wird der McAfee ePO-Administrator
zum Besitzer aller Regelgruppen im Unternehmen. Die von allen Besitzern erstellten Regelgruppen
können nur vom McAfee ePO-Administrator bearbeitet werden. Der McAfee ePO-Administrator muss die
Besitzrechte für Regelgruppen gegebenenfalls anderen Benutzern zuweisen.
Benutzer, die keine Regelgruppe besitzen, können die Regelgruppe und ihre Richtlinienzuweisungen
anzeigen sowie die Regelgruppe duplizieren und sie Richtlinien hinzufügen. Wenn der Besitzer oder
McAfee ePO-Administrator eine Regel in der Regelgruppe aktualisiert, wirkt die Änderung kaskadierend
über alle verbundenen McAfee ePO-Richtlinien fort.
Dieses Szenario ist für nicht-globale Administratoren geeignet, die eine (vom McAfee
ePO-Administrator erstellte) Regelgruppe benutzen möchten, ohne sie pflegen zu müssen. Falls dieses
Szenario Ihren Anforderungen nicht entsprechen sollte, sollten Sie die Regelgruppe (deren Besitzer Sie
nicht sind) duplizieren und das Duplikat dann Richtlinien zuweisen. Auf diese Weise werden Sie
Besitzer der duplizierten Regelgruppe.
Ein Zertifikat bezieht sich auf ein vertrauenswürdiges Zertifikat (verbunden mit einem
Software-Paket), das das Ausführen der verknüpften Anwendung auf einem geschützten Endpunkt
zulässt. Nachdem Sie ein Zertifikat als vertrauenswürdiges Zertifikat hinzugefügt haben, werden alle
durch dieses Zertifikat signierten Anwendungen zugelassen.
Application Control unterstützt nur X.509-Zertifikate.
Ebenso werden alle Binär- und Skriptdateien, die einem Endpunkt hinzugefügt oder auf einem
Endpunkt geändert werden und durch ein vertrauenswürdiges Zertifikat signiert sind, automatisch in
die Whitelist aufgenommen. Das Konfigurieren von vertrauenswürdigen Zertifikaten wird nur auf der
Windows-Plattform unterstützt. Wenn Sie beispielsweise das Adobe Code Signing-Zertifikat als
vertrauenswürdiges Zertifikat hinzufügen, darf sämtliche von Adobe herausgegebene Software, die
durch das Adobe-Zertifikat signiert ist, ausgeführt werden.
Damit firmeninterne Anwendungen auf geschützten Endpunkten ausgeführt werden dürfen, können
Sie die Anwendungen mit einem internen Zertifikat signieren. Anschließend werden alle durch das
Zertifikat signierten Anwendungen zugelassen. Ebenso werden alle Binär- und Skriptdateien, die
einem Endpunkt hinzugefügt oder auf einem Endpunkt geändert werden und durch das Zertifikat
signiert sind, automatisch in die Whitelist aufgenommen.
Produkthandbuch
89
6
Ein Prozess des Aktualisierungsprogramms ist eine Anwendung, die den Endpunkt aktualisieren darf.
Wenn ein Programm als Aktualisierungsprogramm konfiguriert wird, kann mit dem Programm neue
Software installiert und vorhandene Software aktualisiert werden. Wenn Sie beispielsweise Adobe 8.0
Updater als Aktualisierungsprogramm konfigurieren, kann es regelmäßig alle erforderlichen Dateien
mit einem Patch versehen.
Aktualisierungsprogramme funktionieren auf globaler Ebene und sind nicht anwendungs- oder
lizenzspezifisch. Sobald ein Programm als Aktualisierungsprogramm definiert wurde, kann es jede
geschützte Datei bearbeiten. Wenn Sie Application Control und Change Control gemeinsam verwenden,
kann ein über eine Application Control-Richtlinie definiertes Aktualisierungsprogramm auch Dateien
ändern, die durch Regeln in einer Change Control-Richtlinie geschützt sind.
Ein Aktualisierungsprogramm ist nicht automatisch hierzu autorisiert. Damit das
Aktualisierungsprogramm autorisiert wird, muss es entweder in der Whitelist enthalten sein oder
explizit autorisiert werden (per Richtlinie als zugelassene Binärdatei definiert oder als
Aktualisierungsprogramm basierend auf dem SHA-1 hinzugefügt). Gehen Sie bei der Vergabe von
Aktualisierungsberechtigungen für Binärdateien vorsichtig und mit großer Sorgfalt vor. Wenn Sie
beispielsweise "cmd.exe" als Aktualisierungsprogramm festlegen und darüber ein ausführbares
Programm aufrufen, kann dieses Programm an den geschützten Endpunkten beliebige Änderungen
durchführen.
Um Sicherheitslücken zu vermeiden, ist es nicht zu empfehlen, eine Datei gleichzeitig als zulässige
Binärdatei und als zulässiges Aktualisierungsprogramm zu konfigurieren.
Übliche Kandidaten für Aktualisierungsprogramme sind Softwaredistributionsanwendungen wie Tivoli,
Opsware, Microsoft Systems Management Server (SMS) und BladeLogic sowie Programme, die sich
selbst häufig aktualisieren müssen. Application Control enthält vordefinierte Regeln für häufig
verwendete Anwendungen, die möglicherweise die Endpunkte oft aktualisieren müssen. Beispielsweise
sind Regelgruppen für Altiris-, SCCM- und McAfee-Produkte definiert.
Sie können auch Skripts als Aktualisierungsprogramme hinzufügen. Diese Funktion gilt jedoch nicht
für Windows 8, Windows Embedded 8, Windows 8.1, Windows Embedded 8.1, Windows 10, Windows
Embedded 10, Windows Server 2012 und Windows Server 2012 R2.
Wenn ein Programm (oder ein Installationsprogramm) als autorisiertes Installationsprogramm
konfiguriert wird, erhält es die Attribute "Autorisiert" und "Aktualisierungsprogramm". Unabhängig
davon, ob dieses Installationsprogramm ursprünglich auf dem Endpunkt vorhanden war, kann mit dem
Installationsprogramm Software auf diesem Endpunkt ausgeführt und aktualisiert werden. Das
Konfigurieren von Installationsprogrammen wird nur auf der Windows-Plattform unterstützt.
Ein autorisiertes Installationsprogramm ist basierend auf dem SHA-1-Wert des (bei der Konfiguration
dieser Richtlinie angegebenen) Installationsprogramms zulässig. Das Installationsprogramm kann
unabhängig von seiner Quelle (oder der Art der Übertragung dieses Installationsprogramms an den
Endpunkt) ausgeführt werden, sofern der SHA-1-Wert übereinstimmt. Wenn die Reputation des
Installationsprogramms jedoch "Bösartig" lautet, wird die Ausführung nicht zugelassen. Wenn Sie
beispielsweise Microsoft Office 2010 als Installationsprogramm hinzufügen und der SHA-1
übereinstimmt, darf das Installationsprogramm die Microsoft Office-Suite auf den geschützten
Endpunkten installieren.
90
Produkthandbuch
6
Kontrollieren der Installation und Deinstallation
Verwalten Sie die Installation und Deinstallation von Software-Paketen mit der Funktion
"Paketkontrolle".
Mit dieser Funktion werden die Installation, Deinstallation, das Upgrade und Reparaturaktionen für
Software-Pakete zugelassen oder verweigert. Sämtliche nicht autorisierten Installationen und
Deinstallationen werden von dieser Funktion verhindert.
In der Liste der Funktionen wird die Paketkontrolle als pkg-ctrl bezeichnet. Sie unterstützt alle Typen
von Installationsprogrammen auf der Windows-Plattform. Diese Funktion ist standardmäßig aktiviert.
Sie lässt die Installation zu bzw. blockiert sie auf Grundlage der Reputationsinformationen und
definierten Regeln.
•
Wenn die Reputationsinformationen verfügbar sind, lässt diese Funktion die Installation von
Software-Paketen basierend auf den folgenden Bedingungen zu oder blockiert sie.
Produkthandbuch
91
6
Installationsprogrammtyp
Beschreibung
Bedingung
Microsoft Installer-Dateien
(MSI)
Umfasst verschiedene
Varianten, z. B. .msp,
.mst und .msm.
Ist die Reputation des Zertifikats (das
die Installationsdatei signiert hat)
vertrauenswürdig, wird die Installation
des Software-Pakets zugelassen.
EXE-basiertes
Installationsprogramm
Umfasst im
eingebettete
MSI-Dateien.
Ist die Installationsdatei als
Aktualisierungsprogramm konfiguriert
oder die Reputation der
Installationsdatei bzw. eines
verknüpften Zertifikats (das die im
Installationsprogramm eingebetteten
MSI-Dateien signiert hat)
vertrauenswürdig, wird die Installation
des Software-Pakets zugelassen.
Nicht-MSI-basiertes
Umfasst keine im
eingebetteten
MSI-Dateien.
Die Paketkontrolle berücksichtigt die
folgenden Bedingungen beim Zulassen
oder Blockieren einer Installation:
• Berücksichtigt die Reputation der
Installationsdatei oder des Zertifikats
(das die Installationsdatei signiert
hat). The Reputation muss
vertrauenswürdig sein.
• Verwendet heuristikbasierte
Identifikation für die
Installationsdatei.
• Berücksichtigt, ob die
Installationsdatei in der Liste
allgemeiner Startprogramme
enthalten ist oder nicht, z. B.
explorer.exe und svchost.exe.
Beispiel: Die Installation von Software
ist nur zulässig, wenn die Reputation
der Installationsdatei oder des
Zertifikats, das die Installationsdatei
signiert hat, vertrauenswürdig ist; die
Heuristik der Paketkontrolle hat die
Datei als Identifikationsdatei
identifiziert, und die Installationsdatei
ist aus der Liste allgemeiner
Startprogramme ausgeschlossen. Wird
eine dieser Bedingungen nicht erfüllt, ist
die Installation nicht zulässig.
•
Sind keine Reputationsinformationen verfügbar, wird die Installation basierend auf den definierten
Regeln (z. B. Aktualisierungsprogramm nach Name oder Pfad, Benutzer, Verzeichnisse, Zertifikat
als Aktualisierungsprogramm oder SHA-1 als Aktualisierungsprogramm) zugelassen oder blockiert.
Weitere Informationen zu diesen Regeln finden Sie unter Zulassen von Änderungen an Endpunkten.
Bei Deaktivierung dieser Funktion werden sämtliche Software-Installationen und -Deinstallationen
blockiert.
Diese Funktion wurde in den Versionen 6.1.1 und 6.1.2 neu gestaltet. Weitere Informationen
finden Sie im Produkthandbuch zu McAfee Application Control 6.1.1 und Produkthandbuch
zu McAfee Application Control 6.1.2 für Standalone-Konfiguration.
Die Paketkontrolle enthält die folgenden Unterfunktionen.
92
Produkthandbuch
6
Unterfunktion
Beschreibung
Deinstallation
zulassen
Steuert die Deinstallation von Software-Paketen. Bei Aktivierung dieser
Funktion sind sämtliche Software-Deinstallationen, -Upgrades und -Reparaturen
zulässig. Diese Funktion ist standardmäßig aktiviert und wird in der Liste der
Funktionen als pkg-ctrl-allow-uninstall bezeichnet.
Paketkontrolle
umgehen
Steuert die Umgehung der Funktion "Paketkontrolle". Bei Aktivierung dieser
Funktion wird die Paketkontrolle umgangen, und sämtliche
Software-Installationen und -Deinstallationen sind zulässig. Diese Funktion ist
standardmäßig deaktiviert und wird in der Liste der Funktionen als
pkg-ctrl-bypass bezeichnet.
Standardmäßig sind die Funktionen "Paketkontrolle" und "Deinstallation zulassen" aktiviert. Sie
können jegliche Software vom System deinstallieren. Ist die Reputation der Deinstallationsbinärdatei
hingegen bösartig ("Als bösartig bekannt", "Höchstwahrscheinlich bösartig" oder "Möglicherweise
bösartig"), ist die Deinstallation von Software nicht zulässig – unabhängig von der Konfiguration der
Paketkontrolle. Ist die Reputation der Installationsdatei oder MSI-Datei bösartig, ist die Installation
von Software nicht zulässig – unabhängig von der Konfiguration der Paketkontrolle. Verwenden Sie
diese Standardkonfiguration für Umgebungen mit Desktopverwaltung und System Center
Configuration Manager (SCCM). Diese Konfiguration ermöglicht das Ändern, Reparieren, Entfernen und
das Durchführen von Upgrades für Software. Dies ist in folgenden Fällen sehr hilfreich.
•
Software-Upgrades mit erforderlicher Benutzeraktion
•
Software-Upgrades über Windows-Aktualisierungsmechanismen
•
Software-Upgrades vorhandener Software während der Installation neuer Software-Pakete in
verketteten Installationen
•
Rollback bei Stromausfall oder Neustart des Systems während der Installation. Dies wird als
unterbrochene Installation bezeichnet. Das Installationsprogramm verfolgt die laufende
Installation. Nach deren Fortsetzung können Sie einen Rollback für die unterbrochene Installation
durchführen oder mit der unterbrochenen Installation fortfahren.
Bei Bedarf können Sie die Standardkonfiguration folgendermaßen ändern:
•
Deaktivieren der Funktion "Deinstallation zulassen" – Es kann keine Software vom System
deinstalliert werden. Verwenden Sie diese Konfiguration für Geräte mit fester Funktion und
Server-Umgebungen für alle Aktionen außer Upgrades. Um Upgrades für Software in
Server-Umgebungen durchzuführen, müssen Sie zur Standardkonfiguration wechseln, da diese
Konfiguration das Ändern, Reparieren, Entfernen und das Durchführen von Upgrades blockiert.
•
Aktivieren der Funktion "Paketkontrolle umgehen" – Sämtliche Software-Installation
und -Deinstallation auf dem System ist zulässig, außer bei einer bösartigen Reputation der
Binärdatei.
•
Deaktivieren der Funktion "Paketkontrolle" – Sämtliche Software-Installation und -Deinstallation
auf dem System wird verhindert.
•
Versetzen des Systems in den Aktualisierungsmodus – Sämtliche Software-Installation
und -Deinstallation auf dem System ist zulässig, außer bei einer bösartigen Reputation der
Binärdatei.
Informationen zum Konfigurieren der Paketkontrolle finden Sie unter Konfigurieren der Paketkontrolle.
Der McAfee ePO-Administrator kann Berechtigungen für die Solidcore-Konfiguration konfigurieren.
Wenn in Ihrem Unternehmen mehrere Administratoren arbeiten, überprüfen und verwalten Sie für
jeden Administrator die Berechtigungen.
Produkthandbuch
93
6
Wann weise ich Berechtigungen zu?
Der typische McAfee ePO-Administrator ist der globale Administrator, der das gesamte Unternehmen
verwaltet und Zugriff auf alle Solidcore-Seiten hat. Der nicht-globale Administrator kann hingegen ein
Site-Administrator sein, der eine bestimmte Site oder Gruppe von Systemen im Unternehmen
verwaltet. Im Unternehmen können die Standorte nach Ort, Sektor oder Funktionsgruppe kategorisiert
sein.
Beispiel: In einem Unternehmen mit mehreren Betrieben an verschiedenen Orten (Norden, Süden,
Osten, Westen) verwaltet der McAfee ePO-Administrator das gesamte Unternehmen, während
Standortadministratoren oder nicht-globale Administratoren für die einzelnen Betriebe zuständig sind.
Berechtigungen für die Seiten Regelgruppen, Zertifikate und Installationsprogramme
Sie können Berechtigungen für die Seiten Regelgruppen, Zertifikate und Installationsprogramme konfigurieren,
die auf der Seite Menü | Konfiguration | Solidcore-Regeln erscheinen. Die Berechtigungen legen die auf dieser
Seite möglichen Aktionen fest und ob diese Seiten auf anderen Solidcore-Seiten sichtbar sind.
Sie können eine dieser Berechtigungen für die Seiten Regelgruppen, Zertifikate und Installationsprogramme
zuweisen. Standardmäßig hat der McAfee ePO-Administrator Bearbeitungsberechtigungen für alle
Seiten.
Berechtigung
Details
Bedeutet, dass die Seite für den Benutzer nicht sichtbar ist.
Beispiel: Wenn ein Benutzer für die Seite Regelgruppen keine
Berechtigung besitzt, wird die Registerkarte auf den Seiten
Solidcore-Regeln und Richtlinienkatalog (Regelgruppenzuweisungen) nicht
angezeigt. Außerdem erbt der Benutzer keine Berechtigungen für die
Registerkarten Prozesse des Aktualisierungsprogramms, Zertifikate,
Installationsprogramme, Verzeichnisse, Benutzer, Binärdateien, Ausschlüsse und Filter.
Bedeutet, dass die Seite für den Benutzer sichtbar ist. Benutzer kann
jedoch auf dieser Seite nichts bearbeiten oder löschen und auch keine
Benutzervorgänge ausführen.
Beispiel: Wenn ein Benutzer für die Seite Regelgruppen
Anzeigeberechtigungen besitzt, wird die Registerkarte auf den Seiten
Solidcore-Regeln und Richtlinienkatalog (Regelgruppenzuweisungen)
angezeigt. Der Benutzer kann zwar Informationen zu Regelgruppen
anzeigen und Zuweisungen überprüfen, nicht aber Regelgruppen
bearbeiten, duplizieren oder hinzufügen.
Bearbeitungsberechtigungen Bedeutet, dass die Registerkarte sichtbar ist und der Benutzer alle
Aktionen durchführen kann, die auf der Seite verfügbar sind.
Beispiel: Wenn ein Benutzer für die Registerkarte Regelgruppen
Bearbeitungsberechtigungen besitzt, wird die Registerkarte auf den
Seiten Solidcore-Regeln und Richtlinienkatalog (Regelgruppenzuweisungen)
angezeigt und der Benutzer kann alle Vorgänge durchführen.
Berechtigungen für die Registerkarten, die in den Seiten "Regelgruppen" und
"Richtlinien" enthalten sind
Benutzerberechtigungen für die Seite Regelgruppen steuern die Berechtigungen für die Registerkarten
Prozesse des Aktualisierungsprogramms, Zertifikate, Installationsprogramme, Verzeichnisse, Benutzer, Binärdateien,
Ausschlüsse und Filter. Die für die Seite Regelgruppen verfügbaren Berechtigungen geben die
Berechtigungen für die darin enthaltenen Registerkarten an. Bei Bedarf kann der McAfee
ePO-Administrator die Berechtigungen für die einzelnen Registerkarten selektiv ändern.
Wenn ein Benutzer Keine Berechtigungen oder Anzeigeberechtigungen besitzt, sind einige Aktionen davon
betroffen und möglicherweise nicht verfügbar.
94
Produkthandbuch
Blockierte Aktionen
Betroffene Seiten
Berechtigungen erforderlich
für ...
Die Aktion Zu Regelgruppe
hinzufügen ist blockiert.
Seiten Zertifikate und
Installationsprogramme
Bearbeitungs- oder
Änderungsberechtigungen für:
6
• Solidcore 7.0.0: Application Control
(Richtlinienberechtigung)
• Seite Regelgruppen
• Installationsprogrammregeln
(Registerkartenberechtigung)
• Zertifikatsregeln
(Registerkartenberechtigungen)
Die Aktion Ereignisse
ausschließen ist blockiert.
Seite Solidcore-Ereignisse
Registerkarte Filter
Zulassen nach Zertifikat ist
deaktiviert.
Für die Aktivität
Registerkarte Zertifikate
"ActiveX-Installation" und alle
Anfragen im Zusammenhang
mit einem Zertifikat für die Seite
Richtlinienerkennung: Benutzerdefinierte
Regeln
Die Aktion Speicherschutz
umgehen ist deaktiviert.
Für die Aktivität "Verletzung des Registerkarte Ausschlüsse
Speicherschutzes" auf der Seite
Regeln
Die Aktion Vertrauenswürdigen
Pfad zulassen ist deaktiviert.
Für die Aktivität
"Netzwerkpfadausführung" auf
der Seite Richtlinienerkennung:
Benutzerdefinierte Regeln
Registerkarte Verzeichnisse
Die Aktion Anfrage genehmigen
ist deaktiviert.
Aktion Anfrage sperren ist
deaktiviert
Für die Aktivitäten "Ergänzung
der Binärdatei", "Änderung der
Binärdatei", "Ausführung der
Anwendung" oder "Installation
der Software" auf der Seite
Regeln
Registerkarte Prozesse des
Aktualisierungsprogramms, Binärdateien
oder Installationsprogramme
Die Aktionen Binärdateien
zulassen und Binärdateien sperren
sind deaktiviert.
Für eine Binärdatei auf den
Seiten Nach Anwendungen und
Binärdateidetails
Registerkarte Binärdateien
Die Aktion Importieren
funktioniert nicht, weil
registerkartenspezifische
Regeln nicht importiert
werden.
Seite Regelgruppen
Auf der Seite Regelgruppen enthaltene
Registerkarte
Die Aktion Empfehlungen
anzeigen ist deaktiviert.
Seite Beobachtungen (veraltet)
Auf der Seite Regelgruppen enthaltene
Registerkarte
Konfigurieren Sie Gruppenberechtigungen, und erstellen Sie Regelgruppen, um miteinander
verbundene Regelgruppen zusammenzufassen.
Sie können Regelgruppen importieren bzw. exportieren, um die Konfiguration von Regelgruppen zu
verwalten.
Produkthandbuch
95
6
Aufgaben
•
Ändern des Besitzers der Regelgruppe auf Seite 25
Weisen Sie die Besitzrechte an Regelgruppen mehreren Benutzern zu, oder entfernen Sie
die Besitzrechte von Benutzern.
•
Verwalten von Berechtigungen für die Regelgruppen-Registerkarten auf Seite 96
Geben Sie die Berechtigungen für die Seiten Regelgruppen, Zertifikate und Installationsprogramme
sowie die Registerkarten auf den Regelgruppen- und Richtlinienseiten an.
•
Erstellen einer Regelgruppe auf Seite 97
•
Importieren oder Exportieren einer Regelgruppe auf Seite 27
Um die Regelgruppenkonfiguration von einem McAfee ePO-Server auf einen anderen zu
replizieren, exportieren Sie die Regelgruppenkonfiguration vom McAfee
ePO-Ausgangsserver in eine XML-Datei, und importieren Sie die XML-Datei auf den McAfee
ePO-Zielserver.
•
Überprüfen des Imports für eine Regelgruppe auf Seite 30
•
Anzeigen von Zuweisungen für eine Regelgruppe auf Seite 101
Anstatt durch alle erstellten Richtlinien zu navigieren, können Sie direkt alle Richtlinien
anzeigen, in denen eine bestimmte Regelgruppe verwendet wird. Diese Funktion stellt eine
bequeme Methode dar, um zu prüfen, ob jede Regelgruppe den relevanten Richtlinien
zugewiesen ist.
Ändern des Besitzers der Regelgruppe
Weisen Sie die Besitzrechte an Regelgruppen mehreren Benutzern zu, oder entfernen Sie die
Besitzrechte von Benutzern.
Bevor Sie beginnen
Für diesen Task müssen Sie ein globaler Administrator sein.
Vorgehensweise
1
2
Klicken Sie auf der Registerkarte Regelgruppen in der Spalte Besitzer auf den Besitzer für eine
Regelgruppe, um die Seite Besitzrechte für Regelgruppen zu öffnen.
3
Ändern Sie die standardmäßigen Besitzerberechtigungen, indem Sie die auf der Seite aufgelisteten
Benutzer auswählen bzw. ihre Auswahl aufheben.
4
Die Änderungen an den Besitzern werden in der Spalte Besitzer für die ausgewählte Regelgruppe
dargestellt.
Verwalten von Berechtigungen für die RegelgruppenRegisterkarten
Geben Sie die Berechtigungen für die Seiten Regelgruppen, Zertifikate und Installationsprogramme sowie die
Registerkarten auf den Regelgruppen- und Richtlinienseiten an.
Bevor Sie beginnen
96
Produkthandbuch
6
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Benutzerverwaltung | Berechtigungssätze.
2
Klicken Sie auf Neu, um einen Berechtigungssatz zu erstellen.
3
Geben Sie einen Namen für den Berechtigungssatz an.
4
Wählen Sie die Benutzer aus, denen Sie den Berechtigungssatz zuweisen möchten.
Die ausgewählte Berechtigungsebene wird dem Benutzer zuerkannt.
Wenn mehrere Berechtigungssätze auf ein Benutzerkonto angewendet werden, werden sie
aggregiert. Dies ist zu berücksichtigen, wenn Sie die Strategie für die Gewährung von
Benutzerberechtigungen in Ihrer Umgebung planen. Siehe Solidcore-Berechtigungssätze.
5
Klicken Sie bei der Berechtigungskategorie Solidcore – Allgemein auf Bearbeiten.
6
Gewähren Sie für Zertifikate, Installationsprogramme und Regelgruppen die erforderlichen Berechtigungen.
7
Gewähren Sie erforderlichenfalls selektiv Berechtigungen für die Registerkarten (Prozesse des
Aktualisierungsprogramms, Zertifikate, Installationsprogramme, Verzeichnisse, Benutzer, Binärdateien, Ausschlüsse und
Filter) auf den Regelgruppen- und Richtlinienseiten.
Dies basiert auf den Berechtigungen, die dem Benutzer auf der Seite Regelgruppen zugewiesen sind.
Informationen finden Sie unter Berechtigungen für Regelkonfigurationen.
8
Erstellen einer Regelgruppe
Vorgehensweise
1
2
Wählen Sie auf der Registerkarte Regelgruppen die Option Application Control aus.
Sie können eine vorhandene Regelgruppe als Ausgangspunkt nehmen oder eine neue Regelgruppe
definieren. Wenn Sie eine vorhandene Regelgruppe bearbeiten möchten, führen Sie die Schritte 3,
5, 6 und 7 aus. Wenn Sie eine neue Regelgruppe definieren möchten, führen Sie die Schritte 4, 5, 6
und 7 aus.
3
Erstellen Sie eine Regelgruppe auf der Grundlage einer vorhandenen Regelgruppe.
a
Klicken Sie bei einer vorhandenen Regelgruppe auf Duplizieren, um das Dialogfeld Regelgruppe
duplizieren zu öffnen.
b
Geben Sie den Regelgruppennamen an, und klicken Sie dann auf OK.
4
Definieren Sie eine neue Regelgruppe.
a
Klicken Sie auf Regelgruppe hinzufügen, um das Dialogfeld Regelgruppe hinzufügen zu öffnen.
b
Geben Sie den Regelgruppennamen an.
Produkthandbuch
97
6
c
Wählen Sie den Typ der Regelgruppe und die Plattform aus.
d
Klicken Sie auf OK.
5
6
Geben Sie die erforderlichen Regeln an.
Informationen zum Definieren von Regeln finden Sie unter Zulassen von Änderungen an
Endpunkten.
7
Importieren oder Exportieren einer Regelgruppe
Um die Regelgruppenkonfiguration von einem McAfee ePO-Server auf einen anderen zu replizieren,
exportieren Sie die Regelgruppenkonfiguration vom McAfee ePO-Ausgangsserver in eine XML-Datei,
und importieren Sie die XML-Datei auf den McAfee ePO-Zielserver.
Wenn Sie der Besitzer der Regelgruppe oder der globale Administrator sind, können Sie die XML-Datei
der Regelgruppe auf den McAfee ePO-Zielserver importieren. Sind Sie jedoch kein globaler
Administrator, können Sie nur für die Registerkarten Regeln importieren, für die Sie Berechtigungen
haben. Alle anderen Regeln werden nicht importiert und Details sind auf der Seite Server-Task-Protokoll
verfügbar. Informationen über Berechtigungen finden Sie unter Berechtigungen für
Regelkonfigurationen.
Wenn Sie Regelgruppen in einen McAfee ePO-(Ziel)-Server importieren, wird der beim McAfee
ePO-Server angemeldete Benutzer der Besitzer der importierten Regelgruppe. Wenn Sie Regelgruppen
aus einem McAfee ePO-Quellserver exportieren, werden die Besitzerinformationen nicht exportiert.
Stellen Sie beim Importieren oder Exportieren von Regelgruppen mit vertrauenswürdigen Gruppen
sicher, dass für den Active Directory-Server sowohl auf dem McAfee ePO-Ausgangs- als auch -Zielserver
derselbe Domänen- oder Servername (oder dieselbe IP-Adresse) konfiguriert ist.
Sie können Regelgruppen mittels McAfee ePO-Konsole oder Web-Dienst-APIs importieren bzw.
exportieren.
Aufgaben
•
Verwenden der McAfee ePO-Konsole auf Seite 28
Abhängig von Ihrem Setup können Sie mit der McAfee ePO-Konsole Regelgruppen
importieren bzw. exportieren.
•
Verwenden von Web-Dienst-APIs auf Seite 28
Abhängig von Ihrem Setup können Sie Regelgruppen mit Web-Dienst-APIs von Application
Control und Change Control importieren bzw. exportieren.
Verwenden der McAfee ePO-Konsole
Abhängig von Ihrem Setup können Sie mit der McAfee ePO-Konsole Regelgruppen importieren bzw.
exportieren.
Sie können Regelgruppen auch in eine XML-Datei exportieren, die XML-Datei bearbeiten, um die
Regelgruppen bei Bedarf zu ändern, und die Datei auf den McAfee ePO-Server importieren, um die
geänderten Regelgruppen zu verwenden.
98
Produkthandbuch
6
Vorgehensweise
1
2
•
Klicken Sie zum Importieren von Regelgruppen auf Importieren, suchen Sie dann die
Regelgruppendatei, und wählen Sie sie aus. Klicken Sie anschließend auf OK. Während des
Importvorgangs können Sie angeben, ob Regelgruppen überschrieben werden sollen (falls Sie
eine Regelgruppe mit demselben Namen wie eine vorhandene Regelgruppe importieren).
•
Klicken Sie zum Exportieren von ausgewählten Regelgruppen in eine XML-Datei auf Exportieren,
und speichern Sie die Datei.
Verwenden von Web-Dienst-APIs
Abhängig von Ihrem Setup können Sie Regelgruppen mit Web-Dienst-APIs von Application Control und
Change Control importieren bzw. exportieren.
Vorgehensweise
1
Öffnen Sie die Befehlszeile, und navigieren Sie zu folgendem Verzeichnis.
<ePO installation directory>\Remote‑Client\
Beispiel: C:\Programme\McAfee\ePolicy Orchestrator\Remote‑Client\
2
Führen Sie den folgenden Befehl für eine Verbindung zum McAfee ePO-Shellclient aus.
shell-client.bat <eposerverip:epoport> <epouserid> <epopassword> https post
Beispiel: shell-client.bat <xxx.xx.xx.xxx:xxxx> admin testP@ssword https post
3
Verwenden Sie bei Bedarf die folgenden Web-Dienst-APIs.
Web-Dienst-APIs
Beschreibung
scor.rulegroup.find
(ruleGroupOS,
ruleGroupType,
ruleGroupName)
Sucht die erforderliche Regelgruppe in der Liste aller
Solidcore-Regelgruppen. Bei diesem Dienst sind die folgenden
Parameter relevant.
scor.rulegroup.export
(ruleGroupOS,
ruleGroupType,
ruleGroupName,
exportFileName)
ruleGroupOS
UNIX.
ruleGroupType
INTEGRITY_MONITOR.
ruleGroupName
Exportiert die Regelgruppeninformationen aus dem McAfee
ePO-(Quell-)Server. Optional können Sie die
Regelgruppeninformationen in eine XML-Datei auf dem McAfee
ePO-Server exportieren. Bei diesem Dienst sind die folgenden
Parameter relevant.
ruleGroupOS
UNIX.
Produkthandbuch
99
6
Web-Dienst-APIs
Beschreibung
ruleGroupType
INTEGRITY_MONITOR.
ruleGroupName
Wenn Sie keinen Regelgruppennamen
angeben, werden alle bearbeitbaren Regeln
für das bestimmte Betriebssystem und den
Regelgruppentyp exportiert.
exportFileName (Optional) Name der XML-Datei, z. B. c:\foo
.xml, c:\foo\foo.xml, in der die exportierten
Regelgruppeninformationen gespeichert werden
sollen. Der Speicherort der XML-Datei muss sich
auf dem McAfee ePO-Server befinden. Stellen Sie
sicher, dass Sie als Wert den absoluten Pfad zum
Speicherort und nicht den relativen Pfad
angeben.
scor.rulegroup.import
(file, override)
Importiert die Regelgruppeninformationen aus einer XML-Datei auf
den McAfee ePO-(Ziel-)Server. Bei diesem Dienst sind die folgenden
Parameter relevant.
file
(Erforderlich) Pfad zur XML-Datei. Beachten Sie
je nach Speicherort der XML-Datei die folgenden
Hinweise.
• Befindet sich die XML-Datei auf dem McAfee
ePO-Server, geben Sie für diesen Parameter
den vollqualifizierten Namen als Wert an.
Beispiel: scor.rulegroup.import c:
\abc.xml.
• Befindet sich die XML-Datei auf einem lokalen
System, geben Sie für diesen Parameter den
Wert im Format file:/// gefolgt vom
Speicherort auf dem lokalen System an.
Beispiel: scor.rulegroup.import
file=file:///c:/abc.xml.
override
(Optional) Überschreibt eine vorhandene
übereinstimmende Regelgruppe auf dem McAfee
ePO-Zielserver. Standardmäßig ist der Wert für
diesen Parameter auf "falsch" gesetzt, sodass er
keine vorhandene übereinstimmende
Regelgruppe auf dem McAfee ePO-Zielserver
überschreibt.
Überprüfen des Imports für eine Regelgruppe
Sie können Details über Importvorgänge einer Regelgruppe anzeigen, um sich zu vergewissern, dass
ein Vorgang erfolgreich verlaufen ist.
100
Produkthandbuch
6
Vorgehensweise
1
2
Geben Sie den Task-Namen Solidcore-Regelgruppen importieren im Textfeld Schnellsuche an, und
klicken Sie dann auf Anwenden.
3
Wenn der Status des Tasks Fehlgeschlagen ist, war der Importvorgang nicht erfolgreich.
4
Klicken Sie auf den Server-Task, um die Seite Server-Task-Protokoll: Details zu öffnen.
Sehen Sie sich auf der Registerkarte Protokollmeldungen die Details zu den Regeln an.
Anzeigen von Zuweisungen für eine Regelgruppe
Anstatt durch alle erstellten Richtlinien zu navigieren, können Sie direkt alle Richtlinien anzeigen, in
denen eine bestimmte Regelgruppe verwendet wird. Diese Funktion stellt eine bequeme Methode dar,
um zu prüfen, ob jede Regelgruppe den relevanten Richtlinien zugewiesen ist.
Vorgehensweise
1
2
Klicken Sie auf der Registerkarte Regelgruppen für eine Regelgruppe auf Zuweisungen, um die
Richtlinien anzuzeigen, denen die ausgewählte Regelgruppe zugewiesen ist.
Fügen Sie vor dem Definieren von Regeln ein Zertifikat hinzu, um die Installation und Ausführung
sämtlicher Software zu gestatten, die durch das Zertifikat signiert wurde.
Sie können ein Zertifikat unabhängig davon hinzufügen, ob es sich um ein internes Zertifikat oder ein
Zertifikat handelt, das dem Anbieter durch eine Zertifizierungsstelle ausgestellt wurde. Beim
Hinzufügen eines Zertifikats können Sie diesem auch Aktualisierungsberechtigungen gewähren.
Verwenden Sie diese Option mit Bedacht, denn dabei erlangen alle vom Zertifikat signierten
Binärdateien Aktualisierungsberechtigungen. Beispiel: Wenn Sie das zur Signatur der Internet
Explorer-Anwendung verwendete Microsoft-Zertifikat als Aktualisierungsprogramm festlegen, kann
Internet Explorer beliebige Anwendungen aus dem Internet herunterladen und ausführen. Das heißt,
dass jede Datei, die von einer durch das Zertifikat (mit Aktualisierungsberechtigungen) signierten
Anwendung hinzugefügt oder geändert wird, automatisch der Whitelist hinzugefügt wird.
Aufgaben
•
Hinzufügen eines Zertifikats zu McAfee ePO auf Seite 102
Sie können mit den folgenden Methoden ein Zertifikat hinzufügen.
•
Suchen nach einem Zertifikat auf Seite 103
Suchen Sie anhand seiner Kategorie nach einem Zertifikat.
•
Anzeigen von Zuweisungen für ein Zertifikat auf Seite 103
Stellen Sie sicher, dass jedes Zertifikat den entsprechenden Richtlinien und Regelgruppen
zugewiesen ist.
Produkthandbuch
101
6
Hinzufügen eines Zertifikats zu McAfee ePO
Sie können mit den folgenden Methoden ein Zertifikat hinzufügen.
•
Laden Sie ein vorhandenes Zertifikat hoch.
•
Extrahieren Sie Zertifikate von signierten Binärdateien auf einer Netzwerkfreigabe sofort.
•
Planen Sie einen Server-Task, um regelmäßig Zertifikate von signierten Binärdateien auf einer
Netzwerkfreigabe zu extrahieren.
Vorgehensweise
1
2
Laden Sie ein verfügbares Zertifikat hoch.
a
b
Wählen Sie auf der Registerkarte Zertifikate Aktionen | Hochladen aus, um die Seite Zertifikat hochladen
zu öffnen.
c
Navigieren Sie zur Zertifikatdatei, die importiert werden soll, wählen Sie sie aus, und klicken Sie
auf Hochladen.
Extrahieren Sie Zertifikate, die mit signierten Binärdateien auf einer Netzwerkfreigabe verknüpft
sind.
a
Klicken Sie auf Menü | Konfiguration | Solidcore-Regeln.
b
Wählen Sie auf der Registerkarte Zertifikate Aktionen | Zertifikate extrahieren aus, um die Seite Zertifikat
aus Binärdatei extrahieren zu öffnen.
c
Geben Sie den Pfad der Binärdatei ein.
Stellen Sie sicher, dass vom McAfee ePO-Server aus auf den Dateipfad zugegriffen werden kann.
3
d
Geben Sie die Netzwerkanmeldeinformationen für den Zugriff auf den angegebenen
Netzwerkspeicherort ein.
e
Klicken Sie auf Extrahieren.
Planen Sie das regelmäßige Extrahieren der Zertifikate, die mit signierten Binärdateien auf einer
Netzwerkfreigabe verknüpft sind.
a
Wählen Sie Menü | Automatisierung | Server-Tasks aus.
b
Klicken Sie auf Neuer Task, um den Assistenten Generator für Server-Tasks zu öffnen.
c
Geben Sie den Task-Namen ein, und klicken Sie dann auf Weiter.
d
Wählen Sie in der Dropdown-Liste "Aktionen" den Eintrag Solidcore: Software-Repository scannen aus.
e
Geben Sie den Repository-Pfad an.
Sämtliche Unterordner in dem angegebenen Pfad werden ebenfalls auf Installationsprogramme
und Zertifikate gescannt.
102
f
Geben Sie die Netzwerkanmeldeinformationen für den Zugriff auf den angegebenen
Netzwerkspeicherort ein.
g
funktionieren.
Produkthandbuch
6
h
Wählen Sie Extrahierte Zertifikate und Installationsprogramme zur Regelgruppe hinzufügen aus, um der
benutzerdefinierten Regelgruppe die durch den Task extrahierten Zertifikate und
Installationsprogramme hinzuzufügen. Wählen Sie die benutzerdefinierte Regelgruppe
anschließend in der Liste aus.
Sie können extrahierte Zertifikate und Installationsprogramme ausschließlich benutzerdefinierten
Regelgruppen hinzufügen.
4
i
Klicken Sie auf Weiter, geben Sie den Zeitplan für den Task an, und klicken Sie dann auf Weiter.
j
Überprüfen Sie die Task-Zusammenfassung, und klicken Sie dann auf Speichern.
(Optional) Geben Sie für das Zertifikat einen Alias- oder Anzeigenamen an.
a
Klicken Sie auf Menü | Konfiguration | Solidcore-Regeln.
b
Wählen Sie auf der Registerkarte Zertifikate ein Zertifikat aus.
c
Klicken Sie auf Aktionen | Bearbeiten, um das Fenster Bearbeiten zu öffnen.
d
Geben Sie den Anzeigenamen ein, und klicken Sie auf OK.
Suchen nach einem Zertifikat
Suchen Sie anhand seiner Kategorie nach einem Zertifikat.
Vorgehensweise
1
2
Wählen Sie auf der Registerkarte Zertifikate eine Kategorie aus, um die aufgelisteten Zertifikate zu
sortieren.
3
•
Ausgestellt für – Sortiert die Liste nach dem Namen des Unternehmens, welches das Zertifikat
veröffentlicht.
•
Ausgestellt von – Sortiert die Liste nach dem Namen der Zertifizierungsstelle.
•
Extrahiert aus – Sortiert die Liste nach dem Pfad der Binärdatei, aus dem das Zertifikat extrahiert
wurde.
•
Anzeigename – Sortiert die Liste nach dem Anzeigenamen des Zertifikats.
Geben Sie die gesuchte Zeichenfolge ein, und klicken Sie auf Suchen.
Anzeigen von Zuweisungen für ein Zertifikat
Stellen Sie sicher, dass jedes Zertifikat den entsprechenden Richtlinien und Regelgruppen zugewiesen
ist.
Vorgehensweise
1
2
Wählen Sie auf der Registerkarte Zertifikate ein Zertifikat aus, und klicken Sie dann auf Aktionen |
Zuweisungen überprüfen.
Produkthandbuch
103
6
Im Dialogfeld Zertifikatzuweisungen sind die Regelgruppen und Richtlinien aufgeführt, denen das
ausgewählte Zertifikat zugewiesen ist.
Vor dem Definieren von Regeln, die einem Installationsprogramm die Installation oder Aktualisierung
von Software an Endpunkten gestatten, müssen Sie das Installationsprogramm hinzufügen. Sie
können eine ausführbare Datei, ein Installationsprogramm oder eine Skriptdatei als
Installationsprogramm hinzufügen.
Aufgaben
•
Hinzufügen eines Installationsprogramms zu McAfee ePO auf Seite 104
Verwenden Sie eine der folgenden Methoden zum Hinzufügen eines
Installationsprogramms.
•
Suchen nach einem Installationsprogramm auf Seite 105
Suchen Sie anhand der Kategorie nach einem Installationsprogramm.
•
Anzeigen von Zuweisungen für ein Installationsprogramm auf Seite 105
Diese Funktion bietet eine bequeme Methode, um zu prüfen, ob jedes
Installationsprogramm den relevanten Richtlinien und Regelgruppen zugewiesen ist.
Hinzufügen eines Installationsprogramms zu McAfee ePO
Verwenden Sie eine der folgenden Methoden zum Hinzufügen eines Installationsprogramms.
•
Fügen Sie ein vorhandenes Installationsprogramm hinzu.
•
Planen Sie einen Server-Task zum regelmäßigen Hinzufügen von Installationsprogrammen.
Vorgehensweise
1
2
Fügen Sie ein vorhandenes Installationsprogramm hinzu.
a
b
Wählen Sie auf der Registerkarte Installationsprogramme Aktionen | Installationsprogramm hinzufügen aus,
um die Seite Installationsprogramm hinzufügen zu öffnen.
c
Geben Sie die Details für das Installationsprogramm ein.
d
Klicken Sie auf Hinzufügen.
Planen Sie das regelmäßige Hinzufügen von Installationsprogrammen, die auf einer
Netzwerkfreigabe vorhanden sind.
a
b
c
d
Wählen Sie Solidcore: Software-Repository scannen aus der Dropdown-Liste Aktionen aus.
e
Geben Sie den Repository-Pfad an.
Sämtliche Unterordner in dem angegebenen Pfad werden ebenfalls auf Installationsprogramme
und Zertifikate gescannt.
104
Produkthandbuch
6
f
Geben Sie die Netzwerkzugangsdaten an, um auf den angegebenen Netzwerkstandort
zuzugreifen.
g
funktionieren.
h
Wählen Sie Extrahierte Zertifikate und Installationsprogramme zur Regelgruppe hinzufügen aus, um der
benutzerdefinierten Regelgruppe die durch den Task extrahierten Zertifikate und
Installationsprogramme hinzuzufügen. Wählen Sie die benutzerdefinierte Regelgruppe
anschließend in der Liste aus.
Sie können extrahierte Zertifikate und Installationsprogramme ausschließlich benutzerdefinierten
Regelgruppen hinzufügen.
i
Klicken Sie auf Weiter.
j
Geben Sie den Zeitplan für den Task an.
k
Klicken Sie auf Weiter, um die Seite Zusammenfassung zu öffnen.
l
Suchen nach einem Installationsprogramm
Suchen Sie anhand der Kategorie nach einem Installationsprogramm.
Vorgehensweise
1
2
Wählen Sie auf der Registerkarte Installationsprogramme eine Kategorie aus, um die aufgelisteten
Installationsprogramme zu sortieren.
3
•
Name des Installationsprogramms – Sortiert die Liste nach dem Namen des Installationsprogramms.
•
Anbieter – Sortiert die Liste nach dem Namen des Anbieters, der das Installationsprogramm
veröffentlicht hat.
Geben Sie den zu suchenden Namen des Installationsprogramms oder Anbieters ein, und klicken
Sie auf Suchen.
Anzeigen von Zuweisungen für ein Installationsprogramm
Diese Funktion bietet eine bequeme Methode, um zu prüfen, ob jedes Installationsprogramm den
relevanten Richtlinien und Regelgruppen zugewiesen ist.
Produkthandbuch
105
6
Vorgehensweise
1
2
Wählen Sie auf der Registerkarte Installationsprogramme ein Installationsprogramm aus, und klicken Sie
dann auf Aktionen | Zuweisungen überprüfen.
Im Dialogfeld Installationsprogrammzuweisungen sind die Regelgruppen und Richtlinien aufgeführt, denen
das ausgewählte Installationsprogramm zugewiesen ist.
3
Klicken Sie auf OK.
Konfigurieren Sie die Paketkontrolle, um die Installation und Deinstallation von Software-Paketen auf
einem System zu steuern.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Richtlinie | Richtlinienkatalog aus.
2
Wählen Sie das Produkt Solidcore 7.0.0: Application Control aus.
3
Wählen Sie die Kategorie Application Control-Optionen (Windows) aus.
4
Klicken Sie auf die Richtlinie My Default, um die Richtlinie zu bearbeiten.
Standardmäßig wird die Richtlinie My Default auf alle Endpunkte im Unternehmen angewendet. Wenn
Sie die Funktion für ausgewählte Endpunkte konfigurieren möchten, duplizieren Sie die My
Default-Richtlinie, bearbeiten Sie die Einstellungen, und wenden Sie die Richtlinie nur auf die
betreffenden Endpunkte an.
5
Führen Sie folgende Aktionen auf der Registerkarte Funktionen aus:
a
Wählen Sie Funktionssteuerung von ePO erzwingen aus.
Standardmäßig sind die Optionen Paketkontrolle und Deinstallation zulassen ausgewählt.
106
Produkthandbuch
6
b
Wählen Sie eine Option zum Konfigurieren der Paketkontrolle aus.
Option
Aktion
Beschreibung
Paketkontrolle
Aktivieren
Bei Aktivierung der Option werden alle Unterfunktionen auf
ihren Standardzustand zurückgesetzt. Wenn Sie jedoch die
Unterfunktion "Paketkontrolle umgehen" aktivieren und die
Paketkontrolle deaktivieren und dann erneut aktivieren, bleibt
"Paketkontrolle umgehen" weiterhin aktiviert und wirksam.
Deaktivieren Durch Deaktivieren dieser Funktion werden auch alle ihre
Unterfunktionen deaktiviert.
Deinstallation zulassen Aktivieren
Bei Aktivierung ermöglicht diese Funktion die Deinstallation
von Software-Paketen auf Endpunkten.
Deaktivieren Bei Deaktivierung verhindert diese Funktion die Deinstallation
von Software-Paketen auf Endpunkten.
Paketkontrolle
umgehen
Aktivieren
Bei Aktivierung der Option wird die Paketkontrolle umgangen,
und Sie können die Installation und Deinstallation von
Software-Paketen nicht steuern.
Deaktivieren Deaktiviert die Funktion.
Produkthandbuch
107
6
108
Produkthandbuch
7
Wenn Sie Application Control zum Schutz eines Endpunkts bereitstellen, verhindert es die Ausführung
nicht autorisierter Anwendungen und lässt nur vertrauenswürdige Anwendungen zu. Ihr
Vertrauenswürdigkeitsmodell bestimmt die Änderungen, die in Ihrer Konfiguration zulässig sind.
Inhalt
Zulassen der Ausführung durch Application Control
Zulassen der Ausführung durch Application Control
Application Control akzeptiert neue Software nur, wenn sie durch einen autorisierten Prozess
hinzugefügt wurde. Mithilfe dieses dynamischen Vertrauensmodells können Sie konfigurieren, was auf
den Geräten in Ihrer Umgebung ausgeführt werden kann.
Bevor eine Datei zugelassen oder blockiert wird, prüft Application Control die Datei-Reputation sowie
das Vorhandensein auf der Whitelist und andere bestehende Regeln. Reputation und Whitelist sind
gängige Methoden zur Bestimmung vertrauenswürdiger Dateien. In Ihrem Unternehmen vorhandene
Regeln legen außerdem fest, ob eine Datei ausgeführt werden darf.
Reputation
Application Control unterstützt die Ausführung nach Reputation. Wenn eine Binärdatei
ausgeführt wird, prüft Application Control die Reputation der Datei sowie ihres
verknüpften Zertifikats und lässt die Ausführung der Datei basierend auf den
Reputationseinstellungen für Ihr Unternehmen zu oder blockiert sie. Weitere
Informationen finden Sie unter Konfigurieren der Reputationsquellen.
Whitelist
Application Control erstellt eine Whitelist von allen ausführbaren Binär- und
Skriptdateien, die auf dem Endpunkt vorhanden sind. Die Whitelist enthält alle
autorisierten Dateien und identifiziert vertrauenswürdige oder bekannte Dateien. Im
aktivierten Modus dürfen nur Dateien ausgeführt werden, die in der Whitelist enthalten
sind oder eine vertrauenswürdige Reputation aufweisen. Zusätzlich sind alle Dateien in
der Whitelist geschützt und können nicht geändert oder gelöscht werden. Ausführbare
Binär- oder Skriptdateien, die nicht in der Whitelist enthalten sind, gelten als nicht
autorisiert, und ihre Ausführung wird verhindert.
Andere
Methoden
Application Control bietet verschiedene andere Methoden zur Autorisierung der
Ausführung eines Programms oder einer Datei auf einem geschützten Endpunkt.
• Prozesse des Aktualisierungsprogramms oder Benutzer
• SHA-1
• Zertifikate
• Nach Namen autorisierte Binärdatei
• Verzeichnisse
Produkthandbuch
109
7
Legen Sie je nach Ihren Anforderungen Reputationen fest, und definieren Sie Vertrauensrichtlinien für
Ihre Umgebung.
Zum Definieren des Vertrauensmodells für Ihr Unternehmen ist Folgendes empfehlenswert:
1
Entwickeln Sie ein Verständnis für die Prüfungen, die Application Control durchführt, wenn Sie eine
Datei auszuführen versuchen. Siehe Von Application Control für eine Datei durchgeführte
Prüfungen.
2
Überprüfen Sie die vordefinierten Regeln, die in Application Control enthalten sind. Siehe
Vordefinierte Regeln in Standardrichtlinien.
3
Führen Sie die Software im Beobachtungsmodus aus, um Richtlinienvorschläge zu identifizieren und
für Ihr Unternehmen schnell Richtlinien entwickeln und Regeln festlegen zu können. Siehe
Bereitstellen von Application Control im Beobachtungsmodus.
4
Definieren Sie die erforderlichen Regeln für Ihre Umgebung manuell. Siehe Zulassen von
Änderungen an Endpunkten.
Von Application Control für eine Datei durchgeführte Prüfungen
Wenn Sie eine Datei ausführen, nimmt Application Control mehrere Prüfungen in festgelegter
Reihenfolge vor und lässt die Ausführung zu oder blockiert sie basierend auf dem Ergebnis.
Application Control beginnt mit der Prüfung, die höchste Priorität hat, und geht die Liste von oben
nach unten durch, um zu bestimmen, ob die Binär- oder Skriptdatei zugelassen oder blockiert wird.
110
Vorrang Aktivieren
Beschreibung
1
Prüfung auf nicht autorisierte
Datei
Ist die Datei basierend auf dem Namen immer nicht
autorisiert, ist die Ausführung der Datei nicht zulässig.
Dies ist durch eine Regel festgelegt. Siehe Zulassen oder
Sperren einer Binärdatei.
2
Gesperrter SHA-1
Ist die Datei basierend auf dem SHA-1 gesperrt, ist die
Ausführung der Datei nicht zulässig. Dies ist durch eine
Regel festgelegt. Siehe Zulassen oder Sperren einer
Binärdatei.
Produkthandbuch
7
Vorrang Aktivieren
Beschreibung
3
Ist der TIE Server basierend auf den
Reputationseinstellungen für Ihr Unternehmen
konfiguriert, werden folgende Prüfungen durchgeführt.
Weitere Informationen zum Konfigurieren der
Reputationseinstellungen finden Sie unter Datei- und
Zertifikat-Reputation.
TIE-Reputation
1 Prüfen, ob die Binärdatei signiert ist.
• Ist dies der Fall, wird die Reputation für alle mit der
Datei verknüpften Zertifikate abgerufen.
• Ist dies nicht der Fall, wird die Datei-Reputation
verwendet, um die Ausführung zuzulassen oder zu
verweigern.
2 Überprüfen, ob die Reputation für ein verknüpftes
Zertifikat auf dem TIE Server als "Unbekannt" festgelegt
ist.
• Ist dies der Fall, wird die Zertifikat-Reputation
ignoriert und die Datei-Reputation verwendet, um die
Dateiausführung zuzulassen oder zu verweigern.
• Ist dies nicht der Fall, wird die Reputation basierend
auf der Reputation sämtlicher mit der Datei
verknüpften Zertifikate berechnet und das Ergebnis
als Grundlage für das Zulassen oder Verweigern der
Dateiausführung verwendet.
Beim Ermitteln der resultierenden
Zertifikat-Reputation hat eine vertrauenswürdige
Reputation Vorrang vor bösartiger Reputation. Ist
eine Datei beispielsweise von zwei bösartigen und
einem vertrauenswürdigen Zertifikat signiert, ist die
resultierende Reputation basierend auf den mit der
Datei verknüpften Zertifikaten vertrauenswürdig.
Ist die resultierende Reputation für mit der Datei
verknüpfte Zertifikate oder die Datei-Reputation:
• "Als vertrauenswürdig bekannt", "Höchstwahrscheinlich
vertrauenswürdig" oder "Möglicherweise
vertrauenswürdig" – Dateiausführung ist zulässig.
• "Möglicherweise bösartig", "Höchstwahrscheinlich
bösartig" oder "Als bösartig bekannt" – Dateiausführung
ist nicht zulässig.
• "Unbekannt" – Ist die Reputation für mit der Datei
verknüpfte Zertifikate "Unbekannt", wird die
Zertifikat-Reputation ignoriert, und über die Ausführung
wird mithilfe der Datei-Reputation entschieden. Ist die
Datei-Reputation "Unbekannt", fährt Application Control
mit der nächsten Prüfung fort.
• "Nicht festgelegt" – Application Control fährt mit der
nächsten Prüfung fort.
4
Prüfung auf autorisierte Datei
Ist die Datei basierend auf dem Dateinamen immer
autorisiert, ist die Ausführung der Datei zulässig. Dies ist
durch eine Regel festgelegt. Siehe Zulassen oder Sperren
einer Binärdatei.
Produkthandbuch
111
7
Vorrang Aktivieren
Beschreibung
5
Zulässiger SHA-1
Ist die Datei basierend auf dem SHA-1 zulässig, ist die
Ausführung der Datei zulässig. Dies ist durch eine Regel
festgelegt. Siehe Zulassen oder Sperren einer Binärdatei.
6
Zugelassenes Zertifikat
Ist das mit einer Binärdatei verknüpfte Zertifikat zulässig,
ist die Ausführung der Datei zulässig. Dies ist durch eine
Regel festgelegt. Siehe Hinzufügen eines Zertifikats zu
einer Richtlinie oder Regelgruppe.
Diese Prüfung gilt nicht für Skriptdateien.
112
Produkthandbuch
7
Vorrang Aktivieren
Beschreibung
7
Die folgenden Prüfungen werden durchgeführt.
McAfee GTI-Reputation
1 Prüfen, ob die Datei mit mehr als einem Zertifikat
signiert ist.
• Wenn dies der Fall ist und die Reputation für ein
verknüpftes Zertifikat auf dem TIE Server nicht
festgelegt ist, wird die GTI-Reputation für mit der
Datei verknüpfte Zertifikate vom TIE Server oder über
den McAfee GTI-Datei-Reputationsdienst abgerufen.
• Ist dies nicht der Fall, wird die Datei-GTI-Reputation
vom TIE Server oder über den McAfee
GTI-Datei-Reputationsdienst abgerufen, um die
Ausführung zuzulassen oder zu verweigern.
Ist die Zertifikat-Reputation auf dem TIE Server als
"Unbekannt" festgelegt, wird die McAfee
GTI-Zertifikat-Reputation nicht geprüft. Ist die
Datei-Reputation auf dem TIE Server als "Unbekannt"
festgelegt, wird die McAfee GTI-Datei-Reputation
gleichermaßen nicht geprüft.
2 Berechnen der resultierenden Reputation basierend auf
der Reputation sämtlicher mit der Datei verknüpften
Zertifikate. Anschließend Verwenden der berechneten
Reputation, um die Dateiausführung zuzulassen oder zu
verweigern. Ist keine Zertifikat-Reputation verfügbar,
wird die GTI-Reputation vom TIE Server oder über den
McAfee GTI-Datei-Reputationsdienst abgerufen, um die
Ausführung zuzulassen oder zu verweigern.
Beim Ermitteln der resultierenden
Zertifikat-Reputation hat eine vertrauenswürdige
Reputation Vorrang vor bösartiger Reputation. Ist eine
Datei beispielsweise von zwei bösartigen und einem
vertrauenswürdigen Zertifikat signiert, ist die
resultierende Reputation basierend auf den mit der
Datei verknüpften Zertifikaten vertrauenswürdig.
Ist die resultierende Reputation für mit der Datei
verknüpfte Zertifikate oder die Datei-Reputation:
• "Als vertrauenswürdig bekannt", "Höchstwahrscheinlich
vertrauenswürdig" oder "Möglicherweise
vertrauenswürdig" – Dateiausführung ist zulässig.
• "Unbekannt" – Application Control fährt mit der
• "Nicht festgelegt" – Application Control fährt mit der
Produkthandbuch
113
7
Vorrang Aktivieren
Beschreibung
8
Wenn ATD im Setup konfiguriert ist, bietet der TIE Server
Echtzeitintegration in ATD, um detaillierte Bewertungen
und Daten zur Klassifizierung von Malware bereitzustellen.
Wenn ATD konfiguriert und die empfangene Reputation
wie folgt ist:
Advanced Threat
Defense-Reputation
• "Unbekannt" oder "Nicht festgelegt" – Application
Control fährt mit der nächsten Prüfung fort.
9
Aktualisierungsprogrammregel
Ist die Datei oder ihr übergeordneter Prozess als
Aktualisierungsprogramm festgelegt, ist die Ausführung
zulässig. Siehe Hinzufügen als Aktualisierungsprogramm.
10
Aktualisierungsmodus
Wird der Endpunkt im Aktualisierungsmodus ausgeführt,
ist die Ausführung der Datei zulässig. Siehe Durchführen
von Notfalländerungen.
11
Benutzerberechtigungen
Wenn der Benutzer über die erforderlichen Berechtigungen
verfügt oder als vertrauenswürdiger Benutzer hinzugefügt
wurde, kann er die Datei ausführen. Siehe Festlegen von
vertrauenswürdigen oder berechtigten Benutzern.
12
Volume-Status
Ist die Datei auf einem vertrauenswürdigen Volume
gespeichert, ist die Ausführung der Datei zulässig. Wenn
das Volume als vertrauenswürdiger Netzwerkpfad
festgelegt ist, ist die Ausführung der Datei zulässig.
13
Wechseldatenträger
Ist die Datei auf einem Wechseldatenträger gespeichert,
ist die Ausführung der Datei nicht zulässig.
14
Whitelist
Application Control prüft die Whitelist.
• Befindet sich die Datei in der Whitelist, ist die
Ausführung der Datei zulässig.
• Ist die Datei nicht in der Whitelist enthalten, prüft
Application Control die Skiplistenregeln. Weitere
Informationen zu Skiplistenregeln finden Sie unter
• Befindet sich eine entsprechende Regel für die Datei in
der Skipliste, ist die Ausführung der Datei zulässig.
• Ist keine Regel für die Datei in der Skipliste enthalten,
ist die Ausführung der Datei nicht zulässig.
Vordefinierte Regeln in Standardrichtlinien
Application Control umfasst vordefinierte Regeln für häufig verwendete Anwendungen für alle
unterstützten Betriebssysteme.
Wenden Sie diese Standardrichtlinien auf die Endpunkte an, um die ordnungsgemäße Funktionsweise
des Produkts sicherzustellen. Sofern vorhanden, können Sie die leere Vorlage verwenden. Duplizieren
Sie andernfalls diese Richtlinien, um die Einstellungen zu konfigurieren. Dies sind die vordefinierten
Regeln, die in diesen Richtlinien enthalten sind. Informationen über die Prüfung von Regeln, die in den
Richtlinien enthalten sind, finden Sie unter Überprüfen vordefinierter Regeln.
114
Produkthandbuch
7
Standardrichtlinie Produkt Kategorie
Richtlinientyp Beschreibung
McAfee-Standard
Solidcore
7.0.0:
Allgemein
Konfiguration
(Client)
Einzelner Slot
McAfee-Standard
Solidcore
7.0.0:
Allgemein
Ausnahmeregeln Mehrere Slots
(Unix)
Standardmäßige
Ausnahmeregeln für die
Unix-Plattform.
Ja
McAfee-Standard
Solidcore
7.0.0:
Allgemein
Ausnahmeregeln Mehrere Slots
(Windows)
Standardregeln für den
Speicherschutz und andere
Umgehungstechniken auf der
Windows-Plattform.
Ja
McAfee-Standard
Solidcore Application
Einzelner Slot
7.0.0:
Control-Optionen
Application (Windows)
Control
Standardeinstellungen für
Nein
Selbstgenehmigung,
Endbenutzerbenachrichtigungen,
Inventar, Reputation und
Application Control-Funktionen
auf der Windows-Plattform.
Mein Standard
Einzelner Slot
7.0.0:
Control-Optionen
Control
Standardeinstellungen für
Nein
Selbstgenehmigung,
Endbenutzerbenachrichtigungen,
Inventar, Reputation und
Application Control-Funktionen
auf der Windows-Plattform.
McAfee-Standard
7.0.0:
Control-Regeln
Application (Unix)
Control
Mehrere Slots
Standardregeln zum Definieren
des Vertrauensmodells auf der
Unix-Plattform. Diese Richtlinie
enthält außerdem Standardfilter
zum Ausschließen von
Ereignissen, die für Ihr Setup
nicht relevant sind.
McAfee-Standard
7.0.0:
Control-Regeln
Control
Mehrere Slots
Standardregeln zum Definieren Ja
des Vertrauensmodells auf der
Windows-Plattform. Diese
Richtlinie enthält außerdem
Standardfilter zum Ausschließen
von Ereignissen, die für Ihr
Setup nicht relevant sind.
McAfee-Anwendungen
(McAfee-Standard)
7.0.0:
Control-Regeln
Control
Mehrere Slots
McAfee-spezifische Regeln, die
anderen McAfee-Produkten die
erfolgreiche Ausführung auf
geschützten Endpunkten
gestatten. Diese Regeln sind
auch in der McAfee
Default-Richtlinie für die
Kategorie Application
Control-Regeln (Windows)
enthalten.
Gängige ActiveX-Regeln
7.0.0:
Control-Regeln
Control
Mehrere Slots
Vordefinierte schreibgeschützte Nein
Regeln zum Installieren häufig
verwendeter
ActiveX-Steuerelemente auf den
Endpunkten.
Leere
Vorlage
verfügbar
Standardeinstellungen für CLI,
Nein
Beschränkung und mehr für den
Solidcore-Client.
Produkthandbuch
Ja
Nein
115
7
Standardrichtlinie Produkt Kategorie
Richtlinientyp Beschreibung
Beschränkungsregeln
Mehrere Slots
7.0.0:
Control-Regeln
Control
Leere
Vorlage
verfügbar
Regeln zum Filtern und Anhalten
von Beobachtungen, die von
Endpunkten mit Version 6.1.2
oder höher eingehen.
Wenn die Anzahl der auf dem
McAfee ePO-Server eingehenden
Beobachtungen den definierten
Schwellenwert erreicht, wird
diese Richtlinie auf alle Systeme
und Gruppen in Ihrem
Unternehmen angewendet.
Beschränkungsregeln
(veraltet)
7.0.0:
Control-Regeln
Control
Mehrere Slots
Regeln zum Filtern und Anhalten
von Beobachtungen, die von
Endpunkten mit Version 6.1.1
oder früher eingehen.
Wenn die Anzahl der auf dem
McAfee ePO-Server eingehenden
Beobachtungen den definierten
Schwellenwert erreicht, wird
diese Richtlinie auf alle Systeme
und Gruppen in Ihrem
Unternehmen angewendet.
Zulassen von Änderungen an Endpunkten
Die meisten Anwendungsumgebungen sind dynamischer Natur, manche mehr als andere. Application
Control beinhaltet mehrere Mechanismen, die Ihnen bei der Erstellung einer dynamischen
Whitelisting-Lösung behilflich sind.
Wenn Sie die Software im Beobachtungsmodus bereitstellen, werden beim Verarbeiten von Anfragen
relevante Regeln identifiziert und automatisch auf Endpunkte angewendet. Werden überdies
Endpunkte im aktivierten Modus ausgeführt, können Sie beim Verarbeiten von Ereignissen rasch
relevante Regeln identifizieren und anwenden. Durch Application Control-Funktionen wird das
manuelle Definieren von Regeln speziell für Ihr Setup auf ein Minimum reduziert. Bei Bedarf können
Sie Regeln manuell definieren, die für Ihr Unternehmen relevant sind.
Abhängig von der Unternehmensumgebung können Administratoren einen oder mehrere dieser
Mechanismen nutzen, um das Erstellen, Ändern oder Löschen von Dateien in der Whitelist durch
autorisierte Änderungsagenten zuzulassen. Bevor Sie neue Regeln für zulässige Änderungen
definieren, sehen Sie sich die Standardregeln in Application Control an. Wenn Sie spezifische Regeln
für das Unternehmen definieren, können Sie eine Regelgruppe oder Richtlinie verwenden. Unabhängig
von Ihrer Wahl ist das Framework zur Definition von Regeln identisch.
Anhand der folgenden Methoden können Sie auf Endpunkten im aktivierten Modus ein
Vertrauensmodell definieren und die Ausführung oder Änderung von Dateien auf einem geschützten
Endpunkt durch weitere Benutzer und Programme zulassen.
116
Prozess des
Aktualisierungsprogramms
Eine Anwendung, die den Endpunkt aktualisieren darf. Siehe Was sind
Aktualisierungsprogramme?
Binärdatei
Eine Binärdatei, die auf Endpunkten ausgeführt werden kann oder
deren Ausführung beschränkt ist.
Produkthandbuch
7
Zertifikat
Ein vertrauenswürdiges Zertifikat (verknüpft mit einem
Software-Paket), das Dateien auf einem geschützten Endpunkt
installieren und ändern darf. Siehe Was sind Zertifikate? und
Verwalten von Zertifikaten.
Ein Installationsprogramm für Anwendungen, das durch seinen SHA-1
identifiziert wird und mit dem Software installiert oder aktualisiert
werden darf. Siehe Was sind Installationsprogramme? und Verwalten
von Installationsprogrammen.
Verzeichnis
Ein vertrauenswürdiges Verzeichnis (lokal oder Netzwerkfreigabe), das
durch seinen UNC-Pfad (UNC, Universal Naming Convention)
identifiziert wird.
Benutzer
Ein autorisierter Windows-Benutzer, der dazu berechtigt ist, die
Whitelist zu erweitern.
Von allen Strategien, nach denen Änderungen an geschützten
Endpunkten gestattet werden, ist dies die am wenigsten bevorzugte,
da sie minimale Sicherheit bietet. Es wird vorgeschlagen, dass Sie
vertrauenswürdige Benutzer mit Sorgfalt definieren, da nach dem
Hinzufügen eines vertrauenswürdigen Benutzers keinerlei
Einschränkungen dahingehend bestehen, was dieser Benutzer an
einem Endpunkt ändern oder ausführen kann.
Diese Methoden eignen sich für die meisten Anforderungen. Ist dies nicht der Fall, können Sie andere
Methoden verwenden: Versetzen Sie z. B. die Endpunkte nach Bedarf in den Beobachtungs- oder
Aktualisierungsmodus. Siehe Application Control-Modi.
Siehe auch
Verwalten von Zertifikaten auf Seite 101
Verwalten von Installationsprogrammen auf Seite 104
Anleitung für das Definieren von Regeln
Lesen Sie diese Anleitung, bevor Sie mit dem Definieren von Regeln beginnen.
Unterstützte Systemvariablen
Der in einer Regel angegebene Pfad kann Systemumgebungsvariablen enthalten (nur Windows). In
der folgenden Tabelle sind die unterstützten Systemvariablen aufgeführt.
Variable
Beispielwert (Mehrzahl der Windows-Plattformen)
%ALLUSERSPROFILE%
C:\Dokumente und Einstellungen\Alle Benutzer
%APPDATA%
\Anwendung
%HOMEDRIVE%
C:
%HOMEPATH%
C:\Dokumente und Einstellungen\{Benutzername} (\ in
früheren Windows-Versionen)
%PROGRAMFILES%
C:\Programme
%SYSTEMDRIVE%
C:
%SYSTEMROOT%
Produkthandbuch
117
7
Variable
Beispielwert (Mehrzahl der Windows-Plattformen)
%TEMP% (System) %tmp% (Benutzer) C:\Dokumente und Einstellungen\{Benutzername}\Lokale
Einstellungen\Temp
C:\Temp
%USERPROFILE%
C:\Dokumente und Einstellungen\{Benutzername} (C:
WINNT\profiles\{Benutzername} in früheren Versionen)
%WINDIR%
C:\Windows
•
Pfade müssen beim Festlegen von Regeln nicht absolut sein. Wenn Sie beispielsweise ein
Aktualisierungsprogramm definieren, können Sie den partiellen oder den vollqualifizierten Pfad
angeben.
Partielle Pfade
Wenn Sie partielle Pfade angeben, z. B. AcroRd32.exe oder Reader\AcroRd32
.exe werden allen Programmen, deren Namen mit der angegebenen
Zeichenfolge übereinstimmen, Aktualisierungsrechte zugewiesen.
Wenn Sie beim Blockieren einer Datei den partiellen Pfad angeben, z. B.
notepad.exe, werden alle Programme blockiert, deren Namen mit der
angegebenen Zeichenfolge übereinstimmen.
Vollqualifizierte
Pfade
Verwenden Sie vollqualifizierte Pfade in Regeln, z. B. C:\Programme\Adobe
\Reader 9.0\Reader\AcroRd32.exe oder \Programme\Adobe\Reader 9.
0\Reader\AcroRd32.exe. Wenn Sie den vollqualifizierten Pfad angeben,
werden nur dem angegebenen Programm Aktualisierungsberechtigungen
zugewiesen.
Wenn Sie beim Blockieren einer Datei den vollqualifizierten Pfad angeben, z. B.
C:\Windows\system32\notepad.exe, wird nur die angegebene Datei blockiert.
•
•
Pfadkomponente dargestellt werden. Hier ein paar Beispiele:
UNIX-Plattform
Hinzufügen als Aktualisierungsprogramm
Für einige Komponenten ist häufig das Installieren neuer Software oder das Aktualisieren vorhandener
Software-Komponenten nötig. Sie können die Komponenten als Aktualisierungsprogramme festlegen.
Definieren Sie ein Aktualisierungsprogramm, um der Datei das Installieren neuer Software oder das
Aktualisieren vorhandener Software-Komponenten zu ermöglichen.
Sie benötigen die entsprechenden Berechtigungen, um diesen Task ausführen zu können. Kontaktieren
Sie anderenfalls den McAfee ePO-Administrator. Weitere Informationen finden Sie unter Zuweisen von
Berechtigungen für Regelkonfigurationen.
118
Produkthandbuch
7
Vorgehensweise
1
Erstellen oder bearbeiten Sie in der McAfee ePO-Konsole eine Application Control-Richtlinie
oder -Regelgruppe.
2
Wählen Sie die Registerkarte Prozesse des Aktualisierungsprogramms aus, und klicken Sie auf Hinzufügen.
3
Geben Sie an, ob das Aktualisierungsprogramm basierend auf dem Dateinamen oder dem SHA-1
hinzugefügt werden soll.
Wenn Sie das Aktualisierungsprogramm anhand des Namens hinzufügen, wird es nicht automatisch
autorisiert. Die Datei muss der Whitelist hinzugefügt werden, damit die Regel
"Aktualisierungsprogramm nach Name" wirksam wird. Das Aktualisierungsprogramm wird jedoch
autorisiert, wenn Sie es anhand des SHA-1 hinzufügen.
4
Geben Sie den Speicherort (bei Hinzufügen nach Name) oder den SHA-1-Wert der ausführbaren
Datei oder Binärdatei an.
5
Geben Sie eine Identifizierungsbeschriftung für das Programm ein.
Beispiel: Um mehrere Aktualisierungsprogramme anzugeben, können Sie die
Identifizierungsbeschriftung als Aktualisierungsprogramm_Nummer angeben, beispielsweise
Adobe1, Adobe2 usw. Wenn Sie beispielsweise Adobe1 als Beschriftung eingeben, werden alle
Änderungen vom Adobe 8.0-Aktualisierungsprogramm mit dieser Beschriftung gekennzeichnet.
6
7
Wenn Sie ein Aktualisierungsprogramm nach Name hinzufügen, geben Sie Bedingungen an, die die
Binärdatei erfüllen muss, um als Aktualisierungsprogramm ausgeführt zu werden.
•
Wählen Sie Keine aus, damit die Binärdatei als Aktualisierungsprogramm ganz ohne Bedingungen
ausgeführt werden darf.
•
Wählen Sie Bibliothek aus, um die Ausführung der Binärdatei als Aktualisierungsprogramm nur
dann zuzulassen, wenn die angegebene Bibliothek geladen wurde. Wenn Sie beispielsweise
iexplore.exe als ein Aktualisierungsprogramm konfigurieren, damit Internet Explorer für
Windows-Updates verwendet werden darf, geben Sie wuweb.dll als Bibliothek an. Dadurch wird
sichergestellt, dass das Programm iexplore.exe nur so lange über
Aktualisierungsprogramm-Berechtigungen verfügt, bis die Web-Kontrollbibliothek (wuweb.dll)
geladen ist.
•
Wählen Sie Übergeordnet aus, damit die Binärdatei nur dann als Aktualisierungsprogramm
ausgeführt werden kann, wenn sie vom angegebenen übergeordneten Prozess gestartet wird.
Wenn Sie beispielsweise updater.exe als Aktualisierungsprogramm konfigurieren, um
Änderungen an Mozilla Firefox zuzulassen, geben Sie firefox.exe als übergeordneten Prozess
an. Zwar ist updater.exe ein generischer Name, der Teil jeder installierten Anwendung sein
kann, jedoch stellt die Verwendung des übergeordneten Prozesses sicher, dass nur das richtige
Programm als Aktualisierungsprogramm ausgeführt werden kann.
Wenn Sie ein Aktualisierungsprogramm nach Name hinzufügen, geben Sie an, ob die Vererbung für
das entsprechende Aktualisierungsprogramm deaktiviert werden soll.
Wenn beispielsweise Prozess A (als Aktualisierungsprogramm festgelegt) das übergeordnete
Element ist und Prozess B startet, stellt die Deaktivierung der Vererbung für Prozess A sicher, dass
B kein Aktualisierungsprogramm werden kann.
Produkthandbuch
119
7
8
Wenn Sie ein Aktualisierungsprogramm nach Name hinzufügen, geben Sie an, ob Ereignisse
unterdrückt werden sollen, die für die Aktionen eines Aktualisierungsprogramms generiert werden.
In der Regel wird ein Ereignis des Typs Datei geändert generiert, sobald ein Aktualisierungsprogramm
eine geschützte Datei ändert. Indem Sie diese Option auswählen, werden keine Ereignisse für
Änderungen generiert, die das Aktualisierungsprogramm ausführt.
9
Klicken Sie auf OK.
Zulassen oder Blockieren einer Binärdatei
Wenn eine Reputationsquelle in Ihrer Umgebung verfügbar ist, wird das Ausführen von Binärdateien
entsprechend ihrer Reputation automatisch zugelassen oder blockiert. Je nach Ihren Anforderungen
können Sie jedoch manuell die Ausführung einer Binärdatei autorisieren bzw. einschränken (basierend
auf ihrem Namen oder SHA-1-Wert).
Durch Zulassen von Binärdateien anhand ihres SHA-1-Werts wird sichergestellt, dass Binärdateien
ohne Berücksichtigung ihrer Herkunft (z. B. Internet oder internes Repository) ausgeführt werden
können, sofern ihre SHA-1-Werte übereinstimmen.
Sie anderenfalls den McAfee ePO-Administrator. Weitere Informationen finden Sie unter
Vorgehensweise
1
oder -Regelgruppe.
2
Wählen Sie die Registerkarte Binärdateien aus, und klicken Sie auf Hinzufügen.
3
Geben Sie in das Feld Regelname eine ID für die Regel ein.
Sie können die ID verwenden, um zusammengehörige Regeln zu gruppieren.
Beispielsweise können Sie Blockieren unautorisierter Programme als ID für alle Regeln angeben, die
Sie zum Blockieren nicht autorisierter Programme in Ihrem Unternehmen definieren.
4
Geben Sie an, ob die Binärdatei zugelassen oder blockiert werden soll.
5
Geben Sie an, ob die Binärdatei auf der Basis des Dateinamens oder des SHA-1-Werts zugelassen
oder blockiert werden soll.
6
Geben Sie den Namen bzw. den SHA-1-Wert ein.
7
Klicken Sie auf OK.
Hinzufügen eines Zertifikats zu einer Richtlinie oder Regelgruppe
Nachdem Sie ein Zertifikat zu McAfee ePO hinzugefügt haben, können Sie es einer Richtlinie oder
Regelgruppe zuweisen. Application Control lässt die Ausführung von zu Software-Paketen gehörigen
vertrauenswürdigen Zertifikaten auf einem geschützten System zu. Nachdem Sie ein Zertifikat als
vertrauenswürdig oder autorisiert hinzugefügt haben, können Sie sämtliche von diesem Zertifikat
signierte Software auf einem geschützten System ausführen, ohne in den Aktualisierungsmodus
wechseln zu müssen.
120
Produkthandbuch
7
Vorgehensweise
1
Weisen Sie einer Richtlinie ein Zertifikat zu, indem Sie in dieser ein vertrauenswürdiges Zertifikat
definieren.
a
Erstellen oder bearbeiten Sie in der McAfee ePO-Konsole eine Application Control-Richtlinie.
b
Klicken Sie auf der Registerkarte Zertifikate auf Hinzufügen.
c
Suchen Sie das Zertifikat, und fügen Sie es hinzu.
Beispielsweise können Sie das Microsoft-Zertifikat suchen und hinzufügen. Weitere
Informationen finden Sie unter Verwalten von Zertifikaten.
d
(Optional) Wählen Sie die Option Zertifikat(e) als Aktualisierungsprogramm hinzufügen aus, um dem
Zertifikat Aktualisierungsberechtigungen zu gewähren.
e
Geben Sie eine Identifizierungsbeschriftung für das Zertifikat an.
Wenn Sie Zertifikat(e) als Aktualisierungsprogramm hinzufügen auswählen, müssen Sie eine
Identifizierungsbeschriftung für das Zertifikat angeben.
f
2
Klicken Sie auf OK.
Weisen Sie einer vorhandenen Regelgruppe ein Zertifikat zu.
a
b
Wählen Sie auf der Registerkarte Zertifikate die Zertifikate aus, die Sie einer Regelgruppe
hinzufügen möchten.
c
Klicken Sie auf Aktionen | Zu Regelgruppe hinzufügen , um das Dialogfeld Zu Regelgruppe hinzufügen zu
öffnen.
d
Wählen Sie die benutzerdefinierte Regelgruppe aus, der die Zertifikate hinzugefügt werden
sollen, und klicken Sie auf OK.
Alternativ können Sie einer benutzerdefinierten Regelgruppe ein Zertifikat auf der Seite Menü |
Konfiguration | Solidcore-Regeln | Regelgruppen zuweisen. Siehe Erstellen einer Regelgruppe.
Hinzufügen eines Installationsprogramms zu einer Richtlinie oder einer
Regelgruppe
Nachdem Sie ein Installationsprogramm hinzugefügt haben, können Sie es einer Richtlinie oder einer
Regelgruppe zuweisen, damit Benutzer neue Software installieren und Softwarekomponenten auf
einem geschützten Endpunkt aktualisieren können.
Vorgehensweise
1
Fügen Sie ein Installationsprogramm zu einer Richtlinie hinzu.
a
Erstellen oder bearbeiten Sie in der McAfee ePO-Konsole eine Application Control-Richtlinie.
b
Klicken Sie auf der Registerkarte Installationsprogramme auf Hinzufügen.
Produkthandbuch
121
7
2
c
Suchen Sie das Installationsprogramm, und fügen Sie es hinzu. Beispielsweise können Sie das
Installationsprogramm für Adobe Reader hinzufügen, damit Benutzer das Installationsprogramm
an den Endpunkten ausführen können.
d
Geben Sie eine Identifizierungsbeschriftung für das Installationsprogramm ein.
e
Klicken Sie auf OK.
Weisen Sie einer vorhandenen Regelgruppe ein Installationsprogramm zu.
a
b
Wählen Sie auf der Registerkarte Installationsprogramme die Installationsprogramme aus, die Sie
einer Regelgruppe hinzufügen möchten.
c
Klicken Sie auf Aktionen | Zu Regelgruppe hinzufügen , um das Dialogfeld Zu Regelgruppe hinzufügen zu
öffnen.
d
Wählen Sie die benutzerdefinierte Regelgruppe aus, der die Installationsprogramme hinzugefügt
werden sollen, und klicken Sie auf OK.
Alternativ können Sie einer benutzerdefinierten Regelgruppe ein Installationsprogramm auf der Seite
Menü | Konfiguration | Solidcore-Regeln | Regelgruppen zuweisen. Siehe Erstellen einer Regelgruppe.
Hinzufügen eines Ausschlusses
Fügen Sie Ausschlussregeln hinzu, um den angewendeten Speicherschutz sowie sonstige Techniken zu
umgehen.
Vorgehensweise
1
oder -Regelgruppe.
2
Klicken Sie auf der Registerkarte Ausschlüsse auf Hinzufügen.
3
Geben Sie den Dateinamen ein.
4
Wählen Sie die erforderlichen Optionen aus. Weitere Informationen finden Sie im Abschnitt
5
Klicken Sie auf OK.
Hinzufügen eines vertrauenswürdigen Verzeichnisses
Indem Sie Verzeichnisse (lokale Verzeichnisse oder Netzwerkfreigaben) als vertrauenswürdige
Verzeichnisse hinzufügen, ermöglichen Sie die Ausführung jeglicher in diesen Verzeichnissen
enthaltenen Software auf einem geschützten Endpunkt.
Bei einem vertrauenswürdigen Verzeichnis handelt es sich um ein Verzeichnis (lokales Verzeichnis oder
Netzwerkfreigabe), das durch seinen UNC-Pfad (UNC, Universal Naming Convention) identifiziert wird.
Wenn Sie ein Verzeichnis als vertrauenswürdiges Verzeichnis hinzugefügt haben, kann auf den
Endpunkten jede Software in diesem Verzeichnis ausgeführt werden. Ist Application Control aktiviert,
wird verhindert, dass geschützte Endpunkte Code ausführen, der sich auf einer Netzwerkfreigabe
befindet. Wenn Sie freigegebene Ordner im internen Netzwerk in Ihrer Organisation führen und diese
Installationsprogramme für lizenzierte Anwendungen enthalten, fügen Sie für solche
Netzwerkfreigaben vertrauenswürdige Verzeichnisse hinzu.
122
Produkthandbuch
7
Zusätzlich können Sie bei Bedarf der Software in diesem UNC-Pfad gestatten, Software auf den
geschützten Endpunkten zu installieren. Wenn Sie sich beispielsweise an einem geschützten Endpunkt
bei einem Domänen-Controller anmelden, müssen Sie \\domänenname\SYSVOL als vertrauenswürdiges
Verzeichnis definieren (um die Ausführung von Skripts zuzulassen).
Vorgehensweise
Berechtigungen für Regelkonfigurationen. Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen
und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen.
1
oder -Regelgruppe.
2
Klicken Sie auf der Registerkarte Verzeichnisse auf Hinzufügen.
3
Geben Sie den Speicherort des Verzeichnisses ein.
4
Wählen Sie Einschließen oder Ausschließen aus.
Mithilfe von Ausschließen können Sie einen bestimmten Ordner oder Unterordner innerhalb eines
vertrauenswürdigen Verzeichnisses ausschließen.
5
(Optional) Wählen Sie In diesem Verzeichnis ausgeführte Programme als Aktualisierungsprogramme definieren aus,
damit die Software in diesem UNC-Pfad die Endpunkte ändern darf.
6
Klicken Sie auf OK.
Festlegen von vertrauenswürdigen oder berechtigten Benutzern
Ein vertrauenswürdiger Benutzer ist ein autorisierter Benutzer (nur Windows), der berechtigt ist, die
Whitelist dynamisch zu erweitern.
Vorgehensweise
Fügen Sie beispielsweise den Administrator als vertrauenswürdigen Benutzer hinzu, damit er beliebige
Software installieren oder aktualisieren kann. Beim Hinzufügen von Benutzerdetails müssen Sie auch
die Domänendetails angeben. Geben Sie autorisierte Benutzer an, die den Schutz außer Kraft setzen
können. Damit können Benutzer Aktualisierungsvorgänge auf einem geschützten Endpunkt ausführen.
1
oder -Regelgruppe.
Sie können die Benutzerdetails eingeben oder Benutzer- und Gruppendetails aus einem Active
Directory-Verzeichnis importieren.
2
Geben Sie Details an, um Benutzer zu autorisieren, den aktiven Schutz außer Kraft zu setzen.
a
Klicken Sie auf der Registerkarte Benutzer auf Hinzufügen.
b
Erstellen Sie für jeden Benutzer zwei Regeln.
•
Mit UPN/SAM und dem Domänen-Kontonamen (im Format Domänenname\Benutzer)
•
Mit dem NetBIOS-Namen der Domäne (im Format NetBIOS-Name\Benutzer)
Produkthandbuch
123
7
3
c
Geben Sie eine eindeutige Identifizierungsbeschriftung für den Benutzer ein. Wenn Sie
beispielsweise Max Mustermanns Änderungen als Identifizierungsbeschriftung für den Benutzer
Max Mustermann eingeben, werden alle durch diesen Benutzer vorgenommenen Änderungen
entsprechend gekennzeichnet.
d
Geben Sie den Benutzernamen ein.
e
Klicken Sie auf OK.
Importieren Sie Benutzerdetails aus einem Active Directory-Verzeichnis.
a
Stellen Sie sicher, dass das Active Directory-Verzeichnis als registrierter Server konfiguriert ist.
b
Klicken Sie auf der Registerkarte Benutzer auf AD-Import, um das Dialogfeld Aus Active Directory
importieren zu öffnen.
c
Wählen Sie den Server aus.
d
Wählen Sie Suche im globalen Katalog aus, um Benutzer im Katalog zu suchen (nur wenn es sich
beim ausgewählten Active Directory-Verzeichnis um einen Server des globalen Katalogs
handelt).
e
Wählen Sie aus, ob Sie anhand des UPN (User Principal Name, Benutzerprinzipalname) oder
anhand des SAM-Kontonamens nach Benutzern suchen möchten.
Ihre Suche bestimmt den autorisierten Benutzer. Wenn Sie den UPN- oder normalen Namen
verwenden, wird der Benutzer mit der UPN vertrauenswürdig. Wenn Sie den SAM-Kontonamen
verwenden, wird der Benutzer mit dem SAM-Kontonamen vertrauenswürdig.
f
Geben Sie den Benutzernamen an.
Das Suchkriterium Enthält wird auf den angegebenen Benutzernamen angewendet.
g
Geben Sie für die Suche nach Benutzern in einer Gruppe einen Gruppennamen an.
Ist eine Gruppe im Active Directory-Verzeichnis vorhanden, können Sie sie nicht direkt einer
Richtlinie hinzufügen. Wenn Sie alle Benutzer in einer Gruppe autorisieren möchten, fügen Sie
die Benutzergruppe einer Regelgruppe hinzu, und nehmen Sie die Regelgruppe anschließend in
eine Richtlinie auf. Durch die Verwendung von Gruppen wird sichergestellt, dass alle Änderungen
an einer Benutzergruppe automatisch über alle Regelgruppen und zugehörige Richtlinien verteilt
werden.
124
h
Klicken Sie zum Anzeigen der Ergebnisse auf Suchen.
i
Wählen Sie die hinzuzufügenden Benutzer auf der Seite mit den Suchergebnissen aus, und
klicken Sie auf OK.
Produkthandbuch
8
Bereitstellen von Application Control im
Beobachtungsmodus
Mithilfe des Beobachtungsmodus können Sie auch Richtlinienregeln ermitteln, um eine neue
Anwendung auszuführen, bevor sie unternehmensweit auf Endpunkten bereitgestellt wird, die bereits
Application Control ausführen.
Der Beobachtungsmodus bietet zwei Vorteile.
•
Hilft Ihnen beim Entwickeln von Richtlinien und Festlegen von Regeln, die das Ausführen von
Anwendungen im aktivieren Modus zulassen.
•
Führt einen Probelauf für das Produkt durch, um Probleme bei der Ausführung und Installation von
Software zu vermeiden.
Der Beobachtungsmodus wird auf allen Windows-Plattformen außer Windows NT und Windows 2000
unterstützt. Der Beobachtungsmodus ist auf UNIX-Plattformen nicht verfügbar.
Inhalt
Was sind Beobachtungen?
Bereitstellen im Beobachtungsmodus
Konfigurieren der Funktion
Versetzen der Endpunkte in den Beobachtungsmodus
Berechtigungen für die Richtlinienerkennung
Verwalten von Anfragen
Angeben von Filtern für Beobachtungen und Ereignisse
Beschränken von Beobachtungen
Beenden des Beobachtungsmodus
Beobachtungen zeichnen alle Ausführungen, Installationen und Deinstallationen auf verwalteten
Endpunkten auf.
Wird also Application Control im Beobachtungsmodus ausgeführt, lässt es die meisten Vorgänge auf
den Endpunkten zu. Im Beobachtungsmodus ist die Ausführung einer Datei zulässig, sofern sie nicht
von einer bestimmten Regel gesperrt wird oder über eine bösartige Reputation verfügt. Für jede von
Application Control im aktivierten Modus blockierte Aktion wird eine entsprechende Beobachtung im
Beobachtungsmodus protokolliert. So werden beispielsweise für die Installation einer Software oder
die Änderung an einem Paket entsprechende Beobachtungen generiert. Alle auf einem Endpunkt
generierten Beobachtungen werden an den McAfee ePO-Server gesendet, nachdem das
Agent-Server-Kommunikationsintervall (Agent to Server Communication Interval, ASCI) abgelaufen
ist. Beachten Sie, dass für einen Endpunkt im Beobachtungsmodus keine Application
Control-Ereignisse generiert werden.
Produkthandbuch
125
8
Der Beobachtungsmodus unterstützt auch die Ausführung nach Reputation. Wenn Sie eine Datei auf
einem Endpunkt ausführen, ruft die Software deren Reputation und die Reputation sämtlicher mit der
Datei verknüpften Zertifikate ab, um zu ermitteln, ob die Dateiausführung zugelassen oder gesperrt
werden soll.
•
Vertrauenswürdige Dateien – Wenn die Reputation für eine Binärdatei oder ein verknüpftes
Zertifikat "Vertrauenswürdig" lautet, ist die Ausführung der Datei zulässig, sofern sie nicht durch
eine vordefinierte Sperrregel blockiert wird. Es werden keine entsprechenden Beobachtungen oder
Ereignisse generiert.
•
Bösartige Dateien – Wenn die Reputation für eine Binärdatei oder ein verknüpftes Zertifikat
"Bösartig" lautet, wird die Ausführung der Binärdatei nicht zugelassen, und es wird keine
entsprechende Beobachtung generiert. Ein entsprechendes Ereignis wird generiert und auf der
Seite Solidcore-Ereignisse angezeigt. Die für Ihr Unternehmen konfigurierten Einstellungen legen fest,
welche Reputationswerte gesperrt sind. Sie können festlegen, nur Dateien mit der Reputation "Als
bösartig bekannt", "Höchstwahrscheinlich bösartig", "Möglicherweise bösartig" bzw. alle Dateien mit
diesen Reputationswerten zu sperren.
•
Unbekannt – Wenn die Reputation für eine Binärdatei oder ein verknüpftes Zertifikat "Unbekannt"
lautet, wird über die Ausführung nicht mithilfe der Reputation entschieden. Application Control
führt mehrere weitere Prüfungen durch, um zu bestimmen, ob die Datei zugelassen oder blockiert
werden soll. Weitere Informationen finden Sie unter Von Application Control für eine Datei
Wenn für eine Binärdatei eine Regel zum Sperren nach Name oder SHA-1 vorhanden ist, wird die
Ausführung der Datei unabhängig von ihrer Reputation gesperrt. Es wird keine entsprechende
Beobachtung generiert. Ein entsprechendes Ereignis wird generiert und auf der Seite Solidcore-Ereignisse
angezeigt.
Beobachtungen werden im aktivierten Modus sowie im Beobachtungsmodus generiert.
•
•
126
Für Prozesse, denen keine Aktualisierungsberechtigungen zugewiesen wurden, werden diese
Beobachtungen im aktivierten Modus und im Beobachtungsmodus generiert.
•
Ausführung verweigert
•
Schreiben in Datei verweigert
•
ActiveX-Installation verhindert
•
Es wurde versucht, die Kontrolle über den Prozess zu übernehmen
•
Nx-Verletzung erkannt
•
Installation verweigert
Für Prozesse, denen Aktualisierungsberechtigungen zugewiesen wurden, werden Beobachtungen im
aktivierten Modus sowie im Beobachtungsmodus für diese Vorgänge in Verbindung mit dem
Speicherschutz generiert.
•
•
Produkthandbuch
8
Das Bereitstellen von Application Control im Beobachtungsmodus umfasst die folgenden Hauptschritte.
1
Identifizieren Sie die Staging- oder Testendgeräte für die Bereitstellung.
Wenn Ihr Setup mehrere Arten von Endpunkten enthält, fassen Sie ähnliche Arten von Endpunkten
zusammen, um den Beobachtungsmodus vorzunehmen. So können Sie den Produkteinfluss für
jede Gruppe von Endpunkten analysieren, Richtliniengruppen erkennen und die Richtlinien der
einzelnen Gruppen von Richtlinien validieren.
2
Versetzen Sie Application Control einige Tage lang in den Beobachtungsmodus, und führen Sie
alltägliche Tasks an den Endpunkten durch.
Ist eine Reputationsquelle verfügbar und konfiguriert, können Sie die Reputation von Binärdateien
und Zertifikaten in Ihrem Unternehmen einsehen. Dadurch können Sie fundierte Entscheidungen
bzgl. empfangener Anfragen treffen. Die für Ihr Unternehmen konfigurierten Einstellungen legen
fest, welche Reputationswerte zugelassen und welche gesperrt sind.
Anfragen werden basierend auf für die Endpunkte generierte Beobachtungen erstellt. Mithilfe dieser
Anfragen können Sie Application Control-Richtlinienregeln für die auf den Endpunkten installierte
Software ermitteln.
Weitere Informationen finden Sie unter Versetzen der Endpunkte in den Beobachtungsmodus.
3
Überprüfen und erstellen Sie regelmäßig Regeln für die empfangenen Anfragen.
Weitere Informationen finden Sie im Abschnitt Verwalten von Anfragen.
4
Validieren Sie die kürzlich hinzugefügten Richtlinien, indem Sie häufig verwendete Workflows
ausführen. Dadurch können Sie überprüfen, ob weitere Anfragen für die Anwendungen empfangen
werden.
Wenn die geeigneten Regeln auf die Endpunkte angewendet werden, erscheinen keine wiederholten
Anfragen auf der McAfee ePO-Konsole.
5
Wenn sich die Anzahl an empfangenen Anfragen deutlich verringert, beenden Sie den
Beobachtungsmodus, und versetzen Sie die Endpunkte in den aktivierten Modus.
Ausführlichere Informationen finden Sie unterBeenden des Beobachtungsmodus.
Überprüfen und bearbeiten Sie die Liste der allgemeinen Prozesse des Startprogramms und der
Namen eingeschränkter Zertifikate.
Sie können für die Funktion die folgenden Einstellungen konfigurieren.
Produkthandbuch
127
8
•
Allgemeine Prozesse des Startprogramms – Bestimmte Prozesse auf dem
Windows-Betriebssystem wie beispielsweise "explorer.exe" und "iexplore.exe" starten weitere
Prozesse, die dazu verwendet werden können, eine beliebige Software auszuführen. Solche
Prozesse werden als allgemeine Prozesse des Startprogramms bezeichnet und dürfen niemals als
Aktualisierungsprogramm konfiguriert werden. Eine vordefinierte Liste solcher Prozesse ist auf der
Konfigurationsoberfläche von Application Control verfügbar. Sie können die Liste der allgemeinen
Prozesse des Startprogramms überprüfen und bearbeiten. An den Endpunkten werden keine
Aktualisierungsprogrammregeln für die allgemeinen Prozesse des Startprogramms erzeugt.
•
Namen eingeschränkter Zertifikate – Zertifikate von bestimmten Anbietern, z. B. Microsoft,
sind mit verschiedenen häufig verwendeten Anwendungen verknüpft und sollten nicht zum
Definieren von Regeln basierend auf dem Zertifikat verwendet werden. Eine vordefinierte Liste
solcher Zertifikate ist auf der Konfigurationsoberfläche von Application Control verfügbar. Sie
können die Liste der Namen eingeschränkter Zertifikate überprüfen und bearbeiten. Wenn die
Binärdatei der Anfrage mit einem dieser Zertifikate signiert wurde, sollten Sie sich darüber im
Klaren sein, dass Sie keine Regeln erstellen können, die auf dem mit der Binärdatei verknüpften
Zertifikat basieren.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Konfiguration | Server-Einstellungen | Solidcoreaus.
2
Überprüfen und bearbeiten Sie die Liste der allgemeinen Prozesse des Startprogramms.
3
a
Prüfen Sie die im Feld Allgemeine Prozesse des Startprogramms aufgelisteten Prozesse.
b
Klicken Sie auf Bearbeiten, um die Liste zu aktualisieren.
c
Fügen Sie den Prozessnamen (durch ein Komma getrennt) am Ende der Liste hinzu, und klicken
Sie dann auf Speichern.
Überprüfen und bearbeiten Sie die Liste der eingeschränkten Zertifikate.
a
Prüfen Sie die im Feld Namen eingeschränkter Zertifikate aufgelisteten Namen.
b
c
Fügen Sie den Namen des Anbieters (durch ein Komma getrennt) am Ende der Liste hinzu, und
klicken Sie dann auf Speichern.
Wenn beispielsweise die Erstellung von Regeln auf der Grundlage eines Microsoft-Zertifikats
verhindert werden soll, fügen Sie der Liste den Eintrag Microsoft hinzu. Verwenden Sie den im
Feld "Ausgestellt für" aufgeführten Wert des Zertifikats.
Nach der Installation sollten Sie ausgewählte Endpunkte in den Beobachtungsmodus versetzen, um für
Application Control einen Probelauf durchzuführen.
Wählen Sie für jeden Typ in Ihrer Umgebung mindestens einen Endpunkt aus. Versetzen Sie die
Endpunkte mithilfe eines der folgenden Client-Tasks in den Beobachtungsmodus.
128
•
SC: Aktivieren – Verwenden Sie diesen Client-Task, um die Endpunkte nach der Neuinstallation
von Application Control in den Beobachtungsmodus zu versetzen.
•
SC: Beobachtungsmodus – Verwenden Sie diesen Client-Task, um die vorhandenen Endpunkte,
die im aktivierten Modus ausgeführt werden, in den Beobachtungsmodus zu versetzen.
Produkthandbuch
8
Vorgehensweise
1
2
•
Wählen Sie die Gruppe in der Systemstruktur aus, und klicken Sie auf die Registerkarte Zugewiesene
Client-Tasks.
•
3
öffnen.
4
a
b
c
1
Wählen Sie die Plattform Windows aus.
2
Wählen Sie die Unterplattform Alle außer NT/2000 aus.
3
Wählen Sie die Version 6.0 und höher aus.
4
Wählen Sie Application Control aus.
Geben Sie die Scanpriorität an.
Die eingestellte Scanpriorität bestimmt die Priorität des Threads, der zur Erstellung der Whitelist
auf den Endpunkten ausgeführt wird. Wir empfehlen das Einstellen der Scanpriorität auf Niedrig.
Dadurch wird sichergestellt, dass Application Control die Leistung der Endpunkte nur minimal
beeinflusst. Allerdings kann die Erstellung der Whitelist länger dauern (im Unterschied zur
Einstellung der Priorität auf Hoch).
d
Geben Sie die Aktivierungsoption an.
•
Aktivierung einer Teilfunktionalität – Die Endpunkte werden nicht neu gestartet, die
Whitelist wird erstellt, und die Teilfunktionalität von Application Control (ohne
Speicherschutzfunktionen) wird aktiviert. Speicherschutzfunktionen stehen nur nach einem
Neustart des Endpunkts zur Verfügung.
•
Aktivierung der vollen Funktionalität – Die Endpunkte werden neu gestartet, die
Whitelist wird erstellt, und alle Funktionen von Application Control, einschließlich der
Speicherschutzfunktionen, sind aktiv. Zur Aktivierung der Speicherschutzfunktionen ist ein
Neustart der Endpunkte erforderlich. Der Endpunkt wird fünf Minuten nach dem Empfang des
Client-Tasks am Endpunkt neu gestartet. Vor dem Neustart des Endpunkts wird eine
Pop-Up-Meldung angezeigt.
e
Wählen Sie Beobachtungsmodus starten aus.
f
(Optional) Wählen Sie Inventar abrufen aus.
Bei Auswahl dieser Option wird das Inventar (einschließlich der erstellten Whitelist) an McAfee
ePO gesendet. Aktivieren Sie diese Option, da die Inventarinformationen in mehreren Workflows
verwendet werden, die über McAfee ePO verfügbar sind.
g
Produkthandbuch
129
8
5
6
7
8
(Optional) Reaktivieren Sie den Agent, um Ihren Client-Task sofort an den Endpunkt zu senden.
Standardmäßig können nicht-globale Administratoren nur Anfragen anzeigen, verwalten und löschen,
die bei Endpunkten in ihrer Gruppe (in Eigene Organisation) erstellt wurden.
Wenn Sie Anfragedetails auf der Seite Anfragedetails anzeigen, kann die Anzahl von Anfragen im Bereich
Unternehmensstufe – Aktivität kleiner sein als der Wert in der Spalte Globale Prävalenz auf der Seite
Richtlinienerkennung. Das liegt daran, dass in der Spalte Globale Prävalenz die unternehmensweite
Verbreitung der Anfragen unabhängig von ihren Gruppen angezeigt wird. Beispiel: Wenn dieselbe
Anfrage von zwei Systemen in verschiedenen Gruppen im Unternehmen generiert wird, erscheint in
Globale Prävalenz der Wert "2". Da aber nicht-globale Administratoren nur die Anfragen sehen können, die
für ihre Gruppe generiert wurden, kann der nicht-globale Administrator im Bereich Unternehmensstufe –
Aktivität möglicherweise nur eine Anfrage sehen, die vom System in seiner Gruppe erstellt wurde.
Der McAfee ePO-Administrator kann alle Anfragen, die im Unternehmen (Eigene Organisation) erstellt
wurden, überprüfen und verwalten. Der McAfee ePO-Administrator kann auch Regeln zu einer
Regelgruppe hinzufügen und Berechtigungen für alle nicht-globalen Administratoren erteilen, im
Unternehmen erstellte Anfragen zu prüfen und entsprechende Maßnahmen zu ergreifen.
Wenn Sie ein nicht-globaler Administrator sind, können Sie Regeln (für eine Anfrage) nur zu den
Regelgruppen hinzufügen, deren Besitzer Sie sind. Regelgruppen, deren Besitzer Sie nicht sind,
werden auf der Seite Richtlinienerkennung: Benutzerdefinierte Regeln nicht angezeigt. Wenn Sie eine Aktion für
eine Anfrage ergreifen, wirkt sich die Aktion auf dieselbe Anfrage, die vom System einer anderen
Gruppe erstellt wurde, nicht aus.
Zulassen der Verwaltung von unternehmensweiten Anfragen
durch nicht-globale Administratoren
Als McAfee ePO-Administrator können Sie bei Bedarf allen nicht-globalen Administratoren (die Zugriff
auf Gruppen in Eigene Organisation haben), die Berechtigung zum Prüfen und Verwalten von in Ihrem
Unternehmen generierten Anfragen gewähren.
Vorgehensweise
1
Klicken Sie in der McAfee ePO-Konsole auf Menü | Konfiguration | Server-Einstellungen.
2
Wählen Sie im Bereich Einstellungskategorien die Option Solidcore aus, und klicken Sie auf Bearbeiten, um
die Seite Solidcore bearbeiten zu öffnen.
3
Ändern Sie den Wert von Gruppenadministratoren die Verwaltung von Richtlinienerkennungsanfragen für die gesamte
Systemstruktur erlauben in Ja (setzt Zugriffsberechtigungen für Systemstrukturgruppe außer Kraft).
4
Alle nicht-globalen Administratoren haben das Recht, benutzerdefinierte Aktionen nach
unternehmensweiten Anfragen zu prüfen und danach Maßnahmen zu treffen. Nicht-globale
Administratoren können keine globalen Aktionen durchführen.
130
Produkthandbuch
8
Für Anfragen, die Sie aus Ihren verwalteten Gruppen erhalten, verwenden Sie die Seite
Richtlinienerkennung. Wenn Sie ein McAfee ePO-Administrator sind, können Sie unternehmensweite
Anfragen mithilfe der Seite Richtlinienerkennung verwalten.
Informationen über Berechtigungen für diese Seite finden Sie unter Berechtigungen für
Richtlinienerkennung. Während Sie generierte Anfragen verarbeiten und relevante Regeln für Ihr
Unternehmen hinzufügen, verringert sich nach und nach die Anzahl der Anfragen.
Ab Version 6.1.2 hilft die Seite Richtlinienerkennung als zentrale Konsole beim Verwalten aller
Beobachtungs- und Selbstgenehmigungsanfragen. In den Versionen 6.1.1 und niedriger diente die Seite
Beobachtungen als zentrale Konsole beim Verwalten von Beobachtungen. Nach Installation der Erweiterung
6.1.2 oder höher können Beobachtungen von Endpunkten mit Version 6.1.1 oder niedriger mithilfe der
veralteten Seite Beobachtungen angezeigt werden.
Aufgaben
•
Überprüfen von Anfragen auf Seite 131
Überprüfen Sie die Anfragen, die von Endpunkten gesendet werden.
•
Prozessanfragen auf Seite 133
Verarbeiten Sie die Anfragen für die von Ihnen verwalteten Gruppen, indem Sie die
entsprechenden Aktionen durchführen. Wenn Sie ein McAfee ePO-Administrator sind,
können Sie die eingegangenen Anfragen für Ihr Unternehmen definieren.
•
Überprüfen von erstellten Regeln auf Seite 142
Überprüfen und verwalten Sie die für die verarbeiteten Anfragen globalen Regeln.
Überprüfen von Anfragen
Überprüfen Sie die Anfragen, die von Endpunkten gesendet werden.
Prüfen Sie auf dem Dashboard Solidcore: Systemüberwachung diese Monitore, um die Daten zu erfassen, bei
denen sofortige Maßnahmen erforderlich sein könnten.
•
10 häufigste ausstehende Richtlinienerkennungsanfragen
•
Systeme mit den meisten ausstehenden, im Beobachtungsmodus generierten Anfragen
Informationen zum Dashboard Solidcore: Systemüberwachung finden Sie unter Überwachen des Status der
Endpunkte im Unternehmen.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Application Control | Richtlinienerkennung aus, um die Seite
Richtlinienerkennung zu öffnen.
Nachdem die von den Endpunkten gesendeten Anfragen empfangen wurden, fasst Application
Control die Anfragen zusammen und gruppiert sie nach den folgenden Parametern:
•
SHA-1 der Binär- oder CAB-Datei (im Falle einer Anfrage für ein ActiveX-Steuerelement), auf die
sich die empfangene Anfrage bezieht
•
Status der Anfrage
Anfragen bzgl. Verletzung des Speicherschutzes werden basierend auf SHA-1 und Aktivitätstyp
gruppiert. Anfragen bzgl. Netzwerkpfadausführung werden basierend auf Dateipfad und Aktivitätstyp
gruppiert.
Produkthandbuch
131
8
Das Feld Aktivität gibt für jede Anfrage an, welche Aktion durch den Benutzer am Endpunkt
ausgeführt wurde. Wenn der Benutzer zum Beispiel eine MSI-Software installiert, wird im Feld
Aktivität die Softwareinstallation für die Anfrage aufgelistet.
2
Überprüfen Sie die aufgeführten Anfragen mit einer der folgenden Methoden.
•
Bestimmtes Intervall – Wählen Sie in der Liste Zeitfilter eine Option aus, und klicken Sie auf
Ergebnisse aktualisieren, um in einem bestimmten Intervall empfangene Anfragen anzuzeigen.
•
Anfragestatus – Wählen Sie in der Liste Genehmigungsstatus einen Wert für den Anfragestatus
aus, und klicken Sie auf Ergebnisse aktualisieren, um alle Genehmigungsanfragen anzuzeigen, die
dem ausgewählten Status entsprechen.
•
Aktivität – Wählen Sie in der Liste Aktivität einen Wert aus, und klicken Sie auf Ergebnisse
aktualisieren, um Anfragen für eine bestimmte Aktivität anzuzeigen.
•
Reputation – Wählen Sie einen Wert aus der Liste Endgültige Reputation aus, und klicken Sie auf
Ergebnisse aktualisieren, um die Anfragen für Dateien anzuzeigen, die mit dem ausgewählten
Reputationswert übereinstimmen. Klicken Sie auf Was bedeutet endgültige Reputation?, um weitere
Informationen dazu zu erhalten, wie die Software die endgültige Reputation für Dateien oder
Zertifikate festlegt.
•
Bestimmter Endpunkt – Geben Sie im Feld Systemname den Namen eines Endpunkts ein, und
klicken Sie auf Ergebnisse aktualisieren, um vom Endpunkt erhaltene Anfragen anzuzeigen. Beachten
Sie, dass der vollständige Systemname eingegeben werden muss, da partielle
Übereinstimmungen nicht berücksichtigt werden.
•
Mehrere Kriterien – Füllen Sie gegebenenfalls die Felder Zeitfilter, Genehmigungsstatus, Aktivität,
Endgültige Reputation und Systemname aus, und klicken Sie auf Ergebnisse aktualisieren, um eine auf die
angegebenen Kriterien gestützte Suche durchzuführen.
•
Bestimmte Suchzeichenfolge – Geben Sie im Feld Schnellsuche eine Suchzeichenfolge ein, und
klicken Sie auf Anwenden, um nur die Anfragen anzuzeigen, die der angegebenen
Suchzeichenfolge entsprechen. Je nach eingegebenem Text werden partielle
Übereinstimmungen berücksichtigt.
•
Sortieren – Sortieren Sie die Liste nach globaler Prävalenz, endgültiger Reputation,
Reputationsquelle, Ausführungszeit, Aktivität, Objektnamen, Anwendungsnamen oder Zertifikat,
indem Sie auf die entsprechende Spaltenüberschrift klicken.
•
Ausgewählte Anfragen – Sie können auch Anfragen, die für Sie von Interesse sind,
auswählen und auf Ausgewählte Zeilen anzeigen klicken, um nur die ausgewählten
Genehmigungsanfragen zu überprüfen.
Auf der Seite Richtlinienerkennung werden nur die Anfragen aufgelistet, für die der McAfee
ePO-Administrator Regeln erstellen kann. Um weitere Anfragen anzuzeigen, etwa für
Installationsprogramme mit vertrauenswürdiger Reputation, führen Sie die Abfrage
Richtlinienerkennungsanfragen für automatisch genehmigte Installationen aus. Die Abfrage führt alle Dateien mit
vertrauenswürdiger Reputation auf, die im letzten Monat auf den Endpunkten automatisch mit
Berechtigungen für Installationsprogramme ausgeführt wurden. Weitere Informationen zum
Ausführen von Abfragen finden Sie unter Anzeigen von Abfragen.
3
132
Überprüfen Sie mehrere einzelne Anfragen, die eine zusammengefasste Anfrage bilden, sowie
detaillierte Informationen zur Binärdatei.
a
Klicken Sie auf eine Zeile, um die Seite Anfragedetails zu öffnen.
b
Überprüfen Sie die Details zur Binärdatei, etwa Binärname, Version, Pfad, übergeordneter
Prozess, geänderte Dateien und endgültige Reputation.
c
Überprüfen Sie die Binärdatei-SHA-1- und Binärdatei-MD5-Informationen für die Binärdatei.
Produkthandbuch
8
d
Klicken Sie auf den Binärdatei-SHA-1-Wert, um die Dateidetails auf der Seite Binärdateidetails zu
überprüfen.
e
Überprüfen Sie den Namen des Zertifikatsanbieters für die Binärdatei. Der Name des
Zertifikatsanbieters für eine Binärdatei ist farbcodiert, um die Reputation (vertrauenswürdig –
grün, bösartig – rot, unbekannt – orange) kenntlich zu machen.
f
Klicken Sie auf den Zertifikatnamen, um Zertifikatdetails anzuzeigen, z. B Aussteller,
Zertifikat-Reputation, Reputationsquelle, Zertifikat-Hash, Gültig ab/bis sowie Algorithmus, Länge
und Hash des öffentlichen Schlüssels.
g
Überprüfen Sie mehrere einzelne Anfragen, die im Bereich Unternehmensstufe – Aktivität eine
zusammengefasste Anfrage bilden.
h
Prozessanfragen
Verarbeiten Sie die Anfragen für die von Ihnen verwalteten Gruppen, indem Sie die entsprechenden
Aktionen durchführen. Wenn Sie ein McAfee ePO-Administrator sind, können Sie die eingegangenen
Anfragen für Ihr Unternehmen definieren.
Prüfen Sie jede Anfrage, und bestimmen Sie die Aktion, die für die Anfrage ausgeführt werden soll. Für
jede Anfrage sind auch Informationen zur endgültigen Reputation, Reputationsquelle, globalen
Prävalenz sowie zum Binärdatei-SHA-1 und Zertifikat verfügbar, um Ihnen beim Ermitteln der zu
ergreifenden Maßnahmen zu helfen.
Der Reputationswert für eine Datei ist farbcodiert, um die Reputation (vertrauenswürdig, bösartig oder
unbekannt) kenntlich zu machen:
•
Werte in Grün bedeuten, dass die Datei als vertrauenswürdig bekannt, höchstwahrscheinlich
vertrauenswürdig oder möglicherweise vertrauenswürdig ist.
•
Werte in Orange bedeuten, dass die Datei unbekannt ist.
•
Werte in Rot bedeuten, dass die Datei als bösartig bekannt, höchstwahrscheinlich bösartig oder
möglicherweise bösartig ist.
•
Graue Werte bedeuten, dass der Reputationswert "Nicht zutreffend" lautet (nur für Anfragen bzgl.
Netzwerkpfadausführung).
Die Reputationsquelle bezeichnet die Quelle, von der die Reputation abgerufen wird. Mögliche Werte
für die Reputationsquelle sind TIE, GTI, Application Control, "Nicht synchronisiert" oder "Nicht
zutreffend". Wenn Sie auf den TIE-Wert klicken, wird die Seite TIE-Reputationen geöffnet, auf der
relevante Details für die ausgewählte Binärdatei angezeigt werden. Weitere Informationen zur
Berechnung der Reputation finden Sie unter Datei- und Zertifikat-Reputation.
Der Status der Anfrage basiert auf der Aktion, die Sie für die Anfrage ausführen.
•
Wenn Sie nur Zulassungsregeln für die verknüpfte Binärdatei definieren, wird der Genehmigungsstatus
für die Anfrage auf Zugelassen gesetzt, und die Binärdatei kann auf den Endpunkten ausgeführt
werden.
•
Wenn Sie eine oder mehrere Sperrregeln mit Zulassungsregeln für eine Binärdatei definieren, wird
der Genehmigungsstatus für die Anfrage auf Gesperrt gesetzt, und die Binärdatei kann nicht auf den
Endpunkten ausgeführt werden.
Im neuesten Release haben wir die Software optimiert, sodass die McAfee ePO-Konsole nur wichtige
und relevante Anfragen empfängt. Sie können jedoch Ausschlussregeln definieren, um weiterhin
routinemäßig vom System generierte Beobachtungen zu löschen, die nicht für Ihr Setup relevant sind.
Sie können Ausschlussregeln für einen Prozess auch manuell mithilfe der Registerkarte Filter in der
Application Control-Richtlinie definieren.
Produkthandbuch
133
8
Aufgaben
•
Zulassen einer Datei auf allen Endpunkten auf Seite 134
Definieren Sie Regeln, mit denen Anwendungen oder Binärdateien auf allen Endpunkten im
Unternehmen ausgeführt werden können.
•
Zulassen nach Zertifikat auf allen Endpunkten auf Seite 135
Definieren Sie Regeln, mit denen Anwendungen, Binärdateien oder ActiveX-Steuerelemente
in Abhängigkeit vom zur jeweiligen Datei gehörigen Zertifikat auf allen Endpunkten im
•
Zulassen von Netzwerkdateien auf allen Endpunkten auf Seite 136
Definieren Sie Regeln, um die Ausführung einer Netzwerkdatei (einer in einem
Netzwerkpfad abgelegten Datei) auf allen Endpunkten im Unternehmen zuzulassen.
•
Sperren nach SHA-1 auf allen Endpunkten auf Seite 136
Definieren Sie Regeln, mit denen das Ausführen von Anwendungen oder Binärdateien auf
allen Endpunkten im Unternehmen in Abhängigkeit vom SHA-1-Wert der Binärdatei
gesperrt werden kann.
•
Definieren von Regeln für bestimmte Endpunkte auf Seite 137
Fügen Sie automatisch ausgefüllte Regeln hinzu, mit denen eine Anwendung, eine
Binärdatei oder ein ActiveX-Steuerelement für bestimmte Endpunkte in Ihrer
Administrationsgruppe zugelassen oder gesperrt wird. Alternativ dazu können Sie
benutzerdefinierte Regeln für bestimmte Endpunkte oder Gruppen nach Bedarf definieren.
Wenn Sie ein McAfee ePO-Administrator sind, können Sie Regeln für spezielle Endpunkte in
Ihrem Unternehmen definieren.
•
Zulassen durch Hinzufügen zu Whitelist für bestimmte Endpunkte auf Seite 139
Fügen Sie eine oder mehrere Binärdateien zur Whitelist eines Endpunkts hinzu, um die
Ausführung der Dateien auf dem Endpunkt zuzulassen.
•
Definieren von Umgehungsregeln für alle Endpunkte auf Seite 140
Definieren Sie Regeln, damit eine Anwendung oder Binärdatei den angewendeten
Speicherschutz und sonstige Techniken umgehen kann.
•
Ändern der Datei-Reputation auf Seite 140
Überprüfen oder bearbeiten Sie die Reputation für eine Datei auf der Seite TIE-Reputationen.
•
Anzeigen von Dateidetails auf Seite 140
Überprüfen Sie Details für die Datei.
•
Ereignisse anzeigen auf Seite 141
Überprüfen Sie die mit einer Anfrage verknüpften Ereignisse.
•
Löschen von Anfragen auf Seite 141
Entfernen Sie ausgewählte Anfragen von der Seite Richtlinienerkennung und aus der
Datenbank.
Zulassen einer Datei auf allen Endpunkten
Bevor Sie beginnen
Je nach Aktivitätstyp werden Regeln für den Datei-SHA-1, den Dateinamen oder beides erstellt. In
einigen Fällen werden der Datei Aktualisierungsberechtigungen gewährt. Weitere Informationen finden
Sie im Handbuch zu den empfohlenen Vorgehensweisen für McAfee Application Control unter
Empfehlungen und Richtlinien zur Bereitstellung.
134
Produkthandbuch
8
Vorgehensweise
1
2
Wählen Sie die Anfragen aus, für die Sie Regeln definieren möchten.
3
Klicken Sie auf Aktionen | Binärdatei global zulassen.
Im Dialogfeld Binärdatei global zulassen werden Details zur Aktion angezeigt, und Sie werden
aufgefordert, diese zu bestätigen.
4
Klicken Sie auf OK.
Für die mit den ausgewählten Anfragen verbundenen Binärdateien werden Regeln erstellt, die zur in
der McAfee Default-Richtlinie enthaltenen Regelgruppe "Globale Regeln" hinzugefügt werden. Weitere
Informationen zum Anzeigen oder Bearbeiten der Regeln finden Sie im Abschnitt Überprüfen von
erstellten Regeln.
Zulassen nach Zertifikat auf allen Endpunkten
Definieren Sie Regeln, mit denen Anwendungen, Binärdateien oder ActiveX-Steuerelemente in
Abhängigkeit vom zur jeweiligen Datei gehörigen Zertifikat auf allen Endpunkten im Unternehmen
ausgeführt werden können.
Bevor Sie beginnen
Vorgehensweise
1
2
Wählen Sie die Anfrage aus, für die Sie Regeln definieren möchten.
3
Klicken Sie auf Aktionen | Global zulassen nach Zertifikat.
Die Aktion Global zulassen nach Zertifikat ist nicht verfügbar, wenn die mit der Anfrage verknüpfte
Hauptbinärdatei mit einem Zertifikat der Liste Namen von eingeschränkten Zertifikaten signiert wurde.
Im Dialogfeld Global zulassen nach Zertifikat werden Details angezeigt, und Sie werden dazu
aufgefordert, die Aktion zu bestätigen. In Abhängigkeit von der mit der ausgewählten Anfrage
verknüpften Binärdatei wird dem Zertifikat eine Aktualisierungsberechtigung zugewiesen oder
nicht. Verfügt das Zertifikat über Aktualisierungsberechtigungen, können alle vom Zertifikat
signierten Anwendungen Änderungen an vorhandenen ausführbaren Dateien vornehmen und neue
Anwendungen auf den Endpunkten starten, wenn Änderungen nach Zertifikat erlaubt sind.
4
Klicken Sie auf OK.
Für das mit der ausgewählten Anfrage verknüpfte Zertifikat werden Regeln erstellt, die zur in der
McAfee Default-Richtlinie enthaltenen Regelgruppe "Globale Regeln" hinzugefügt werden. Weitere
erstellten Regeln.
Produkthandbuch
135
8
Zulassen von Netzwerkdateien auf allen Endpunkten
Definieren Sie Regeln, um die Ausführung einer Netzwerkdatei (einer in einem Netzwerkpfad
abgelegten Datei) auf allen Endpunkten im Unternehmen zuzulassen.
Bevor Sie beginnen
Vorgehensweise
1
2
3
Klicken Sie auf Aktionen | Vertrauenswürdigen Pfad global zulassen.
Im Dialogfeld Vertrauenswürdigen Pfad global zulassen werden Details zur Aktion angezeigt, und Sie werden
aufgefordert, diese zu bestätigen. In Abhängigkeit von dem mit der ausgewählten Anfrage
verknüpften Netzwerkpfad werden alternative Pfade (nach Pfadlänge sortiert) und die
entsprechende Anzahl übereinstimmender ausstehender Anfragen für jeden vorgeschlagenen Pfad
angezeigt.
Indem Sie den Pfad zulassen, werden Aktualisierungsberechtigungen für sämtliche Software in
diesem Netzwerkpfad und seinen Unterverzeichnissen gewährt. Gehen Sie mit Bedacht vor, und
fügen Sie vertrauenswürdige Pfade nur nach sorgfältiger Überlegung hinzu.
Wenn eine von einem Netzwerkpfad eingehende Anfrage global genehmigt wird, empfängt McAfee
ePO darüber hinaus keine weiteren Anfragen für den genehmigten Netzwerkpfad und seine
Unterverzeichnisse.
4
Klicken Sie auf OK.
Regeln zum Zulassen des angegebenen Netzwerkpfads (mit Aktualisierungsberechtigungen für die
gesamte Software in diesem Netzwerkpfad und seinen Unterverzeichnissen) werden zur in der McAfee
Default-Richtlinie enthaltenen Regelgruppe "Globale Regeln" hinzugefügt. Weitere Informationen zum
Anzeigen oder Bearbeiten der Regeln finden Sie im Abschnitt Überprüfen von erstellten Regeln.
Sperren nach SHA-1 auf allen Endpunkten
Definieren Sie Regeln, mit denen das Ausführen von Anwendungen oder Binärdateien auf allen
Endpunkten im Unternehmen in Abhängigkeit vom SHA-1-Wert der Binärdatei gesperrt werden kann.
Bevor Sie beginnen
Vorgehensweise
136
1
2
Produkthandbuch
8
3
Klicken Sie auf Aktionen | Binärdatei global sperren.
Im Dialogfeld Binärdatei global sperren werden Details zur Aktion angezeigt, und Sie werden
4
Klicken Sie auf OK.
Für die mit den ausgewählten Anfragen verbundenen Binärdateien werden Regeln erstellt, die zur
in der McAfee Default-Richtlinie enthaltenen Regelgruppe "Globale Regeln" hinzugefügt werden.
Weitere Informationen zum Anzeigen oder Bearbeiten der Regeln finden Sie im Abschnitt
Überprüfen von erstellten Regeln.
Um ein Installationsprogramm (z. B. ein MSI-basiertes Installationsprogramm) zu sperren, müssen
Sie nicht nur das Installationsprogramm selbst global sperren (Schritte 3 und 4), sondern auch die
vom Installationsprogramm auf dem Endpunkt, auf dem es ausgeführt wurde, hinzugefügten
Dateien sperren (Schritt 5). Wenn beispielsweise das MSI-basierte Installationsprogramm für
Mozilla Firefox 12 (Firefox-12.0-af.msi) auf einem Endpunkt installiert war und ausgeführt wurde,
müssen Sie die Dateien sperren, die von diesem Installationsprogramm auf dem Endpunkt
hinzugefügt wurden.
5
Sperren Sie die Dateien, die auf dem Endpunkt bereits hinzugefügt wurden.
a
Klicken Sie auf den Link mit dem Anwendungsnamen.
Auf der Seite Binärdateien werden alle auf dem Endpunkt installierten Binärdateien aufgelistet.
b
Wählen Sie alle aufgelisteten Binärdateien.
c
Klicken Sie auf Aktionen | Binärdateien sperren aus, um den Assistenten Binärdateien zulassen oder sperren
zu öffnen.
d
Geben Sie die Regelgruppe für die Regeln an.
•
Um die Regeln einer bestehenden Regelgruppe hinzuzufügen, wählen Sie Zu vorhandener
Regelgruppe hinzufügen, wählen Sie die Regelgruppe in der Liste aus, und geben Sie das
Betriebssystem an.
•
Um eine Regelgruppe mit den Regeln anzulegen, wählen Sie Eine neue Regelgruppe erstellen, und
geben Sie den Regelgruppennamen und das Betriebssystem an.
e
Stellen Sie sicher, dass die Regelgruppe, der Sie Regeln hinzufügen, auch zu einer Richtlinie
hinzugefügt wird, die auf dem Endpunkt angewendet wird, auf dem die Anfrage eingegangen ist.
f
g
Überprüfen Sie die Regeln, und klicken Sie dann auf Speichern.
Das Sperren eines Installationsprogramms, das nicht MSI-basiert ist oder für das keine Binärdatei in
der Benutzerschnittstelle des Inventars angezeigt wird, muss ebenfalls in zwei Schritten erfolgen.
Sperren Sie das Installationsprogramm global, um sicherzustellen, dass es auch auf anderen
Endpunkten im Unternehmen nicht ausgeführt werden kann (in Schritt 3 und 4 abgeschlossen).
Suchen Sie dann manuell nach den zur Anwendung gehörenden Binärdateien, und sperren Sie die
Dateien mithilfe der Benutzerschnittstelle des Inventars.
Definieren von Regeln für bestimmte Endpunkte
Fügen Sie automatisch ausgefüllte Regeln hinzu, mit denen eine Anwendung, eine Binärdatei oder ein
ActiveX-Steuerelement für bestimmte Endpunkte in Ihrer Administrationsgruppe zugelassen oder
gesperrt wird. Alternativ dazu können Sie benutzerdefinierte Regeln für bestimmte Endpunkte oder
Produkthandbuch
137
8
Gruppen nach Bedarf definieren. Wenn Sie ein McAfee ePO-Administrator sind, können Sie Regeln für
spezielle Endpunkte in Ihrem Unternehmen definieren.
Sie benötigen die entsprechenden Berechtigungen, um diesen Task ausführen zu können. Wenn Sie die
Berechtigungen nicht haben, kontaktieren Sie den McAfee ePO-Administrator. Weitere Informationen
zu Berechtigungen finden Sie unter Berechtigungen für Regelkonfigurationen.
Vorgehensweise
1
2
Wählen Sie die Anfrage aus, für die Sie benutzerdefinierte Regeln definieren möchten.
3
Klicken Sie auf Aktionen | Benutzerdefinierte Richtlinie erstellen , um die Seite Richtlinienerkennung:
Benutzerdefinierte Regeln zu öffnen.
4
Führen Sie eine der folgenden Aktionen aus:
Zweck
Vorgehensweise
Automatisch ausgefüllte
Regeln prüfen und
hinzufügen
1 Wählen Sie Anfrage zulassen, Anfrage sperren, Nach Zertifikat zulassen,
Vertrauenswürdigen Pfad zulassen oder Speicherschutz umgehen aus.
Die Option Speicherschutz umgehen ist nur für Beobachtungen verfügbar. Für
Genehmigungsanfragen ist sie nicht verfügbar, weil Sie keine Aktionen
selbst genehmigen und durchführen können, die aufgrund von
Application Control-Techniken zum Speicherschutz verhindert werden.
2 Überprüfen Sie die automatisch ausgefüllte Regel.
3 Definieren Sie bei Bedarf weitere Regeln.
definieren
1 Wählen Sie Regeln löschen und definieren aus.
2 Überprüfen Sie die angezeigten Anfragedetails.
3 Definieren Sie die entsprechenden Regeln.
5
•
Um die Regeln einer bestehenden Regelgruppe hinzuzufügen, wählen Sie Vorhandene auswählen,
und wählen Sie die Regelgruppe in der Liste aus.
Wählen Sie beim Hinzufügen von Regeln zum Zulassen eines Netzwerkpfads die Regelgruppe
sorgfältig aus. Wenn Sie Regeln zur Regelgruppe Globale Regeln hinzufügen, werden alle
zukünftigen Anfragen, die vom Netzwerkpfad empfangen werden, automatisch genehmigt. Wenn
Sie die Regeln hingegen zu einer benutzerdefinierten Regelgruppe hinzufügen, werden
zukünftige Anfragen von diesem Netzwerkpfad nicht automatisch genehmigt.
•
138
Um eine Regelgruppe mit den Regeln zu erstellen, wählen Sie Neu erstellen aus, und geben Sie
den Namen der Regelgruppe ein.
Produkthandbuch
8
6
7
(Optional) Fügen Sie die bearbeitete oder erstellte Regelgruppe einer Richtlinie hinzu.
a
Wählen Sie Regelgruppe zu vorhandener Richtlinie hinzufügen aus.
b
Wählen Sie die Richtlinie aus, der die Regelgruppe hinzugefügt werden soll.
Dadurch werden alle gruppierten Anfragen genehmigt. Bei Anfragen von Netzwerkpfaden: Wenn
Sie auf Speichern klicken, wird das Pop-Up-Fenster Anfragen für Unterverzeichnisse genehmigen angezeigt, in
dem Sie mithilfe eines Kontrollkästchens alle verwandten Anfragen genehmigen können. Bei Bedarf
können Sie das Kontrollkästchen aktivieren und dann auf OK klicken, um alle vom Netzwerkpfad
und seinen Unterverzeichnissen empfangenen Anfragen zu genehmigen.
Zulassen durch Hinzufügen zu Whitelist für bestimmte Endpunkte
Fügen Sie eine oder mehrere Binärdateien zur Whitelist eines Endpunkts hinzu, um die Ausführung der
Dateien auf dem Endpunkt zuzulassen.
Vorgehensweise
1
2
Klicken Sie auf eine Zeile, um Details der Anfrage auf der Seite Anfragedetails anzuzeigen.
Jede Zeile im Bereich Unternehmensstufe – Aktivität steht für eine Kombination aus Binärdatei und
Endpunkt.
3
Klicken Sie für eine Zeile auf Lokal zulassen.
Im Dialogfeld Lokal zulassen werden Pfade angezeigt, die Sie der Whitelist hinzufügen können.
Die Aktion Lokal zulassen steht nur für Anfragen zur Verfügung, die beim Ausführen von Anwendungen
generiert werden, die nicht in der Whitelist enthalten sind (Anwendungsausführungsaktivität).
4
Überprüfen Sie die aufgeführten Pfade, und passen Sie sie an.
Wenn Sie beispielsweise proc.exe für einen Endpunkt ausführen, könnten die folgenden Pfade in
der Liste aufgeführt sein.
C:\Programme\<App Name>\proc.exe
C:\Programme\<App Name>\a.dll
C:\Programme\<App Name>\b.dll
Um Redundanz zu vermeiden, empfehlen wir, nur den Pfad C:\Programme\Anwendungsame
hinzuzufügen.
5
Klicken Sie auf OK.
Die angegebenen Pfade werden der Whitelist hinzugefügt und können auf dem Endpunkt ausgeführt
werden.
Produkthandbuch
139
8
Definieren von Umgehungsregeln für alle Endpunkte
Definieren Sie Regeln, damit eine Anwendung oder Binärdatei den angewendeten Speicherschutz und
sonstige Techniken umgehen kann.
Bevor Sie beginnen
Vorgehensweise
1
2
Wählen Sie die Anfrage aus, für die Sie Umgehungsregeln definieren möchten.
3
Klicken Sie auf Aktionen | Speicherschutz global umgehen.
4
Wenn Sie zur Bestätigung aufgefordert werden, klicken Sie auf OK.
Für die mit der ausgewählten Anfrage verbundene Binärdatei werden Regeln erstellt, die zur in der
McAfee Default-Richtlinie enthaltenen Regelgruppe Globale Regeln hinzugefügt werden. Weitere
erstellten Regeln.
Ändern der Datei-Reputation
Vorgehensweise
1
•
Navigieren Sie auf der Seite Solidcore-Ereignisse zu einem Ereignis.
•
Wählen Sie auf der Seite Richtlinienerkennung eine Anfrage aus, und klicken Sie auf Aktionen | Mehr.
2
Wählen Sie Datei-Reputation ändern (TIE), um die Seite TIE-Reputationen zu öffnen.
3
Überprüfen Sie die Dateiinformationen.
4
(Optional) Bearbeiten Sie die Datei-Reputation.
a
Klicken Sie auf Aktionen.
b
Wählen Sie eine Aktion aus.
Informationen zu den verfügbaren Aktionen finden Sie im Produkthandbuch für Ihre Version der
Threat Intelligence Exchange-Software.
Anzeigen von Dateidetails
140
Produkthandbuch
8
Vorgehensweise
1
•
•
2
Wählen Sie Dateidetails anzeigen aus, um die Seite Details zur Binärdatei zu öffnen.
3
Weitere Informationen finden Sie unter Überprüfen des Inventars.
Ereignisse anzeigen
Vorgehensweise
1
2
Wählen Sie die Anfrage aus, für die Sie verwandte Ereignisse anzeigen möchten.
3
Klicken Sie auf Aktionen | Mehr | Verwandte Ereignisse anzeigen, um die Seite Solidcore-Ereignisse zu öffnen.
4
Überprüfen Sie die Ereignisinformationen.
Weitere Informationen finden Sie unter Überprüfen von Ereignissen und Definieren von Regeln.
Löschen von Anfragen
Entfernen Sie ausgewählte Anfragen von der Seite Richtlinienerkennung und aus der Datenbank.
Zur Sicherstellung einer optimalen Leistung wird der Server-Task Solidcore: Richtlinienerkennungsanfragen
automatisch bereinigen wöchentlich ausgeführt, um Richtlinienerkennungsanfragen zu bereinigen, die älter
als drei Monate sind.
Vorgehensweise
1
2
Wählen Sie die zu löschenden Anfragen aus.
3
Klicken Sie auf Aktionen | Anfragen löschen.
4
Alle ausgewählten zusammengefassten Anfragen sowie die enthaltenen einzelnen Anfragen werden
von der Seite und aus der Datenbank gelöscht.
Produkthandbuch
141
8
Überprüfen von erstellten Regeln
Bevor Sie beginnen
Sie müssen ein McAfee ePO-Administrator oder Eigentümer der Regelgruppe Globale Regeln
sein, um diesen Task ausführen zu können.
Vorgehensweise
1
2
Wählen Sie auf der Registerkarte Regelgruppen nach Bedarf die folgenden Optionen aus.
•
Typ Application Control
•
Windows-Plattform
3
Wechseln Sie zur Regelgruppe Globale Regeln.
4
5
Überprüfen Sie die aufgeführten Regeln.
6
Bearbeiten Sie die definierten Regeln nötigenfalls.
7
Geben Sie erweiterte Ausschlussfilter an, um unwichtige Ereignisse von den Endpunkten
auszuschließen.
Vorgehensweise
1
oder -Regelgruppe.
2
Klicken Sie auf die Registerkarte Filter, und erweitern Sie Beobachtungen & Ereignisse.
3
Klicken Sie auf Regel hinzufügen. Eine neue Filterzeile wird angezeigt.
Sie können Filter auf der Basis von Dateien, Ereignissen, Programmen, Registrierungsschlüsseln
und Benutzern erstellen. Standardmäßig werden alle definierten Filter auf die Beobachtungen
angewendet.
4
Bearbeiten Sie die Einstellungen, um den Filter festzulegen.
5
Klicken Sie auf + oder Regel hinzufügen, um zusätzliche AND- oder OR-Bedingungen festzulegen.
6
Wählen Sie Regel auch auf Ereignisse anwenden aus, um Filterregeln auf Ereignisse anzuwenden.
Sie können auch über die Seite Solidcore-Ereignisse erweiterte Ausschlussfilter definieren. Weitere
Informationen finden Sie unter Ausschließen von Ereignissen.
142
Produkthandbuch
8
Durch häufiges Überprüfen und Verwalten von Anfragen für die generierten Beobachtungen können Sie
die relevanten Regeln für Ihr Setup definieren. Wenn Sie Beobachtungen nicht zeitnah verarbeiten,
erhalten Sie immer wieder die gleichen und ähnliche Beobachtungen von den Endpunkten.
Wenn Sie weitere Endpunkte in den Beobachtungsmodus versetzen oder mehrere Vorgänge
gleichzeitig auf vorhandenen Endpunkten ausführen (im Beobachtungsmodus), kann das Fehlen
entsprechender Regeln zur übermäßigen Generierung von Beobachtungen führen. Geht eine hohe
Anzahl an Beobachtungen von den Endpunkten am McAfee ePO-Server ein, kann die McAfee
ePO-Benutzeroberfläche langsam reagieren.
Mithilfe der Beobachtungsbeschränkung kann das Problem einer langsamen McAfee
ePO-Benutzeroberfläche behoben werden. Sobald die Anzahl der Beobachtungen, die vom McAfee
ePO-Server empfangen werden, den definierten Schwellenwert erreicht, wird die
Beobachtungsbeschränkung gestartet. Beim Starten der Beobachtungsbeschränkung werden folgende
Aktionen ausgeführt.
•
Beenden der weiteren Verarbeitung von Beobachtungen in McAfee ePO, um eine langsame Reaktion
der McAfee ePO-Benutzeroberfläche zu verhindern.
•
Anwenden der Richtlinie Beschränkungsregeln auf die Gruppe Eigene Organisation, um die Generierung von
Beobachtungen auf allen Endpunkten nach dem Agent-Server-Kommunikationsintervall zu
verhindern.
•
Generieren des Ereignisses Schwellenwert für Beobachtungsanfrage überschritten. Dieses Ereignis wird auf der
Seite Bedrohungsereignisprotokoll angezeigt und kann zum Erstellen einer automatischen Reaktion
verwendet werden. Weitere Informationen zum Erstellen automatischer Reaktionen finden Sie im
McAfee ePolicy Orchestrator-Produkthandbuch.
•
Anzeigen einer Warnmeldung auf der Seite Richtlinienerkennung, dass die Beobachtungsgenerierung
angehalten wurde.
Aufgaben
•
Definieren des Schwellenwerts auf Seite 143
Standardmäßig kann Application Control 100.000 Beobachtungen in 24 Stunden
verarbeiten. Sie können diese Einstellung zum Definieren des Schwellenwerts für Ihr
Unternehmen konfigurieren.
•
Überprüfen von Filterregeln auf Seite 144
Zur Implementierung der Beschränkung werden der Regelgruppe Beobachtungsanfragen beenden
Regeln zum Filtern und Beenden aller Beobachtungen hinzugefügt.
•
Verwalten von angesammelten Anfragen auf Seite 144
Verarbeiten Sie die Anfragen für die von Ihnen verwaltete Gruppe, indem Sie die
entsprechenden Aktionen durchführen. Überprüfen Sie jede Anfrage, und bestimmen Sie
die für die Anfrage zu definierenden Regeln.
•
Neustart der Beobachtungsgenerierung auf Seite 144
Starten Sie die Beobachtungsgenerierung an den Endpunkten neu, nachdem Sie die
vorhandenen Anfragen verarbeitet und die Regeln für die angesammelten Anfragen
definiert haben.
Definieren des Schwellenwerts
Standardmäßig kann Application Control 100.000 Beobachtungen in 24 Stunden verarbeiten. Sie
können diese Einstellung zum Definieren des Schwellenwerts für Ihr Unternehmen konfigurieren.
Sobald die Anzahl der Beobachtungen, die vom McAfee ePO-Server in den vergangenen 24 Stunden
empfangen werden, den definierten Schwellenwert erreicht, wird die Beobachtungsbeschränkung
gestartet.
Produkthandbuch
143
8
Vorgehensweise
1
2
Wählen Sie im Bereich Einstellungskategorien die Option Solidcore aus.
3
Ändern Sie den Wert der Einstellung Schwellenwertzahl, bei der Beschränkung initiiert und Beobachtungsgenerierung
angehalten wird (Endpunkte bis 6.1.1).
Überprüfen von Filterregeln
Zur Implementierung der Beschränkung werden der Regelgruppe Beobachtungsanfragen beenden Regeln
zum Filtern und Beenden aller Beobachtungen hinzugefügt.
Diese Regelgruppe ist schreibgeschützt und der schreibgeschützten Standardrichtlinie
Beschränkungsregeln zugewiesen. Ursprünglich ist diese Richtlinie keinem System und keiner Gruppe
zugewiesen. Wenn die Anzahl der Beobachtungen den definierten Schwellenwert erreicht, wird diese
Richtlinie auf Eigenes Unternehmen (alle Systeme und Gruppen in Ihrem Unternehmen) angewendet.
Vorgehensweise
1
Klicken Sie in der McAfee ePO-Konsole auf Menü | Richtlinie | Richtlinienkatalog.
2
3
Klicken Sie auf die Richtlinie Beschränkungsregeln.
4
Wählen Sie im Bereich Regelgruppen die Option Beobachtungsanfragen beenden aus.
5
Wählen Sie die Registerkarte Filter aus.
6
Verwalten von angesammelten Anfragen
Verarbeiten Sie die Anfragen für die von Ihnen verwaltete Gruppe, indem Sie die entsprechenden
Aktionen durchführen. Überprüfen Sie jede Anfrage, und bestimmen Sie die für die Anfrage zu
definierenden Regeln.
Wenn Sie ein McAfee ePO-Administrator sind, können Sie die eingegangenen Anfragen für Ihr
Unternehmen definieren. Weitere Informationen finden Sie unter Berechtigungen für die
Richtlinienerkennung.
Vorgehensweise
•
Weitere Informationen zum Verwalten von Anfragen finden Sie unter Verwalten von Anfragen.
Neustart der Beobachtungsgenerierung
Starten Sie die Beobachtungsgenerierung an den Endpunkten neu, nachdem Sie die vorhandenen
Anfragen verarbeitet und die Regeln für die angesammelten Anfragen definiert haben.
144
Produkthandbuch
8
Vorgehensweise
1
Klicken Sie in der McAfee ePO-Konsole auf Menü | Application Control | Richtlinienerkennung.
Auf der Seite Richtlinienerkennung wird die Meldung angezeigt, dass die Beobachtungsgenerierung
angehalten wurde.
2
Klicken Sie in der Warnmeldung auf Beobachtungsgenerierung aktivieren.
Führen Sie diese Schritte aus, um den Beobachtungsmodus zu beenden.
Vorgehensweise
1
Klicken Sie in der McAfee ePO-Konsole auf Menü | Systeme | Systemstruktur.
2
•
Wenn Sie einen Client-Task auf eine Gruppe anwenden möchten, wählen Sie die Gruppe in der
Systemstruktur aus, und wechseln Sie zur Registerkarte Zugewiesene Client-Tasks.
•
Soll ein Client-Task auf einen Endpunkt angewendet werden, wählen Sie den gewünschten
Endpunkt auf der Seite Systeme aus, und klicken Sie auf Aktionen | Agent | Tasks auf einem einzelnen
System ändern.
3
öffnen.
4
Wählen Sie Solidcore 7.0.0 | SC: Beobachtungsmodus aus, und klicken Sie dann auf Neuen Task erstellen, um
die Seite Client-Task-Katalog zu öffnen.
5
6
Wählen Sie Beobachtungsmodus beenden.
7
Geben Sie an, ob die Endpunkte in den Modus "Aktiviert" oder in den Modus "Deaktiviert" versetzt
werden sollen.
8
Klicken Sie auf Speichern und dann auf Weiter, um die Seite Plan zu öffnen.
9
Geben Sie Planungsdetails an und klicken Sie auf Weiter.
10 Überprüfen Sie die Task-Details und klicken Sie dann auf Speichern.
Produkthandbuch
145
8
146
Produkthandbuch
9
Wenn Application Control im aktivierten Modus ausgeführt wird, können nur vertrauenswürdige und
autorisierte Programme (ausführbare Binär- oder Skriptdateien) ausgeführt werden; bösartige oder
nicht autorisierte Programme können nicht ausgeführt und autorisierte Programme nicht geändert
werden. Application Control bietet verschiedene Methoden, um im aktivierten Modus Änderungen an
verwalteten Endpunkten zuzulassen.
Sie können Prozesse des Aktualisierungsprogramms, Zertifikate, Installationsprogramme,
vertrauenswürdige Benutzer und vertrauenswürdige Verzeichnisse definieren. Zudem können Sie
Ad-hoc-Änderungen an den Endpunkten ausführen, wenn Sie die Endpunkte in den
Aktualisierungsmodus versetzen. Weitere Informationen jeder Methode finden Sie unter Zulassen von
Änderungen an Endpunkten.
Inhalt
Aktivieren von Application Control
Überprüfen vordefinierter Regeln
Definieren von Regeln
ActiveX-Steuerelemente
Versetzen Sie die Endpunkte in den aktivierten Modus, um die Application Control-Software zu
aktivieren.
Wenn die Endpunkte im Beobachtungsmodus ausgeführt werden, verwenden Sie den Cient-Task SC:
Beobachtungsmodus, um den Beobachtungsmodus zu beenden und die Endpunkte in den aktivierten Modus
zu versetzen. Weitere Anleitungen finden Sie unter Beenden des Beobachtungsmodus. Wenn die
Endpunkte im deaktivierten Modus ausgeführt werden, verwenden Sie den Client-Task SC: Inventar abrufen,
um das Inventar abzurufen, bevor Sie die Endpunkte in den aktivierten Modus versetzen. Damit wird
sichergestellt, dass das Inventar aktualisiert wird, um Inkongruenzen zu verhindern. Weitere
Informationen finden Sie unter Abrufen des Inventars.
Vorgehensweise
1
2
•
•
Produkthandbuch
147
9
3
öffnen.
4
5
6
7
a
Wählen Sie die Plattform aus.
b
Wählen Sie die Unterplattform aus (nur für die Plattformen Windows und Unix).
c
Wählen Sie die Version aus (nur für die Unterplattform Alle außer NT/2000).
d
Wählen Sie Application Control aus.
Führen Sie zur Aktivierung von Application Control die folgenden Schritte aus.
Schritte
In der Solidcore-Client-Version:
1 Wählen Sie die Option Durchführen des ersten Scans zur
Erstellung der Whitelist aus, um beim Aktivieren von
Application Control eine Whitelist zu erstellen.
• 5.1.5 oder früher (Windows)
Application Control verlangt die Erstellung einer Liste mit
allen vertrauenswürdigen ausführbaren Dateien, die auf
dem Endpunkt vorhanden sind (die sog. Whitelist). Die
einmalige Aktivität zur Erstellung der Whitelist wird auch
Zementierung genannt. Sie können festlegen, ob das
Inventar während der Aktivierung des Solidcore-Clients
oder später erstellt werden soll.
Wenn Sie den Scan zu einem späteren Zeitpunkt
durchführen möchten, führen Sie den Client-Task SC:
Erster Scan zur Erstellung der Whitelist aus, nachdem der Task
SC: Aktivieren angewendet und das System neu gestartet
wurde.
2 Wählen Sie Endpunkt neu starten aus, um den Endpunkt nach
Abschluss der Zementierung neu zu starten.
Ein Neustart des Systems ist erforderlich, um die
Software zu aktivieren. Fünf Minuten vor dem Neustart
des Endpunkts wird eine Popup-Meldung angezeigt. Das
ermöglicht dem Benutzer, seine Arbeit und Daten am
Endpunkt zu speichern.
oder höher (UNIX)
148
Deaktivieren Sie Endpunkt neu starten.
Bei der Solidcore-Client-Version 6.1.0 oder höher ist kein
Neustart des Systems erforderlich, um die Software zu
aktivieren.
Produkthandbuch
Schritte
oder höher (Windows)
1. Geben Sie die Scanpriorität an.
Die
Solidcore-Client-Versionen 6.2
und höher sind für die
Plattformen Windows NT,
Windows 2000, HP-UX, Solaris
und WindRiver Linux nicht
verfügbar.
9
Die eingestellte Scanpriorität bestimmt die Priorität des
Threads, der zur Erstellung der Whitelist auf den
Endpunkten ausgeführt wird. Stellen Sie die Scanpriorität
auf Niedrig ein. Dadurch wird sichergestellt, dass Application
Control die Leistung der Endpunkte nur minimal
beeinflusst. Allerdings kann die Erstellung der Whitelist
länger dauern (im Unterschied zur Einstellung der Priorität
auf Hoch).
2. Geben Sie die Aktivierungsoption an.
Aktivierung einer
Teilfunktionalität
Die Endpunkte werden nicht neu
gestartet, und die Teilfunktionalität
von Application Control (ohne
Speicherschutzfunktionen) wird
aktiviert. Speicherschutzfunktionen
stehen nur nach einem Neustart des
Endpunkts zur Verfügung.
Aktivierung der vollen
Funktionalität
Die Endpunkte werden neu
gestartet, die Whitelist wird erstellt,
und alle Funktionen von Application
Control, inklusive der
Speicherschutzfunktionen, sind
aktiv. Zur Aktivierung der
Speicherschutzfunktionen ist ein
Neustart der Endpunkte erforderlich.
Der Endpunkt wird fünf Minuten
nach dem Empfang des Client-Tasks
am Endpunkt neu gestartet. Vor
dem Neustart des Endpunkts wird
eine Pop-Up-Meldung angezeigt.
3. Wählen Sie Beobachtungsmodus starten aus, um die
Endpunkte in den Beobachtungsmodus zu versetzen.
Der Beobachtungsmodus ist nur unter Windows verfügbar.
4. (Optional) Wählen Sie Inventar abrufen aus.
Wenn Sie diese Option auswählen, ruft die Software
Inventardetails für die Endpunkte ab (nachdem die
Whitelist erstellt wurde) und stellt die Details in der McAfee
ePO-Konsole zur Verfügung, nachdem das ASCI abgelaufen
ist. Wählen Sie diese Option aus, wenn Sie das Inventar
mithilfe des McAfee ePO-Servers verwalten möchten.
8
9
10 Geben Sie Planungsdetails an, und klicken Sie dann auf Weiter.
Application Control enthält vordefinierte Regeln, um die Ausführung von mehreren häufig verwendeten
Anwendungen zuzulassen, z. B. Oracle und Adobe Acrobat. Standardmäßig werden diese Regeln auf
Produkthandbuch
149
9
den globalen Stamm in der Systemstruktur angewendet und daher an alle von McAfee ePO
verwalteten Endpunkte vererbt.
Sobald ein Endpunkt eine Verbindung zum McAfee ePO-Server aufbaut, kommt die Richtlinie "McAfee
Default", die auf das Betriebssystem des Endpunkts anwendbar ist, ins Spiel. Entfernen Sie die
Richtlinien McAfee-Anwendungen (McAfee Default) und McAfee Default nicht aus "Eigene Organisation".
Überprüfen Sie die vordefinierten Regeln, die in der Richtlinie "McAfee Default" enthalten sind.
Vorgehensweise
1
2
Es sind alle Richtlinien für alle Kategorien aufgeführt. Für jedes unterstützte Betriebssystem ist eine
Richtlinie McAfee Default vorhanden.
3
Öffnen Sie die relevante Richtlinie.
4
5
Klicken Sie auf Abbrechen.
Jede Aktion zum Ändern oder Ausführen einer Datei oder eines Programms auf einem geschützten
System führt dazu, dass Application Control die Aktion verhindert und ein entsprechendes Ereignis auf
dem Endpunkt generiert. Alle generierten Ereignisse für verwaltete Systeme werden an den McAfee
ePO-Server gesendet. Prüfen und verwalten Sie die generierten Ereignisse, um den Status der
verwalteten Endpunkte zu überwachen.
Prüfen Sie auf dem Dashboard Solidcore: Systemüberwachung den Monitor Häufigste 10 Ereignisse für die 10
auffälligsten Systeme in den letzten 7 Tagen, um die Daten zu erfassen, bei denen sofortige Maßnahmen
erforderlich sein könnten.
Vorgehensweise
1
2
Geben Sie die Zeitdauer an, für die Ereignisse geprüft werden sollen, indem Sie eine Option in der
Liste Zeitfilter auswählen.
3
Geben Sie die Endpunkte an, für die Ereignisse angezeigt werden sollen.
4
150
a
b
(Optional) Zeigen Sie nur bestimmte Ereignisse an, indem Sie einen oder mehrere Filter anwenden.
a
Klicken Sie auf Erweiterte Filter, um die Seite Filterkriterien bearbeiten zu öffnen.
b
Klicken Sie auf eine verfügbare Eigenschaft.
Produkthandbuch
c
9
Geben Sie den Vergleichsoperator und den Eigenschaftswert an.
Wenn beispielsweise nur Ereignisse des Typs "Ausführung verweigert" angezeigt werden sollen,
wählen Sie die Eigenschaft Ereignisanzeigename aus, legen Sie den Vergleich auf Ist gleich fest, und
wählen Sie den Wert Ausführung verweigert aus.
d
Klicken Sie auf Filter aktualisieren.
Es werden Ereignisse angezeigt, die den angegebenen Kriterien entsprechen.
5
(Optional) Klicken Sie auf Was bedeutet Ausführung nach Reputation?, um die von Application
Control durchgeführten Prüfungen in festgelegter Reihenfolge zum Zulassen oder Sperren der
Ausführung einer Datei anzuzeigen. Diese Prüfungen gelten jedoch nicht für Change Control.
Aufgaben
•
Anzeigen von Ereignisdetails auf Seite 151
Prüfen Sie detaillierte Informationen zu den Ereignissen.
•
Überprüfen von Endpunktdetails auf Seite 151
•
Anzeigen von Anfragen auf Seite 152
Zeigen Sie die mit einem Ereignis verbundenen Anfragen an.
•
•
Anzeigen von Ereignisdetails
Prüfen Sie detaillierte Informationen zu den Ereignissen.
Vorgehensweise
1
Klicken Sie auf eine Ereigniszeile.
Die Seite Details zu Überwachungsereignissen wird geöffnet. Auf dieser Seite werden
Ereignisinformationen angezeigt, z. B. Ereignisanzeigename, Datei-SHA-1, Datei-MD5, Reputation
(zum Zeitpunkt der Ausführung) und Verweigerungsgrund (für "Ausführung
verweigert"-Ereignisse).
2
Überprüfen Sie die Ereignisdetails.
3
Für die meisten Ereignisse müssen Sie keine Aktionen ausführen. Wenn jedoch der aktivierte Schutz
eine berechtigte Anwendung an der Ausführung hindert, müssen Sie möglicherweise Regeln
definieren. Überprüfen Sie auf der Seite Richtlinienerkennung Anfragen, und definieren Sie bei Bedarf
Regeln für die Ereignisse "Ausführung verweigert", "Nx-Verletzung erkannt", "Schreiben in Datei
verweigert", "ActiveX-Installation verhindert", "Es wurde versucht, die Kontrolle über den Prozess zu
übernehmen" und "Installation verweigert".
Überprüfen von Endpunktdetails
Produkthandbuch
151
9
Vorgehensweise
1
Wählen Sie mindestens ein Ereignis aus.
2
Klicken Sie auf Aktionen | Verwandte Systeme anzeigen.
Auf der Seite Verwandte Systeme werden die den ausgewählten Ereignissen entsprechenden Endpunkte
aufgelistet.
3
Klicken Sie auf eine Zeile, um detaillierte Informationen zum Endpunkt zu prüfen.
4
(Optional) Führen Sie eine Aktion für den Endpunkt aus.
Anzeigen von Anfragen
Zeigen Sie die mit einem Ereignis verbundenen Anfragen an.
Vorgehensweise
1
Wählen Sie Verwandte Anfragen anzeigen aus, um die Seite Anfragedetails zu öffnen.
2
Überprüfen Sie die Informationen zu Anfragen.
Weitere Informationen finden Sie unter Überprüfen von Anfragen und Prozessanfragen.
Vorgehensweise
1
•
•
2
3
152
Produkthandbuch
9
Vorgehensweise
1
•
•
2
3
4
a
b
Definieren Sie Regeln, um Änderungen zuzulassen und den angewendeten Schutz außer Kraft zu
setzen.
Definieren Sie anhand einer der verfügbaren Methoden Regeln.
Aufgaben
•
Erstellen benutzerdefinierter Regeln auf Seite 154
Für die meisten Ereignisse müssen Sie keine Aktionen ausführen. Wenn jedoch der
aktivierte Schutz eine berechtigte Anwendung an der Ausführung hindert, müssen Sie
Regeln definieren.
•
Erstellen einer Richtlinie auf Seite 155
Fügen Sie einer Regelgruppe oder Richtlinie spezifische Regeln hinzu. Außer den Richtlinien
in der Kategorie Application Control-Optionen (Windows) sind alle Application
Control-Richtlinien für mehrere Slots. Ein Benutzer kann einem einzelnen Knoten in der
Systemstruktur mehrere Richtlinien zuweisen.
•
Ereignisse ausschließen auf Seite 156
Sie können Regeln definieren, um routinemäßig vom System generierte Ereignisse zu
löschen, die nicht für die Überwachung oder Überprüfung relevant sind. Schließen Sie
Ereignisse aus, die nicht zur Erfüllung von Compliance-Anforderungen nötig sind, oder
ignorieren Sie sie.
•
Definieren von Umgehungsregeln auf Seite 156
Definieren Sie spezifische Regeln in einer Richtlinie, um den angewendeten Speicherschutz
sowie sonstige Techniken auf der Windows-Plattform zu umgehen. Auf der UNIX-Plattform
können Sie jedoch nur Regeln erstellen, um eine Datei von den Schreibschutzregeln
auszuschließen und die Skriptausführung zuzulassen.
Produkthandbuch
153
9
Erstellen benutzerdefinierter Regeln
Für die meisten Ereignisse müssen Sie keine Aktionen ausführen. Wenn jedoch der aktivierte Schutz
eine berechtigte Anwendung an der Ausführung hindert, müssen Sie Regeln definieren.
Damit Sie Regeln auf bequeme Weise erstellen können, generiert Application Control Ereignisse und
entsprechende Beobachtungen für die folgenden Ereignisse.
•
•
•
•
•
•
•
VASR-Verletzung erkannt
Vorgehensweise
1
2
Geben Sie die Zeitdauer für die Anzeige von Ereignissen an, indem Sie eine Option in der Liste
Zeitfilter auswählen.
3
Geben Sie die Endpunkte an, deren Ereignisse Sie anzeigen möchten.
4
a
b
Klicken Sie bei einem Ereignis auf Richtlinie erstellen.
Für das ausgewählte Ereignis werden detaillierte Informationen angezeigt.
5
Definieren Sie die benötigten Regeln.
6
7
154
•
•
(Optional) Fügen Sie die bearbeitete oder erstellte Regelgruppe zu einer Richtlinie hinzu.
a
b
8
9
Stellen Sie sicher, dass die aktualisierte Regelgruppe in eine Richtlinie aufgenommen wird, die auf
den Endpunkt angewendet wurde.
Produkthandbuch
9
Erstellen einer Richtlinie
Fügen Sie einer Regelgruppe oder Richtlinie spezifische Regeln hinzu. Außer den Richtlinien in der
Kategorie Application Control-Optionen (Windows) sind alle Application Control-Richtlinien für mehrere
Slots. Ein Benutzer kann einem einzelnen Knoten in der Systemstruktur mehrere Richtlinien zuweisen.
Weitere Informationen über Application Control-Richtlinien finden Sie unter Vordefinierte Regeln in
Standardrichtlinien.
Vorgehensweise
1
2
3
Klicken Sie auf Aktionen | Neue Richtlinie , um das Dialogfeld Neue Richtlinie zu öffnen.
4
5
6
•
Wenn Sie die Kategorie Application Control Optionen (Windows) ausgewählt haben, wählen Sie in der
Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen die zu duplizierende Richtlinie aus.
•
Wenn Sie eine andere Kategorie ausgewählt haben, wählen Sie Leere Vorlage aus der Liste Richtlinie
auf Grundlage dieser vorhandenen Richtlinie erstellen, um eine Richtlinie von Grund auf neu zu erstellen.
Geben Sie den Namen der Richtlinie an, und klicken Sie auf OK, um die Seite Richtlinieneinstellungen zu
öffnen.
Sie können nun die Regeln definieren, die in die Richtlinie aufgenommen werden sollen. Sie können
die Regeln einer Regelgruppe oder direkt der Richtlinie hinzufügen.
7
•
Um eine Regelgruppe zu verwenden, führen Sie die Schritte 7 und 9 aus. Weitere Informationen
zum Erstellen von Regelgruppen finden Sie im Abschnitt Erstellen einer Regelgruppe.
•
Führen Sie die Schritte 8 und 9 aus, um die Regeln der Richtlinie direkt hinzuzufügen.
Fügen Sie der Richtlinie eine Regelgruppe hinzu.
a
Wählen Sie die Regelgruppe auf der Registerkarte Regelgruppen aus.
Die in der Regelgruppe enthaltenen Regeln werden auf den verschiedenen Registerkarten
angezeigt.
b
Weitere Informationen zum Hinzufügen neuer Regeln zu einer Regelgruppe finden Sie unter
Verwalten von Regelgruppen.
8
c
Klicken Sie auf der Registerkarte Regelgruppen auf Hinzufügen, um das Dialogfeld Regelgruppen
auswählen zu öffnen.
d
Wählen Sie die Regelgruppe aus, die Sie hinzufügen möchten, und klicken Sie auf OK.
Fügen Sie der Richtlinie die Regeln hinzu.
Informationen zu den Regeln finden Sie unter Zulassen von Änderungen an Endpunkten.
9
Speichern Sie die Richtlinie.
Produkthandbuch
155
9
Ereignisse ausschließen
Sie können Regeln definieren, um routinemäßig vom System generierte Ereignisse zu löschen, die
nicht für die Überwachung oder Überprüfung relevant sind. Schließen Sie Ereignisse aus, die nicht zur
Erfüllung von Compliance-Anforderungen nötig sind, oder ignorieren Sie sie.
Vorgehensweise
1
2
Wählen Sie die auszuschließenden Ereignisse aus.
3
Klicken Sie auf Aktionen | Ereignisse ausschließen , um den Ereignisausschluss-Assistenten zu öffnen.
4
Wählen Sie die Zielplattform für die Regeln aus.
5
Wählen Sie den Typ der Regelgruppe aus, und klicken Sie auf Weiter, um die Seite Regeln definieren zu
öffnen.
6
Regeln werden aufgrund der ausgewählten Ereignisse automatisch aufgestellt.
7
Prüfen und verfeinern Sie vorhandene Regeln wie erforderlich, und fügen Sie bei Bedarf neue
Regeln hinzu.
8
Klicken Sie auf Weiter, um die Seite Regelgruppe auswählen zu öffnen.
9
Fügen Sie die Regel einer vorhandenen oder neuen Regelgruppe hinzu, und klicken Sie auf Speichern.
10 Stellen Sie sicher, dass die Regelgruppe der relevanten Richtlinie hinzugefügt und die Richtlinie den
Endpunkten zugewiesen wird.
Definieren von Umgehungsregeln
Definieren Sie spezifische Regeln in einer Richtlinie, um den angewendeten Speicherschutz sowie
sonstige Techniken auf der Windows-Plattform zu umgehen. Auf der UNIX-Plattform können Sie jedoch
nur Regeln erstellen, um eine Datei von den Schreibschutzregeln auszuschließen und die
Skriptausführung zuzulassen.
Einige Anwendungen führen (im Rahmen der täglichen Verarbeitung) Code auf eine untypische Weise
aus und werden daher an der Ausführung gehindert. Um die Ausführung solcher Anwendungen
dennoch zu ermöglichen, definieren Sie entsprechende Umgehungsregeln. Eine solche Datei oder
Anwendung wird dann von den Speicherschutzfunktionen von Application Control nicht länger
berücksichtigt. Daher muss eine Umgehungsregel die letzte, sehr gut durchdachte Möglichkeit sein,
um die Ausführung einer Anwendung zu ermöglichen.
156
Produkthandbuch
9
Vorgehensweise
1
Führen Sie einen der folgenden Tasks aus:
•
Definieren Sie eine neue Application Control-Regelgruppe (um Umgehungsregeln zur
Wiederverwendung auf mehreren Endpunkten zu verwenden). Weitere Anleitungen finden Sie
unter Erstellen einer Regelgruppe.
•
Erstellen Sie eine neue Application Control-Richtlinie (um Umgehungsregeln auf einen einzelnen
Endpunkt anzuwenden). Weitere Anleitungen finden Sie unter Erstellen einer Richtlinie.
2
Klicken Sie auf die Registerkarte Ausschlüsse.
3
Klicken Sie auf Hinzufügen, um das Fenster Ausschlussregeln hinzufügen zu öffnen.
4
Erweitern Sie Knoten für die Optionen, für die Sie Umgehungsregeln hinzufügen möchten.
5
•
Speicherschutz
•
Installationserkennung
•
Erweiterte Optionen
(Optional) Wählen Sie die Optionen für den Speicherschutz aus, für die Sie Umgehungsregeln
hinzufügen möchten, und geben Sie dann die erforderlichen Informationen an.
a
Geben Sie für Buffer Overflow-Schutz (CASP) für einen Prozess unter 32-Bit-Windows deaktivieren einen Prozess
im Feld Prozessname an, sodass der Prozess die CASP-Technik (Critical Address Space Protection)
umgeht.
b
Geben Sie für Buffer Overflow-Schutz (NX) für einen Prozess unter 64-Bit-Windows deaktivieren einen Prozess im
Feld Prozessname an, sodass der Prozess die NX-Technik (No eXecute) umgeht. Aktivieren Sie das
Kontrollkästchen Vererbung aktivieren, um untergeordnete Prozesse zu umgehen, die von der Datei
aus der NX-Technik gestartet wurden.
c
Geben Sie für ROP-Schutz für einen Prozess mithilfe von erzwungener Verlagerung (VASR) deaktivieren einen
Prozess im Feld Prozessname an, sodass der Prozess die Technik "Durch VASR erzwungene
Verlagerungsumgehung" umgeht. Geben Sie optional den Namen der DLL-Datei, die mit dem
Prozess verknüpft ist, im Feld Name der Bibliothek an.
d
Geben Sie für ROP-Schutz für eine DLL mithilfe von DLL-Verlagerung (VASR) deaktivieren eine DLL-Datei im Feld
Name der Bibliothek an, sodass die DLL-Datei die VASR-DLL-Verlagerung-Technik umgeht. Für die
Datei wird kein Rebase ausgeführt. Stattdessen wird sie von ihrer bevorzugten Basisadresse
geladen.
e
Geben Sie für ROP-Schutz für einen Prozess mithilfe des Stack-Zufallsgenerators (VASR) deaktivieren einen Prozess
im Feld Prozessname an, sodass der Prozess die Technik "Zufallsgenerator für
VASR-Prozess-Stack" umgeht.
Typische Fälle, in denen Sie Umgehungsregeln für Speicherschutztechniken hinzufügen müssen:
•
Wenn eine Windows-Aktualisierung oder eine Anwendung, etwa ein Browser, fehlschlägt und ein
interner Fehler angezeigt wird.
Beispiel: Die Ausführung von Adobe Reader schlägt auf dem System fehl, und es wird ein
interner Fehler angezeigt.
•
Wenn ein Browser, z. B. Google Chrome, gestartet wird, aber die Webseiten leer sind.
Produkthandbuch
157
9
Um diese Probleme zu beheben, gehen Sie wie folgt vor.
6
a
Gewähren Sie der Installationsdatei für die Anwendung oder den Browser
Aktualisierungsberechtigungen.
b
Starten Sie die Anwendung oder den Browser im Aktualisierungsmodus auf dem Endpunkt.
c
Erlauben Sie der Installationsdatei die Umgehung der CASP- oder NX-Technik, basierend auf der
von Ihnen verwendeten Windows-Architektur (32 Bit oder 64 Bit).
d
Erlauben Sie der Installationsdatei die Umgehung der Technik "Durch VASR erzwungene
Verlagerung".
e
Erlauben Sie der Installationsdatei die Umgehung der Techniken "Durch VASR erzwungene
Verlagerung" und CASP (für 32 Bit) oder NX (für 64 Bit), basierend auf der von Ihnen
verwendeten Windows-Architektur.
(Optional) Wählen Sie die Option Deinstallationen zulassen aus, und geben Sie die erforderlichen
Informationen an.
Auf Endpunkten mit Version 6.1.1 oder höher ermöglicht diese Option die Ausführung von
EXE-basierten Deinstallationsbinärdateien, die im Installationspaket enthalten sind. Wenn die
Unterfunktion "Deinstallation zulassen" (pkg-ctrl-allow-uninstall) für die Paketkontrolle deaktiviert
ist, wird die Ausführung der Deinstallationsbinärdateien blockiert, da es keine Methode gibt, um
festzustellen, ob sie den Installationsvorgang fertigstellen oder die Deinstallation durchführen.
Diese Option umgeht jedoch die Deinstallationsbinärdateien über die Unterfunktion "Deinstallation
zulassen" und lässt somit die Ausführung zu.
Beispiel: Für den Firefox-Browser gibt es die Deinstallationsbinärdatei helper.exe. Diese Binärdatei
führt die Deinstallation und verschiedene andere Tasks durch, z. B. das Importieren von
Einstellungen aus anderen Browsern. Wenn Sie versuchen, den Firefox-Browser über die
Systemsteuerung zu deinstallieren, führt die Binärdatei helper.exe die Deinstallation durch. Die
Binärdatei versucht zudem, weitere Tasks durchzuführen. Wenn die Unterfunktion "Deinstallation
zulassen" jedoch deaktiviert ist, werden solche Tasks verweigert, da die Ausführung der
Deinstallationsbinärdatei nicht zugelassen wird.
Damit die Ausführung der Deinstallationsbinärdatei für andere Tasks als das Deinstallieren der
Software zugelassen wird, haben wir einen Mechanismus entwickelt. Der Mechanismus basiert auf
der Anwendung einer prozessbasierten Regel. Diese Regel bietet einen spezifischen Kontext zum
Umgehen der Unterfunktion "Deinstallation zulassen" durch die Deinstallationsbinärdatei mithilfe
des folgenden Befehls.
sadmin attr add -o parent=<parent_process_name> -i <process_name>
Nur wenn der Prozess <process_name> durch den Prozess <parent_process_name> gestartet wird,
wird mit dieser Regel die Unterfunktion "Deinstallation zulassen" umgangen und die Ausführung
zugelassen.
Geben Sie den Prozessnamen (Deinstallationsbinärdatei) im Feld Prozessname und den Namen des
übergeordneten Prozesses im Feld Name des übergeordneten Prozesses an. Die Angabe des
übergeordneten Prozesses als spezifischen Kontext zum Umgehen der Binärdatei ist obligatorisch.
Bei Endpunkten mit Versionen vor 6.1.1 werden mit dieser Option die Standardregeln für die Technik
"Umgehung der Installationserkennung" angewendet. Das neue Verhalten für die Deinstallation von
EXE-basierten Deinstallationsbinärdateien wird teilweise angewendet, doch ohne Option zum
Angeben des übergeordneten Prozesses.
158
Produkthandbuch
7
9
(Optional) Wählen Sie die Erweiterten Optionen aus, für die Sie Umgehungsregeln hinzufügen möchten,
und geben Sie dann die erforderlichen Informationen an.
Wenden Sie sich an den McAfee-Support, bevor Sie diese Ausschlüsse anwenden.
a
Geben Sie für Datei aus Schreibschutzregeln ausschließen und Skriptausführung zulassen einen Prozess im Feld
Prozessname an, um den Prozess aus Schreibschutzregeln auszuschließen und auch die
Ausführung einer Skriptdatei mithilfe der Technik "Umgehung der Kontextdateivorgänge
verarbeiten" zuzulassen. Geben Sie optional den Namen des übergeordneten Prozesses im Feld
Name des übergeordneten Prozesses an, um das Umgehen durch die Datei nur zuzulassen, wenn sie
vom angegebenen übergeordneten Prozess gestartet wird.
In einigen Fällen verhindert Application Control möglicherweise die Ausführung legitimer
Anwendungen. Mit dieser Option können Sie eine Umgehungsregel für eine Datei auf 32-Bitoder 64-Bit-Windows-Plattformen definieren. Verwenden Sie diese Option jedoch mit großer
Sorgfalt, da sie sich auf die Standardfunktionalität von Application Control auswirken kann.
b
Geben Sie für Pfad aus Dateivorgängen ausschließen im Feld Relativer Pfad einen relativen Pfad an, der von
Dateivorgängen mit dem Befehl skiplist -i umgangen werden soll.
Ein Anwendungsfall für diese Option ist, wenn eine Anwendung oder ein Prozess fortlaufend eine
hohe Zahl an Eingabe- und Ausgabeaktivitäten (Lesen oder Schreiben) für viele Dateien
ausführt, z. B. für die Dateitypen .dat, .log oder .txt. Da Application Control jede
Dateiaktivität auf dem System verfolgt und verarbeitet, kann eine hohe Zahl an Eingabe- und
Ausgabeaktivitäten die Leistung der Anwendung beeinträchtigen. Sie können den relativen Pfad
zu den Protokolldateien oder anderen nicht unterstützten Dateien mit einer hohen Zahl an
Eingabe- und Ausgabeaktivitäten durch Dateivorgänge umgehen, um die Verfolgung der
Dateiaktivitäten für diesen Pfad zu verhindern. Die Änderung wird für alle Dateien unter dem
angegebenen Pfad zugelassen. Für alle unter dem angegebenen Pfad und seinen
Unterverzeichnissen vorhandenen Skriptdateien wird die Ausführung ebenfalls zugelassen. Nach
einem Systemneustart sind die Umgehungsregeln wieder wirksam.
c
Geben Sie für Pfad aus Schreibschutzregeln ausschließen im Feld Relativer Pfad einen relativen Pfad an, der
von Schreibschutzregeln für Dateien mit dem Befehl skiplist -d umgangen werden soll.
Ein Anwendungsfall für diese Option ist, wenn ein generischer Prozess wie svchost.exe,
services.exe oder cmd.exe versucht, in eine geschützte Datei zu schreiben, und das Ändern
der Datei verweigert wird. Da Sie einem generischen Prozess keine
Aktualisierungsberechtigungen gewähren können, verwenden Sie diese Option zum Umgehen
der Schreibschutzregeln durch die Datei oder den Dateipfad, damit der generische Prozess in
eine geschützte Datei schreiben kann. Für eine Datei, die sich in der Whitelist befindet oder
aufgrund ihrer Prüfsumme zugelassen wird, wird die Ausführung jedoch verweigert, da nach der
Änderung ein Prüfsummenkonflikt vorliegt.
d
Geben Sie für Lokalen Pfad sowie alle enthaltenen Dateien und Unterverzeichnisse aus der Whitelist ausschließen im
Feld Pfad einen lokalen Pfad an, um den lokalen Pfad sowie alle seine enthaltenen Dateien und
Unterverzeichnisse in der Whitelist mit dem Befehl skiplist -s zu umgehen.
Produkthandbuch
159
9
Anwendungsfälle für diese Option sind:
•
Wenn ein Benutzer Änderungen an den Dateien in einem Ordner oder Verzeichnis zulassen
möchte.
•
Wenn ein System mit Application Control Ordner enthält, die als Netzwerkfreigaben
konfiguriert sind, um Benutzern das Kopieren, Ändern oder Herunterladen von Dateien, aber
nicht deren Ausführung zu ermöglichen.
•
Wenn ein temporärer Ordner oder Verzeichnis vom Betriebssystem, einer Anwendung, einem
Prozess oder einem Benutzer verwendet wird, um Dateien zu kopieren, zu sichern oder zu
löschen.
Da zementierte Dateien vor Änderungen durch einen Prozess oder Benutzer (außer
Aktualisierungsvorgänge) geschützt sind, können durch Konfigurieren der Datei oder des Pfads
mit dieser Option die Dateien die Whitelist umgehen. Dadurch kann ein Prozess oder Benutzer
die Dateien unter diesem Pfad ändern oder löschen. Dateien unter dem Pfad werden jedoch
nicht der Whitelist hinzugefügt, und ihre Ausführung wird verweigert. Um die Ausführung
zuzulassen, müssen Sie die Dateien nach ihrem Namen zulassen. Neue Dateien, die von einem
Aktualisierungsvorgang erstellt werden, werden ebenfalls nicht dynamisch zur Whitelist
hinzugefügt.
e
Geben Sie für Volume vom Application Control-Schutz ausschließen im Feld Volume ein Volume an, das den
Application Control-Schutz mit dem Befehl skiplist -v umgehen soll. Durch diese Option wird
das angegebene Volume aus der Whitelist entfernt und nicht mehr durch Application Control
geschützt.
Anwendungsfälle für diese Option sind:
•
Wenn ein Benutzer einem vollständigen Volume die Umgehung der Verfolgung und des
Schutzes durch Application Control erlauben möchte.
•
Um beim Verwenden eines schreibgeschützten Volumes nur die Ausführung oder
Installationen zuzulassen.
•
Wenn das Erstellen eines Ordners (<system drive>\solidcore\) die Integritätsprüfung
verletzt.
•
Wenn ein Volume oder Laufwerk nur zum Kopieren oder Sichern von Dateien bestimmt ist.
•
Wenn für ein Volume alle Arten von Ausführungen und Schreibvorgängen zugelassen ist.
Da Application Control für jedes Volume gilt und die Dateivorgänge vom unterstützten
Dateisystem verfolgt, werden durch Konfigurieren des Volumes mit dieser Option die Application
Control-Verfolgung und sämtliche Verarbeitung durch die Anwendung umgangen. Sie müssen
jedoch das System neu starten, damit die Konfiguration wirksam wird.
8
Klicken Sie auf OK, um die Regeln anzuwenden.
Standardmäßig verhindert Application Control die Installation von ActiveX-Steuerelementen auf
Endpunkten.
Sie können die ActiveX-Funktion verwenden, um ActiveX-Steuerelemente auf Endpunkten zu
installieren und auszuführen. Diese Funktion ist nicht in Workflows mit Ausführung nach Reputation
integriert. Startet jedoch eine Binärdatei, die von einem ActiveX-Steuerelement heruntergeladen
wurde, eine andere Binärdatei mit bösartiger Reputation, kann es zu Laufzeitproblemen kommen.
160
Produkthandbuch
9
Diese Funktion ist standardmäßig aktiviert und auf allen unterstützten Windows-Plattformen verfügbar,
mit Ausnahme von Windows 8, Windows Embedded 8, Windows 8.1, Windows Embedded 8.1,
Windows 10, Windows Embedded 10, Windows Server 2012 und Windows Server 2012 R2. Das
bedeutet, dass Richtlinien und Regeln, die für ActiveX-Ereignisse mithilfe der Seite Richtlinienerkennung
identifiziert werden, nicht auf die Plattformen zutreffen, die nicht unterstützt werden.
Für die Installation von ActiveX-Steuerelementen wird nur der Internet Explorer-Browser unterstützt.
Wenn Sie ein 64-Bit-Betriebssystem verwenden, wird die Installation von ActiveX-Steuerelementen nur
für die 32-Bit-Anwendung von Internet Explorer unterstützt. Die gleichzeitige Installation von
ActiveX-Steuerelementen mithilfe mehrerer Registerkarten in Internet Explorer wird nicht unterstützt.
Die folgenden wesentlichen Schritte helfen Ihnen bei der Nutzung der ActiveX-Funktion.
1
Wenden Sie die Richtlinie Gängige ActiveX-Regeln auf die Endpunkte an, um Benutzern die Installation
von häufig verwendeten ActiveX-Steuerelementen auf den Endpunkten zu erlauben. Diese Richtlinie
wird in der Liste angezeigt, wenn Sie zunächst Menü | Richtlinie | Richtlinienkatalog und dann das Produkt
Solidcore 7.0.0: Application Control auswählen.
2
3
•
Wenn das ActiveX-Steuerelement, das Sie installieren möchten, in den vordefinierten Regeln
aufgeführt ist, können Sie das ActiveX-Steuerelement direkt auf dem Endpunkt installieren.
•
Ist das ActiveX-Steuerelement, das Sie installieren möchten, nicht in den vordefinierten Regeln
aufgeführt, verhindert Application Control die Installation des ActiveX-Steuerelements auf dem
Endpunkt. Um die Installation des ActiveX-Steuerelements zuzulassen, fügen Sie das mit dem
ActiveX-Steuerelement verknüpfte Zertifikat als vertrauenswürdiges Zertifikat hinzu. Weitere
Informationen finden Sie im Abschnitt Verwalten von Zertifikaten.
Stellen Sie sicher, dass die aktualisierte Regelgruppe in eine Richtlinie aufgenommen wird, die auf
den Endpunkt angewendet wurde.
Produkthandbuch
161
9
162
Produkthandbuch
10
Sie können das Software-Inventar für geschützte Endpunkte abrufen, prüfen und verwalten. Das
Software-Inventar für einen Endpunkt enthält Informationen über die ausführbaren Binär- und
Skriptdateien auf dem Endpunkt. Die im Inventar gespeicherten Informationen umfassen den
vollständigen Dateinamen, die Dateigröße, den SHA-1, die Datei-Reputation, den Dateityp, den
eingebetteten Anwendungsnamen, die Zertifikatdetails und die Version.
Das Software-Inventar für einen verwalteten Endpunkt ist in der McAfee ePO-Konsole verfügbar und
wird regelmäßig, basierend auf den am Endpunkt durchgeführten Änderungen, aktualisiert.
Informationen zur Übermittlung der Inventardaten an McAfee ePO finden Sie unter KB84247.
Sie können das Inventar für Endpunkte in der McAfee ePO-Konsole prüfen und verwalten. Bei Bedarf
können Sie das Inventar für Endpunkte abrufen. Sie können mehrere Tasks ausführen, z. B.
bestimmte Binärdateien zulassen oder sperren, jedes Auftreten einer Anwendung oder Binärdatei im
Unternehmen prüfen und das Endpunktinventar mit einem Gold-System vergleichen, um
Image-Abweichungen anzuzeigen.
Inhalt
Wie wird das Inventar aktualisiert?
Konfigurieren von Inventaraktualisierungen
Richtlinien zum Abrufen des Inventars
Konfigurieren von Einstellungen zum Abrufen des Inventars
Abrufen des Inventars
Abrufen von McAfee GTI-Bewertungen für isolierte McAfee ePO-Umgebungen
Festlegen der Enterprise-Reputation für Dateien und Zertifikate
Überprüfen des Inventars
Optimieren der Inventaransicht
Festlegen von Filtern für Inventardaten
Festlegen des Basisabbilds
Vergleichen des Inventars
Wie wird das Inventar aktualisiert?
Die in der McAfee ePO-Konsole für Endpunkte verfügbaren Inventarinformationen werden in
regelmäßigen Intervallen aktualisiert, die sich nach den an den Endpunkten durchgeführten
Änderungen richten.
Bei einer Änderung am Inventar eines Endpunkts werden die Inventarinformationen nach Ablauf des
Agent-Server-Kommunikationsintervalls (ASCI) mithilfe von Push auf den McAfee ePO-Server
übertragen. Auf diese Weise werden die Inventarinformationen auf dem McAfee ePO-Server mit den
Inventaränderungen an den Endpunkten aktualisiert. Darüber hinaus entfällt so die Notwendigkeit, das
Inventar für einen Endpunkt manuell abzurufen, um die Daten zu aktualisieren.
Produkthandbuch
163
10
Diese Änderungen an einem Endpunkt führen zu entsprechenden Änderungen an den
Inventarinformationen auf dem McAfee ePO-Server.
•
Hinzufügen einer Datei
•
Löschen einer Datei
•
Ändern einer vorhandenen Datei
•
Zementierung bzw. Nicht-Zementierung
einer Datei
•
Umbenennen einer Datei
Die Inventarinformationen werden in regelmäßigen Intervallen aktualisiert, die sich nach
durchgeführten Änderungen an den Endpunkten richten, auf denen folgende Application
Control-Versionen ausgeführt werden: niedriger als 6.2.0, 6.2.0 und höher oder beides.
Standardmäßig wird dieser Konfiguration für Endpunkte mit Version 6.2.0 oder höher aktiviert.
Wenn nötig, können Sie diesen Wert bearbeiten.
Vorgehensweise
1
Wählen Sie auf der McAfee ePO-Konsole Menü | Richtlinie | Richtlinienkatalog.
2
3
4
5
Öffnen Sie die Richtlinie, und wechseln Sie zur Registerkarte Verschiedenes.
6
Bearbeiten Sie den Wert für das Feld Inventaraktualisierungen: Konfiguration.
7
Application Control bietet mehrere hilfreiche Methoden zum Abrufen des Software-Inventars für einen
Endpunkt.
Das Mindestintervall zwischen aufeinanderfolgenden Inventarausführungen (wenn die
Inventarinformationen von den Endpunkten abgerufen werden) ist auf sieben Tage festgelegt. Dies ist
der Standardwert. Für einen Endpunkt kann demnach einmal pro Woche Inventar abgerufen werden.
Sie können diesen Wert jedoch für Ihr Unternehmen neu konfigurieren. Siehe Konfigurieren von
Einstellungen zum Abrufen des Inventars.
Ist die Beschränkung von Inventaraktualisierungen initiiert, ist der Client-Task Inventar abrufen deaktiviert.
Das bedeutet, dass Sie Inventar nicht abrufen können, bis die Beschränkung zurückgesetzt wird. Die
Beschränkung wird 24 Stunden nach der Generierung der ersten Inventaraktualisierung des Tages
zurückgesetzt. Weitere Informationen zur Beschränkung von Inventaraktualisierungen finden Sie unter
Verwalten der Beschränkung in Ihrem Unternehmen.
164
Produkthandbuch
Zweck
10
Vorgehensweise
Inventar für Endpunkte Verwenden Sie den Client-Task Aktivieren. Weitere Informationen finden Sie
abrufen, wenn sie in den unter Aktivieren von Application Control.
aktivierten Modus
versetzt werden
Inventar für einen
Endpunkt abrufen
• Verwenden Sie den Link Abrufen auf der Seite Menü | Application Control |
Inventar | Nach Systemen, um das Inventar für einen Endpunkt schnell
abzurufen.
• Verwenden Sie die Aktion Inventar abrufen (Aktionen | Application Control | Inventar
abrufen) für einen ausgewählten Endpunkt auf der Seite Menü | Systeme |
Systemstruktur | Systeme, um das Inventar für einen Endpunkt schnell
abzurufen.
Inventar für mehrere
Endpunkte abrufen
Verwenden Sie den Client-Task Inventar abrufen, um Inventardetails für eine
Gruppe abzurufen. Nutzen Sie diesen Client-Task für das gleichzeitige
Abrufen des Inventars von 500 oder weniger Endpunkten.
Inventardetails für nicht
mit McAfee ePO
verbundene Endpunkte
importieren
1 Führen Sie eine der folgenden Aktionen aus.
• Führen Sie den Befehl sadmin ls -lax > <XML file name> auf dem
Endpunkt mithilfe der Befehlszeilenschnittstelle aus.
Dieser Befehl generiert eine XML-Datei mit den vollständigen
Inventardetails.
• Führen Sie den Befehl sadmin ls -rax > <XML file name> auf dem
Endpunkt mithilfe der Befehlszeilenschnittstelle aus.
Dieser Befehl generiert eine XML-Datei mit für Ihr Setup spezifischen
Inventardetails (die durch AEF gefilterten Dateien ausgeschlossen).
2 Wählen Sie in der McAfee ePO-Konsole den Endpunkt auf der Seite Menü |
Systeme | Systemstruktur | Systeme , und klicken Sie anschließend auf Aktionen
| Application Control | Inventar importieren.
Das Inventar für den ausgewählten Endpunkt wird auf der Basis der
Inventardetails aktualisiert, die in der XML-Datei gespeichert sind.
Beim Abrufen des
Inventars zu
ignorierende Dateipfade
angeben
Zum Ignorieren oder Ausschließen bestimmter Dateien im Inventar:
1 Wählen Sie Menü | Konfiguration | Server-Einstellungen | Solidcoreaus.
2 Überprüfen Sie die Dateipfade, die im Feld Zu ignorierende Dateipfade beim
Abrufen von Inventar aufgelistet sind.
3 Klicken Sie auf Bearbeiten, um die Liste zu aktualisieren.
Die Seite Solidcore bearbeiten wird angezeigt.
4 Verwenden Sie reguläre Ausdrücke (durch Komma getrennt), um die
Zeichenfolge mit dem Dateipfad am Ende der Liste anzugeben, und
McAfee
Verwenden Sie das Offline-GTI-Tool, um McAfee GTI-Bewertungen für
GTI-Bewertungen
Endpunkte abzurufen, die von einem McAfee ePO-Server ohne
abrufen, wenn der
Internetverbindung verwaltet werden. Weitere Informationen finden Sie
McAfee ePO-Server nicht unter Abrufen von McAfee GTI-Bewertungen für isolierte McAfee
mit dem Internet
ePO-Umgebungen.
verbunden ist
Produkthandbuch
165
10
Für die meisten Unternehmen sind die Standardeinstellungen für das Abrufen des Inventars
ausreichend. Bei Bedarf können Sie die Standardeinstellungen auch ändern.
Vorgehensweise
1
2
3
4
5
Wechseln Sie zur Registerkarte Inventar.
6
Aktivieren Sie das Kontrollkästchen Windows-Dateien ausblenden, um betriebssystemspezifische Dateien
für Windows in das Inventar einzuschließen.
Standardmäßig werden diese Dateien aus dem Inventar ausgeschlossen. Auf diese Weise wird eine
Überlastung des Inventars mit legitimen Windows-Dateien im Ordner <system drive>\Windows
(die vom Microsoft-Zertifikat signiert sind) und allen Dateien im Ordner <system drive>\Windows
\winsxs verhindert.
7
Geben Sie einen Wert für das Feld Intervall für Abruf des vollständigen Inventars an. Dieser Wert gibt das
Mindestintervall (in Tagen) zwischen aufeinanderfolgenden Inventarausführungen an. Der
Standardwert beträgt sieben Tage.
Dieser Wert hat Vorrang vor allen geplanten Tasks zum Abrufen des Inventars.
8
Geben Sie einen Wert für das Feld Intervall für Erhalt von Inventaraktualisierungen an. Dieser Wert zeigt die
Mindestverzögerung (in Stunden) zwischen der Generierung von aufeinanderfolgenden
Inventaraktualisierungen an. Der Standardwert beträgt drei Stunden.
9
Abrufen des Inventars
Application Control legt zwar für verwaltete Endpunkte das aktuelle Inventar an, Sie können das
Inventar für einen oder mehrere verwaltete Endpunkte aber nach Bedarf abrufen.
Vorgehensweise
166
1
2
•
Wenn Sie einen Client-Task auf eine Gruppe anwenden möchten, wählen Sie eine Gruppe in der
•
Soll ein Client-Task auf einen Endpunkt angewendet werden, wählen Sie den gewünschten
System ändern.
Produkthandbuch
10
3
öffnen.
4
Wählen Sie das Produkt Solidcore 7.0.0 und den Task-Typ SC: Inventar abrufen aus, und klicken Sie dann
auf Neuen Task erstellen, um die Seite Client-Task-Katalog zu öffnen.
5
6
7
8
9
Abrufen von McAfee GTI-Bewertungen für isolierte McAfee
ePO-Umgebungen
Rufen Sie McAfee GTI-Bewertungen für isolierte McAfee ePO-Umgebungen ohne Internetzugriff
mithilfe des Offline-GTI-Tools ab.
In einigen Unternehmen haben Systeme aus Sicherheitsgründen möglicherweise keinen
Internetzugriff. Wenn in solchen Fällen der McAfee ePO-Server nicht mit dem Internet verbunden ist,
kann die Solidcore-Erweiterung keine McAfee GTI-Bewertungen für Dateien und Zertifikate (z. B.
Reputation und Klassifizierung) vom McAfee GTI-Server abrufen. Daher sind die Binärdateien und
Zertifikate im Inventar weiterhin unbekannt, wodurch für den McAfee ePO-Administrator die
Unterscheidung zwischen vertrauenswürdigen, bösartigen oder unbekannten Dateien im Inventar
erschwert wird.
Navigieren Sie für eine optimale Leistung in isolierten McAfee ePO-Umgebungen zur Seite Menü |
Konfiguration | Server-Einstellungen | Solidcore, klicken Sie auf Bearbeiten, und setzen Sie dann die Option
Reputationsinformationen mit GTI synchronisieren auf Nein.
Aufgaben
•
Exportieren von SHA-1s auf Seite 168
Exportieren Sie die SHA-1s aller Binärdateien und die SHA-1s für öffentliche Schlüssel von
allen Zertifikaten im Application Control-Inventar in eine Datei. Die erstellte Datei wird
komprimiert und verschlüsselt.
•
Ausführen des Offline-GTI-Tools auf Seite 168
Führen Sie das Offline-GTI-Tool aus, um McAfee GTI-Bewertungen für Dateien und
Zertifikate abzurufen.
•
Importieren der GTI-Ergebnisdatei auf Seite 169
Importieren Sie die GTI-Ergebnisdatei in ein System, das mit dem McAfee ePO-Server
verbunden ist, um das Application Control-Inventar mit den abgerufenen McAfee
GTI-Bewertungen zu aktualisieren.
•
Überprüfen des Imports auf Seite 170
Überprüfen Sie das Server-Task-Protokoll, um sicherzustellen, dass die McAfee
GTI-Bewertungen erfolgreich auf den McAfee ePO-Server importiert wurden.
Produkthandbuch
167
10
Exportieren von SHA-1s
Exportieren Sie die SHA-1s aller Binärdateien und die SHA-1s für öffentliche Schlüssel von allen
Zertifikaten im Application Control-Inventar in eine Datei. Die erstellte Datei wird komprimiert und
verschlüsselt.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Application Control | Inventaraus.
2
Wählen Sie auf der Registerkarte Nach Anwendungen Aktionen | Inventar für Offline-GTI-Tool exportieren aus, um
die Inventardatei zu erstellen.
An den Dateinamen wird das Datum und die Uhrzeit der Erstellung der Datei angehängt. Der
Dateiname hat die folgende Syntax.
App‑Control‑Inventar‑<year>‑<month>‑<day>_<hour>‑<minute>‑<second>.zip
3
Speichern Sie die Inventardatei.
4
Kopieren Sie die Inventardatei auf ein System mit Internetzugang.
Ausführen des Offline-GTI-Tools
Führen Sie das Offline-GTI-Tool aus, um McAfee GTI-Bewertungen für Dateien und Zertifikate
abzurufen.
Bevor Sie beginnen
•
Stellen Sie sicher, dass Java Runtime Environment (JRE) 1.6.0_33 oder höher auf dem
System installiert ist.
•
Vergewissern Sie sich, dass das System mit dem Internet verbunden ist.
•
Stellen Sie sicher, dass Sie die Datei OfflineGTITool.zip von der
McAfee-Download-Website heruntergeladen und gespeichert haben.
Datei-Hash-Reputations- und Datei-Hash-Klassifizierungswerte werden für alle SHA-1s vom McAfee
GTI-Datei-Reputationsdienst abgerufen. Ebenso werden für SHA-1s für öffentliche Schlüssel von
Zertifikaten entsprechende Reputationswerte vom McAfee GTI-Server abgerufen. Das Offline-GTI-Tool
ruft die McAfee GTI-Bewertungen ab und speichert die Informationen in einer Ergebnisdatei.
Vorgehensweise
1
Legen Sie die Umgebungsvariable GTI_TOOL_JAVA_HOME fest.
a
Öffnen Sie ein Befehlsfenster.
b
Geben Sie den folgenden Befehl ein, und geben Sie den Pfad zu JRE an.
set GTI_TOOL_JAVA_HOME=<JRE path>
Beispiel:
set GTI_TOOL_JAVA_HOME=C:\Program Files\Java\jre6
168
Produkthandbuch
2
10
Führen Sie das Offline-GTI-Tool aus.
a
Extrahieren Sie die Datei OfflineGTITool.zip in einem System mit Internetzugang.
Das Verzeichnis OfflineGTITool wird erstellt. Dieses Verzeichnis enthält die Datei readme.txt,
in der die Voraussetzungen, die Vorgehensweise, die Konfiguration und die
Protokollierungsdetails erklärt werden. Es wird empfohlen, diese Datei zu lesen, um ausführliche
Informationen zur Verwendung des Offline-GTI-Tools zu erhalten.
b
Wechseln Sie zum Verzeichnis OfflineGTITool.
cd <directory path>
Stellen Sie sicher, dass Sie den absoluten Pfad zum Verzeichnis OfflineGTITool angeben.
c
Überprüfen Sie, dass das aktuelle Verzeichnis OfflineGTITool ist.
cd
d
Führen Sie das Tool aus.
runOfflineGTITool.cmd <Inventory file path>
Geben Sie den Toolnamen ein, gefolgt vom Pfad zur Inventardatei, die Sie auf diesem System
gespeichert haben.
Beispiel:
runOfflineGTITool.cmd c:\inventory\App-Control-Inventory-yyyy-MM-dd_HH-mm-SS.zip
Das Offline-GTI-Tool stellt eine Verbindung zum McAfee GTI-Server her und ruft McAfee
GTI-Bewertungen für die Datei-SHA-1s und SHA-1s für öffentliche Schlüssel von Zertifikaten ab.
Wenn Bewertungen für alle SHA-1s und SHA-1s für öffentliche Schlüssel abgerufen wurden, wird
eine Erfolgs- oder Fehlermeldung in der Eingabeaufforderung angezeigt. Die erstellte
GTI-Ergebnisdatei enthält die McAfee GTI-Bewertungen in verschlüsselter Form. An den
Dateinamen wird das Datum und die Uhrzeit der Erstellung der Datei angehängt.
GTI‑Result‑<year>‑<month>‑<day>_<hour>‑<minute>‑<second>.zip
3
Kopieren Sie die GTI-Ergebnisdatei in ein System, das mit dem McAfee ePO-Server verbunden ist.
Importieren der GTI-Ergebnisdatei
Importieren Sie die GTI-Ergebnisdatei in ein System, das mit dem McAfee ePO-Server verbunden ist,
um das Application Control-Inventar mit den abgerufenen McAfee GTI-Bewertungen zu aktualisieren.
Nach dem erfolgreichen Erstellen der GTI-Ergebnisdatei müssen Sie die McAfee GTI-Bewertungen
innerhalb von sieben Tagen in McAfee ePO importieren. Anderenfalls können Sie das Application
Control-Inventar nicht mit den McAfee GTI-Bewertungen aktualisieren. Obwohl die Standardeinstellung
sieben Tage beträgt, können Sie diese bei Bedarf ändern. Wenden Sie sich zum Konfigurieren dieser
Einstellung an den McAfee-Support.
Vorgehensweise
1
2
Wählen Sie auf der Registerkarte Nach Anwendungen Aktionen | GTI-Bewertungen importieren aus, um das
Dialogfeld GTI-Bewertungen importieren zu öffnen.
Produkthandbuch
169
10
3
Klicken Sie auf Durchsuchen, um die GTI-Ergebnisdatei auszuwählen, und klicken Sie dann auf OK.
Im Dialogfeld GTI-Bewertungen importieren wird angegeben, dass die McAfee GTI-Bewertungen auf den
McAfee ePO-Server hochgeladen wurden und dass die Verarbeitung der McAfee GTI-Bewertungen
gestartet wurde. Überprüfen Sie im Server-Task-Protokoll, ob die Verarbeitung abgeschlossen ist.
4
Klicken Sie auf OK.
Überprüfen des Imports
Überprüfen Sie das Server-Task-Protokoll, um sicherzustellen, dass die McAfee GTI-Bewertungen
erfolgreich auf den McAfee ePO-Server importiert wurden.
Vorgehensweise
1
2
Geben Sie den Task-Namen Importiert GTI-Bewertungen aus der Datei ins Inventar im Textfeld Schnellsuche an,
und klicken Sie dann auf Anwenden.
Die Liste wird auf der Basis der eingegebenen Suchzeichenfolge aktualisiert.
3
Sie können die Enterprise-Reputation für Dateien und Zertifikate auf dem TIE Server Ihrer Umgebung
entsprechend ändern. Änderungen an der Enterprise-Reputation haben allerdings eine globale
Auswirkung auf Ihre Umgebung. Wenn Sie die Enterprise-Reputation für eine Datei oder ein Zertifikat
ändern, werden die Informationen sofort in der Datenbank aktualisiert und an alle Geräte in Ihrer
Umgebung gesendet, die TIE-Änderungsbenachrichtigungen empfangen, z. B. Endpunkte mit
Application Control oder andere Clients.
Weitere Informationen zur Berechnung der Reputation einer Datei oder eines Zertifikats finden Sie
unter Datei- und Zertifikat-Reputation.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Systeme | TIE-Reputationen aus.
2
Klicken Sie auf die Registerkarte Dateisuche oder Zertifikatsuche.
3
Suchen Sie nach Dateien und Zertifikaten, und legen Sie dann mithilfe des Menüs Aktionen die
Enterprise-Reputation fest.
Weitere Informationen zum Ändern der Reputation einer Datei oder eines Zertifikats finden Sie im
McAfee Threat Intelligence Exchange-Produkthandbuch für Ihre Version der Software.
Sie können das Software-Inventar für einen Endpunkt verwalten und Aktionen dafür ausführen.
170
Produkthandbuch
10
Vorgehensweise
1
2
3
•
Um das Inventar für alle verwalteten Endpunkte zu verwalten, klicken Sie auf die Registerkarte
Nach Anwendungen.
•
Um das Inventar für einen ausgewählten Endpunkt zu verwalten, klicken Sie auf die
Registerkarte Nach Systemen und dann für den entsprechenden Endpunkt auf Anzeigen. Das
Inventar für den ausgewählten Endpunkt wird aufgelistet.
Prüfen Sie die Anwendungen im Inventar. Standardmäßig werden die Anwendungen basierend auf
den von der konfigurierten Reputationsquelle empfangenen Informationen in die Kategorien
Einwandfreie Anwendungen, Schlechte Anwendungen und Nicht klassifizierte Anwendungen gegliedert. Den
Binärdateien ist einer der folgenden Reputationswerte zugewiesen.
•
•
•
Höchstwahrscheinlich vertrauenswürdig
•
•
•
•
Unbekannt
Klicken Sie auf Was bedeutet endgültige Reputation?, um zu erfahren, wie Application Control die
endgültige Reputation für Dateien und Zertifikate festlegt. Der Reputationswert für eine Binärdatei
ist farbcodiert, um die Reputation (vertrauenswürdig, bösartig oder unbekannt) kenntlich zu
machen. Werte in Grün bedeuten, dass die Binärdatei als vertrauenswürdig bekannt,
höchstwahrscheinlich vertrauenswürdig oder möglicherweise vertrauenswürdig ist. Werte in Orange
bedeuten, dass die Binärdatei unbekannt ist. Werte in Rot bedeuten, dass die Datei als bösartig
bekannt, höchstwahrscheinlich bösartig oder möglicherweise bösartig ist.
Nachfolgend werden einige alternative Anzeigen vorgestellt, die Sie nutzen können.
Überprüfen aller
Binärdateien
Um Dateien nach Name sortiert anzuzeigen, wählen Sie den Filter Binärname,
lassen Sie den Filter leer, und klicken Sie auf Suchen.
Überprüfen der
endgültigen
Reputation
Um die Dateien und Zertifikate nach endgültigem Reputationswert sortiert
anzuzeigen, wählen Sie den Filter Endgültige Reputation und einen
Reputationswert aus, und klicken Sie dann auf Suchen.
Überprüfen des
Zertifikats
Um das Inventar nach Zertifikaten zu sortieren, wählen Sie den Filter
Zertifikat aus, geben Sie keinen Zertifikatnamen an, und klicken Sie auf
Suchen. Die Anwendungen und Binärdateien werden nach Zertifikat sortiert.
Überprüfen aller
Dateien nach
Anwendung sortiert
Wählen Sie den Filter Anwendung aus, lassen Sie den Dateinamensfilter leer,
und klicken Sie auf Suchen. Die Anwendungen werden in die Kategorien
Einwandfreie Anwendungen, Schlechte Anwendungen und Nicht klassifizierte Anwendungen
gegliedert.
Bei Anwendungen mit MSI-Installationsprogrammen werden Anwendungsund Binärdateien nach Produktnamen und Version sortiert und in
Kategorien eingeteilt.
Sortieren der
Anwendungen und
Binärdateien nach
Anbieter
Wählen Sie den Filter Anbieter aus, geben Sie keinen Anbieternamen an, und
klicken Sie dann auf Suchen. Die Anwendungen und Binärdateien werden
nach Anbieter sortiert. Für jeden Anbieter können Sie die Kategorien
Vertrauenswürdig, Schädlich und Nicht klassifiziert anzeigen.
Produkthandbuch
171
10
4
5
Überprüfen Sie die Anwendungsdetails (nur wenn Sie alle Dateien nach Anwendung sortiert
prüfen).
a
Klicken Sie auf Inventaraktionen | Anwendungsdetails, um die Seite Anwendungsdetails zu öffnen.
b
Prüfen Sie die Details für die Anwendung.
c
Überprüfen Sie im Bereich Binärdateien die Binärdateien, die mit der ausgewählten Anwendung
verknüpft sind.
d
Überprüfen Sie im Bereich Systeme die Endpunkte, auf denen die ausgewählte Anwendung
vorhanden ist.
e
(Optional) Führen Sie eine Aktion für die aufgelisteten Endpunkte aus.
f
(Optional) Wenden Sie verfügbare Filter an, erstellen Sie neue Filter, oder suchen Sie nach
bestimmten Dateien.
Verwenden von
Wählen Sie einen Wert aus der Liste Filter aus.
definierten Filtern
• Standardansicht
• Ausgeblendete Dateien
• Alle bösartigen Binärdateien
• Zulässige bösartige Binärdateien
• Zulässige unbekannte, signierte Binärdateien
• Zulässige unbekannte, nicht signierte Binärdateien
• Gesperrte, vertrauenswürdige Binärdateien
• Letzte Woche genehmigte Binärdateien (Nur auf der Registerkarte Nach Anwendungen)
Erstellen eines
neuen Filters
1 Wählen Sie die Option Gespeicherten Filter hinzufügen aus der Liste Filter aus.
Standardmäßig wird die Eigenschaft Ausgeblendet mit dem Wert Ist gleich und
Falsch auf Gespeicherten Filter hinzufügen angewendet. Dies bedeutet, dass die
ausgeblendeten Anwendungen, Anbieter und Binärdateien nicht angezeigt
werden.
2 Klicken Sie auf eine verfügbare Eigenschaft. Um beispielsweise alle
unbekannten, signierten Anwendungen zu identifizieren, wählen Sie die
Eigenschaften Weist Zertifikate auf und Endgültige Reputation aus.
3 Geben Sie den Vergleichsoperator und den Wert für die Eigenschaft an.
• Stellen Sie für Weist Zertifikate auf den Vergleich auf Ist gleich ein, und wählen
Sie den Wert Wahr aus.
• Stellen Sie für Endgültige Reputation den Vergleich auf Ist gleich ein, und wählen
Sie den Wert Unbekannt aus.
4 Klicken Sie auf Filter aktualisieren.
Suchen nach
bestimmten
Dateien, z. B.
Dateisuche
basierend auf
SHA-1-,
SHA-256- oder
MD5-Wert
172
Wählen Sie den Filter Binärdatei SHA1, Binärdatei-SHA-256 oder Binärdatei MD5 aus,
geben Sie einen Wert ein, und klicken Sie auf Suchen. Die Binärdatei mit dem
angegebenen SHA-1-, SHA-256- oder MD5-Wert wird angezeigt.
Produkthandbuch
6
10
Überprüfen Sie die Binärdateien.
Wenn Sie Dateien nach Anwendungen oder Anbietern sortiert anzeigen, wird der Bereich
Anwendungen oder Anbieter eingeblendet. Die Verzeichnisstruktur erleichtert Ihnen die Navigation und
die Anzeige der Dateien unter jeder Kategorie. Wählen Sie einen Knoten in der Struktur aus, um
zugehörige Binärdateien im Bereich Binärdateien zu prüfen. Für alle anderen Ansichten wird nur der
Bereich Binärdateien angezeigt. Für jede Datei werden im Bereich Binärdateien die relevanten
Informationen aufgelistet.
a
Überprüfen Sie die Reputationsinformationen. Diese enthalten Werte für die endgültige
Reputation, die Reputationsquelle und die GTI-Reputation. Mögliche Werte für die
Reputationsquelle sind TIE, GTI oder Application Control. Wenn Sie auf den TIE-Wert klicken,
wird die Seite TIE-Reputationen geöffnet, auf der Details für die ausgewählte Datei angezeigt
werden. Weitere Informationen zur Berechnung der Reputation finden Sie unter Datei- und
Zertifikat-Reputation.
b
Überprüfen Sie die Uhrzeit und das Datum der ersten Erkennung der Binärdatei im
Unternehmen.
Die Uhrzeit der ersten Erkennung basiert auf dem Zeitpunkt, an dem die Binärdatei zum ersten
Mal nach dem Installieren oder Aktualisieren auf die Version 6.2.0 oder höher der
Solidcore-Erweiterung abgerufen wurde.
7
Klicken Sie auf eine Binärdatei, um die folgenden Binärdateidetails anzuzeigen.
Pfad
Überprüfen Sie den vollständigen Pfad zur Binärdatei. (Optional) Klicken Sie
auf In TIE suchen, um die Seite TIE-Reputationen zu öffnen, auf der Sie die
Binärdatei-Reputation anzeigen oder bearbeiten können.
Informationen zur
ersten Erkennung
Überprüfen Sie die Informationen zur ersten Erkennung der Binärdatei im
Unternehmen, etwa das Datum, die Uhrzeit und der Name des Systems.
Die Informationen zur ersten Erkennung basieren auf dem Zeitpunkt, zu
dem die Binärdatei zum ersten Mal nach dem Installieren oder Aktualisieren
auf die Version 6.2.0 oder höher der Solidcore-Erweiterung abgerufen
wurde.
Hash
Überprüfen Sie die SHA-1- und MD5-Informationen für die Binärdatei.
Zertifikatdetails
• Name des Zertifikatsanbieters – Der Name des Zertifikatsanbieters für
eine Binärdatei ist farbcodiert, um die Reputation (vertrauenswürdig,
bösartig oder unbekannt) kenntlich zu machen. Werte in Grün bedeuten,
dass das Zertifikat als vertrauenswürdig bekannt, höchstwahrscheinlich
vertrauenswürdig oder möglicherweise vertrauenswürdig ist. Werte in
Orange bedeuten, dass das Zertifikat unbekannt ist. Werte in Rot
bedeuten, dass das Zertifikat als bösartig bekannt, höchstwahrscheinlich
bösartig oder möglicherweise bösartig ist.
• Zertifikatname – Klicken Sie darauf, um Zertifikatdetails anzuzeigen, z. B
Aussteller, Reputation, Reputationsquelle sowie Algorithmus und Länge
des öffentlichen Schlüssels.
• In TIE suchen – Klicken Sie darauf, um Zertifikatdetails auf der Seite Details zu
TIE-Zertifikat-Reputationen zu überprüfen.
Informationen zu
Endpunkten
Überprüfen Sie die Endpunkte, die im Bereich Auf Systemen beobachtete Binärdatei
aufgeführt sind. Die Spalte mit der Erkennungszeit beinhaltet den
Zeitpunkt, an dem die Binärdatei auf dem entsprechenden System erkannt
wurde.
Produkthandbuch
173
10
8
Ausführungsstatus
Überprüfen Sie den Ausführungsstatus für die Binärdatei. Der
Ausführungsstatus gibt an, ob die Binärdatei auf dem Endpunkt zugelassen
oder blockiert wurde. Die Spalte mit der Ausführungsberechtigung
beinhaltet die Methode, nach der die Ausführung auf dem Endpunkt
zugelassen oder blockiert wird.
Ereignisse
Klicken Sie für einen Endpunkt auf Ereignisse anzeigen, um die dafür
generierten Ereignisse zu prüfen.
Klicken Sie auf Zulassen oder Sperren, um die Binärdatei auf einem Endpunkt zuzulassen oder zu
blockieren.
Blenden Sie Inventarelemente wie Anwendungen, Binärdateien und Anbieter aus, oder zeigen Sie sie
an, um Ihre Ansicht zu optimieren.
Sie können alle nicht relevanten Elemente im Bereich Anwendungen, Anbieter und Binärdateien ausblenden.
Außerdem können Sie bei Bedarf ausgeblendete Elemente anzeigen, damit diese im jeweiligen Bereich
angezeigt werden.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Application Control | Inventar aus.
2
Stellen Sie sicher, dass die Registerkarte Nach Anwendungen ausgewählt ist.
3
Optimieren Sie die Inventaransicht, indem Sie Inventarelemente ausblenden.
a
Blenden Sie die nicht relevanten Inventarelemente aus.
Inventarelement Schritte
Anwendungen
1 Wählen Sie Anwendungen im Bereich Anwendungen aus.
2 Klicken Sie auf Inventaraktionen | Anwendungen ausblenden.
Binärdateien
1 Wählen Sie den Filter Binärname aus, lassen Sie den Filter leer, und klicken
Sie auf Suchen.
2 Wählen Sie Binärdateien im Bereich Binärdateien aus.
3 Klicken Sie auf Aktionen | Binärdateien ausblenden.
Anbieter
1 Wählen Sie den Filter Anbieter aus, geben Sie keinen Anbieternamen an,
und klicken Sie dann auf Suchen.
2 Wählen Sie Anbieter im Bereich Anbieter aus.
3 Klicken Sie auf Inventaraktionen | Anbieter ausblenden.
174
Produkthandbuch
10
Mit dieser Aktion wird das ausgewählte Inventarelement im Bereich und in allen anwendbaren
definierten Filtern (mit Ausnahme des Filters Ausgeblendete Dateien) ausgeblendet. Gemäß Ihrer
Auswahl werden auch die entsprechenden abhängigen und verknüpften Inventarelemente
ausgeblendet.
•
Wenn Sie eine Anwendung ausblenden, werden alle Binärdateien für diese Anwendung
ebenfalls ausgeblendet.
•
Wenn Sie eine ausgeblendete Anwendung aktualisieren, werden neue, durch die Anwendung
hinzugefügte Binärdateien automatisch ausgeblendet.
•
Wenn Sie alle Binärdateien für eine Anwendung ausblenden, wird die Anwendung ebenfalls
ausgeblendet.
•
Wenn Sie einen Anbieter ausblenden, werden alle entsprechenden Anwendungen und
Binärdateien ebenfalls ausgeblendet.
Außerdem werden alle ausgeblendeten Binärdateien mit bösartiger Reputation in der Ansicht Alle
bösartigen Binärdateien aufgelistet.
b
4
Wählen Sie den Filter Ausgeblendete Dateien aus, und suchen Sie dann in den Bereichen Anwendungen,
Binärdateien und Anbieter nach den ausgeblendeten Anwendungen, Binärdateien bzw. Anbietern.
Zeigen Sie die ausgeblendeten Inventarelemente an (blenden Sie sie ein).
a
Wählen Sie den Filter Ausgeblendete Dateien aus, um die ausgeblendeten Inventarelemente
anzuzeigen.
b
Zeigen Sie die Inventarelemente an.
Inventarelement Schritte
Anwendungen
1 Wählen Sie eine Anwendung aus.
2 Klicken Sie auf Inventaraktionen | Anwendungen anzeigen.
Binärdateien
1 Wählen Sie den Filter Binärname aus, lassen Sie den Filter leer, und klicken
Sie auf Suchen.
2 Wählen Sie Binärdateien im Bereich Binärdateien aus.
3 Klicken Sie auf Aktionen | Binärdateien anzeigen.
Anbieter
1 Wählen Sie den Filter Anbieter aus, geben Sie keinen Anbieternamen an,
und klicken Sie dann auf Suchen.
2 Wählen Sie Anbieter im Bereich Anbieter aus.
3 Klicken Sie auf Inventaraktionen | Anbieter anzeigen.
Produkthandbuch
175
10
Mit dieser Aktion wird das ausgewählte Inventarelement angezeigt, sodass es in allen
anwendbaren definierten Filtern (mit Ausnahme des Filters Ausgeblendete Dateien) erscheint. Gemäß
Ihrer Auswahl werden auch die entsprechenden abhängigen und verknüpften Inventarelemente
eingeblendet.
•
Wenn Sie eine Anwendung anzeigen, werden alle Binärdateien für diese Anwendung ebenfalls
eingeblendet.
•
Wenn Sie eine Binärdatei für eine ausgeblendete Anwendung anzeigen, wird die Anwendung
eingeblendet und im Bereich Anwendungen angezeigt. Mithilfe des Filters Standardansicht können
Sie alle eingeblendeten Anwendungen anzeigen.
Wenn Sie die Ergebnisse für den Filter Zulässige bösartige Binärdateien oder Alle bösartigen Binärdateien
anzeigen, können Sie mithilfe der verfügbaren Optionen Anwendungen, Anbieter und Binärdateien
anzeigen oder ausblenden. Alle zum Anzeigen und Ausblenden von Inventarelementen
durchgeführten Aktionen werden umgesetzt, auch wenn sie auf der Benutzeroberfläche nicht präzise
dargestellt werden. Beispiel: Wenn Sie eine Anwendung ausblenden, wird sie weiterhin im Bereich
Anwendungen für den Filter Alle bösartigen Binärdateien angezeigt.
Application Control sortiert Ihre Inventarelement nach der Reputation, die von der konfigurierten
Reputationsquelle empfangen wird.
Ist in Ihrer Umgebung eine Reputationsquelle konfiguriert, sortiert Application Control die
Anwendungen und Binärdateien in folgende Kategorien ein.
Anwendungen
Binärdateien
Beschreibung
Gut
Als vertrauenswürdig
bekannt
Umfasst vertrauenswürdige Inventarelemente mit den
Reputationen "Als vertrauenswürdig bekannt",
"Höchstwahrscheinlich vertrauenswürdig" und
"Möglicherweise vertrauenswürdig", wie von der
Reputationsquelle empfangen (und bildet damit die
Whitelist für Ihr Unternehmen). Da es sich um
vertrauenswürdige Dateien handelt, müssen Sie für diese
Dateien keine umfassenden Verwaltungsaufgaben
durchführen. Sollte Ihr Unternehmen eine
vertrauenswürdige Datei nicht zulassen wollen, können Sie
sie blockieren.
vertrauenswürdig
Möglicherweise
vertrauenswürdig
Schädlich
bösartig
176
Umfasst Malware oder bösartige Inventarelemente mit den
Reputationen "Als bösartig bekannt",
"Höchstwahrscheinlich bösartig" und "Möglicherweise
bösartig", wie von der Reputationsquelle empfangen (und
bildet damit die Blacklist für Ihr Unternehmen). Da es sich
bei diesen Anwendungen um bösartige Dateien handelt,
müssen Sie diese in der Regel blockieren. Bei Bedarf
können Sie beliebige firmeninterne oder
vertrauenswürdige Anwendungen in der Blacklist als
vertrauenswürdige Datei neu kategorisieren.
Produkthandbuch
Anwendungen
Binärdateien
10
Beschreibung
Möglicherweise
bösartig
Nicht klassifiziert Unbekannt
Umfasst Inventarelemente mit unbekannter Reputation
oder Elemente, die nicht mit der Reputationsquelle
synchronisiert sind (und bildet damit die Graylist für Ihr
Unternehmen). Sie müssen die Graylist für Ihr
Unternehmen regelmäßig überprüfen und verwalten, um
sie auf minimaler Größe zu halten (idealerweise null).
Möglicherweise müssen Sie intern entwickelte, anerkannte
oder vertrauenswürdige Dateien (von einem renommierten
Anbieter) klassifizieren, die sich derzeit in der Graylist
befinden.
Jede bereits vorhandene Bedrohung des Typs APT
(Advanced Persistent Threat) wird in der Kategorie
"Graylist" oder "Unbekannt" abgelegt.
Vorgehensweise
1
2
3
•
Um das Inventar für alle verwalteten Endpunkte zu verwalten, navigieren Sie zu Menü | Application
Control | Inventar | Nach Anwendungen.
•
Um das Inventar für einen ausgewählten Endpunkt zu verwalten, navigieren Sie zu Menü |
Application Control | Inventar | Nach Systemen, und klicken Sie für den entsprechenden Endpunkt auf
Anzeigen.
Verhindern Sie die Ausführung von bösartigen Binär- oder Skriptdateien.
a
Wählen Sie die zu blockierenden Dateien aus.
b
Wählen Sie Aktionen | Binärdateien sperren aus, um den Assistenten Binärdateien zulassen oder sperren zu
öffnen.
c
•
Betriebssystem an.
•
d
e
Lassen Sie die Ausführung von vertrauenswürdigen Binär- oder Skriptdateien zu.
a
Wählen Sie die zu erlaubenden Dateien aus.
b
Wählen Sie Aktionen | Binärdateien zulassen aus, um den Assistenten Binärdateien zulassen oder sperren zu
öffnen.
Produkthandbuch
177
10
c
4
•
Um die Binärdatei nur am ausgewählten Endpunkt zuzulassen, fügen Sie die Binärdatei der
Whitelist des Endpunkts hinzu, indem Sie die Option Binärdateien zu Whitelist hinzufügen auswählen.
Diese Option ist nur verfügbar, wenn Sie das Inventar für einen Endpunkt verwalten (indem
Sie auf der Seite Nach Systemen für einen Endpunkt auf den Link Anzeigen klicken).
•
Um die Binärdatei auf mehreren Endpunkten zuzulassen und die Regeln einer Regelgruppe
hinzuzufügen:
Fügen Sie die Regeln einer
vorhandenen Regelgruppe
hinzu.
Wählen Sie Zu vorhandener Regelgruppe hinzufügen, wählen Sie
die Regelgruppe in der Liste aus, und geben Sie das
Betriebssystem an.
Erstellen Sie eine neue
Regelgruppe mit den Regeln.
Wählen Sie Eine neue Regelgruppe erstellen, und geben Sie den
Regelgruppennamen und das Betriebssystem an.
d
e
Kategorisieren Sie eine unbekannte Binär- oder Skriptdatei als vertrauenswürdige Datei, indem Sie
die Application Control-Reputation der Datei bearbeiten.
a
Wählen Sie die Dateien aus.
b
Wählen Sie Aktionen | Application Control-Reputation festlegen aus, um das Fenster Application
Control-Reputation festlegen zu öffnen.
c
Wählen Sie den Reputationswert aus.
Wenn die Application Control-Reputation für eine Datei bearbeitet wird, wird die
Datei-Hash-Reputation (GTI) der Datei außer Kraft gesetzt.
5
Fügen Sie die aktualisierte Regelgruppe zu den Richtlinien hinzu, die auf die Endpunkte
angewendet werden.
Geben Sie erweiterte Ausschlussfilter an, um unwichtige Inventardaten von den Endpunkten
auszuschließen.
Vorgehensweise
1
oder -Regelgruppe.
2
Klicken Sie auf die Registerkarte Filter, und erweitern Sie Inventar.
3
Klicken Sie auf Regel hinzufügen.
Eine neue Filterzeile wird angezeigt. Sie können Filter auf der Basis von Datei, Dateityp,
Anwendung, Anwendungsversion, Anwendungsanbieter und von Zertifikat signierte Datei (nur
Microsoft-Zertifikat) erstellen.
Wenn Sie einen Filter erstellen, um Inventarelemente auf Basis des Anwendungsnamens, der
Version oder des Anbieters auszuschließen, dann betrifft der Filter die integrierten Werte, die mit der
Anwendung verknüpft sind.
178
Produkthandbuch
4
Bearbeiten Sie die Einstellungen, um den Filter festzulegen.
5
Klicken Sie auf + oder Regel hinzufügen, um weitere AND- oder OR-Bedingungen festzulegen.
6
10
Legen Sie das Basisabbild für Ihr Unternehmen fest, um ein genehmigtes Repository bekannter
Anwendungen zu erstellen.
Wenn das Inventar für einen Endpunkt in Ihrem Setup bekannte und vertrauenswürdige Anwendungen
enthält, können Sie es als Basisabbild für Ihr Unternehmen festlegen. Auf diese Weise wird ein
genehmigtes Repository mit bekannten Anwendungen erstellt, wie z. B. intern entwickelte, anerkannte
oder vertrauenswürdige (von einem renommierten Anbieter stammende) Anwendungen. Dies
erleichtert zudem die Verwaltung von Desktopsystemen, da die Unternehmensanwendungen überprüft
werden.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Application Control | Inventar | Nach Systemen, um die
Endpunkte in Ihrem Setup anzuzeigen.
2
Navigieren Sie zu dem Endpunkt, auf dem die bekannten und vertrauenswürdigen Anwendungen
vorhanden sind.
3
Wählen Sie für den Endpunkt die Option Als vertrauenswürdig markieren aus.
Damit werden alle unbekannten Binär- oder Skriptdateien als vertrauenswürdige Dateien auf dem
Endpunkt kategorisiert und die Unternehmensvertrauensstufe für die Dateien bearbeitet. Es werden
keine Änderungen an den bösartigen Binär- oder Skriptdateien auf dem Endpunkt vorgenommen.
Diese Aktion können Sie auch auf der Seite Systeme ausführen. Wählen Sie den Endpunkt auf der
Seite Menü | Systeme | Systemstruktur | Systeme, und klicken Sie auf Aktionen | Application Control | Als
vertrauenswürdig markieren.
Die Abbildabweichung wird verwendet, um das Inventar eines Endpunkts mit dem Inventar zu
vergleichen, das von einem festgelegten Gold-System abgerufen wurde. Dies hilft Ihnen, das auf
einem Endpunkt vorhandene Inventar zu verfolgen und etwaige Abweichungen zu identifizieren.
Gehen Sie folgendermaßen vor:
Vorgehensweise
1
Rufen Sie das Inventar für Ihren Referenz-Host ab. Weitere Informationen finden Sie unter Abrufen
des Inventars.
2
Rufen Sie das Inventar für den Endpunkt ab. Weitere Informationen finden Sie unter Abrufen des
Inventars.
Produkthandbuch
179
10
3
Überprüfen Sie die Seite Menü | Automatisierung | Solidcore-Client-Task-Protokoll , um sicherzustellen, dass
beide Client-Tasks erfolgreich abgeschlossen wurden.
4
Vergleichen Sie das Inventar des Referenz-Hosts mit dem Inventar des Endpunkts. Dies wird als
Image-Abweichung bezeichnet.
5
Prüfen Sie die Ergebnisse des Vergleichs.
Aufgaben
•
Ausführen des Inventarvergleichs auf Seite 180
Vergleichen Sie das Inventar des Referenz-Hosts mit dem Inventar eines Endpunkts.
•
Überprüfen der Vergleichsergebnisse auf Seite 181
Überprüfen Sie die Ergebnisse eines Inventarvergleichs (Image-Abweichung).
Ausführen des Inventarvergleichs
Vergleichen Sie das Inventar des Referenz-Hosts mit dem Inventar eines Endpunkts.
Vorgehensweise
1
2
Klicken Sie auf Aktionen | Neuer Task , um den Assistenten Generator für Server-Tasks zu öffnen.
3
4
Wählen Sie Solidcore: Abbildabweichung ausführen aus der Dropdown-Liste Aktionen.
5
Geben Sie das Gold-System an.
6
Konfigurieren Sie diese Optionen, um den Endpunkt auszuwählen, der mit dem Gold-System
verglichen werden soll.
•
Mit Gold-System zu vergleichende Systeme – Klicken Sie auf Hinzufügen, um den Endpunkt zu suchen, mit
dem das Gold-System verglichen werden soll. Geben Sie den Namen des Endpunkts im Feld
Systemname ein, und klicken Sie auf Suchen.
•
Mit Gold-System zu vergleichende Gruppen: Klicken Sie auf Hinzufügen, um nach der Gruppe zu suchen, die
Sie mit dem Gold-System vergleichen möchten. Geben Sie den Namen der Gruppe in das Feld
Gruppenname ein und klicken Sie dann auf Suchen.
•
Systeme mit Tags einschließen: Klicken Sie auf Hinzufügen, um anhand der Tag-Namen nach Endpunkten
zu suchen. Geben Sie den Tag-Namen in das Feld Tag-Name ein und klicken Sie dann auf Suchen.
•
Systeme mit Tags ausschließen: Klicken Sie auf Hinzufügen, um anhand der Tag-Namen nach
Endpunkten zu suchen. Geben Sie den Tag-Namen in das Feld Tag-Name ein und klicken Sie dann
auf Suchen. Wählen Sie das erforderliche Tag im Suchergebnis aus. Alle Endpunkte mit den
ausgewählten Tags werden aus dem Vergleich mit dem Gold-System ausgeschlossen.
7
8
9
Klicken Sie auf Weiter, um die Seite Zusammenfassung zu öffnen.
10 Überprüfen Sie die Task-Zusammenfassung, und klicken Sie dann auf Speichern.
11 Führen Sie den Server-Task unverzüglich aus, um die Vergleichsergebnisse sofort zu überprüfen.
180
Produkthandbuch
10
Überprüfen der Vergleichsergebnisse
Überprüfen Sie die Ergebnisse eines Inventarvergleichs (Image-Abweichung).
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Application Control | Image-Abweichungaus.
2
Suchen Sie den Vergleich zwischen Referenz-Host und Endpunkt.
Um die entsprechende Zeile rasch aufzufinden, geben Sie den Endpunktnamen in das Feld Zielsystem
suchen ein, und klicken Sie auf Suchen.
3
Klicken Sie auf Abweichungen anzeigen.
4
Prüfen Sie die Details des Vergleichs.
•
Wählen Sie den Ansichtstyp aus. Sie können die Ergebnisse auf der Basis von bestimmten
Anwendungen oder Binärdateien gliedern.
•
Sortieren Sie die Ergebnisse mit Hilfe der verfügbaren Filter. Mit Hilfe der Filter können Sie neue
(hinzugefügte), geänderte und gelöschte (fehlende) Dateien anzeigen. Mit dem Filter Konflikt bei
Ausführungsstatus können Sie Dateien mit Änderungen am Ausführungsstatus anzeigen. Sortieren
Sie die Ergebnisse auf der Basis des Dateipfads mit Hilfe des Pfadfilters.
Produkthandbuch
181
10
182
Produkthandbuch
11
Application Control verhindert die Ausführung neuer oder unbekannter Anwendungen auf geschützten
Endpunkten. Wenn die Selbstgenehmigungsfunktion aktiviert ist und Benutzer versuchen, eine
unbekannte oder neue Anwendung auf einem geschützten Endpunkt auszuführen, werden die
Benutzer aufgefordert, die Ausführung der Anwendung zu genehmigen oder zu verweigern.
Inhalt
Was ist Selbstgenehmigung?
Aktivieren der Selbstgenehmigung an Endpunkten
Prozessanfragen
Was ist Selbstgenehmigung?
Für alle Anwendungen oder Binärdateien, deren Reputation unbekannt ist oder deren Ausführung
blockiert wird (nicht aufgrund von Application Control-Regeln zum Sperren nach Name oder SHA-1),
können die Benutzer für alle blockierten Anwendungen oder Dateien die Ausführung genehmigen und
die Anwendung auf dem Endpunkt ausführen. Wenn ein Benutzer die Ausführung genehmigt, wird der
von ihm angegebene Geschäftsbedarf oder die angegebene Begründung für die Ausführung der
Anwendung an den McAfee ePO-Administrator gesendet. Der Administrator prüft die vom Benutzer
gesendete Genehmigungsanfrage und kann Regeln definieren, mit denen die Anwendung für einen
oder alle Endpunkte im Unternehmen zugelassen oder gesperrt wird.
Regeln, die aufgrund von Richtlinien angewendet werden, haben Vorrang vor der
Selbstgenehmigungsfunktion. Wenn beispielsweise die Selbstgenehmigungsfunktion aktiviert ist und
ein Benutzer versucht, eine durch eine Richtlinie gesperrte Anwendung auszuführen, wird er
aufgefordert, eine Aktion für die entsprechende Anwendung auszuführen. Sie können außerdem keine
Aktionen selbst genehmigen und ausführen, die aufgrund von Application Control-Techniken zum
Speicherschutz verhindert werden.
Die Selbstgenehmigungsfunktion ist für Binärdateien und ausführbare Dateien, Skripte,
Installationsprogramme, ActiveX-Steuerelemente und unterstützte Dateien verfügbar, die Sie von
Netzwerkfreigaben oder Wechseldatenträgern aus ausführen. Diese Funktion ist auf allen unterstützten
Windows-Plattformen außer Windows NT, Windows 2000 und Windows 2003 (IA-64-Plattform)
verfügbar. Diese Funktion steht auf UNIX-Plattformen nicht zur Verfügung. In dem folgenden
Diagramm wird die Selbstgenehmigungsfunktion detailliert dargestellt.
Produkthandbuch
183
11
Obwohl die Selbstgenehmigungsfunktion bei Aktivierung einer Teilfunktionalität verfügbar ist, sollten Sie
diese Funktion mit Aktivierung der vollen Funktionalität (nach einem Neustart der Endpunkte)
verwenden. Der Grund hierfür ist, dass diese Funktion das Patchen einiger System-DLLs erfordert und
der Patching-Vorgang möglicherweise einen Neustart nach sich zieht, um wirksam zu werden.
Die Selbstgenehmigung ist an den Endpunkten standardmäßig deaktiviert. Sie können eine Richtlinie
konfigurieren, um diese Funktion an ausgewählten Endpunkten zu aktivieren.
Nach der Aktivierung dieser Funktion können Benutzer eine unbekannte oder neue Anwendung auf
einem geschützten Endpunkt genehmigen und ausführen.
Vorgehensweise
184
1
2
3
Produkthandbuch
4
11
Standardmäßig wird die Richtlinie My Default auf alle Endpunkte im Unternehmen angewendet. Um die
Selbstgenehmigungsfunktion für ausgewählte Endpunkte zu aktivieren, duplizieren Sie die My
Default-Richtlinie, bearbeiten Sie die Einstellungen, und wenden Sie die Richtlinie nur auf die
betreffenden Endpunkte an.
5
Wählen Sie Selbstgenehmigung aktivieren.
6
(Optional) Geben Sie die Nachricht ein, die den Benutzern am Endpunkt angezeigt werden soll,
wenn diese versuchen, eine neue oder unbekannte Anwendung auszuführen.
Der angegebene Text wird am Endpunkt im Dialogfeld McAfee Application Control – Selbstgenehmigung
angezeigt.
7
Geben Sie für das Dialogfeld McAfee Application Control – Selbstgenehmigung einen Wert für die
Zeitüberschreitung an.
Der festgelegte Wert bestimmt die Dauer, für die das Dialogfeld McAfee Application Control –
Selbstgenehmigung am Endpunkt angezeigt wird, nachdem eine Aktion vom Benutzer ausgeführt
wurde. Wenn der Benutzer innerhalb der festgelegten Zeit keine Aktion durchführt, wird die Aktion
automatisch verweigert, und das Dialogfeld McAfee Application Control – Selbstgenehmigung wird
geschlossen.
8
Geben Sie an, ob es für den Benutzer obligatorisch oder optional sein soll, beim Zulassen von
Aktionen am Endpunkt geschäftliche Anforderungen anzugeben.
9
(Optional) Geben Sie die erweiterten Optionen an.
Bei Auswahl dieser Option wird die Ausführung aller Anwendungen zugelassen, die beim Start des
Systems ausgeführt werden oder wenn eine interaktive Sitzung nicht verfügbar ist.
10 Speichern Sie die Richtlinie, und wenden Sie sie auf die Endpunkte an.
Sobald die Richtlinie angewendet wurde, wird die Selbstgenehmigung an den Endpunkten aktiviert.
11 Wenn Benutzer versuchen, eine neue Anwendung an den Endpunkten auszuführen, wird im
Dialogfeld McAfee Application Control – Selbstgenehmigung die Ausführung der Anwendung gemeldet, und
der Benutzer wird aufgefordert, eine Aktion durchzuführen.
Für vertrauenswürdige und bösartige Binärdateien und Zertifikate wird die Ausführung basierend auf
der von der konfigurierten Reputationsquelle empfangenen Reputation zugelassen. Daher wird das
Dialogfeld McAfee Application Control – Selbstgenehmigung für vertrauenswürdige und bösartige Dateien nicht
angezeigt. Ist die Reputation der Binärdatei oder des Zertifikats jedoch unbekannt, fordert das
Dialogfeld McAfee Application Control – Selbstgenehmigung den Benutzer dazu auf, eine Aktion durchzuführen.
•
Geben Sie eine Begründung an (wenn obligatorisch), und klicken Sie auf Zulassen, um die Aktion
sofort zuzulassen. Wenn Sie die Aktion selbst genehmigen, wird eine Genehmigungsanfrage an
den Administrator gesendet, der die angegebene Begründung überprüft und entscheidet, ob die
Aktion für einen oder mehrere Endpunkte im Unternehmen zugelassen oder gesperrt wird. Die
Aktion wird vom McAfee ePO-Administrator nur dann zugelassen, wenn sie mit den
Unternehmensrichtlinien übereinstimmt und die Anwendung vertrauenswürdig und bekannt ist.
•
Klicken Sie auf Verweigern, um die Aktion zu verweigern. Benutzer können die Aktion verweigern,
wenn sie nicht durch einen Benutzer initialisiert wurde oder die Änderungen als irrelevant
eingestuft werden. Die Aktion "Verweigern" ist ereignisspezifisch. Wenn das gleiche Ereignis
erneut generiert wird, wird der Benutzer wieder aufgefordert, eine Aktion auszuführen.
Produkthandbuch
185
11
Benutzer können die Ereignisbenachrichtigungen prüfen und Genehmigungen für bestimmte
Aktionen anfordern.
1
Klicken Sie in der Benachrichtigung auf dem Endpunkt mit der rechten Maustaste auf das
McAfee Agent-Symbol.
2
Wählen Sie Schnellkonfiguration | Application Control- und Change Control-Ereignisse.
3
Überprüfen Sie im Fenster Application Control- und Change Control-Ereignisse die Ereignisse.
4
Fordern Sie die Genehmigung einer Aktion beim McAfee ePO-Administrator an, indem Sie das
Ereignis auswählen und auf Genehmigung anfordern klicken. Der McAfee ePO-Administrator erhält
eine E-Mail mit allen relevanten Ereignisdetails und einem Link. Der Administrator kann auf
den Link klicken, um das benötigte Ereignis auf der Seite Solidcore-Ereignis zu öffnen und die
erforderlichen Regeln zu definieren.
Überprüfen und bearbeiten Sie die Liste der allgemeinen Prozesse des Startprogramms und der
Namen eingeschränkter Zertifikate.
Sie können für die Funktion die folgenden Einstellungen konfigurieren.
•
Allgemeine Prozesse des Startprogramms – Bestimmte Prozesse auf dem
Windows-Betriebssystem wie beispielsweise "explorer.exe" und "iexplore.exe" starten weitere
Prozesse, die dazu verwendet werden können, eine beliebige Software auszuführen. Solche
Prozesse werden als allgemeine Prozesse des Startprogramms bezeichnet und dürfen niemals als
Aktualisierungsprogramm konfiguriert werden. Eine vordefinierte Liste solcher Prozesse ist auf der
Konfigurationsoberfläche von Application Control verfügbar. Sie können die Liste der allgemeinen
Prozesse des Startprogramms überprüfen und bearbeiten. An den Endpunkten werden keine
Aktualisierungsprogrammregeln für die allgemeinen Prozesse des Startprogramms erzeugt.
•
Namen eingeschränkter Zertifikate – Zertifikate von bestimmten Anbietern, z. B. Microsoft,
sind mit verschiedenen häufig verwendeten Anwendungen verknüpft und sollten nicht zum
Definieren von Regeln basierend auf dem Zertifikat verwendet werden. Eine vordefinierte Liste
solcher Zertifikate ist auf der Konfigurationsoberfläche von Application Control verfügbar. Sie
können die Liste der Namen eingeschränkter Zertifikate überprüfen und bearbeiten. Wenn die
Binärdatei der Anfrage mit einem dieser Zertifikate signiert wurde, sollten Sie sich darüber im
Klaren sein, dass Sie keine Regeln erstellen können, die auf dem mit der Binärdatei verknüpften
Zertifikat basieren.
Vorgehensweise
186
1
Wählen Sie in der McAfee ePO-Konsole Menü | Konfiguration | Server-Einstellungen | Solidcoreaus.
2
Überprüfen und bearbeiten Sie die Liste der allgemeinen Prozesse des Startprogramms.
a
Prüfen Sie die im Feld Allgemeine Prozesse des Startprogramms aufgelisteten Prozesse.
b
c
Fügen Sie den Prozessnamen (durch ein Komma getrennt) am Ende der Liste hinzu, und klicken
Sie dann auf Speichern.
Produkthandbuch
3
11
Überprüfen und bearbeiten Sie die Liste der eingeschränkten Zertifikate.
a
Prüfen Sie die im Feld Namen eingeschränkter Zertifikate aufgelisteten Namen.
b
c
Fügen Sie den Namen des Anbieters (durch ein Komma getrennt) am Ende der Liste hinzu, und
Wenn beispielsweise die Erstellung von Regeln auf der Grundlage eines Microsoft-Zertifikats
verhindert werden soll, fügen Sie der Liste den Eintrag Microsoft hinzu. Verwenden Sie den im
Feld "Ausgestellt für" aufgeführten Wert des Zertifikats.
Standardmäßig können nicht-globale Administratoren nur Anfragen anzeigen, verwalten und löschen,
die bei Endpunkten in ihrer Gruppe (in Eigene Organisation) erstellt wurden.
Wenn Sie Anfragedetails auf der Seite Anfragedetails anzeigen, kann die Anzahl von Anfragen im Bereich
Unternehmensstufe – Aktivität kleiner sein als der Wert in der Spalte Globale Prävalenz auf der Seite
Richtlinienerkennung. Das liegt daran, dass in der Spalte Globale Prävalenz die unternehmensweite
Verbreitung der Anfragen unabhängig von ihren Gruppen angezeigt wird. Beispiel: Wenn dieselbe
Anfrage von zwei Systemen in verschiedenen Gruppen im Unternehmen generiert wird, erscheint in
Globale Prävalenz der Wert "2". Da aber nicht-globale Administratoren nur die Anfragen sehen können, die
für ihre Gruppe generiert wurden, kann der nicht-globale Administrator im Bereich Unternehmensstufe –
Aktivität möglicherweise nur eine Anfrage sehen, die vom System in seiner Gruppe erstellt wurde.
Der McAfee ePO-Administrator kann alle Anfragen, die im Unternehmen (Eigene Organisation) erstellt
wurden, überprüfen und verwalten. Der McAfee ePO-Administrator kann auch Regeln zu einer
Regelgruppe hinzufügen und Berechtigungen für alle nicht-globalen Administratoren erteilen, im
Unternehmen erstellte Anfragen zu prüfen und entsprechende Maßnahmen zu ergreifen.
Wenn Sie ein nicht-globaler Administrator sind, können Sie Regeln (für eine Anfrage) nur zu den
Regelgruppen hinzufügen, deren Besitzer Sie sind. Regelgruppen, deren Besitzer Sie nicht sind,
werden auf der Seite Richtlinienerkennung: Benutzerdefinierte Regeln nicht angezeigt. Wenn Sie eine Aktion für
eine Anfrage ergreifen, wirkt sich die Aktion auf dieselbe Anfrage, die vom System einer anderen
Gruppe erstellt wurde, nicht aus.
Zulassen der Verwaltung von unternehmensweiten Anfragen
durch nicht-globale Administratoren
Als McAfee ePO-Administrator können Sie bei Bedarf allen nicht-globalen Administratoren (die Zugriff
auf Gruppen in Eigene Organisation haben), die Berechtigung zum Prüfen und Verwalten von in Ihrem
Unternehmen generierten Anfragen gewähren.
Vorgehensweise
1
2
Wählen Sie im Bereich Einstellungskategorien die Option Solidcore aus, und klicken Sie auf Bearbeiten, um
die Seite Solidcore bearbeiten zu öffnen.
Produkthandbuch
187
11
3
Ändern Sie den Wert von Gruppenadministratoren die Verwaltung von Richtlinienerkennungsanfragen für die gesamte
Systemstruktur erlauben in Ja (setzt Zugriffsberechtigungen für Systemstrukturgruppe außer Kraft).
4
Alle nicht-globalen Administratoren haben das Recht, benutzerdefinierte Aktionen nach
unternehmensweiten Anfragen zu prüfen und danach Maßnahmen zu treffen. Nicht-globale
Administratoren können keine globalen Aktionen durchführen.
Überprüfen Sie die Anfragen, die von den Endpunkten gesendet werden.
Prüfen Sie auf dem Dashboard Solidcore: Systemüberwachung den Monitor 10 häufigste ausstehende
Richtlinienerkennungsanfragen, um die Daten zu erfassen, bei denen sofortige Maßnahmen erforderlich sein
könnten. Informationen zum Dashboard Solidcore: Systemüberwachung finden Sie unter Überwachen des
Status der Endpunkte im Unternehmen.
Vorgehensweise
1
Nachdem die von den Endpunkten gesendeten Anfragen empfangen wurden, fasst Application
Control die Anfragen zusammen und gruppiert sie nach den folgenden Parametern.
•
SHA-1-Wert der Binär- oder .cab-Datei (im Falle einer Anfrage für ein ActiveX-Steuerelement),
auf die sich die empfangene Anfrage bezieht
•
Status der Anfrage
Das Feld Aktivität gibt für jede Anfrage an, welche Aktion durch den Benutzer am Endpunkt
ausgeführt wurde. Wenn der Benutzer zum Beispiel eine MSI-Software installiert, wird im Feld
Aktivität die Softwareinstallation für die Anfrage aufgelistet.
2
188
Überprüfen Sie die aufgeführten Anfragen mit einer der folgenden Methoden.
•
Bestimmtes Intervall – Wählen Sie in der Liste Zeitfilter eine Option aus, und klicken Sie auf
Ergebnisse aktualisieren, um in einem bestimmten Intervall eingegangene Anfragen anzuzeigen.
•
Anfragestatus – Wählen Sie in der Liste Genehmigungsstatus einen Wert für den Anfragestatus
aus, und klicken Sie auf Ergebnisse aktualisieren, um alle Genehmigungsanfragen anzuzeigen, die
dem ausgewählten Status entsprechen.
•
Aktivität – Wählen Sie in der Liste Aktivität einen Wert aus, und klicken Sie auf Ergebnisse
aktualisieren, um Anfragen für eine bestimmte Aktivität anzuzeigen.
•
Reputation – Wählen Sie einen Wert aus der Liste Endgültige Reputation aus, und klicken Sie auf
Ergebnisse aktualisieren, um die Anfragen für Dateien anzuzeigen, die mit der ausgewählten
Reputationsstufe übereinstimmen. Klicken Sie auf Was bedeutet endgültige Reputation?, um weitere
Informationen dazu zu erhalten, wie die Software die endgültige Reputation für Dateien oder
Zertifikate festlegt.
•
Bestimmter Endpunkt – Geben Sie im Feld Systemname den Namen eines Endpunkts ein, und
klicken Sie auf Ergebnisse aktualisieren, um vom Endpunkt erhaltene Anfragen anzuzeigen. Beachten
Sie, dass der vollständige Systemname eingegeben werden muss, da partielle
Übereinstimmungen nicht berücksichtigt werden.
Produkthandbuch
Prozessanfragen
11
•
Mehrere Kriterien – Füllen Sie gegebenenfalls die Felder Zeitfilter, Genehmigungsstatus, Aktivität,
Endgültige Reputation und Systemname aus, und klicken Sie auf Ergebnisse aktualisieren, um eine auf
mehrere Kriterien gestützte Suche durchzuführen.
•
Bestimmte Suchzeichenfolge – Geben Sie im Feld Schnellsuche eine Suchzeichenfolge ein, und
klicken Sie auf Anwenden, um nur die Anfragen anzuzeigen, die der angegebenen
Suchzeichenfolge entsprechen. Je nach eingegebenem Text werden partielle
Übereinstimmungen berücksichtigt.
•
Sortieren – Sortieren Sie die Liste nach globaler Prävalenz, Ausführungszeit, Aktivität,
Objektnamen, Anwendungsnamen, Zertifikat, endgültiger Reputation oder Reputationsquelle,
indem Sie auf die entsprechende Spaltenüberschrift klicken.
•
Ausgewählte Anfragen – Sie können auch Anfragen, die für Sie von Interesse sind,
auswählen und auf Ausgewählte Zeilen anzeigen klicken, um nur die ausgewählten
Genehmigungsanfragen zu überprüfen.
Auf der Seite Richtlinienerkennung werden nur die Anfragen aufgelistet, für die der McAfee
ePO-Administrator Regeln erstellen kann. Wenn Sie weitere Anfragen anzeigen möchten, z. B. für die
Deinstallation von Software, führen Sie die Abfrage Audit-Bericht zur Selbstgenehmigung aus. Dieser Bericht
enthält eine Liste aller Anfragen von den Endpunkten, die im letzten Monat empfangen wurden.
Weitere Informationen zum Ausführen von Abfragen finden Sie unter Anzeigen von Abfragen.
3
Überprüfen Sie mehrere einzelne Anfragen, die eine zusammengefasste Anfrage bilden, sowie
detaillierte Informationen zur Binärdatei.
a
Klicken Sie auf eine Zeile, um die Seite Anfragedetails zu öffnen.
b
Überprüfen Sie die Details zur Binärdatei, etwa Binärname, Version, Pfad, übergeordneter
Prozess, geänderte Dateien und endgültige Reputation.
c
Überprüfen Sie die Binärdatei-SHA-1- und Binärdatei-MD5-Informationen für die Binärdatei.
d
Klicken Sie auf den Binärdatei-SHA-1-Wert, um die Dateidetails auf der Seite Binärdateidetails zu
überprüfen.
e
Überprüfen Sie den Namen des Zertifikatsanbieters für die Binärdatei. Der Name des
Zertifikatsanbieters für eine Binärdatei ist farbcodiert, um die Reputation (vertrauenswürdig –
grün, bösartig – rot, unbekannt – orange) kenntlich zu machen.
f
Klicken Sie auf den Zertifikatnamen, um Zertifikatdetails anzuzeigen, z. B Aussteller,
Zertifikat-Reputation, Reputationsquelle, Zertifikat-Hash, Gültig ab/bis sowie Algorithmus, Länge
und Hash des öffentlichen Schlüssels.
g
Überprüfen Sie mehrere einzelne Anfragen, die im Bereich Unternehmensstufe – Aktivität eine
zusammengefasste Anfrage bilden.
h
Prozessanfragen
Verarbeiten Sie die Anfragen für die von Ihnen verwalteten Gruppen, indem Sie die entsprechenden
Aktionen durchführen. Wenn Sie ein McAfee ePO-Administrator sind, können Sie die eingegangenen
Anfragen für Ihr Unternehmen definieren.
Prüfen Sie jede Anfrage, und bestimmen Sie die Aktion, die für die Anfrage ausgeführt werden soll. Für
jede Anfrage sind auch Informationen zur endgültigen Reputation, Reputationsquelle, globalen
Prävalenz sowie zum Binärdatei-SHA-1 und Zertifikat verfügbar, um Ihnen beim Ermitteln der zu
ergreifenden Maßnahmen zu helfen.
Produkthandbuch
189
11
Prozessanfragen
Der Reputationswert für eine Datei ist farbcodiert, um die Reputation (vertrauenswürdig, bösartig oder
unbekannt) kenntlich zu machen:
•
Werte in Grün bedeuten, dass die Datei als vertrauenswürdig bekannt, höchstwahrscheinlich
vertrauenswürdig oder möglicherweise vertrauenswürdig ist.
•
Werte in Orange bedeuten, dass die Datei unbekannt ist.
•
Werte in Rot bedeuten, dass die Datei als bösartig bekannt, höchstwahrscheinlich bösartig oder
möglicherweise bösartig ist.
•
Graue Werte bedeuten, dass der Reputationswert "Nicht zutreffend" lautet (nur für Anfragen bzgl.
Netzwerkpfadausführung).
Die Reputationsquelle bezeichnet die Quelle, von der die Reputation abgerufen wird. Mögliche Werte
für die Reputationsquelle sind TIE, GTI, Application Control, "Nicht synchronisiert" oder "Nicht
zutreffend". Wenn Sie auf den TIE-Wert klicken, wird die Seite TIE-Reputationen geöffnet, auf der
relevante Details für die ausgewählte Binärdatei angezeigt werden. Weitere Informationen zur
Berechnung der Reputation finden Sie unter Datei- und Zertifikat-Reputation.
Aufgaben
190
•
Zulassen einer Datei auf allen Endpunkten auf Seite 134
•
Zulassen nach Zertifikat auf allen Endpunkten auf Seite 135
Definieren Sie Regeln, mit denen Anwendungen, Binärdateien oder ActiveX-Steuerelemente
in Abhängigkeit vom zur jeweiligen Datei gehörigen Zertifikat auf allen Endpunkten im
•
Sperren nach SHA-1 auf allen Endpunkten auf Seite 136
Definieren Sie Regeln, mit denen das Ausführen von Anwendungen oder Binärdateien auf
allen Endpunkten im Unternehmen in Abhängigkeit vom SHA-1-Wert der Binärdatei
gesperrt werden kann.
•
Definieren von Regeln für bestimmte Endpunkte auf Seite 193
Fügen Sie automatisch ausgefüllte Regeln hinzu, mit denen eine Anwendung, eine
Binärdatei oder ein ActiveX-Steuerelement für bestimmte Endpunkte in Ihrer
Administrationsgruppe zugelassen oder gesperrt wird. Alternativ dazu können Sie
benutzerdefinierte Regeln für bestimmte Endpunkte oder Gruppen nach Bedarf definieren.
Wenn Sie ein McAfee ePO-Administrator sind, können Sie Regeln für spezielle Endpunkte in
Ihrem Unternehmen definieren.
•
Zulassen durch Hinzufügen zu Whitelist für bestimmte Endpunkte auf Seite 139
Fügen Sie eine oder mehrere Binärdateien zur Whitelist eines Endpunkts hinzu, um die
Ausführung der Dateien auf dem Endpunkt zuzulassen.
•
•
•
Ereignisse anzeigen auf Seite 141
•
Löschen von Anfragen auf Seite 141
Entfernen Sie ausgewählte Anfragen von der Seite Richtlinienerkennung und aus der
Datenbank.
Produkthandbuch
Prozessanfragen
11
Zulassen einer Datei auf allen Endpunkten
Bevor Sie beginnen
Je nach Aktivitätstyp werden Regeln für den Datei-SHA-1, den Dateinamen oder beides erstellt. In
einigen Fällen werden der Datei Aktualisierungsberechtigungen gewährt. Weitere Informationen finden
Sie im Handbuch zu den empfohlenen Vorgehensweisen für McAfee Application Control unter
Empfehlungen und Richtlinien zur Bereitstellung.
Vorgehensweise
1
2
3
Klicken Sie auf Aktionen | Binärdatei global zulassen.
Im Dialogfeld Binärdatei global zulassen werden Details zur Aktion angezeigt, und Sie werden
4
Klicken Sie auf OK.
Für die mit den ausgewählten Anfragen verbundenen Binärdateien werden Regeln erstellt, die zur in
der McAfee Default-Richtlinie enthaltenen Regelgruppe "Globale Regeln" hinzugefügt werden. Weitere
erstellten Regeln.
Zulassen nach Zertifikat auf allen Endpunkten
Definieren Sie Regeln, mit denen Anwendungen, Binärdateien oder ActiveX-Steuerelemente in
Abhängigkeit vom zur jeweiligen Datei gehörigen Zertifikat auf allen Endpunkten im Unternehmen
ausgeführt werden können.
Bevor Sie beginnen
Vorgehensweise
1
2
Produkthandbuch
191
11
Prozessanfragen
3
Klicken Sie auf Aktionen | Global zulassen nach Zertifikat.
Die Aktion Global zulassen nach Zertifikat ist nicht verfügbar, wenn die mit der Anfrage verknüpfte
Hauptbinärdatei mit einem Zertifikat der Liste Namen von eingeschränkten Zertifikaten signiert wurde.
Im Dialogfeld Global zulassen nach Zertifikat werden Details angezeigt, und Sie werden dazu
aufgefordert, die Aktion zu bestätigen. In Abhängigkeit von der mit der ausgewählten Anfrage
verknüpften Binärdatei wird dem Zertifikat eine Aktualisierungsberechtigung zugewiesen oder
nicht. Verfügt das Zertifikat über Aktualisierungsberechtigungen, können alle vom Zertifikat
signierten Anwendungen Änderungen an vorhandenen ausführbaren Dateien vornehmen und neue
Anwendungen auf den Endpunkten starten, wenn Änderungen nach Zertifikat erlaubt sind.
4
Klicken Sie auf OK.
Für das mit der ausgewählten Anfrage verknüpfte Zertifikat werden Regeln erstellt, die zur in der
McAfee Default-Richtlinie enthaltenen Regelgruppe "Globale Regeln" hinzugefügt werden. Weitere
erstellten Regeln.
Sperren nach SHA-1 auf allen Endpunkten
Definieren Sie Regeln, mit denen das Ausführen von Anwendungen oder Binärdateien auf allen
Endpunkten im Unternehmen in Abhängigkeit vom SHA-1-Wert der Binärdatei gesperrt werden kann.
Bevor Sie beginnen
Vorgehensweise
1
2
3
Klicken Sie auf Aktionen | Binärdatei global sperren.
Im Dialogfeld Binärdatei global sperren werden Details zur Aktion angezeigt, und Sie werden
4
Klicken Sie auf OK.
Für die mit den ausgewählten Anfragen verbundenen Binärdateien werden Regeln erstellt, die zur
in der McAfee Default-Richtlinie enthaltenen Regelgruppe "Globale Regeln" hinzugefügt werden.
Weitere Informationen zum Anzeigen oder Bearbeiten der Regeln finden Sie im Abschnitt
Überprüfen von erstellten Regeln.
Um ein Installationsprogramm (z. B. ein MSI-basiertes Installationsprogramm) zu sperren, müssen
Sie nicht nur das Installationsprogramm selbst global sperren (Schritte 3 und 4), sondern auch die
vom Installationsprogramm auf dem Endpunkt, auf dem es ausgeführt wurde, hinzugefügten
Dateien sperren (Schritt 5). Wenn beispielsweise das MSI-basierte Installationsprogramm für
Mozilla Firefox 12 (Firefox-12.0-af.msi) auf einem Endpunkt installiert war und ausgeführt wurde,
müssen Sie die Dateien sperren, die von diesem Installationsprogramm auf dem Endpunkt
hinzugefügt wurden.
192
Produkthandbuch
Prozessanfragen
5
11
Sperren Sie die Dateien, die auf dem Endpunkt bereits hinzugefügt wurden.
a
Klicken Sie auf den Link mit dem Anwendungsnamen.
Auf der Seite Binärdateien werden alle auf dem Endpunkt installierten Binärdateien aufgelistet.
b
Wählen Sie alle aufgelisteten Binärdateien.
c
Klicken Sie auf Aktionen | Binärdateien sperren aus, um den Assistenten Binärdateien zulassen oder sperren
zu öffnen.
d
•
Betriebssystem an.
•
e
Stellen Sie sicher, dass die Regelgruppe, der Sie Regeln hinzufügen, auch zu einer Richtlinie
hinzugefügt wird, die auf dem Endpunkt angewendet wird, auf dem die Anfrage eingegangen ist.
f
g
Das Sperren eines Installationsprogramms, das nicht MSI-basiert ist oder für das keine Binärdatei in
der Benutzerschnittstelle des Inventars angezeigt wird, muss ebenfalls in zwei Schritten erfolgen.
Sperren Sie das Installationsprogramm global, um sicherzustellen, dass es auch auf anderen
Endpunkten im Unternehmen nicht ausgeführt werden kann (in Schritt 3 und 4 abgeschlossen).
Suchen Sie dann manuell nach den zur Anwendung gehörenden Binärdateien, und sperren Sie die
Dateien mithilfe der Benutzerschnittstelle des Inventars.
Definieren von Regeln für bestimmte Endpunkte
Fügen Sie automatisch ausgefüllte Regeln hinzu, mit denen eine Anwendung, eine Binärdatei oder ein
ActiveX-Steuerelement für bestimmte Endpunkte in Ihrer Administrationsgruppe zugelassen oder
gesperrt wird. Alternativ dazu können Sie benutzerdefinierte Regeln für bestimmte Endpunkte oder
Gruppen nach Bedarf definieren. Wenn Sie ein McAfee ePO-Administrator sind, können Sie Regeln für
spezielle Endpunkte in Ihrem Unternehmen definieren.
Vorgehensweise
1
2
Wählen Sie die Anfrage aus, für die Sie benutzerdefinierte Regeln definieren möchten.
3
Klicken Sie auf Aktionen | Benutzerdefinierte Richtlinie erstellen, um die Seite Richtlinienerkennung:
Benutzerdefinierte Regeln zu öffnen.
4
Produkthandbuch
193
11
Prozessanfragen
Zweck
Vorgehensweise
Automatisch ausgefüllte Regeln
prüfen und hinzufügen
1 Wählen Sie Anfrage genehmigen, Anfrage sperren oder Zulassen nach Zertifikat
aus.
2 Überprüfen Sie die automatisch ausgefüllte Regel.
3 Definieren Sie bei Bedarf weitere Regeln.
definieren
1 Wählen Sie Regeln löschen und definieren aus.
2 Überprüfen Sie die angezeigten Anfragedetails.
3 Definieren Sie die entsprechenden Regeln.
5
6
7
•
•
(Optional) Fügen Sie die bearbeitete oder erstellte Regelgruppe einer Richtlinie hinzu.
a
b
Dadurch werden alle gruppierten Anfragen genehmigt.
Zulassen durch Hinzufügen zu Whitelist für bestimmte
Endpunkte
Fügen Sie eine oder mehrere Binärdateien zur Whitelist eines Endpunkts hinzu, um die Ausführung der
Dateien auf dem Endpunkt zuzulassen.
Vorgehensweise
1
2
Klicken Sie auf eine Zeile, um Details der Anfrage auf der Seite Anfragedetails anzuzeigen.
Jede Zeile im Bereich Unternehmensstufe – Aktivität steht für eine Kombination aus Binärdatei und
Endpunkt.
3
Klicken Sie für eine Zeile auf Lokal zulassen.
Im Dialogfeld Lokal zulassen werden Pfade angezeigt, die Sie der Whitelist hinzufügen können.
Die Aktion Lokal zulassen steht nur für Anfragen zur Verfügung, die beim Ausführen von Anwendungen
generiert werden, die nicht in der Whitelist enthalten sind (Anwendungsausführungsaktivität).
194
Produkthandbuch
Prozessanfragen
4
11
Überprüfen Sie die aufgeführten Pfade, und passen Sie sie an.
Wenn Sie beispielsweise proc.exe für einen Endpunkt ausführen, könnten die folgenden Pfade in
der Liste aufgeführt sein.
C:\Programme\<App Name>\proc.exe
C:\Programme\<App Name>\a.dll
C:\Programme\<App Name>\b.dll
Um Redundanz zu vermeiden, empfehlen wir, nur den Pfad C:\Programme\Anwendungsame
hinzuzufügen.
5
Klicken Sie auf OK.
Die angegebenen Pfade werden der Whitelist hinzugefügt und können auf dem Endpunkt ausgeführt
werden.
Vorgehensweise
1
•
•
2
3
4
a
b
Vorgehensweise
1
•
•
2
3
Produkthandbuch
195
11
Ereignisse anzeigen
Vorgehensweise
1
2
Wählen Sie die Anfrage aus, für die Sie verwandte Ereignisse anzeigen möchten.
3
Klicken Sie auf Aktionen | Mehr | Verwandte Ereignisse anzeigen, um die Seite Solidcore-Ereignisse zu öffnen.
4
Überprüfen Sie die Ereignisinformationen.
Weitere Informationen finden Sie unter Überprüfen von Ereignissen und Definieren von Regeln.
Löschen von Anfragen
Entfernen Sie ausgewählte Anfragen von der Seite Richtlinienerkennung und aus der Datenbank.
Zur Sicherstellung einer optimalen Leistung wird der Server-Task Solidcore: Richtlinienerkennungsanfragen
automatisch bereinigen wöchentlich ausgeführt, um Richtlinienerkennungsanfragen zu bereinigen, die älter
als drei Monate sind.
Vorgehensweise
1
2
Wählen Sie die zu löschenden Anfragen aus.
3
Klicken Sie auf Aktionen | Anfragen löschen.
4
Alle ausgewählten zusammengefassten Anfragen sowie die enthaltenen einzelnen Anfragen werden
von der Seite und aus der Datenbank gelöscht.
Bevor Sie beginnen
Sie müssen ein McAfee ePO-Administrator oder Eigentümer der Regelgruppe Globale Regeln
sein, um diesen Task ausführen zu können.
196
Produkthandbuch
11
Vorgehensweise
1
2
Wählen Sie auf der Registerkarte Regelgruppen nach Bedarf die folgenden Optionen aus.
•
Typ Application Control
•
Windows-Plattform
3
Wechseln Sie zur Regelgruppe Globale Regeln.
4
5
6
Bearbeiten Sie die definierten Regeln nötigenfalls.
7
Produkthandbuch
197
11
198
Produkthandbuch
12
Verwenden von Dashboards und
Abfragen
Zeigen Sie mithilfe von Dashboards den Status der Endpunkte und Abfragen an, um Berichte anhand
der Daten, die in der McAfee ePO-Datenbank gespeichert sind, zu überprüfen.
Inhalt
Dashboards
Abfragen
Dashboards
Dashboards sind Sammlungen von Monitoren, die Ihnen helfen, ein Auge auf Ihre Umgebung zu
haben.
Application Control stellt die folgenden Standard-Dashboards bereit.
•
Solidcore: Inventar-Dashboard gestattet Ihnen, das Inventar für die Endpunkte zu beobachten.
•
Solidcore: Application Control-Dashboard hilft Ihnen dabei, die geschützten Endpunkte zu kontrollieren.
•
Solidcore: Systemüberwachung-Dashboard hilft Ihnen beim Überwachen des Status der geschützten
Endpunkte in Ihrem Unternehmen.
Das Erstellen, Duplizieren und Exportieren von Dashboards ist ebenfalls möglich. Weitere
Informationen zum Verwenden von Dashboards finden Sie im McAfee ePolicy
Abfragen
Prüfen Sie mithilfe der verfügbaren Abfragen Informationen für die Endpunkte anhand der Daten, die
in der McAfee ePO-Datenbank gespeichert sind.
Diese Application Control- und Systemüberwachungsabfragen sind in der McAfee ePO-Konsole
verfügbar.
Produkthandbuch
199
12
Abfragen
Tabelle 12-1 Application Control-Abfragen
Abfrage
Beschreibung
Warnungen
Zeigt alle Warnungen an, die in den letzten drei Monaten generiert
wurden.
Status des Application Control-Agent
Zeigt den Status aller Endpunkte mit der Application Control-Lizenz
an, die durch den McAfee ePO-Server verwaltet werden. Das
Kreisdiagramm kategorisiert die Informationen auf der Basis des
Client-Status. Klicken Sie auf ein Segment, um die Informationen
für den Endpunkt zu prüfen.
Stunden
Zeigt die in den letzten 24 Stunden entdeckten Verletzungsversuche
an. Das Liniendiagramm zeichnet Daten auf Stundenbasis. Klicken
Sie auf einen Wert im Diagramm, um Ereignisdetails zu prüfen.
Tagen
Zeigt die in den letzten 7 Tagen entdeckten Verletzungsversuche an.
Das Liniendiagramm zeichnet Daten auf Tagesbasis. Klicken Sie auf
Nicht konforme Solidcore-Agenten
Listet die Endpunkte auf, die derzeit nicht konform sind. Die Liste
wird nach dem Grund für die Nichtkonformität sortiert. Ein Endpunkt
kann in folgenden Fällen nicht konform sein:
• Er befindet sich im deaktivierten, Aktualisierungs- oder
Beobachtungsmodus.
• Er wird im Modus der Aktivierung einer Teilfunktionalität
ausgeführt.
• Der lokale CLI-Zugriff (Command Line Interface,
Befehlszeilenschnittstelle) wurde wiederhergestellt.
200
Richtlinienzuweisungen nach System
Listet die Anzahl an Richtlinien auf, die auf die verwalteten
Endpunkte angewendet werden. Klicken Sie auf ein System, um die
Informationen zu den angewendeten Richtlinien zu prüfen.
Richtlinienerkennungsanfragen für
automatisch genehmigte Installationen
Führt alle Dateien auf, die als Installationsprogramme auf den
Endgeräten erkannt wurden und im letzten Monat automatisch mit
Berechtigungen für Installationsprogramme ausgeführt wurden.
Audit-Bericht zur Selbstgenehmigung
Zeigt eine Liste aller Genehmigungsanfragen von den Endpunkten
im letzten Monat an.
Solidcore Agent-Lizenzbericht
Gibt die Anzahl der Solidcore-Agenten an, die durch den McAfee
ePO-Server verwaltet werden. Die Informationen werden auf der
Grundlage der Lizenzinformationen kategorisiert und weiter auf der
Basis des Betriebssystems am Endpunkt sortiert.
Solidcore Agent-Statusbericht
Zeigt den Status aller Endpunkte an, die durch den McAfee
ePO-Server verwaltet werden. Dieser Bericht kombiniert
Informationen für Application Control- und Change
Control-Lizenzen. Das Kreisdiagramm kategorisiert die
Informationen auf der Basis des Client-Status. Klicken Sie auf ein
Segment, um detaillierte Informationen zu prüfen.
Zusammenfassungsprotokoll über
Serverneustart – 30 Tage fortlaufend
Zeigt das Neustartprotokoll nach Systemname gruppiert an.
Systeme, für die das Inventar derzeit
nicht abgerufen werden kann
Listet die Systeme in Ihrem Unternehmen auf, für die derzeit keine
Inventarinformationen abgerufen werden können. Sie können kein
Inventar für ein System abrufen, wenn das angegebene Intervall
zwischen aufeinanderfolgenden Inventarausführungen noch nicht
erreicht ist. Dieser Intervallwert ist konfigurierbar.
Systeme, für die im letzten Monat keine
Inventarinformationen abgerufen
wurden
Listet die Systeme in Ihrem Unternehmen auf, für die im
vergangenen Monat keine Inventarinformationen abgerufen wurden.
Sie sollten das Inventar jede Woche abrufen.
Produkthandbuch
Abfragen
12
Tabelle 12-1 Application Control-Abfragen (Fortsetzung)
Abfrage
Beschreibung
10 häufigste Anwendungsanbieter
Zeigt die 10 Anwendungsanbieter im Unternehmen mit der höchsten
Anzahl an Anwendungen an. Das Diagramm enthält einen Balken für
jeden Anbieter und listet die Anwendungen für jeden Anbieter auf.
Im Balkendiagramm sind die Daten in absteigender Reihenfolge
sortiert. Klicken Sie auf einen Abschnitt in einem Balken im
Diagramm, um detaillierte Informationen für die zugehörige
Anwendung anzuzeigen.
Zeigt die 10 Systeme mit der maximalen Anzahl an Verletzungen in
den letzten 24 Stunden an. Das Diagramm enthält einen Balken für
jedes System und gibt die Anzahl der Verletzungen für jedes System
an. Klicken Sie auf einen Balken im Diagramm, um detaillierte
Informationen anzuzeigen.
Zeigt die 10 Systeme mit der maximalen Anzahl an Verletzungen in
den letzten 7 Tagen an. Das Diagramm enthält einen Balken für
jedes System und gibt die Anzahl der Verletzungen für jedes System
an. Klicken Sie auf einen Balken im Diagramm, um detaillierte
Richtlinienverletzungsversuchen in den letzten 7 Tagen an. Das
Anzahl der Richtlinienverletzungsversuche für jeden Benutzer an. Im
Balkendiagramm sind die Daten in absteigender Reihenfolge
sortiert. Klicken Sie auf einen Balken im Diagramm, um detaillierte
Richtlinienverletzungsversuchen in den letzten 24 Stunden an. Das
Anzahl der Richtlinienverletzungsversuche für jeden Benutzer an. Im
Balkendiagramm sind die Daten in absteigender Reihenfolge
sortiert. Klicken Sie auf einen Balken im Diagramm, um detaillierte
Tabelle 12-2 Systemüberwachungsabfragen
Abfrage
Beschreibung
Client-Task-Protokolle – Datenstautrend
in den letzten 7 Tagen
Zeigt den Datenstautrend für Client-Task-Protokolle in den letzten 7
Tagen an. Das Liniendiagramm zeichnet Daten auf Tagesbasis.
Klicken Sie auf einen Wert im Diagramm, um Details zu prüfen.
Inventar – Datenstautrend in den letzten
7 Tagen
Zeigt den Datenstautrend für das Inventar in den letzten 7 Tagen
an. Das Liniendiagramm zeichnet Daten auf Tagesbasis. Klicken Sie
auf einen Wert im Diagramm, um Details zu prüfen.
Anzahl der Systeme, auf denen
Beschränkung in den letzten 7 Tagen
gestartet wurde
Zeigt die Anzahl der Systeme an, auf denen die Beschränkung von
Ereignissen, Inventaraktualisierungen oder Richtlinienerkennung
(Beobachtungen) in den letzten 7 Tagen gestartet wurde. In der
Übersichtstabelle sind die Daten in absteigender Reihenfolge
sortiert.
Beobachtungen – Datenstautrend in den Zeigt den Datenstautrend für Beobachtungen in den letzten 7 Tagen
letzten 7 Tagen
an. Das Liniendiagramm zeichnet Daten auf Tagesbasis. Klicken Sie
auf einen Wert im Diagramm, um Details zu prüfen.
Selbstgenehmigung – Datenstautrend in
den letzten 7 Tagen
Zeigt den Datenstautrend für Selbstgenehmigungsanfragen in den
letzten 7 Tagen an. Das Liniendiagramm zeichnet Daten auf
Tagesbasis. Klicken Sie auf einen Wert im Diagramm, um Details zu
prüfen.
Produkthandbuch
201
12
Tabelle 12-2 Systemüberwachungsabfragen (Fortsetzung)
Abfrage
Beschreibung
Systeme mit den meisten ausstehenden, Zeigt Systeme an, die im Beobachtungsmodus ausgeführt werden
im Beobachtungsmodus generierten
und bei denen es ausstehende Richtlinienerkennungsanfragen gibt.
Anfragen
In der Übersichtstabelle sind die Daten in absteigender Reihenfolge
sortiert.
Häufigste 10 Ereignisse für die 10
auffälligsten Systeme in den letzten 7
Tagen
Zeigt die häufigsten 10 Ereignisse für die auffälligsten Systeme in
den letzten 7 Tagen an. Im Balkendiagramm sind die Daten in
Zeigen Sie eine Application Control- oder Solidcore Systemüberwachung-Abfrage an.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Berichterstellung | Abfragen und Berichteaus.
2
Wählen Sie unter McAfee-Gruppen die Gruppe Application Control oder Solidcore Systemüberwachung aus.
3
Prüfen Sie die Abfragen in der Liste.
4
Navigieren Sie zur gewünschten Abfrage, und klicken Sie auf Ausführen.
Das Ergebnis für die ausgewählte Abfrage wird angezeigt.
5
202
Klicken Sie auf Schließen, um zur vorhergehenden Seite zurückzukehren.
Produkthandbuch
13
Nach der Installation von Change Control oder Application Control können Sie verschiedene Tasks zur
Wartung der Endpunkte durchführen. Lesen Sie sich diese Themen durch, um weitere Informationen
zu Wartungs-Tasks zu erhalten.
Inhalt
Überwachen des Status der Endpunkte im Unternehmen
Durchführen von Notfalländerungen
Verwalten der Beschränkung in Ihrem Unternehmen
Ändern des CLI-Kennworts
Erfassen von Debugging-Informationen
Versetzen der Endpunkte in den Modus "Deaktiviert"
Senden von McAfee GTI-Feedback
Bereinigen von Daten
Überprüfen und überwachen Sie den Status der geschützten Endpunkte in Ihrem Unternehmen. Mit
dem Solidcore: Systemüberwachung-Dashboard sehen Sie den Systemstatus auf einen Blick.
Das Solidcore: Systemüberwachung-Dashboard schließt spezifische Monitore ein, um Datenstaugrade für
Inventarelemente und Beobachtungen in der McAfee ePO-Konsole anzuzeigen. Sie können auch
weitere Monitore hinzufügen, um Datenstau bei Selbstgenehmigungsanfragen und
Client-Task-Protokollen zu überprüfen. Auf jedem Monitor kann der Datenstaugrad den Wert Kein Stau,
Niedrig, Mittel, Hoch sowie Daten gelöscht annehmen.
Wert des
Datenstaugrads
Entsprechender
Wert für
Trendmonitore
Beschreibung
Kein Stau
0
Zeigt an, dass kein Datenstau in der McAfee
ePO-Datenbank vorhanden ist.
Niedrig
1
Zeigt an, dass Daten, die älter als 5 Tage sind, in der
McAfee ePO-Datenbank vorhanden sind und noch nicht
von der Software analysiert wurden. In der Regel wird der
Datenstaugrad Niedrig automatisch behoben. Wenn der
Stau beginnt, wird das Ereignis Datenstau erkannt generiert,
um den Benutzer zu benachrichtigen.
Mittel
2
Zeigt an, dass Daten, die älter als 5 Tage sind, noch in der
McAfee ePO-Datenbank vorhanden sind und noch nicht
von der Software analysiert wurden. In dieser Phase kann
die Benutzeroberfläche langsam reagieren. Wenn der
Datenstaugrad den Wert Mittel erreicht, wird das Ereignis
Datenstau erkannt generiert, um den Benutzer zu
benachrichtigen.
Produkthandbuch
203
13
Wert des
Datenstaugrads
Entsprechender
Wert für
Trendmonitore
Beschreibung
Hoch
3
Zeigt an, dass Daten, die älter als 5 Tage sind, noch
immer nicht von der Software analysiert wurden und dass
die McAfee ePO-Datenbank verstopft ist. Wenn der
Datenstaugrad den Wert Hoch erreicht, werden alte Daten
aus der McAfee ePO-Datenbank gelöscht, um den Stau zu
beheben. Wenn der Datenstaugrad den Wert Hoch erreicht,
wird das Ereignis Datenstau erkannt generiert, um den
Benutzer zu benachrichtigen.
Daten gelöscht
3
Zeigt an, dass zur Analyse ausstehende Daten für die
Funktionen von Endpunkten gelöscht wurden, um den
Stau zu beheben. Wenn Daten aus der McAfee
ePO-Datenbank gelöscht werden, wird das Ereignis Gestaute
Daten gelöscht generiert, um den Benutzer zu
benachrichtigen.
Aufgaben
•
Überprüfen von Datenstaustatus und -trend auf Seite 204
Überprüfen Sie die verschiedenen Monitore auf dem Solidcore: Systemüberwachung-Dashboard,
um den Gesundheitszustand und -trend des Unternehmens zu bewerten.
•
Konfigurieren von Benachrichtigungen auf Seite 205
Konfigurieren Sie Warnungen oder automatische Reaktionen, um eine Benachrichtigung zu
erhalten, sobald ein Datenstau für Ihre Umgebung beginnt.
Überprüfen von Datenstaustatus und -trend
Überprüfen Sie die verschiedenen Monitore auf dem Solidcore: Systemüberwachung-Dashboard, um den
Gesundheitszustand und -trend des Unternehmens zu bewerten.
Vorgehensweise
1
Wählen Sie Menü | Berichterstellung | Dashboards.
2
Wählen Sie das Solidcore: Systemüberwachung-Dashboard aus der Dashboard-Liste aus.
3
Überprüfen Sie den Gesamtgesundheitszustand des Unternehmens.
4
Überprüfen Sie die Datenstaugrade für Inventarelemente und Beobachtungsanfragen.
Funktion
Schritte
Inventar
1 Überprüfen Sie den Monitor Inventar – Datenstaugrad, um festzustellen, ob bei den
Inventarelementen in der McAfee ePO-Datenbank derzeit ein Datenstau
vorliegt.
2 Überprüfen Sie den Monitor Inventar – Datenstautrend in den letzten 7 Tagen, um den
Wochentrend zu ermitteln.
Beobachtungen 1 Überprüfen Sie den Monitor Beobachtungen – Datenstaugrad, um festzustellen, ob bei
den Beobachtungen in der McAfee ePO-Datenbank derzeit ein Datenstau
vorliegt.
2 Überprüfen Sie den Monitor Beobachtungen – Datenstautrend in den letzten 7 Tagen, um
den Wochentrend zu ermitteln.
204
Produkthandbuch
5
13
(Optional) Sie haben die Möglichkeit, die Datenstaugrade bei Selbstgenehmigungsanfragen und
Client-Task-Protokollen zu überprüfen.
a
Wählen Sie in der McAfee ePO-Konsole Dashboard-Aktionen | Duplizieren für das Dashboard Solidcore:
Systemüberwachung aus, und klicken Sie im Dialogfeld Dashboard duplizieren auf OK und dann auf Monitor
hinzufügen.
b
Wählen Sie Solidcore aus der Liste Katekorie aus.
c
Ziehen Sie die Monitore Selbstgenehmigung – Datenstaugrad und Client-Task-Protokolle – Datenstaugrad an den
gewünschten Ort.
d
Wählen Sie Abfragen aus der Liste Kategorie aus.
e
Klicken Sie und ziehen Sie den Monitor Abfragen.
f
Klicken Sie im Dialogfeld Neuer Monitor auf die Dropdown-Liste Monitorinhalt.
g
Navigieren Sie zum Bereich McAfee-Gruppen – Solidcore: Systemüberwachung (McAfee ePO-Konsole),
wählen Sie die Abfrage Selbstgenehmigungs-Datenstautrend in den letzten 7 Tagen aus, und klicken Sie auf
OK.
h
Wiederholen Sie die Schritte d bis g für die Abfrage Client-Task-Protokolle – Datenstautrend in den letzten 7
Tagen.
i
Überprüfen Sie die Angaben zu Stufe und Trend.
Funktion
Schritte
Selbstgenehmigung 1 Überprüfen Sie den Monitor Selbstgenehmigung – Datenstaugrad, um
festzustellen, ob bei den Selbstgenehmigungsanfragen in der McAfee
ePO-Datenbank derzeit ein Datenstau vorhanden ist.
2 Überprüfen Sie den Monitor Selbstgenehmigung – Datenstautrend in den letzten 7
Tagen, um den Wochentrend zu ermitteln.
Client-Task-Protokoll 1 Überprüfen Sie den Monitor Client-Task-Protokolle – Datenstaugrad, um
festzustellen, ob bei den Selbstgenehmigungsanfragen in der McAfee
ePO-Datenbank derzeit ein Datenstau vorhanden ist.
2 Überprüfen Sie den Monitor Client-Task-Protokolle – Datenstautrend in den letzten 7
Tagen, um den Wochentrend zu ermitteln.
Konfigurieren von Benachrichtigungen
Konfigurieren Sie Warnungen oder automatische Reaktionen, um eine Benachrichtigung zu erhalten,
sobald ein Datenstau für Ihre Umgebung beginnt.
Konfigurieren Sie dazu eine Warnung für das Ereignis Datenstau erkannt. Um eine Benachrichtigung zu
erhalten, wenn Daten zur Behebung eines Staus aus der McAfee ePO-Datenbank gelöscht werden,
konfigurieren Sie eine Warnung für das Ereignis Gestaute Daten gelöscht.
Vorgehensweise
1
Wählen Sie Menü | Automatisierung | Automatische Reaktionenaus.
2
Klicken Sie auf Aktionen | Neue Reaktion.
3
Geben Sie den Namen für die Warnung ein.
Produkthandbuch
205
13
4
Wählen Sie die Gruppe ePO-Benachrichtigungsereignisse und den Ereignistyp Bedrohung aus.
5
Wählen Sie Aktiviert aus, und klicken Sie dann auf Weiter, um die Seite Filter zu öffnen.
6
Wählen Sie für die Eigenschaft Definiert in die Option Eigene Organisation aus.
7
Wählen Sie im Bereich Verfügbare Eigenschaften die Option Bedrohungsname aus.
8
Geben Sie in das Wert-Feld DATA_CONGESTION_DETECTED ein.
9
Klicken Sie auf +.
10 Geben Sie in das Wert-Feld CLOGGED_DATA_DELETED ein, und klicken Sie auf Weiter.
11 Geben Sie Aggregationsdetails an, und klicken Sie dann auf Weiter, um die Seite Aktionen zu öffnen.
12 Wählen Sie E-Mail senden aus, geben Sie die E-Mail-Details an, und klicken Sie auf Weiter, um die Seite
Zusammenfassung zu öffnen.
13 Prüfen Sie die Angaben, und klicken Sie auf Speichern.
Um eine Notfalländerung zu implementieren, können Sie ein Änderungsfenster erstellen, das alle
aktiven Sicherheits- und Manipulationsschutzmaßnahmen außer Kraft setzt. Beachten Sie, dass der
Speicherschutz (nur für Application Control) auch im Aktualisierungsmodus aktiviert bleibt. Sie sollten
nur dann ein Änderungsfenster verwenden, wenn die anderen verfügbaren Mechanismen nicht genutzt
werden können.
Führen Sie die folgenden Schritte aus, um Notfalländerungen durchzuführen.
Vorgehensweise
1
Versetzen Sie die Endpunkte in den Aktualisierungsmodus.
2
Führen Sie die erforderlichen Notfalländerungen durch.
3
Versetzen Sie die Endpunkte in den aktivierten Modus.
Aufgaben
206
•
Versetzen der Endpunkte in den Aktualisierungsmodus auf Seite 207
Versetzen Sie die Endpunkte in den Aktualisierungsmodus, um Notfalländerungen
durchführen zu können.
•
Versetzen der Endpunkte in den Modus "Aktiviert" auf Seite 207
Versetzen Sie die Endpunkte wieder in den aktivierten Modus, nachdem Sie die
erforderlichen Änderungen im Aktualisierungsmodus vorgenommen haben.
Produkthandbuch
13
Versetzen der Endpunkte in den Aktualisierungsmodus
Versetzen Sie die Endpunkte in den Aktualisierungsmodus, um Notfalländerungen durchführen zu
können.
Vorgehensweise
1
Wählen Sie Menü | Systeme | Systemstruktur aus.
2
•
•
3
öffnen.
4
Wählen Sie das Produkt Solidcore 7.0.0 und den Task-Typ SC: Aktualisierungsmodus starten aus, und klicken
Sie dann auf Neuen Task erstellen, um die Seite Client-Task-Katalog zu öffnen.
5
6
Geben Sie die Workflow-ID und beliebige Kommentare ein.
Die Workflow-ID enthält eine aussagekräftige Beschreibung für das Aktualisierungsfenster.
7
8
9
Versetzen der Endpunkte in den Modus "Aktiviert"
Versetzen Sie die Endpunkte wieder in den aktivierten Modus, nachdem Sie die erforderlichen
Änderungen im Aktualisierungsmodus vorgenommen haben.
Vorgehensweise
1
2
•
Wenn Sie den Client-Task auf eine Gruppe anwenden möchten, wählen Sie eine Gruppe in der
•
Soll der Client-Task auf einen Endpunkt angewendet werden, wählen Sie den gewünschten
System ändern.
3
öffnen.
4
Wählen Sie das Produkt Solidcore 7.0.0 und den Task-Typ SC: Aktualisierungsmodus beenden aus, und klicken
Sie dann auf Neuen Task erstellen, um die Seite Client-Task-Katalog zu öffnen.
Produkthandbuch
207
13
5
Geben Sie den Task-Namen ein, und fügen Sie Angaben hinzu.
6
7
Klicken Sie auf Weiter, um den Task-Namen einzugeben, und fügen Sie Angaben hinzu.
8
9
Wenn verschiedene an Endpunkten generierte Ereignisse, Richtlinienerkennungsanfragen
(Beobachtungen) oder Inventaraktualisierungen vom McAfee ePO-Server empfangen werden, reagiert
die McAfee ePO-Benutzeroberfläche möglicherweise nicht mehr oder nur langsam. Die
Beschränkungsfunktion hilft bei der Vermeidung solcher Fälle.
Die Weiterleitung von Ereignissen, Richtlinienerkennungsanfragen und Inventaraktualisierungen von
jedem Endpunkt an den McAfee ePO-Server lässt sich steuern. Wenn die an den McAfee ePO-Server
gesendeten Daten den für einen Endpunkt festgelegten Schwellenwert erreichen, wird die
Beschränkung gestartet, und folgende Aktionen werden ausgeführt.
1
Das Senden von Daten (von Endpunkten) an den McAfee ePO-Server wird angehalten.
2
Daten werden in einem Cache an den Endpunkten gespeichert. Wenn der Cache voll ist, werden die
Daten, beginnend mit den ältesten, gelöscht.
Daten werden nur für Ereignisse und Richtlinienerkennungsanfragen im Cache gespeichert. Die
Inventardaten werden nicht gespeichert, sondern lokal an den Endpunkten aktualisiert.
3
Die Beschränkung wird 24 Stunden nach der Generierung des ersten Ereignisses, der ersten
Richtlinienerkennungsanfrage oder Inventaraktualisierung des Tages zurückgesetzt. Manchmal kann
jedoch das Intervall für das Zurücksetzen der Beschränkung von Inventaraktualisierungen länger
als 24 Stunden sein. Weitere Informationen hierzu finden Sie unter KB84044.
4
Im Cache gespeicherte Daten werden an den McAfee ePO-Server in Teilen gesendet (beginnend mit
den ältesten).
Nach dem Zurücksetzen der Beschränkung für Ereignisse und Richtlinienerkennungsanfragen werden
weitere generierte Daten im Cache gespeichert und nicht an den McAfee ePO-Server gesendet, bis der
Cache leer ist.
Die Beschränkungsfunktion ist auf allen unterstützten Windows-Plattformen verfügbar, nicht jedoch
auf UNIX-Plattformen. Sie können die Beschränkung für Ihr Setup verwalten, indem Sie die Endpunkte
identifizieren, für die die Beschränkung gestartet wird, und Gegenmaßnahmen ergreifen. Sie können
die Beschränkung bei Bedarf für Ihr Unternehmen neu konfigurieren.
208
Produkthandbuch
13
Aufgaben
•
Einrichten der Funktion auf Seite 209
Die Beschränkungsfunktion ist standardmäßig für Ereignisse, Inventaraktualisierungen und
Richtlinienerkennungsanfragen aktiviert.
•
Konfigurieren der Beschränkungswerte auf Seite 209
Für die meisten Unternehmen sind die Standardeinstellungen für die
Beschränkungsfunktion ausreichend. Bei Bedarf können Sie die Standardkonfiguration für
die Funktion auch ändern.
•
Verwalten der Beschränkung auf Seite 210
Ermitteln Sie, ob für einen Endpunkt in Ihrem Setup eine Beschränkung gestartet wird, und
ergreifen Sie Gegenmaßnahmen, um die Beschränkung für Ihr Unternehmen zu verwalten.
Einrichten der Funktion
Die Beschränkungsfunktion ist standardmäßig für Ereignisse, Inventaraktualisierungen und
Richtlinienerkennungsanfragen aktiviert.
Durch Aktivieren bzw. Deaktivieren dieser Funktion werden auch alle ihre Unterfunktionen aktiviert
bzw. deaktiviert.
Vorgehensweise
1
2
3
4
5
Öffnen Sie die Richtlinie, und wechseln Sie zur Registerkarte Beschränkung.
6
Aktivieren oder deaktivieren Sie die Beschränkung, indem Sie auf das Kontrollkästchen Beschränkung
aktivieren klicken.
Dadurch wird die Beschränkungsfunktion für Ereignisse, Inventaraktualisierungen und
Richtlinienerkennungsanfragen aktiviert oder deaktiviert.
7
(Optional) Deaktivieren Sie die Beschränkungsfunktion für Ereignisse, Inventaraktualisierungen und
Richtlinienerkennung (Beobachtungen).
Wenn die Beschränkungsfunktion aktiviert ist, können Sie eine oder mehrere Arten der
Beschränkung deaktivieren, indem Sie die Auswahl des entsprechenden Kontrollkästchens
aufheben.
8
Konfigurieren der Beschränkungswerte
Für die meisten Unternehmen sind die Standardeinstellungen für die Beschränkungsfunktion
ausreichend. Bei Bedarf können Sie die Standardkonfiguration für die Funktion auch ändern.
Produkthandbuch
209
13
Vorgehensweise
1
2
3
4
5
Öffnen Sie die Richtlinie, und wechseln Sie zur Registerkarte Beschränkung.
6
Bearbeiten Sie bei Bedarf die Werte für Ereignisse, Inventaraktualisierungen und
Richtlinienerkennungsanfragen.
7
Wert
Beschreibung
Ereignisse
Der Wert für den Schwellenwert und die Cache-Größe wird durch die
Anzahl der Ereignis-XML-Dateien definiert. Standardmäßig können
2.000 XML-Dateien pro Endpunkt innerhalb von 24 Stunden verarbeitet
werden. Die standardmäßige Ereignis-Cache-Größe ist auf
7.000 XML-Dateien pro Endpunkt festgelegt.
Inventaraktualisierungen
Der Wert für den Schwellenwert wird durch die Anzahl der Dateielemente
mit Inventaraktualisierungen definiert. Standardmäßig können
15.000 Dateielemente pro Endpunkt innerhalb von 24 Stunden
verarbeitet werden.
Richtlinienerkennung
(Beobachtungen)
Der Wert für den Schwellenwert und die Cache-Größe wird durch die
Anzahl der Anfrage-XML-Dateien definiert. Standardmäßig können
100 XML-Dateien pro Endpunkt innerhalb von 24 Stunden verarbeitet
werden. Die standardmäßige Ereignis-Cache-Größe ist auf
700 XML-Dateien pro Endpunkt festgelegt.
Verwalten der Beschränkung
Ermitteln Sie, ob für einen Endpunkt in Ihrem Setup eine Beschränkung gestartet wird, und ergreifen
Sie Gegenmaßnahmen, um die Beschränkung für Ihr Unternehmen zu verwalten.
Prüfen Sie auf dem Dashboard Solidcore: Systemüberwachung den Monitor Anzahl der Systeme, auf denen
Beschränkung in den letzten 7 Tagen gestartet wurde, um die Systeme zu erkennen, bei denen sofortige
Maßnahmen erforderlich sein könnten.
Informationen zum Dashboard Solidcore: Systemüberwachung finden Sie unter Überwachen des Status der
Endpunkte im Unternehmen.
Vorgehensweise
1
210
Ermitteln Sie, ob eine Beschränkung gestartet wird, und identifizieren Sie die betroffenen
Endpunkte.
Produkthandbuch
Ereignis
13
Beschreibung
Daten beschränkt Wird für einen Endpunkt generiert, wenn die Beschränkung für ein Ereignis oder
eine Anfrage zur Richtlinienerkennung gestartet wird. Nach dem Zurücksetzen der
Beschränkung wird dieses Ereignis täglich generiert, bis der Cache leer ist.
Daten gelöscht
Wird mit zwei Szenarien für einen Endpunkt generiert.
• Wenn der Cache voll ist und die ältesten Daten aus dem Ereignis- oder
Anfrage-Cache entfernt werden.
• Wenn die Beschränkung von Inventaraktualisierungen für den Endpunkt initiiert
ist.
2
Überprüfen Sie den Beschränkungsstatus für jeden betroffenen Endpunkt.
3
Verarbeiten Sie die Daten, die für betroffene Endpunkte generiert werden, und erstellen Sie
relevante Regeln. Sie müssen die Daten schnell verarbeiten, um sicherzustellen, dass sie nicht
entfernt werden.
Aufgaben
•
Suchen betroffener Endpunkte auf Seite 211
Suchen Sie die Endpunkte Ihres Unternehmens, auf denen Beschränkung initiiert wird.
•
Überprüfen des Beschränkungsstatus auf Seite 212
Überprüfen Sie den Beschränkungsstatus für Endpunkte, auf denen die Beschränkung
gestartet wurde.
•
Verarbeiten von Daten auf Seite 213
Erstellen Sie auf den Endpunkten, auf denen eine Beschränkung gestartet wird, die zum
Verarbeiten der Daten relevanten Regeln oder Filter. Die Kontrolle des Datenflusses wird
verbessert, indem die Anzahl empfangener Daten allmählich reduziert wird.
Suchen betroffener Endpunkte
Suchen Sie die Endpunkte Ihres Unternehmens, auf denen Beschränkung initiiert wird.
Identifizieren Sie Endpunkte, auf denen die Ereignisse Daten beschränkt und Daten gelöscht generiert
werden. Erstellen Sie für diese Ereignisse in Ihrem Unternehmen eine automatische Reaktion. Weitere
Informationen zum Erstellen automatischer Reaktionen finden Sie im McAfee ePolicy
Produkthandbuch
211
13
Vorgehensweise
1
2
Überprüfen Sie die Ereignisliste, und suchen Sie nach Endpunkten, auf denen die folgenden
Ereignisse generiert werden.
Ereignis
Aktion
Daten
beschränkt
Informationen zur Beschränkung von Ereignissen und
Richtlinienerkennungsanfragen (Beobachtungen) für die entsprechenden Endpunkte
finden Sie in der Spalte Objektname. Je nach Beschränkungsart müssen Sie den
Beschränkungsstatus sofort überprüfen und die Daten verarbeiten, um
sicherzustellen, dass keine Daten verloren gehen.
Daten gelöscht
Informationen zur Beschränkung von Inventaraktualisierungen finden Sie in der
Spalte Objektname. Diese Spalte enthält auch Angaben zu Ereignissen und
Richtlinienerkennungsanfragen (Beobachtungen), bei denen die Daten teilweise
schon gelöscht sind. Dies kommt in der Regel dann vor, wenn die Daten für den
Endpunkt nicht schnell verarbeitet werden. Je nach Beschränkungsart muss die
Verarbeitung der Daten bzw. die Verwaltung der Inventaraktualisierungen sofort
erfolgen.
Überprüfen des Beschränkungsstatus
Überprüfen Sie den Beschränkungsstatus für Endpunkte, auf denen die Beschränkung gestartet wurde.
Vorgehensweise
1
2
Klicken Sie auf der Seite Systeme auf den Endpunkt, auf dem die Beschränkung gestartet wurde, um
Details anzuzeigen.
3
Klicken Sie auf die Registerkarte Produkte.
4
Klicken Sie zum Anzeigen von Produktdetails auf die Zeile Solidcore.
5
Überprüfen Sie die Werte der aufgeführten Beschränkungseigenschaften.
Eigenschaft
Beschreibung
Beschränkungsstatus:
Ereignisse
Enthält folgende Informationen.
Beschränkungsstatus:
Richtlinienerkennung
(Beobachtungen)
• Cache-Nutzung
Zeigt den Prozentsatz des Ereignis- oder Anfrage-Cache an, der bereits
durch die gespeicherten Ereignisse oder Anfragen verwendet wird.
• Anzahl der gelöschten Ereignisse oder Anfragen
Sobald die Cache-Nutzung 100 % erreicht, wird das Löschen von
Ereignissen oder Anfragen gestartet. Dann wird das Ereignis Daten gelöscht
generiert und auf den Seiten Bedrohungsereignisprotokoll und Solidcore-Ereignisse
angezeigt.
• Zeitpunkt, an dem der Schwellenwert erreicht wurde
Zeigt die Uhrzeit an, zu der die Ereignis- oder Anfragebeschränkung
gestartet wurde.
212
Produkthandbuch
13
Eigenschaft
Beschreibung
Inventarabrufzeit (letzte)
Zeigt die Uhrzeit an, zu der das Inventar zuletzt abgerufen wurde. Ist die
Beschränkung von Inventaraktualisierungen initiiert, ist der Client-Task
Inventar abrufen deaktiviert, und Sie können das Inventar bis zum Zurücksetzen
der Beschränkung nicht abrufen.
Inventarabrufzeit
(nächste)
Zeigt die Zeit an, zu der Sie das Inventar für den Endpunkt abrufen können.
Wenn die Beschränkung von Inventaraktualisierungen zurückgesetzt wird
(24 Stunden nach der Generierung der ersten Inventaraktualisierung), wird
der Client-Task Inventar abrufen erneut aktiviert, damit Sie das Inventar abrufen
können. In solchen Fällen zeigt diese Eigenschaft die Zeit der Zurücksetzung
der Beschränkung an. Weitere Informationen zum Inventarabruf finden Sie
unter Abrufen des Inventars.
Verarbeiten von Daten
Erstellen Sie auf den Endpunkten, auf denen eine Beschränkung gestartet wird, die zum Verarbeiten
der Daten relevanten Regeln oder Filter. Die Kontrolle des Datenflusses wird verbessert, indem die
Anzahl empfangener Daten allmählich reduziert wird.
Vorgehensweise
•
Führen Sie basierend auf dem Datentyp die relevanten Aktionen aus.
Daten
Aktion
Ereignisse
1 Wählen Sie in der McAfee ePO-Konsole Menü | Berichterstellung |
Solidcore-Ereignisseaus.
2 Überprüfen Sie die generierten Ereignisse auf den identifizierten
Endpunkten, auf denen eine Beschränkung gestartet wird, und
erstellen Sie relevante Regeln für Ereignisse, die auf Angaben wie
Ereignistyp, Generierungszeit und Häufigkeit basieren.
Weitere Informationen finden Sie unter Überprüfen von Ereignissen
und Definieren von Regeln.
3 Definieren Sie erweiterte Ausschlussfilter, um irrelevante Ereignisse
von den Endpunkten auszuschließen.
Weitere Informationen finden Sie unter Angeben von Filtern für
Beobachtungen und Ereignisse.
Anfragen
1 Erstellen Sie relevante Regeln zum Verarbeiten von Anfragen.
Informationen zum Erstellen von Regeln finden Sie unter Verwalten
von Anfragen.
2 Definieren Sie erweiterte Ausschlussfilter, um irrelevante Anfragen
von den Endpunkten auszuschließen.
Weitere Informationen finden Sie unter Angeben von Filtern für
Beobachtungen und Ereignisse.
Inventaraktualisierungen Definieren Sie erweiterte Ausschlussfilter, um irrelevante
Inventaraktualisierungen von den Endpunkten auszuschließen.
Ausführlichere Informationen finden Sie unter Angeben von Filtern für
Inventardaten.
Produkthandbuch
213
13
Ändern Sie das Kennwort für die Standard-Befehlszeilenschnittstelle (CLI).
Vorgehensweise
1
2
3
Das Dialogfeld Vorhandene Richtlinie duplizieren wird angezeigt.
4
Die Richtlinie wird erstellt und auf der Seite Richtlinienkatalog aufgelistet.
5
Klicken Sie zum Öffnen auf die Richtlinie.
6
Geben Sie im Feld CLI das neue Kennwort ein.
7
Bestätigen Sie das Kennwort.
8
9
Übernehmen Sie die Richtlinie für die Endpunkte.
Erfassen von Debugging-Informationen
Erfassen Sie Konfigurations- und Debugging-Informationen für Ihr Setup, bevor Sie sich wegen eines
Problems mit dem Solidcore-Client an den McAfee-Support wenden.
So kann der McAfee-Support Probleme schnell erkennen und beheben. Führen Sie den Client-Task
Debugging-Informationen erfassen aus, um ein Archiv mit Konfigurationsinformationen zum Endpunkt und zu
Solidcore-Client-Protokolldateien zu erstellen. Die ZIP-Datei wird auf dem Endpunkt generiert und ihr
Standort wird auf der Seite Client-Task-Protokoll aufgelistet (klicken Sie auf den mit dem Client-Task
verknüpften Datensatz). Senden Sie die ZIP-Datei zusammen mit Details zum aufgetretenen Problem
an den McAfee-Support.
Erstellen Sie eine ZIP-Datei mit Konfigurations- und Debugging-Informationen.
Vorgehensweise
1
2
3
214
•
•
öffnen.
Produkthandbuch
4
Wählen Sie das Produkt Solidcore 7.0.0 und den Task-Typ SC: Debugging-Informationen erfassen aus, und
klicken Sie dann auf Neuen Task erstellen, um die Seite Client-Task-Katalog zu öffnen.
5
6
7
8
9
13
Wenn Sie die Endpunkte in den deaktivierten Modus versetzen, ist die Software nicht wirksam. Obwohl
die Software installiert ist, sind die zugehörigen Funktionen nicht aktiv.
Vorgehensweise
1
Wählen Sie Menü | Systeme | Systemstruktur aus.
2
•
•
3
öffnen.
4
Wählen Sie das Produkt Solidcore 7.0.0 und den Task-Typ SC: Deaktivieren aus, und klicken Sie dann auf
Neuen Task erstellen, um die Seite Client-Task-Katalog zu öffnen.
5
6
Führen Sie diese Schritte aus.
Lizenz
Schritte
Application
Control
• 5.1.2 oder früher (UNIX und
Windows)
Wählen Sie Endpunkt neu starten aus, um die
Endpunkte neu zu starten.
• 6.0.0 und höher (Windows)
• 6.1.0 und höher (UNIX)
Deaktivieren Sie Endpunkt neu starten, wenn Sie
den Client-Schutz zu Wartungszwecken oder
zur Fehlerbehebung vorübergehend
deaktivieren. Die Software wird deaktiviert,
sobald der Task angewendet wird.
Wenn Sie die Software vor der Deinstallation
deaktivieren, wählen Sie Endpunkt neu starten
aus.
Produkthandbuch
215
13
Lizenz
Schritte
Change
Control
Wählen Sie Endpunkt neu starten aus, um die
Endpunkte neu zu starten.
• 6.0.0 und höher (Windows)
• 6.1.0 und höher (UNIX)
Deaktivieren Sie Endpunkt neu starten, wenn Sie
den Client-Schutz zu Wartungszwecken oder
zur Fehlerbehebung vorübergehend
deaktivieren. Die Software wird deaktiviert,
sobald der Task angewendet wird.
Wenn Sie die Software vor der Deinstallation
deaktivieren, wählen Sie Endpunkt neu starten
aus.
7
8
9
Application Control enthält gesetzte Server-Tasks zum Senden von Feedback an McAfee über Ihre
derzeitige Verwendung der McAfee GTI- und Application Control-Funktionen.
•
Solidcore: Ereignis-Feedback an den McAfee GTI-Server senden (standardmäßig deaktiviert)
•
Solidcore: Richtlinien- und Inventar-Feedback an den McAfee GTI-Server senden (standardmäßig aktiviert und täglich
ausgeführt)
•
Solidcore: Feedback zu Richtlinienerkennungsanfragen an den McAfee GTI-Server senden (standardmäßig aktiviert und
täglich ausgeführt)
Es werden keine Informationen zu einzelnen Computern oder Benutzern an McAfee gesendet. McAfee
speichert keine Daten, die für die Rückverfolgung des Feedbacks zu einem bestimmten Benutzer oder
Unternehmen verwendet werden könnten.
Aufgaben
216
•
Konfiguration von Server-Tasks auf Seite 217
Sie können die Server-Tasks so konfigurieren, dass Informationen darüber gesendet
werden, wie Sie derzeit einen oder alle diese Parameter verwenden.
•
Konfigurieren von Server-Tasks auf Seite 217
Konfigurieren Sie bei Bedarf die Server-Tasks, die Feedback senden.
Produkthandbuch
13
Konfiguration von Server-Tasks
Sie können die Server-Tasks so konfigurieren, dass Informationen darüber gesendet werden, wie Sie
derzeit einen oder alle diese Parameter verwenden.
Ereignisse
Senden Sie Informationen wie den Binärnamen und den SHA-1-Wert
für die Ereignisse "Ausführung verweigert", "Es wurde versucht, die
Kontrolle über den Prozess zu übernehmen" und "Nx-Verletzung
erkannt". Sie können auch Informationen zur Anzahl der Endpunkte
senden, auf denen das Ereignis aufgetreten ist, mit dem
vollständigen Pfad der Binärdatei.
Anhand dieser Informationen kann McAfee feststellen, wie häufig und
wie effektiv Application Control Aktionen blockt. Außerdem können
sie dazu beitragen, die Funktionalität und die Wirksamkeit des
Produkts zu verbessern.
Richtlinien
Senden Sie Informationen zu bearbeitbaren Change Control-,
Application Control- sowie allgemeinen Richtlinien. Informationen
werden auch für die Regelgruppen "Globale Regeln" und "Globale
Beobachtungsregeln (veraltet)" gesendet.
Diese Informationen geben McAfee einen besseren Einblick in Ihre
Verwendung von Richtlinien und Regeln und tragen dazu bei, die
Standardrichtlinien und -regeln zu optimieren.
Inventar
Senden Sie detaillierte Informationen für Binärdateien, einschließlich
Basisname, Name der Anwendung, Anwendungsversion,
Binärdateiversion und Unternehmensvertrauensstufe. Sie können
auch Informationen zur Anzahl der Endpunkte, auf denen die
Binärdatei vorhanden ist, ihren Ausführungsstatus und den
vollständigen Pfad der Binärdatei senden. Dieses Feedback enthält
keine Informationen, durch die sich die Endpunkte identifizieren
lassen, wie den Systemnamen oder die IP-Adresse.
Anhand dieser Informationen kann McAfee feststellen, wie Sie die
Werte für den Datei-Hash-Vertrauensfaktor (GTI) und die
Datei-Hash-Reputation (GTI) verwenden (und ändern), die
Binärdateien zugewiesen sind. Diese Informationen helfen auch beim
Verbessern des McAfee GTI-Datei-Reputationsdienstes.
Richtlinienerkennungsanfragen Senden Sie Informationen für Richtlinienerkennungsanfragen, und
fügen Sie Zertifikatsdetails für die mit der Anfrage verknüpfte
Binärdatei hinzu.
Diese Informationen unterstützen McAfee dabei, den Typ der
Anfragen zu ermitteln, die für Ihr Setup generiert wurden, und die
mit häufig verwendeten Anwendungen verknüpften Zertifikate zu
identifizieren.
ePO-Basisinformationen
Sendet Informationen zur Anzahl der von McAfee ePO verwalteten
Knoten sowie der Knoten, auf denen Application Control installiert ist.
Konfigurieren von Server-Tasks
Konfigurieren Sie bei Bedarf die Server-Tasks, die Feedback senden.
Vorgehensweise
1
Wählen Sie in der McAfee ePO-Konsole Menü | Automatisierung | Server-Tasks aus.
2
Wählen Sie für einen Server-Task Bearbeiten, um den Generator für Server-Tasks zu öffnen.
Produkthandbuch
217
13
3
Ändern Sie den Planungsstatus für den Task.
4
Bereinigen Sie Solidcore-Berichterstellungsdaten nach Alter oder sonstigen Parametern. Beim
Bereinigen von Daten werden die Datensätze endgültig gelöscht.
Vorgehensweise
1
2
3
4
Wählen Sie Solidcore: Bereinigen aus der Liste Aktionen aus.
5
Konfigurieren Sie diese Optionen nach Bedarf.
•
Funktion auswählen – Wählen Sie die Berichterstellungsfunktion aus, für die Sie Datensätze
bereinigen möchten.
•
Datensätze bereinigen, die älter sind als – Wählen Sie diese Option aus, um die Einträge zu bereinigen,
die das angegebene Alter überschreiten. Diese Option ist nicht auf Funktionen anwendbar, die
keine Alterskriterien aufweisen, z. B. Inventardatensätze.
•
Bereinigen nach Abfrage – Wählen Sie diese Option aus, um die Datensätze für die ausgewählte
Funktion zu bereinigen, die die Abfragekriterien erfüllen. Diese Option ist ausschließlich für
Berichterstellungsfunktionen verfügbar, für die Abfragen in McAfee ePO unterstützt werden.
Außerdem wird diese Option ausschließlich für tabellarische Abfrageergebnisse unterstützt.
Es können keine gesetzten Antworten bereinigt werden. Vor dem Bereinigen von Datensätzen
müssen Sie die Abfrage über die Seite Menü | Berichterstellung | Abfragen und Berichte erstellen.
218
6
7
Geben Sie Planungsdetails an, und klicken Sie dann auf Weiter, um die Seite Zusammenfassung zu
öffnen.
8
Überprüfen Sie die Details, und klicken Sie dann auf Speichern.
Produkthandbuch
14
Führen Sie erweiterte Konfigurations-Tasks durch, um Ihre Konfiguration optimal abzustimmen.
Inhalt
Konfigurieren eines Syslog-Servers
Solidcore-Berechtigungssätze
Anpassen von Endbenutzerbenachrichtigungen
Konfigurieren eines Syslog-Servers
Sie können auf weitere Server zugreifen, indem Sie sie bei Ihrem McAfee ePO-Server registrieren.
Mithilfe registrierter Server können Sie Ihre Software auf externen Servern integrieren.
Fügen Sie den Syslog-Server als registrierten Server hinzu und senden Sie Informationen (Reaktionen
oder Solidcore-Ereignisse) an den Syslog-Server.
Vorgehensweise
1
Fügen Sie den Syslog-Server als registrierten Server hinzu.
a
Wählen Sie in der McAfee ePO-Konsole Menü | Konfiguration | Registrierte Serveraus, und klicken Sie
anschließend auf Neuer Server, um den Assistenten Generator für registrierte Server zu öffnen.
b
Wählen Sie den Solidcore Syslog-Server aus der Liste Servertyp aus.
c
Geben Sie den Servernamen und etwaige Anmerkungen ein, und klicken Sie dann auf Weiter.
d
(Optional) Ändern Sie den Syslog-Server-Port.
e
Geben Sie die Serveradresse ein.
Sie können entweder den DNS-Namen, die IPv4-Adresse oder die IPv6-Adresse eingeben.
f
Wählen Sie die konfigurierten Protokollarten aus, die der Server empfängt, indem Sie einen
Wert aus der Liste Syslog-Einrichtung auswählen.
g
Klicken Sie auf Test-Syslog senden, um die Verbindung zum Server zu überprüfen.
h
Sie können entweder bestimmte Reaktionen an den Syslog-Server senden (Schritt 2) oder die
gesetzte Reaktion verwenden, um alle Solidcore-Ereignisse an den Syslog-Server zu senden
(Schritt 3).
Produkthandbuch
219
14
2
Senden Sie Reaktionen an den Syslog-Server.
a
Wählen Sie Menü | Automatisierung | Automatische Antworten aus.
b
Klicken Sie auf Aktionen | Neue Antwort.
c
Geben Sie den Warnungsnamen ein.
d
Wählen Sie die Gruppe ePO-Benachrichtigungsereignisse und den Ereignistyp Bedrohung aus.
e
Wählen Sie Aktiviert aus, und klicken Sie dann auf Weiter, um die Seite Filter zu öffnen.
f
Definieren Sie die relevanten Filter, und klicken Sie dann auf Weiter, um die Seite Aggregation zu
öffnen.
g
Geben Sie Aggregationsdetails an, und klicken Sie dann auf Weiter, um die Seite Aktionen zu
öffnen.
h
Wählen Sie die Aktion Ereignis an Solidcore Syslog senden aus.
i
Geben Sie den Schweregrad und die Nachricht an.
Sie können mithilfe der aufgelisteten Variablen eine Nachrichtenzeichenfolge erstellen.
3
j
Wählen Sie die geeigneten Syslog-Server aus (einen oder mehrere), und klicken Sie dann auf
Weiter.
k
Prüfen Sie die Reaktionsdetails, und klicken Sie dann auf Speichern.
Senden Sie alle Solidcore-Ereignisse an den Syslog-Server.
Application Control und Change Control enthalten eine gesetzte Reaktion, die Sie so konfigurieren
können, dass alle Solidcore-Ereignisse automatisch an den Syslog-Server gesendet werden.
a
Wählen Sie Menü | Automatisierung | Automatische Antworten aus.
b
Ändern Sie die Reaktion Solidcore-Ereignisse an den Syslog-Server senden, um diese Optionen zu
konfigurieren.
•
Setzen Sie den Status auf Aktiviert.
•
Stellen Sie sicher, dass der richtige Syslog-Server ausgewählt ist.
•
Prüfen Sie die Nachrichtenzeichenfolge.
Die Nachrichtenzeichenfolge basiert auf dem Common-Exchange-Format. Wenden Sie sich an
den McAfee-Support, um die Nachrichtenzeichenfolge besser zu verstehen.
c
Speichern Sie die Antwort.
Ein Berechtigungssatz ist eine Gruppe von Berechtigungen, die jedem Benutzer durch Zuweisung an
sein Benutzerkonto gewährt werden kann. Mit Berechtigungssätzen wird die Ebene des Zugriffs
kontrolliert, den Benutzer auf in der Software verfügbare Funktionen haben.
Während Benutzer mithilfe von Benutzerkonten auf Software zugreifen und diese verwenden können,
sind jedem Benutzerkonto ein oder mehrere Berechtigungssätze zugewiesen, die festlegen, welche
Aktionen der Benutzer mit der Software durchführen darf.
Berechtigungssätze können Berechtigungen und den Zugriff nur gewähren, aber niemals widerrufen.
Wenn mehrere Berechtigungssätze auf ein Benutzerkonto angewendet werden, werden sie aggregiert.
220
Produkthandbuch
14
Wenn ein Berechtigungssatz z. B. keine Berechtigungen für Server-Tasks bietet, ein anderer Satz für
das Konto aber alle Berechtigungen für Server-Tasks gewährt, besitzt das Benutzerkonto alle
Berechtigungen für Server-Tasks. Dies ist zu berücksichtigen, wenn Sie die Strategie für die
Gewährung von Benutzerberechtigungen in Ihrer Umgebung planen.
Globalen Administratoren werden Berechtigungen für sämtliche Produkte und Funktionen automatisch
zugewiesen.
Wenn eine neue Produkterweiterung installiert wird, werden die produktspezifischen Berechtigungen
zu McAfee ePO hinzugefügt. Die Solidcore-Erweiterung für Change Control und Application Control fügt
die Berechtigungssätze Solidcore-Administrator und Solidcore-Prüfer auf der Seite Menü | Benutzerverwaltung |
Berechtigungssätze hinzu.
Durch Solidcore-Berechtigungssätze verliehene Berechtigungen
Folgende Berechtigungen werden von den Solidcore-Berechtigungssätzen gewährt:
Funktionen
Berechtigungssatz
"Solidcore-Administrator"
Berechtigungssatz
"Solidcore-Prüfer"
Solidcore – Allgemein
Gewährt Anzeige- und
Änderungsberechtigungen
Gewährt
Gewährt Anzeige- und
Änderungsberechtigungen
Gewährt
• Abfragen, Dashboards
• Ereignisse
• Reaktionen
• Warnungen
• Client-Task-Protokoll
• Inventar
• Beobachtungen (veraltet)
• Überwachung von Inhaltsänderungen
• Richtlinienerkennung
• Zertifikate
• Installationsprogramme
• Regelgruppen
Solidcore-Richtlinienberechtigung
• Application Control-Richtlinien
• Change Control-Richtlinien
• Integrity Monitor-Richtlinien
• Allgemeine Richtlinien
Begrenzungen der Solidcore-Berechtigungssätze
Standardmäßig gewähren die Berechtigungssätze "Solidcore-Administrator" und "Solidcore-Prüfer"
keinen Zugriff auf die Gruppe Eigene Organisation auf der Seite Systemstruktur.
Da Benutzer keinen Zugriff auf die Gruppe Eigene Organisation haben, benötigen Sie zusätzliche
Berechtigungen für den Zugriff auf die folgenden Komponenten.
Produkthandbuch
221
14
Dashboards
Monitor Vorherrschende Beobachtungen im Solidcore: Application Control-Dashboard
Monitore Anwendungen nach Reputation, Die wichtigsten 5 fehlerhaften Anwendungen und Die 5 häufigsten
schlechten Binärdateien im Ausführungsstatus im Solidcore: Inventory-Dashboard.
Seiten
• Seite Nach Anwendungen
• Seite Vorherrschende Beobachtungen (veraltet)
• Kategorie Solidcore auf der Seite Server-Einstellungen
Nur McAfee ePO-Administratoren können diese Kategorie anzeigen und bearbeiten.
Aktionen
Die folgenden Aktionen auf der Seite Application Control | Inventar.
• Inventar für Offline-GTI-Tool exportieren
• GTI-Bewertungen importieren
• Application Control-Reputation festlegen
Server-Tasks Alle Solidcore-Server-Tasks
Benutzer, denen im Solidcore-Administrator-Berechtigungssatz Berechtigungen zum
Erstellen, Bearbeiten, Anzeigen, Ausführen und Beenden von Server-Tasks zugewiesen
sind, können den Server-Task Solidcore: Erstellung des Berichts zur Überwachung von
Inhaltsänderungen erstellen und ausführen. Alle anderen Solidcore-Server-Tasks können
nur McAfee ePO-Administratoren erstellen und ausführen.
Berechtigungssätze für Solidcore und McAfee ePO
McAfee ePO bietet vier Standardberechtigungssätze, die Berechtigungen für McAfee ePO-Funktionalität
gewährt. Die folgenden Berechtigungen werden von den McAfee ePO-Berechtigungssätzen gewährt.
McAfee ePO-Berechtigungssätze
Berechtigungen für Solidcore-Funktionen
Leitender Prüfer
Globaler Prüfer
Schreibgeschützte Berechtigungen für Solidcore-Funktionen
Gruppenadministrator
Gruppenprüfer
Zuweisen von Berechtigungen an Solidcore-McAfee ePO-Funktionen
Der globale Administrator kann die verfügbaren Berechtigungssätze (Solidcore-Administrator oder
Solidcore-Prüfer) für Change Control und Application Control verwenden oder gegebenenfalls neue
Berechtigungssätze erstellen.
Globale Administratoren können beim Erstellen oder Bearbeiten von Benutzerkonten oder
Berechtigungssätzen Berechtigungen zuweisen.
Zur Verwendung von Solidcore-McAfee ePO-Funktionen benötigen Benutzer mit dem
Berechtigungssatz "Solidcore-Administrator" oder "Solidcore-Prüfer" erstellt wurden weitere
Berechtigungen. Die folgenden Berechtigungen müssen Sie zuweisen.
222
Produkthandbuch
14
1
Weisen Sie mindestens einen weiteren Berechtigungssatz zu, der Zugriff auf erforderliche Produkte
und Gruppen der Systemstruktur gewährt. Um sicherzustellen, dass Benutzer Zugriff auf die Gruppe
Eigene Organisation auf der Seite Systemstruktur haben und die Begrenzungen (der
Solidcore-Berechtigungssätze) aufgehoben werden, bearbeiten Sie den Berechtigungssatz
"Solidcore-Administrator" oder "Solidcore-Prüfer". Duplizieren Sie den Berechtigungssatz
Solidcore-Administrator, um ihn als Ausgangspunkt zu verwenden und ihn entsprechend Ihrer
Anforderungen zu bearbeiten. Weitere Informationen zum Verwenden von Berechtigungssätzen
finden Sie im McAfee ePolicy Orchestrator-Produkthandbuch. Weisen Sie nach dem Bearbeiten der
Berechtigungssätze diese den Benutzern zu.
2
Weisen Sie mittels Menü | Benutzerverwaltung | Berechtigungssätze die folgenden Berechtigungen
spezifischen Solidcore-Funktionen zu.
Solidcore-Funktionen Zusätzlich zuzuweisende Berechtigungen
Solidcore-Dashboards
Wählen Sie den Solidcore-Berechtigungssatz aus, klicken Sie für
Dashboards auf Bearbeiten, wählen Sie Öffentliche Dashboards bearbeiten; private
Dashboards erstellen und bearbeiten; private Dashboards veröffentlichen, und klicken
Sie auf Speichern.
Solidcore-Abfragen
Wählen Sie den Solidcore-Berechtigungssatz aus, klicken Sie für Abfragen
und Berichte auf Bearbeiten, wählen Sie Öffentliche Gruppen bearbeiten; private
Abfragen/Berichte erstellen und bearbeiten; private Abfragen/Berichte veröffentlichen, und
klicken Sie auf Speichern.
Solidcore-Client-Tasks
Wählen Sie den Solidcore-Berechtigungssatz, klicken Sie für McAfee Agent
auf Bearbeiten, wählen Sie Einstellungen anzeigen und ändern, und klicken Sie auf
Speichern.
Solidcore-Richtlinien
Wählen Sie den Solidcore-Berechtigungssatz, klicken Sie für McAfee Agent
auf Bearbeiten, wählen Sie Einstellungen anzeigen und ändern, und klicken Sie auf
Speichern.
Falls der Application Control-Schutz eine Aktion auf einem Endpunkt verhindert, können Sie eine
benutzerdefinierte Benachrichtigung für das Ereignis auf diesem Endpunkt anzeigen.
Sie können die Benachrichtigung konfigurieren, die auf den Endpunkten für diese Ereignisse angezeigt
wird.
•
•
•
Lesen von Datei verweigert
•
•
•
•
•
Produkthandbuch
223
14
Vorgehensweise
1
2
3
4
5
Wechseln Sie zur Registerkarte Endbenutzerbenachrichtigungen.
6
Wählen Sie die Option Zeigt das Nachrichtendialogfeld an, wenn ein Ereignis erkannt wird, und zeigt den festgelegten Text
in der Nachricht an, um jedes Mal, wenn eines der oben genannten Ereignisse generiert wird, ein
Nachrichtenfeld auf dem Endpunkt anzuzeigen.
7
Geben Sie die Helpdesk-Informationen ein.
8
Empfänger
Die E-Mail-Adresse, an die alle Genehmigungsanfragen (von Endpunkten)
gesendet werden.
E-Mail-Betreff
Die Betreffzeile der für Genehmigungsanfragen (an Endpunkte)
gesendeten E-Mail-Nachricht.
Link zu Website
Hier wird die im Application Control- und Change Control-Ereignisfenster
an den Endpunkten aufgeführte Website angegeben.
McAfee ePO IP-Adresse und
Port
Hier wird die Adresse und der Port des McAfee ePO-Servers angegeben.
Passen Sie die Benachrichtigungen für die verschiedenen Ereignisarten an.
a
Geben Sie die Benachrichtigung ein.
Sie können mithilfe der aufgelisteten Variablen eine Nachrichtenzeichenfolge erstellen.
b
9
Wählen Sie Ereignis in Dialog anzeigen aus, um sicherzustellen, dass alle Ereignisse der ausgewählten
Ereignisart (z. B. "Ausführung verweigert") im Fenster Application Control- und Change Control-Ereignisse
an den Endpunkten aufgeführt werden.
10 An den Endpunkten können Benutzer die Benachrichtigungen für die Ereignisse prüfen und
Genehmigungen für bestimmte Aktionen anfordern.
a
Klicken Sie in der Benachrichtigung auf dem Endpunkt mit der rechten Maustaste auf das
McAfee Agent-Symbol.
b
Wählen Sie Schnellkonfiguration | Application Control- und Change Control-Ereignisseaus.
Das Fenster Application Control- und Change Control-Ereignisse wird angezeigt.
224
c
Überprüfen Sie die Ereignisse.
d
Fordern Sie die Genehmigung einer bestimmten Aktion an, indem Sie das Ereignis auswählen
und auf Genehmigung anfordern klicken.
Produkthandbuch
A
Hier finden Sie Antworten auf häufig gestellte Fragen.
Was ist ein alternativer Datenstrom (ADS)? Überwacht Change Control
Änderungen am ADS?
Im Microsoft NTFS-Dateisystem besteht eine Datei aus mehreren Datenströmen. Ein Strom beinhaltet
den Dateiinhalt, der andere enthält Sicherheitsinformationen. Sie können alternative Datenströme
(ADS) für eine Datei erstellen, um Informationen oder andere Dateien mit der bestehenden Datei zu
verknüpfen. Das bedeutet, mithilfe von alternativen Datenströmen können Sie Informationen oder
Dateien in bestehende Dateien einbinden. Die mit einer Datei verknüpften ADS wirken sich nicht auf
deren Inhalte oder Attribute aus und sind im Windows Explorer nicht sichtbar. Die mit einer Datei
verknüpften ADS sind daher aus praktischen Gründen verborgen. Hacker können die ADS-Funktion
missbrauchen, um schädliche oder andere Dateien zu verknüpfen, ohne dass diese erkannt werden.
Change Control überwacht Änderungen an alternativen Datenströmen (ADS), die mit Dateien auf
Windows-Systemen verknüpft sind. Bei einer überwachten Datei werden alle ADS-Änderungen,
darunter auch das Erstellen, Ändern, Aktualisieren und Löschen von Strömen, sowie
Attributänderungen als Ereignisse gemeldet. Wenn Sie zusätzlich Application Control verwenden, wird
bei einem ADS-Aufruf der Basisdateiname abgerufen und die Berechtigungen für die Basisdatei
geprüft. Die Ausführung des ADS wird entsprechend den Berechtigungen der Basisdatei und dem
aktuellen Modus von Application Control zugelassen oder verweigert. Außerdem wird der Start aller
ausführbaren Programme (die als ADS mit einer bestehenden Datei verknüpft sind) verhindert. Zur
Deaktivierung der ADS-Überwachung führen Sie den Client-Task SC: Befehle ausführen aus, um den Befehl
sadmin features disable mon-ads am Endpunkt auszuführen.
Warum erhalte ich keine Ereignisse für Benutzerkontoaktivitäten für einen
Endpunkt?
Die Aktivität der Benutzerkonten an den einzelnen Endpunkten wird standardmäßig nicht verfolgt.
Wenn Sie die Vorgänge der Benutzerkonten verfolgen möchten, müssen Sie diese Funktion speziell für
jene Endpunkte aktivieren, auf denen Change Control bereitgestellt und aktiviert ist. Zur Aktivierung
dieser Funktion führen Sie den Client-Task SC: Befehle ausführen aus, um den Befehl sadmin features
enable mon‑uat am Endpunkt auszuführen.
Sie müssen jedoch sicherstellen, dass die Audit-Richtlinie unter Windows konfiguriert ist, damit
Ereignisse zur Benutzeraktivität generiert werden können.
Prüfen Sie die Konfiguration der Audit-Richtlinie für den Endpunkt, um die Benutzerkontoaktivität für
einen Endpunkt erfolgreich zu überwachen.
1
Navigieren Sie zu Systemsteuerung | Verwaltungs-Tools.
2
Doppelklicken Sie auf Lokale Sicherheitsrichtlinie.
3
Wählen Sie Lokale Richtlinien | Audit-Richtlinieaus.
Produkthandbuch
225
A
4
Doppelklicken Sie auf die Richtlinie Kontoanmeldungsereignisse überwachen.
5
Wählen Sie Erfolgreich und Fehler aus, und klicken Sie auf OK.
6
Wiederholen Sie die Schritte 4 und 5 für die Richtlinien Kontoverwaltung überwachen und Anmeldeereignisse
überwachen.
Was sind die Folgen, wenn der lokale Zugriff auf die Befehlszeilenschnittstelle für
den Endpunkt wiederhergestellt wird?
Zur Behebung oder für das Debuggen von Fehlern müssen Sie unter Umständen den lokalen Zugriff
auf die Befehlszeilenschnittstelle für einen Endpunkt wiederherstellen. Die Wiederherstellung der
lokalen Befehlszeilenschnittstelle (CLI) für einen Endpunkt verhindert die Erzwingung von Richtlinien
von McAfee ePO zum Endpunkt. Das bedeutet, dass bei der Wiederherstellung der
Befehlszeilenschnittstelle (CLI) für einen Endpunkt keine bestehenden oder neuen Richtlinien (die auf
dem McAfee ePO-Server erstellt wurden) auf diesen Endpunkt angewendet werden.
Was bedeutet die in einer Richtlinie angegebene Beschriftung beim Konfigurieren
von Prozessen des Aktualisierungsprogramms, Installationsprogrammen und
Benutzern?
Die angegebenen Beschriftungen helfen Ihnen dabei, die generierten Ereignisse den von
vertrauenswürdigen Ressourcen durchgeführten Aktionen zuzuordnen. Wenn beispielsweise ein
Ereignis für eine Aktion generiert wird, die von einem vertrauenswürdigen Benutzer durchgeführt
wurde, enthält das Attribut Workflow-ID für das Ereignis die für den vertrauenswürdigen Benutzer
angegebene Beschriftung.
Wie hebe ich die Zementierung für eine Datei, ein Verzeichnis oder ein Volume
auf?
Um die Zementierung für eine Datei, ein Verzeichnis oder ein Volume aufzuheben, führen Sie den
Client-Task SC: Befehle ausführen mit dem Befehl sadmin unso <Ressourcenname> aus.
Sie sollten die Zementierung von System-Treibern oder -Volumes nicht aufheben.
Ich habe vor Kurzem Inventar für einen Endpunkt abgerufen, kann jedoch keine
GTI-Bewertungen für die Inventarelemente anzeigen. Wie lässt sich dies beheben?
Wenn nach dem Inventarabruf keine GTI-Bewertungen für Inventarelemente vorhanden sind,
überprüfen Sie auf der Seite Server-Task-Protokoll die von den Server-Tasks Details zur Binärdatei vom McAfee
GTI-Server abrufen und Zertifikat-Reputation vom McAfee GTI-Server abrufen erstellten Protokolle. Protokolleinträge
werden für den Server-Task Details zur Binärdatei vom McAfee GTI-Server abrufen untypischerweise der Seite
Server-Task-Protokoll hinzugefügt.
•
Wenn der Task erfolgreich war und die vorherige Ausführung nicht, wird ein neuer Protokolleintrag
hinzugefügt.
•
Schlägt der Task fehl, wird ein neuer Protokolleintrag mit der Fehlermeldung hinzugefügt. Falls
jedoch die Kommunikation mit der Server fortwährend fehlschlägt, wird ein einziger Eintrag für
einen Tag hinzugefügt. Der Zeitstempel gibt den Zeitpunkt des Fehlers an, und in der
Protokollmeldung ist die Fehlerursache enthalten.
Daher sehen Sie auf der Seite Server-Task-Protokoll möglicherweise weniger Einträge zur erfolgreichen
Ausführung und mehrere Einträge mit einer Fehlermeldung für diesen Task.
226
Produkthandbuch
A
Können Change Control und Application Control auch in Network Address
Translation-Umgebungen (NAT) ausgeführt werden?
Wenn der McAfee ePO-Server in einer NAT-Umgebung mit McAfee Agent kommunizieren kann,
funktionierenChange Control und Application Control.
Wie kann ich die Vertrauenswürdigkeit von Anwendungen gewährleisten, die für
den Einsatz in meinem Unternehmen entwickelt wurden?
Signieren Sie die Anwendungen mit einem selbstgenerierten Zertifikat, und stufen Sie dieses Zertifikat
anschließend als vertrauenswürdig ein.
1
•
Suchen Sie Ihr Zertifikat, falls Sie ein bestehendes Zertifikat besitzen.
•
Generieren Sie ein X.509-Zertifikatpaar mithilfe eines Tools wie makecert.exe (weitere
Informationen finden Sie hier).
2
Exportieren Sie das Zertifikat im PEM- (Base-64 Encoded X.509 - .CER-) Format.
3
Laden Sie das Zertifikat hoch, und fügen Sie es einer Application Control-Richtlinie als
vertrauenswürdiges Zertifikat hinzu.
4
Übernehmen Sie die Richtlinie für die Endpunkte.
5
Verwenden Sie das Zertifikat, um alle internen Anwendungen zu signieren und zu verifizieren. Dies
kann mit einem Tool, beispielsweiseSignTool.exe, geschehen.
Beim Arbeiten mit Skripts konvertieren Sie zuerst das Skript in eine selbstextrahierende ausführbare
Datei, bevor Sie sie signieren.
6
Definieren Sie das interne Zertifikat als vertrauenswürdiges Zertifikat.
Kann ich sadmin-Befehle skripten?
Ja, Sie können sadmin-Befehle skripten. Bei der Wiederherstellung der Befehlszeilenschnittstelle (CLI)
werden Sie dazu aufgefordert, ein Kennwort einzugeben. Um dies innerhalb eines Skripts zu erreichen,
hängen Sie an den Befehl sadmin recover das Suffix -z <password> an.
Wie kann ich Diskrepanzen und Inkonsistenzen beheben, die nach dem Upgrade
der Solidcore-Erweiterung in den Solidcore-Regelgruppen enthalten sind? Beim
Zugriff auf die Seite "Regelgruppen" wird die Fehlermeldung "Interner
Server-Fehler" angezeigt.
Führen Sie den Server-Task Regelgruppenüberprüfung von der McAfee ePO-Konsole aus, um die
Inkonsistenzen in den Regelgruppen zu beheben. Dieser Server-Task berichtet und korrigiert (falls
möglich) Diskrepanzen und Inkonsistenzen in den Solidcore-Regelgruppen und -Richtlinien.
1
2
Klicken Sie auf Neuer Task.
Der Generator für Server-Tasks wird geöffnet.
3
4
Wählen Sie aus der Dropdown-Liste Aktionen die Option Solidcore: Regelgruppen-Plausabilitätsprüfung aus.
5
6
Produkthandbuch
227
A
7
Die Seite Zusammenfassung wird angezeigt.
8
9
Überprüfen Sie die vom Server-Task generierten Protokolle (auf der Seite "Server-Task-Protokoll"),
um eventuelle Warnungen anzuzeigen.
Wie verwalte ich die in Change Control und Application Control verfügbaren
vordefinierten Regeln?
Rufen Sie die in Change Control und Application Control vordefinierten Regeln erneut auf, wenn Sie
eine Solidcore-Erweiterung installieren oder für diese ein Upgrade durchführen. Da die auf den
Endpunkten installierte Software sich in Ihrem Unternehmen ändern könnte (durch Hinzufügen oder
Entfernen), sollten Sie die Regeln in regelmäßigen Abständen überarbeiten. Überarbeiten Sie die
Regeln, und entfernen Sie unerwünschte oder irrelevante Regeln je nach der an den Endpunkten in
Ihrem Setup installierten Software.
Wie aktiviere bzw. deaktiviere ich in der McAfee ePO-Konsole ausgewählte
Funktionen an den Endpunkten?
Mithilfe der Richtlinie "Application Control-Optionen (Windows)" können Sie in der McAfee ePO-Konsole
ausgewählte Funktionen an Endpunkten aktivieren oder deaktivieren.
1
Wählen Sie Menü | Richtlinie | Richtlinienkatalogaus.
2
3
4
Klicken Sie auf die Richtlinie My Default.
5
Wechseln Sie zur Registerkarte Funktionen.
6
Wählen Sie Funktionssteuerung von ePO erzwingen aus.
Weitere Informationen zu diesen Funktionen finden Sie hier:
•
ActiveX, siehe ActiveX-Steuerelemente.
•
Speicherschutz, siehe Techniken zum Speicherschutz.
•
Paketkontrolle, siehe Paketkontrolle.
7
Aktivieren oder deaktivieren Sie die Funktion.
8
Wie kann ich einen Änderungsabgleich und eine ticketbasierte Erzwingung in mein
Setup implementieren?
Der Änderungsabgleich korreliert Änderungsereignisse in überwachten Systemen mit Tickets in Ihrem
Änderungs-Management-System (CMS). Diese Korrelation kategorisiert Ereignisse als autorisiert oder
nicht autorisiert – je nachdem, ob die Änderung vorgenommen wurde, während ein
Aktualisierungsfenster geöffnet war. Diese Informationen werden für das Verfolgen von Änderungen
und für Compliance-Berichte verwendet. Die ticketbasierte Erzwingung ermöglicht durch die
Integration in Ihr CMS das automatische Öffnen von Aktualisierungsfenstern auf mithilfe von
Application Control und Change Control geschützten Systemen. Basierend auf mit dem CMS erstellten
Tickets werden Aktualisierungsfenster auf den geschützten Systemen geöffnet, um Änderungen an
geschützten Dateien und Registrierungsschlüsseln zu ermöglichen. Die Implementierung einer
ticketbasierten Erzwingung reduziert Systemausfälle und optimiert die Betriebszeit, indem nur
zugelassene Änderungen am System möglich sind.
228
Produkthandbuch
A
Führen Sie diese Schritte aus, um einen Änderungsabgleich und eine ticketbasierte Erzwingung zu
konfigurieren und zu implementieren.
1
Stellen Sie sicher, dass die Einstellung "reconAutoReconcileEvents" in der Datenbank auf "wahr"
festgelegt ist. Wenden Sie sich an den McAfee-Support, um Anweisungen zu erhalten.
2
Legen Sie die erforderlichen Berechtigungen fest.
3
•
Der Benutzer muss Systemstrukturzugriff auf die Systeme erhalten, auf denen die Tasks geplant
werden sollen.
•
Der Benutzer muss über die Berechtigung verfügen, einen Aufruf zur Agentenreaktivierung zu
senden.
•
Um Tasks auf mehreren Systemen auszuführen, ist eine Berechtigung zum Erstellen und
Bearbeiten von Tags erforderlich.
•
Eine Berechtigung zum Anzeigen und Bearbeiten der Task-Einstellungen in McAfee Agent ist
erforderlich, wenn Sie McAfee ePO 5.0 oder höher verwenden.
Machen Sie sich mit den von Application Control und Change Control zur Verfügung gestellten
Web-Dienst-APIs vertraut und verwenden Sie diese.
Web-Dienst-API
Beschreibung
begin-update
(systemNames/
systemIds,
workflowId, time,
wakeupAgent)
Öffnet ein Aktualisierungsfenster, um ticketbezogene Änderungen
vorzunehmen. Bei diesem Dienst sind die folgenden Parameter relevant:
systemNames/
systemIds
(Erforderlich) Durch Komma getrennte Liste
mit Systemnamen, IP-Adressen oder
System-IDs (aus der McAfee
ePO-Datenbank). Wenn Sie System-IDs und
Systemnamen angeben, werden nur die
angegebenen System-IDs berücksichtigt.
workflowId
(Erforderlich) Ticket-ID vom Ticket-System
für das Aktualisierungsfenster. Die
angegebene Ticket-ID wird mit den
aktualisierten Datensätzen verknüpft.
time
(Erforderlich) Zeitpunkt zum Öffnen des
Aktualisierungsfensters auf den Endpunkten.
Geben Sie den Wert im Format jjjj-mm-tt
hh:mm:ss an.
wakeupAgent
(Optional) Verwenden Sie diese
Kennzeichnung, um Agenten nach dem Planen
des Tasks zu reaktivieren. Der Standardwert
für diesen Parameter ist "wahr".
Dieser Dienst gibt die ID aus, die mit dem Client-Task verknüpft ist, der
das Aktualisierungsfenster an den angegebenen Endpunkten öffnet.
end-update
(systemNames/
systemIds,
workflowId, time,
wakeupAgent)
Schließt das Aktualisierungsfenster nach der Durchführung
ticketbezogener Änderungen. Bei diesem Dienst sind die folgenden
Parameter relevant:
systemNames/
systemIds
mit Systemnamen, IP-Adressen oder
System-IDs (aus der McAfee
ePO-Datenbank). Wenn Sie System-IDs und
Systemnamen angeben, werden nur die
angegebenen System-IDs berücksichtigt.
workflowId
(Erforderlich) Ticket-ID vom Ticket-System
für das Aktualisierungsfenster.
Produkthandbuch
229
A
Web-Dienst-API
Beschreibung
time
(Erforderlich) Zeitpunkt zum Schließen des
Aktualisierungsfensters auf den Endpunkten.
Geben Sie den Wert im Format jjjj-mm-tt
hh:mm:ss an.
wakeupAgent
(Optional) Verwenden Sie diese
Kennzeichnung, um Agenten nach dem Planen
des Tasks zu reaktivieren. Der Standardwert
für diesen Parameter ist "wahr".
Dieser Dienst gibt die ID aus, die mit dem Client-Task verknüpft ist, der
das Aktualisierungsfenster an den angegebenen Endpunkten schließt.
delete-task
(taskIds)
Löscht die zum Öffnen und Schließen des Aktualisierungsfensters für ein
Ticket erstellten Client-Tasks. Bei diesem Dienst ist nur ein Parameter
relevant.
taskIds
von IDs, die mit den Client-Tasks verknüpft
sind, die das Aktualisierungsfenster an den
angegebenen Endpunkten öffnen und
schließen. Die mit den IDs verknüpften
Client-Tasks werden gelöscht.
Dieser Dienst gibt eine Liste mit wahren und falschen Werten aus, die
sich auf die angegebenen Client-Task-IDs beziehen. "Wahr" bedeutet,
dass der mit der angegebenen ID verknüpfte Client-Task gelöscht
wurde.
Auf diese Web-Dienst-APIs kann über URLs zugegriffen werden. Die folgenden Beispiele
verdeutlichen, welche Anrufe mit den Web-Dienst-APIs möglich sind.
4
•
begin-update – https://<epo-server>:<port>/remote/
scor.updatewindow.updateWindowCommand.do?:output=json&action=begin-update&systemN
ames=<comma separated IP addresses or
names>&time=2013-12-19%2011:05:00&workflowId=ticket1&wakeupAgent=true
•
end-update – https://<epo-server>:<port>/remote/
scor.updatewindow.updateWindowCommand.do?:output=json&action=end-update&systemNam
es=<comma separated IP addresses or
names>&time=2013-12-19%2012:05:00&workflowId=ticket1&wakeupAgent=true
•
delete-task – https://<epo-server>:<port>/remote/
scor.updatewindow.updateWindowCommand.do?:output=json&action=delete-task&taskIds=
123,234
Überprüfen Sie den Beispiel-Java-Konnektor, der im Lieferumfang der Solidcore-Erweiterung
enthalten ist. Sie können die Datei SampleConnector.zip von der McAfee-Download-Website
herunterladen. Diese Datei dient zu Ihrer Referenz und stellt eine Hilfe bei der Integration in die
Web-Dienst-APIs beim Setup dar.
Wie kann ich nach der Bereitstellung von Application Control den Status der von
Windows zur Verfügung gestellten Techniken zum Speicherschutz, z. B. Data
230
Produkthandbuch
A
Execution Prevention (DEP) und Address Space Layout Randomization (ASRL),
überprüfen?
Überprüfen
1 Klicken Sie auf der Seite Systeme auf den Endpunkt, um Details für den
des Status
ausgewählten Endpunkt anzuzeigen.
der Techniken
für einen
2 Klicken Sie auf die Registerkarte Produkte.
Endpunkt
3 Klicken Sie zum Anzeigen von Produktdetails auf die Zeile Solidcore.
4 Überprüfen Sie die Werte für die Eigenschaften Speicherschutz (ASLR) und Speicherschutz
(DEP).
Überprüfen
1 Klicken Sie in der McAfee ePO-Konsole auf Menü | Berichterstellung | Abfragen und Berichte.
des Status
der Techniken 2 Wählen Sie in der McAfee ePO-Konsole unter McAfee-Gruppen die Application
für mehrere
Control-Gruppe aus.
Endpunkte
3 Klicken Sie auf Neu.
4 Wählen Sie Solidcore-Client-Eigenschaften für den Ergebnistyp aus, und klicken Sie auf
Weiter.
5 Wählen Sie in der Liste Ergebnisse anzeigen als die Option Tabelle und in der Liste Sortieren
nach die Option Systemname aus, und klicken Sie auf Weiter.
6 Fügen Sie die Eigenschaften Speicherschutz (ASLR) und Speicherschutz (DEP) hinzu, und
klicken Sie auf Weiter.
7 Klicken Sie auf Ausführen, um Informationen für die Endpunkte in Ihrem Setup
anzuzeigen.
Die folgenden Werte sind für DEP und ASLR möglich.
Technik Möglicher Wert
Beschreibung
DEP
Aktiviert (immer ein)
DEP ist für alle Prozesse aktiviert.
Deaktiviert (immer aus)
DEP ist für alle Prozesse deaktiviert.
Deaktiviert (mit Option zum DEP ist nur für Windows-Systemkomponenten und -Dienste
Aktivieren)
aktiviert.
ASLR
Aktiviert (mit Option zum
Deaktivieren)
DEP ist für alle Prozesse aktiviert. Sie können Prozesse von
der DEP-Technik entfernen.
Nicht unterstützt
Hardware unterstützt die DEP-Technik nicht.
Aktiviert
ASLR ist für alle Prozesse aktiviert.
Deaktiviert
ASLR ist für alle Prozesse deaktiviert.
Aktiviert (partiell)
ASLR ist aktiviert, und möglicherweise sind
VASR-Umgehungsregeln vorhanden.
Die Software lässt die Ausführung einer gesperrten Datei zu. Woran könnte das
liegen?
Wenn definierte Regeln angewendet werden, kombiniert bzw. aggregiert die Software die für eine
Datei definierten Regeln. Dabei wird nach der folgenden Reihenfolge bestimmt, ob die Dateiausführung
zugelassen oder blockiert wird. Die Methoden sind in der Reihenfolge aufgeführt, in der ihnen die
Software Vorrang gibt.
Produkthandbuch
231
A
1 Durchgeführt durch den Prozess eines Aktualisierungsprogramms oder einen vertrauenswürdigen
Benutzer
2 Gesperrt nach SHA-1
3 Zugelassen nach SHA-1
4 Zugelassen nach Zertifikat
5 Gesperrt nach Name
6 Zugelassen nach Name
7 Ausgeführt im vertrauenswürdigen Verzeichnis
8 Zu Whitelist hinzugefügt
Wenn keiner dieser Punkte auf eine Datei zutrifft, wird deren Ausführung durch die Software gesperrt.
Beispiel: Wenn Sie eine Binärdatei basierend auf ihrem SHA-1 sperren, darf sie ausgeführt werden,
sofern sie von einem Aktualisierungsprogramm oder vertrauenswürdigen Benutzer gestartet wird. In
allen anderen Fällen wird sie blockiert. Wenn jedoch ein Programm auf der Basis seines SHA-1-Werts
zugelassen ist und nach seinem Namen gesperrt wird, wird das Programm dennoch zugelassen und
ausgeführt.
Ich habe unter UNIX Variablen definiert. Kann ich diese zum Definieren von
Regeln in Application Control oder Change Control verwenden?
Benutzerdefinierte Variablen werden in der von McAfee ePO verwalteten Konfiguration nicht
unterstützt.
Die McAfee ePO-Benutzeroberfläche ist langsam oder reagiert nicht, und die
Anzahl von Beobachtungen auf der Seite "Vorherrschende Beobachtungen" ist
sehr hoch. Woran liegt das, und wie löse ich das Problem?
Application Control schließt vordefinierte Regeln ein, um nicht relevante und unnötige Beobachtungen,
die von Endpunkten empfangen werden, zu filtern. Die Regeln sind in der Regelgruppe
Beobachtungsfilterregeln (veraltet) eingeschlossen, die im Produkt enthalten sind. Standardmäßig werden
diese Regeln auf den globalen Stamm in der Systemstruktur angewendet und daher an alle von McAfee
ePO verwalteten Endpunkte vererbt.
Wenn Sie diese Regelgruppe entfernen, führt dies möglicherweise zu vielen Beobachtungen und damit
auch zu einer langsamen oder nicht reagierenden McAfee ePO-Benutzeroberfläche. Überprüfen Sie Ihr
Setup und stellen Sie sicher, dass diese Regelgruppe auf den Endpunkten angewendet wird.
Wie installiere ich auf der Ubuntu-Plattform im aktivierten Modus eine neue
Anwendung oder Systemaktualisierungen?
Um die Installation von Anwendungen und Systemaktualisierungen auf einem geschützten
Ubuntu-System zuzulassen, müssen Sie installationsspezifische Regeln definieren. Diese Regeln sind
vordefiniert und verfügbar. Informationen zur Verwendung der vordefinierten Regeln finden Sie in
KB82745 und Informationen zum Definieren neuer Regeln in KB82744.
232
Produkthandbuch
A
Ich habe eine auf einem geschützten Ubuntu-System installierte
Desktop-Anwendung, die sich nicht ausführen lässt. Wie löse ich das Problem?
Um die Anwendung auf einem geschützten System zuzulassen, müssen Sie anwendungsspezifische
Regeln definieren. Sie können zwischen den folgenden Aktionen auswählen:
•
Verwenden Sie vordefinierte Regeln, sofern diese für die Anwendung zur Verfügung stehen.
Informationen zur Verwendung der vordefinierten Regeln finden Sie in KB82745.
•
Definieren Sie neue Regeln, sofern keine vordefinierten Regeln für die Anwendung zur Verfügung
stehen. Informationen zum Definieren geeigneter anwendungsspezifischer Regeln finden Sie in
KB82744.
Ich habe vor Kurzem Systemaktualisierungen auf einem Ubuntu-Sytem installiert,
und jetzt lässt sich Application Control bzw. Change Control nicht auf dem System
ausführen. Wie löse ich das Problem?
Manchmal führen die angewandten Aktualisierungen ein Upgrade für den zugrunde liegenden Kernel
durch. Wenn sich der Kernel ändert, stellen Sie sicher, dass Application Control bzw. Change Control
sich mit dem neuen Kernel ausführen lässt. Informationen hierzu finden Sie im McAfee Change
Control- oder McAfee Application Control-InstallationshandbuchChange ControlApplication Control in
den häufig gestellten Fragen (FAQ) unter Application Control.
Ich habe auf der Ubuntu-Plattform im aktivierten Modus eine neue Anwendung
installiert. Nach einem erfolglosen Versuch definierte ich relevante Regeln oder
versetzte das System in den Aktualisierungsmodus und schaffte es, die
Anwendung zu installieren. Jetzt lässt sich die Anwendung nicht verwenden oder
öffnen. Woran könnte das liegen?
Dies kann vorkommen, wenn die Installation nicht ordnungsgemäß durchgeführt werden konnte. Die
Anwendung lässt sich nicht ausführen, da beim ersten erfolglosen Versuch nicht zementierte Dateien
auf dem System zurückgeblieben sind. Sie können das Problem lösen, indem Sie die Anwendung im
Aktualisierungsmodus deinstallieren und im Aktualisierungsmodus oder aktivierten Modus mit
relevanten Regeln erneut installieren.
Definieren Sie nach der erfolgreichen Installation geeignete Regeln, um die Anwendung auf einem
geschützten Endpunkt zuzulassen. Informationen zum Definieren geeigneter anwendungsspezifischer
Regeln finden Sie in KB82744.
Wie kann ich den Zementierungs- bzw. Whitelist-Status für einen Endpunkt
überprüfen?
Führen Sie die folgenden Schritte durch, um den Zementierungs- bzw. Whitelist-Status für einen
Endpunkt zu überprüfen.
1
Wählen Sie in der McAfee ePO-Konsole Menü | Systeme | Systemstruktur aus.
2
Wählen Sie im Bereich Systemstruktur die mit dem Endpunkt verknüpfte Gruppe aus.
Die in der Gruppe enthaltenen Endpunkte sind auf der Registerkarte Systeme aufgeführt.
3
Klicken Sie auf Aktionen | Spalten auswählen.
4
Navigieren Sie zur Liste Solidcore-Client-Eigenschaften, und wählen Sie die Eigenschaft Zementierungsstatus
aus.
Produkthandbuch
233
A
5
Klicken Sie auf Speichern, um zur Registerkarte Systeme zurückzukehren.
6
Navigieren Sie zu der Zeile, die einem Endpunkt entspricht, und überprüfen Sie den in der Spalte
Zementierungsstatus aufgeführten Wert.
Wie kann ich auf einen einzelnen Knoten in der Systemstruktur mehrere Richtlinien
anwenden?
Führen Sie diese Schritte durch, um Richtlinien für mehrere Slots auf eine Gruppe oder bestimmte
Endpunkte anzuwenden.
1
2
•
Zugewiesene Richtlinien.
•
Agent | Richtlinie auf einem einzelnen System ändern.
3
Klicken Sie für die Richtlinie mit mehreren Slots, der sie mehrere Richtlinien zuweisen möchten, auf
Zuweisungen bearbeiten.
4
Klicken Sie auf Neue Richtlinieninstanz.
5
Wählen Sie die Richtlinie, die Sie zuweisen möchten, im Feld Zugewiesene Richtlinie aus.
6
Ich versuche, das Software-Inventar für einen Endpunkt abzurufen, doch der
Client-Task SC: Inventar abrufen lässt sich nicht ausführen, und ich erhalte die Meldung,
dass das Inventar nicht abgerufen werden kann. Woran kann das liegen, und wie
kann ich das Inventar abrufen?
Standardmäßig können Sie das Inventar für einen Endpunkt einmal pro Woche abrufen. Der Wert ist
als Mindestintervall zwischen aufeinanderfolgenden Inventarausführungen festgelegt. Sie können
diesen Wert jedoch für Ihr Unternehmen neu konfigurieren. Siehe Konfigurieren von Einstellungen zum
Abrufen des Inventars.
Worin unterscheiden sich globale und benutzerdefinierte Aktionen für eine
Anfrage?
Wenn Sie für ausgewählte Endpunkte benutzerdefinierte Regeln erstellen möchten, um eine
Anwendung oder eine Binärdatei zuzulassen, zu sperren oder nach Zertifikat zuzulassen, verwenden
Sie die Aktion Benutzerdefinierte Richtlinie erstellen. Außerdem können Sie benutzerdefinierte Regeln
definieren, um einen Netzwerkpfad für ausgewählte Endpunkte zuzulassen. Um jedoch eine
Anwendung oder Binärdatei global (an allen Endpunkten in Ihrem Unternehmen) zuzulassen, zu
sperren oder nach Zertifikat zuzulassen bzw. um einen Netzwerkpfad global zuzulassen, müssen
globale Aktionen durchgeführt werden.
Ich verwende den Monitor Anzahl der Systeme, auf denen Beschränkung in den letzten 7 Tagen gestartet
wurde auf dem Systemüberwachung-Dashboard. Warum werden keine Daten angezeigt,
wenn ich auf den Link Ergebnisse auflisten, die die Beschränkung für ein System initiierten klicke?
Wenn Sie auf den Link Ergebnisse auflisten, die die Beschränkung für ein System initiierten klicken, werden auf der
Seite Ereignisse die Ereignisse aufgelistet, die zur Generierung der Ereignisse Daten beschränkt oder Daten
gelöscht geführt haben. Diese Liste enthält alle Ereignisse, die im Zeitraum von 7 Tagen vor Erhalt der
Ereignisse Daten beschränkt oder Daten gelöscht generiert wurden.
234
Produkthandbuch
A
In den folgenden beiden Szenarien werden auf der Seite Ereignisse keine Daten aufgelistet.
•
Für ein System werden aufeinanderfolgend die Ereignisse Daten beschränkt und Daten gelöscht
empfangen.
•
Ereignisse, die noch bei der McAfee ePO-Konsole eingehen müssen. Dies kann vorkommen, wenn
der Endpunkt, für den die Beschränkung initiiert wurde, ältere Daten analysiert und die neueren
Ereignisse noch an den McAfee ePO-Server senden muss.
Außerdem kann dies bei Anfragen zur Richtlinienerkennung (Beobachtungen) und
Inventaraktualisierungen vorkommen.
Ich möchte den Wert eines Konfigurationsparameters für einen verwalteten
Endpunkt ändern. Ich kann keine Richtlinie oder Methode finden, um dies von der
McAfee ePO-Konsole aus zu erledigen. Wie kann ich Tasks erledigen, für die in der
McAfee ePO-Konsole keine Methode vorhanden ist?
Sie können in der McAfee ePO-Konsole den Client-Task SC: Befehle ausführen verwenden, um CLI-Befehle
auf einem oder mehr Endpunkten auszuführen. Die Befehle können Tasks enthalten, die mit McAfee
ePO durchgeführt werden können oder auch nicht, beispielsweise Aktivieren oder Deaktivieren des
Produkts, Ändern des Werts für Konfigurationsparameter oder Abrufen des Software-Inventars.
1
2
•
•
Wenn Sie den Client-Task auf einen Endpunkt anwenden möchten, wählen Sie den Endpunkt auf
der Seite Systeme aus, und klicken Sie auf Aktionen | Agent | Tasks auf einem einzelnen System ändern.
3
Klicken Sie auf Aktionen | Neue Client-Task-Zuweisung, um die Seite Generator für Client-Task-Zuweisung zu
öffnen.
4
Wählen Sie das Produkt Solidcore 7.0.0 und den Task-Typ SC: Befehle ausführen aus, und klicken Sie dann
auf Neuen Task erstellen, um die Seite Client-Task-Katalog zu öffnen.
5
Geben Sie den Task-Namen ein, und fügen Sie beliebige Informationen hinzu.
6
Geben Sie den Befehl an, der an den Endpunkten ausgeführt werden soll.
Beispiel: Um den Wert von Konfigurationsparametern zu ändern, geben Sie den Befehl sadmin
config set <ParameterName>=<ParameterValue> an.
7
(Optional) Klicken Sie auf Antwort erforderlich, damit Ihnen das Ergebnis des Befehls gesendet wird.
Die Ausgabe des Befehls ist auf der Seite Menü | Automatisierung | Seite Solidcore-Client-Task-Protokoll
verfügbar.
8
Wie kann ich die lokale Befehlszeilenschnittstelle (CLI) für verwaltete Endpunkt
sperren oder wiederherstellen?
Für die von McAfee ePO verwalteten Endpunkte ist die lokale CLI standardmäßig gesperrt. Sie können
die CLI aber gegebenenfalls für einen oder mehrere Endpunkte wiederherstellen.
Wenn Sie die CLI wiederherstellen, werden Änderungen an der Konfiguration, den Richtlinien oder den
Tasks vom McAfee ePO-Server nicht an den Endpunkten erzwungen. Der CLI-Status muss daher auf
Einschränken eingestellt sein, um Änderungen auf dem Endpunkt zu erzwingen.
Produkthandbuch
235
A
1
2
•
•
Wenn Sie den Client-Task auf einen Endpunkt anwenden möchten, wählen Sie den Endpunkt auf
der Seite Systeme aus, und klicken Sie auf Aktionen | Agent | Tasks auf einem einzelnen System ändern.
3
Klicken Sie auf Aktionen | Neue Client-Task-Zuweisung, um die Seite Generator für Client-Task-Zuweisung zu
öffnen.
4
Wählen Sie das Produkt Solidcore 7.0.0 und den Task-Typ SC: Lokalen CLI-Zugriff ändern aus, und klicken Sie
dann auf Neuen Task erstellen, um die Seite Client-Task-Katalog zu öffnen.
5
Ändern Sie den CLI-Status auf Einschränken oder Zulassen.
6
Wie kann ich die Reputation für eine bestimmte Datei auf einem Endpunkt
anzeigen?
Um die Reputation für eine bestimmte Datei auf einem Endpunkt anzuzeigen, rufen Sie die
Datei-Reputation von einer Quelle (TIE Server, McAfee GTI bzw. Advanced Threat Defense) ab. Stellen
Sie jedoch sicher, dass die Reputationseinstellung in der für den Endpunkt angewendeten Richtlinie
Application Control (Optionen) aktiviert ist. Weitere Informationen zum Aktivieren von
Reputationseinstellungen finden Sie unter Konfigurieren von Reputationseinstellungen.
Verwenden Sie den Client-Task SC: Befehle ausführen, um diesen Befehl auf dem Endpunkt auszuführen.
sadmin getreputation [ -v | -b ] -f <filename> -m <md5> -h <sha-1> -s
<reputation-source>
Sie müssen den MD5- und SHA-1-Wert für eine Datei angeben, um ihre Reputation abzurufen. Wenn
Sie jedoch auch den Dateinamen mit seinem MD5- und SHA-1-Wert angeben, wird der Dateiname zum
Abrufen der Reputation verwendet.
In dieser Tabelle werden die unterstützten Argumente und ihre Beschreibung aufgeführt.
Argument Beschreibung
236
-v
Geben Sie dieses Argument an, um alle Quellen sowie die darin gespeicherte
Datei-Reputation anzuzeigen.
-b
Geben Sie dieses Argument an, um den internen Cache für gespeicherte
Datei-Reputationen zu umgehen und die Reputation stattdessen von der angegebenen
Quelle abzurufen.
-f
Geben Sie den Namen der Datei an, deren Reputation Sie abrufen möchten.
-m
Geben Sie den MD5-Wert der Datei an, deren Reputation Sie abrufen möchten.
-h
Geben Sie den SHA-1-Wert der Datei an, deren Reputation Sie abrufen möchten.
-s
Geben Sie die Quelle an, von der die Datei-Reputation abzurufen ist.
Produkthandbuch
B
Change Control- und Application ControlEreignisse
Diese Tabelle enthält eine detaillierte Liste aller Change Control- und Application Control-Ereignisse.
Ereignisnamen mit einem Suffix (_UPDATE) bedeuten, dass Ereignisse im Aktualisierungsmodus
generiert wurden.
In der Spalte "Ereignistyp" zeigen die folgenden Abkürzungen den entsprechenden Typ des Ereignisses
an.
•
SC – Mit Solidcore-Client verbundenes Ereignis
•
CC – Change Control-Ereignis
•
AC – Application Control-Ereignis
Ereignis-ID
Bedrohungs Ereignisname
(auf
Ereignis-ID
Endpunkten) (auf
McAfee
ePO)
Zeichenfolge der
Ereignisanzeige
1
20700
BOOTING_DISABLED
Im deaktivierten Modus
gestartet
Warnung
Warnung
2
20701
BOOTING_ENABLED
Im aktivierten Modus
gestartet
Information
Informationen
3
20702
BOOTING_UPDATE
Im Aktualisierungsmodus
gestartet
Information
Informationen
Beim Neustart aktiviert
Information
Informationen
SC
SC
_MODE
Solidcore
McAfee ePO
-Client
-Schweregrad
Ereignistyp
-Schweregrad
SC
SC
SC
4
20703
ENABLED_DEFERRED
5
20704
DISABLED_DEFERRED Beim Neustart deaktiviert
Warnung
Warnung
6
20705
BEGIN_UPDATE
aktiviert
Information
Informationen
7
20706
END_UPDATE
deaktiviert
Information
Informationen
8
20707
COMMAND_EXECUTED Befehl ausgeführt
Information
Informationen
SC
15
20714
REG_KEY_CREATED
Registrierung erstellt
Information
Informationen
CC
16
20715
REG_KEY_DELETED
Registrierung gelöscht
Information
Informationen
CC
18
20717
REG_VALUE_DELETED Registrierung gelöscht
Information
Informationen
CC
19
20718
PROCESS
Prozess abgebrochen
Hoch
Fehler
_TERMINATED
20
20719
WRITE_DENIED
Schreiben in Datei
verweigert
Hoch
Fehler
21
20720
EXECUTION_DENIED
Hoch
Fehler
Produkthandbuch
SC
SC
AC
CC
AC
237
B
Ereignis-ID
(auf
Ereignis-ID
Endpunkten) (auf
McAfee
ePO)
Zeichenfolge der
Ereignisanzeige
29
Prozess abgebrochen
20728
PROCESS
Solidcore
McAfee ePO
-Client
-Schweregrad
Ereignistyp
-Schweregrad
Hoch
Fehler
_TERMINATED
AC
_UNAUTH_SYSCALL
30
20729
PROCESS
Prozess abgebrochen
Hoch
Fehler
_TERMINATED
AC
_UNAUTH_API
31
20730
MODULE_LOADING
_FAILED
Fehlschlag beim
Modulladevorgang
Hoch
Fehler
SC
41
20740
FILE_ATTR_SET
Dateiattribut festgelegt
Information
Informationen
CC
42
20741
FILE_ATTR_CLEAR
Dateiattribut gelöscht
Information
Informationen
CC
43
20742
FILE_ATTR
Dateiattribut festgelegt
Information
Informationen
Dateiattribut gelöscht
Information
Informationen
Schreiben in die
Registrierung verweigert
Hoch
Fehler
Schreiben in die
Registrierung verweigert
Hoch
Fehler
_WRITE_DENIED
REG_KEY
Registrierung erstellt
Information
Informationen
Information
Informationen
Information
Informationen
_SET_UPDATE
44
20743
FILE_ATTR
_CLEAR_UPDATE
49
20748
REG_VALUE
_WRITE_DENIED
50
51
20749
20750
REG_KEY
_CREATED_UPDATE
52
20751
REG_KEY
_DELETED_UPDATE
54
20753
REG_VALUE
_DELETED_UPDATE
56
20755
OWNER_MODIFIED
Dateibesitzrechte geändert
Information
Informationen
57
20756
OWNER_MODIFIED
Dateibesitzrechte geändert
Information
Informationen
_UPDATE
61
20760
PROCESS_HIJACKED
Es wurde versucht, die
Kontrolle über den Prozess
zu übernehmen
Hoch
Fehler
62
20761
INVENTORY
Inventar beschädigt
Kritisch
Kritisch
gestartet
Warnung
Warnung
gestartet
Kritisch
Kritisch
_CORRUPT
63
20762
BOOTING_DISABLED
_SAFEMODE
64
20763
BOOTING_DISABLED
_INTERNAL_ERROR
238
Produkthandbuch
CC
CC
CC
CC
CC
CC
CC
CC
CC
AC
AC
SC
SC
Solidcore
McAfee ePO
-Client
-Schweregrad
B
Ereignis-ID
(auf
Ereignis-ID
Endpunkten) (auf
McAfee
ePO)
Zeichenfolge der
Ereignisanzeige
70
20769
FILE_CREATED
Datei erstellt
Information
Informationen
CC
71
20770
FILE_DELETED
Datei gelöscht
Information
Informationen
CC
72
20771
FILE_MODIFIED
Datei geändert
Information
Informationen
CC
73
20772
FILE_ATTR
Dateiattribut geändert
Information
Informationen
-Schweregrad
_MODIFIED
74
20773
FILE_RENAMED
Datei umbenannt
Information
Informationen
75
20774
FILE_CREATED
Datei erstellt
Information
Informationen
Datei gelöscht
Information
Informationen
Datei geändert
Information
Informationen
Dateiattribut geändert
Information
Informationen
Datei umbenannt
Information
Informationen
_UPDATE
76
20775
FILE_DELETED
_UPDATE
77
20776
FILE_MODIFIED
_UPDATE
78
20777
FILE_ATTR
_MODIFIED_UPDATE
79
20778
FILE_RENAMED
Ereignistyp
_UPDATE
CC
CC
CC
CC
CC
CC
CC
80
20779
FILE_SOLIDIFIED
Datei zementiert
Information
Informationen
AC
82
20781
FILE_UNSOLIDIFIED
Datei nicht zementiert
Information
Informationen
AC
84
20783
ACL_MODIFIED
Datei-Zugriffssteuerungsliste Information
geändert
Informationen
85
20784
ACL_MODIFIED
Datei-Zugriffssteuerungsliste Information
geändert
Informationen
_UPDATE
CC
CC
86
20785
PROCESS_STARTED
Prozess gestartet
Information
Informationen
CC
87
20786
PROCESS_EXITED
Prozess beendet
Information
Informationen
CC
88
20787
TRIAL_EXPIRED
Testlizenz abgelaufen
Hoch
Fehler
SC
89
20788
READ_DENIED
Lesen von Datei verweigert
Hoch
Fehler
CC
90
20789
USER_LOGON
Benutzer angemeldet
Information
Informationen
Fehlschlag bei
Benutzeranmeldung
Information
Informationen
_FAIL
_SUCCESS
91
20790
USER_LOGON
92
20791
USER_LOGOFF
Benutzer abgemeldet
Information
Informationen
93
20792
USER_ACCOUNT
Benutzerkonto erstellt
Information
Informationen
Benutzerkonto gelöscht
Information
Informationen
_CREATED
94
20793
USER_ACCOUNT
_DELETED
Produkthandbuch
CC
CC
CC
CC
CC
239
B
Ereignis-ID
(auf
Ereignis-ID
Endpunkten) (auf
McAfee
ePO)
Zeichenfolge der
Ereignisanzeige
95
Benutzerkonto geändert
Information
Informationen
Kritisch
Kritisch
Installation zugelassen
Information
Informationen
Kritisch
Kritisch
Kritisch
Kritisch
Registrierung geändert
Information
Informationen
Registrierung geändert
Information
Informationen
Aktualisierungsmodus bei
Neustart
Information
Informationen
20794
USER_ACCOUNT
Solidcore
McAfee ePO
-Client
-Schweregrad
-Schweregrad
_MODIFIED
96
20795
PKG_MODIFICATION
_PREVENTED
97
20796
PKG_MODIFICATION
_ALLOWED_UPDATE
98
20797
PKG_MODIFICATION
_PREVENTED_2
99
20798
NX_VIOLATION
_DETECTED
100
20799
REG_VALUE
_MODIFIED
101
20800
REG_VALUE
_MODIFIED_UPDATE
102
20801
UPDATE_MODE
_DEFERRED
103
20802
FILE_READ_UPDATE
Datei im
gelesen
Information
Informationen
106
20805
STREAM_CREATED
Alternativer Datenstrom
erstellt
Information
Informationen
107
20806
STREAM_DELETED
gelöscht
Information
Informationen
108
20807
STREAM_MODIFIED
geändert
Information
Informationen
109
20808
STREAM_ATTR
Attribut in Datenstrom
geändert
Information
Informationen
erstellt
Information
Informationen
gelöscht
Information
Informationen
geändert
Information
Informationen
geändert
Information
Informationen
hinzugefügt
Information
Informationen
_MODIFIED
110
20809
STREAM_CREATED
_UPDATE
111
20810
STREAM_DELETED
_UPDATE
112
20811
STREAM_MODIFIED
_UPDATE
113
20812
STREAM_ATTR
_MODIFIED_UPDATE
114
240
20813
STREAM_ATTR_SET
Ereignistyp
Produkthandbuch
CC
AC
AC
AC
AC
CC
CC
SC
CC
CC
CC
CC
CC
CC
CC
CC
CC
CC
Ereignis-ID
(auf
Ereignis-ID
Endpunkten) (auf
McAfee
ePO)
Zeichenfolge der
Ereignisanzeige
115
entfernt
Information
Informationen
hinzugefügt
Information
Informationen
entfernt
Information
Informationen
20814
20815
STREAM_ATTR
STREAM_ATTR
_SET_UPDATE
117
20816
McAfee ePO
-Client
-Schweregrad
STREAM_ATTR
_CLEAR_UPDATE
118
20817
STREAM_RENAMED
umbenannt
Information
Informationen
119
20818
STREAM_RENAMED
Information
Informationen
_UPDATE
umbenannt
120
20819
BEGIN_OBSERVE
Beobachtungsmodus starten Information
Informationen
121
20820
BEGIN_OBSERVE
Beobachtungsmodus bei
Neustart starten
Information
Informationen
_DEFERRED
122
20821
END_OBSERVE
Beobachtungsmodus
beenden
Information
Informationen
123
20822
END_OBSERVE
Information
Informationen
_DEFERRED
Beobachtungsmodus bei
Neustart beenden
INITIAL_SCAN
Erster Scan abgeschlossen
Information
Informationen
124
20823
_TASK_COMPLETED
125
20824
BOOTING_OBSERVE
Im Beobachtungsmodus
gestartet
Information
Informationen
126
20825
ACTX_ALLOW
ActiveX-Installation zulässig
Information
Informationen
ActiveX-Installation
verhindert
Hoch
Fehler
_PREVENTED
VASR_VIOLATION
Kritisch
Kritisch
Daten beschränkt
Hoch
Warnung
Daten gelöscht
Hoch
Fehler
Bösartige Datei gefunden
–
Basierend auf
Reputation. ‡
_INSTALL
127
129
20826
20828
ACTX_INSTALL
_DETECTED
131
20830
THROTTLING
_STARTED
132
20831
THROTTLING
_CACHE_FULL
Nicht
20950
zutreffend
(serverseitiges
Ereignis)
THREAT_DETECTED
Nicht
20951
zutreffend
(serverseitiges
Ereignis)
ASSUMED_THREAT
_NOT_PRESENT
Ereignistyp
-Schweregrad
_CLEAR
116
Solidcore
B
*
Bösartige Datei ist
vertrauenswürdig
–
Basierend auf
Reputation. **
CC
CC
CC
CC
CC
AC
AC
AC
AC
AC
AC
AC
AC
AC
SC
SC
CC, AC
CC, AC
§
Produkthandbuch
241
B
Ereignis-ID
(auf
Ereignis-ID
Endpunkten) (auf
McAfee
ePO)
Zeichenfolge der
Ereignisanzeige
Nicht
20952
zutreffend
(serverseitiges
Ereignis)
Schwellenwert für
Beobachtungen
überschritten
–
Schwellenwert für
Beobachtungsanfrage
überschritten
–
OBSERVATION
_THRESHOLD
_EXCEEDED
Solidcore
McAfee ePO
-Client
-Schweregrad
Ereignistyp
-Schweregrad
Warnung
CC, AC
‡‡
Nicht
20953
zutreffend
(serverseitiges
Ereignis)
OBSERVATION
_REQUEST
_THRESHOLD
Warnung
CC, AC
_EXCEEDED
§§
Nicht
20954
zutreffend
(serverseitiges
Ereignis)
DATA_CONGESTION
Nicht
20955
zutreffend
(serverseitiges
Ereignis)
CLOGGED_DATA
*
‡
§
**
‡‡
§§
Datenstau erkannt
–
Warnung
_DETECTED
CC, AC
Gestaute Daten gelöscht
–
Warnung
_DELETED
CC, AC
Dieses Ereignis wird nur auf der Seite Bedrohungsereignisprotokoll angezeigt.
Der McAfee ePO-Schweregrad für dieses Ereignis basiert auf dem Reputationswert. Wenn der Reputationswert "Als bösartig bekannt",
"Höchstwahrscheinlich bösartig" oder "Möglicherweise bösartig" lautet, ist der Schweregrad "Warnung", "Kritisch" bzw. "Fehler". Wenn der
Reputationswert "Unbekannt" lautet, ist der Schweregrad "Warnung". Wenn der Reputationswert "Möglicherweise vertrauenswürdig",
"Höchstwahrscheinlich vertrauenswürdig" oder "Als vertrauenswürdig bekannt" lautet, ist der Schweregrad "Warnung", "Hinweis" bzw.
"Informationen".
Der McAfee ePO-Schweregrad für dieses Ereignis basiert auf dem Reputationswert. Wenn der Reputationswert "Als bösartig bekannt",
"Höchstwahrscheinlich bösartig" oder "Möglicherweise bösartig" lautet, ist der Schweregrad "Warnung", "Kritisch" bzw. "Fehler". Wenn der
Reputationswert "Unbekannt" lautet, ist der Schweregrad "Warnung". Wenn der Reputationswert "Möglicherweise vertrauenswürdig",
"Höchstwahrscheinlich vertrauenswürdig" oder "Als vertrauenswürdig bekannt" lautet, ist der Schweregrad "Warnung", "Hinweis" bzw.
"Informationen".
242
Produkthandbuch
Index
A
Abfragen
anzeigen, Application Control 202
anzeigen, Change Control 67
Application Control 199
Change Control 64
ActiveX-Steuerelemente 160
Address Space Layout Randomization (ASLR) 86
Agent-Server-Kommunikationsintervall (ASCI) 125
Aktivierter Modus
Überblick, Application Control 70
Überblick, Change Control 21
versetzen in, Application Control 147, 207
versetzen in, Change Control 30
Aktivierung der vollen Funktionalität 128, 147
Aktivierung einer Teilfunktionalität 128, 147
Notfalländerungen durchführen 206
versetzen in 207
Aktualisierungsprogramme
Beschreibung 90, 116
hinzufügen 118
Lese- und Schreibschutz außer Kraft setzen 53
allgemeine Prozesse des Startprogramms 127, 186
Alternativer Datenstrom (ADS) 225
Änderungsfenster 70, 206, 207
Anfragen
benutzerdefinierte Regeln definieren 137, 193
Berechtigungen 130, 187
bereinigen 218
beschränken 208–213
Datenstaugrad 204
löschen 141, 196
Regeln überprüfen 142, 196
Selbstgenehmigung überprüfen 183, 184, 188
überprüfen 131
Umgehungsregeln 140
verarbeiten 133
verwalten 131
verwalten, angesammelte 144
verwalten, unternehmensweit 130, 187
zu Whitelist hinzufügen 139, 194
Anfragen (Fortsetzung)
zulassen, nicht-globale Administratoren 130, 187
Application Control
aktivieren 147, 207
Aktivierungsoptionen 128
Ändern von Werten, Konfigurationsparametern 225
Befehle remote ausführen 225
Benachrichtigungen zu Reputationsänderungen 75
deaktivieren 215
im Beobachtungsmodus bereitstellen 125, 127, 128
Modi 70
optimieren, Konfiguration 219
Probelauf 70
Prüfungen, Dateiausführung 110
Standardrichtlinien 114
Überblick und Verwendung 13
Vertrauensstufe 79
vordefinierte Regeln 149
Whitelist 109
B
Befehlszeilenschnittstelle (CLI)
Kennwort 214, 225
Sperren 225
wiederherstellen 225
Benutzer
Anfragen genehmigen 183, 184
Anfragen überprüfen 188
Berechtigungssätze 220
Endbenutzerbenachrichtigungen 223
Kontoaktivität 225
überwachen 33
Beobachtungen
beschränken 143
Beschränkungsregeln überprüfen 144
Beschreibung 125
Datenstaugrad 204
Generierung neu starten 144
Schwellenwert definieren 143
verwalten 131
Beobachtungsmodus
beenden 145
Produkthandbuch
243
Index
Beobachtungsmodus (Fortsetzung)
Beobachtungen beschränken 143
Beschreibung 125
Überblick 70
versetzen 127
versetzen in 125, 128
Berechtigungen
Aktualisierungsprogramme 23, 26, 93, 96
Ausnahmen 93, 96
Binärdatei 93, 96
Filter 23, 26, 93, 96
Installationsprogramme 93, 96
Regelgruppen 23, 93
Registerkarte für Regelgruppen 96
Registerkarten für Regelgruppen 23, 26, 93
Richtlinienerkennung 130, 187
Solidcore-Administrator 220
Solidcore-Prüfer 220
vertrauenswürdige Benutzer 93
Vertrauenswürdige Benutzer 23, 26, 96
vertrauenswürdige Verzeichnisse 93
Vertrauenswürdige Verzeichnisse 96
verwalten 26, 96
verwalten, unternehmensweite Anfragen 130, 187
Zertifikate 93, 96
zulassen, nicht-globale Administratoren 130, 187
Binärdateien
Enterprise-Reputation festlegen 170
GTI-Bewertungen abrufen 167
in Inventar, überprüfen 170
nach Prüfsumme sperren 136, 192
nach Prüfsumme zulassen 134, 191
nach Zertifikaten zulassen 135, 191
Prüfungen zur Ausführung 110
Reputation 75, 76, 78, 79, 84
Reputation berechnen 79
Reputation nutzen 86
Reputationswerte 78, 79
SHA-1s exportieren 168
Umgehungsregeln 140
zulassen oder sperren 120
C
Change Control
Abfragen 64
aktivieren 30
Ändern von Werten, Konfigurationsparametern 225
Dashboards 64
Ereignisse ausschließen 63
Inhaltsänderungen verfolgen 44
Modi 21
244
Change Control (Fortsetzung)
optimieren, Konfiguration 219
Überblick und Verwendung 16
Client-Task-Protokoll, bereinigen 218
Critical Address Space Protection (CASP)
Informationen 86
Umgehungsregeln definieren 156
D
Dashboards
Application Control 199
Change Control 64
Systemstatus im gesamten Unternehmen 203
Systemstatus im Unternehmen 204
Datei
Netzwerk, zulassen 136
Dateien
Alternativer Datenstrom (ADS) 225
aus Whitelist entfernen 225
autorisiert und in der Whitelist 109
Einstellungen konfigurieren, Verfolgen von
Inhaltsänderungen 43
Ereignisse anzeigen und verwalten, Change Control 61
GTI-Bewertungen abrufen 167
in Inventar, überprüfen 170
Inhaltsänderungen anzeigen, Ereignisse 62
Inhaltsänderungen verfolgen 44
Inhaltsänderungen verwalten 42–44, 46
Leseschutz festlegen 51, 53
nach Prüfsumme autorisieren 134, 191
nach Zertifikaten autorisieren 135, 191
Prüfungen zur Ausführung 110
Reputation 74–76, 78, 79, 84
Schreibschutz festlegen 51, 53
Selbstgenehmigung 183, 184
Überlegungen zu Pfaden 38, 53
überwachen 33, 37–41
überwacht, Bericht zur Überwachung von
Inhaltsänderungen 49
Umgehungsregeln 140, 156
Vorgehensweise beim Autorisieren 109
Zementierung aufheben 225
zulassen oder sperren, Binärdateien 120
Daten
bereinigen, Alarme 218
bereinigen, Client-Task-Protokoll 218
bereinigen, Daten zur Überwachung von Inhaltsänderungen
218
Produkthandbuch
Index
Daten (Fortsetzung)
bereinigen, Ereignisse 218
bereinigen, Image-Abweichung 218
bereinigen, Inventar 218
bereinigen, Richtlinienerkennung 218
Datenstaugrade anzeigen 204
Datenstaustatus 203
Staustatus 204, 205
Datenausführungsverhinderung (Data Execution Prevention,
DEP) 86
Deaktivierter Modus
versetzen in 215
Dokumentation
Produktspezifisch, suchen 10
Typografische Konventionen und Symbole 9
Zielgruppe dieses Handbuchs 9
Ereignisse (Fortsetzung)
Inhaltsänderungen anzeigen 62
Liste 237
überprüfen und verwalten 61, 150
erforderliche Komponenten 13
erweitere Konfigurations-Tasks
erweiterte Ausschlussfilter
hinzufügen 178
erweiterte Ausschlussfilter (AEF)
Überblick 33
erweiterte Konfigurations-Tasks
Syslog-Server konfigurieren 219
Erzwungene DLL-Verlagerung
Informationen 86
F
E
Echtzeitüberwachung 16
Empfehlungen
Abfrage für Erstellung des Berichts zur Überwachung von
Inhaltsänderungen duplizieren 49
für Treiber oder Volumes in der Whitelist 225
für zugelassene Binärdatei und
Aktualisierungskonfiguration 116
Selbstgenehmigungsfunktion, Modus "Aktivierung der
vollen Funktionalität" 183
Skripte in selbstextrahierende, ausführbare Datei
konvertieren 225
Standardrichtlinien beibehalten 149
ePolicy Orchestrator
Abfragen anzeigen, Application Control 202
Abfragen anzeigen, Change Control 67
Abfragen, Application Control 199
Abfragen, Change Control 64
auf weitere Server zugreifen 219
Beobachtungen beschränken 143
Dashboards, Application Control 199
Dashboards, Change Control 64
Ereignisse verwalten 61
GTI-Bewertungen für isolierte Umgebungen abrufen 167
GTI-Ergebnisdatei importieren 169
Import der GTI-Bewertungen überprüfen 170
Installationsprogramme hinzufügen 104
installieren 13
reputationsbasierter Workflow 75
Zertifikate hinzufügen 102
Ereignisse
ausschließen 63, 156
beschränken 208–213
Daten bereinigen 218
Details 150
für Benutzerkontoaktivität 225
Filter
angeben für Beobachtungen und Ereignisse 142
Beobachtungen und Ereignisse 213
definierte verwenden 170
Inventaraktualisierungen 178, 213
Überblick 16
Funktionen, aktivieren oder deaktivieren 225
G
Graylist 176
H
Handbuch, Informationen 9
Häufig gestellte Fragen 225
I
Image-Abweichung
bereinigen 218
Ergebnisse des Vergleichs prüfen 181
Vorgehensweise 179
Inhaltsänderungen
bereinigen 218
Bericht generieren 49
Dateiänderungen überwachen 48
Dateien vergleichen 47
Dateiversionen verwalten 46
Einstellungen konfigurieren 43, 44
Ereignisse 62
verfolgen 42, 44
Installationsprogramme
Ausführung 106
Beschreibung 116
hinzufügen 104
suchen 105
verwalten 104
Produkthandbuch
245
Index
Installationsprogramme (Fortsetzung)
zuweisen 121
Zuweisungen anzeigen 105
Integrity Monitor
Dashboards 64
Regelgruppen erstellen 26
Regelgruppen verwalten 25
Überwachungsregeln 39, 40
Zuweisungen für eine Regelgruppe anzeigen 30
Inventar
abrufen 166
Aktualisieren beschränken 208–213
Aktualisierungen konfigurieren 164
Aktualisierungsmechanismus 163
Ansicht optimieren 174
Basisabbild festlegen 179
bereinigen 218
Dateikategorien 176
Datenstaugrad 204
Einstellungen konfigurieren 166
erweiterte Ausschlussfilter angeben 178
GTI-Bewertungen abrufen 167, 168
Richtlinien zum Abrufen 164
überprüfen 170
vergleichen 179, 181
verwalten 163, 170
McAfee Global Threat Intelligence (McAfee GTI) (Fortsetzung)
Klassifizierung 78, 79
Offline-GTI-Tool ausführen 168
Proxy-Server 225
Reputationsquelle 75, 84
McAfee ServicePortal, Zugriff 10
McAfee Threat Intelligence Exchange (TIE)
Benachrichtigungen zu Reputationsänderungen 75
Server 75
McAfee Threat Intelligence Services (MITS) 86
McAfee-Support
Einstellungen für GTI-Bewertungen konfigurieren 169
Konfigurations- und Debugging-Informationen erfassen 214
Modi
Aktiviert, Application Control 147, 207
Aktiviert, Change Control 30, 207
Aktualisierung 207
Beobachtung 125, 145
Deaktiviert, Application Control 215
Deaktiviert, Change Control 215
N
Kontextdateivorgänge verarbeiten
Konventionen und Symbole in diesem Handbuch 9
Namen eingeschränkter Zertifikate 127, 186
Network Address Translation-Umgebungen (NAT) 225
No eXecute (NX)
Informationen 86
Notfalländerungen 70, 206, 207
L
O
Leseschutzfunktion
aktivieren 59
außer Kraft setzen 53
Regeln 51, 53
Überblick 16
Offline-GTI-Tool 168
K
Lizenz 13
M
McAfee Advanced Threat Defence
Reputationswerte 79
McAfee Data Exchange Layer (DXL) 84
McAfee Global Threat Intelligence (McAfee GTI)
Adresse von Cloud- und Feedback-Server 225
Bewertungen abrufen 167
Datei-Reputationsdienst 168
Feedback senden 216
Import der GTI-Bewertungen überprüfen 170
246
P
Paketkontrolle
Deinstallation zulassen 106
konfigurieren 106
umgehen 106
Pfade
Systemvariablen und Überlegungen 37, 38, 52
Programme
Aktualisierungsprogramme 116
autorisieren 109
Prüfsumme
Programme oder Dateien autorisieren 134, 191
Programme oder Dateien sperren 136, 192
Produkthandbuch
Index
R
Regelgruppen
Ändern der Besitzrechte 25, 96
Beispiel, Application Control 88
Beispiel, Change Control 22
Berechtigungen verwalten, Application Control 96
Berechtigungen verwalten, Change Control 26
Berechtigungen zuweisen, Application Control 93
Berechtigungen zuweisen, Change Control 23
Besitzrechte 23, 89
Diskrepanzen und Inkonsistenzen beheben 225
erstellen und verwalten, Application Control 95, 97
erstellen und verwalten, Integrity Monitor und Change
Control 25
globale Regeln 142, 196
Import überprüfen 30, 100
importieren oder exportieren 27, 28, 98, 99
Installationsprogramme zuweisen 121
Regeln definieren, um den Schutz außer Kraft zu setzen
Reputation (Fortsetzung)
Werte 78, 79
Workflow 75, 76
Zertifikat 74
Zertifikate 75
Return-Oriented Programming (ROP) 86
Richtlinien
angegebene Beschriftungen 225
Ausschlussregeln 133
Beschränkung 144
CLI-Kennwort ändern 214
erstellen 153, 155
Installationsprogramme zuweisen 121
Regelgruppen definieren 22, 88
Regeln definieren, um den Schutz außer Kraft zu setzen
153
Schutz 58
Standard, Application Control 114
Überwachung 41
Zertifikate zuweisen 120
Zuweisungen für Installationsprogramme anzeigen 105
Zuweisungen für Zertifikate anzeigen 103
153
Überblick, Application Control 22, 88
Zertifikate zuweisen 120
Zuweisungen anzeigen, Application Control 101
Zuweisungen anzeigen, Integrity Monitor und Change
Control 30
Zuweisungen für Installationsprogramme anzeigen 105
Zuweisungen für Zertifikate anzeigen 103
Regeln
definieren, Anleitung 117
definieren, benutzerdefinert 193
definieren, benutzerdefiniert 137, 154
Schutz 51–53
Überwachung 33
vordefinierte verwalten 225
Überlegungen zu Pfaden 38, 53
überwachen 33, 37–41
Reputation
Benachrichtigungen zu Änderungen 75
berechnen 79
Berechnungsweise 79
Datei 74
Dateien 75
Endpunkt-Workflow 76
festlegen 170
McAfee Advanced Threat Defence 75
McAfee ePO-Workflow 75
McAfee Global Threat Intelligence (McAfee GTI) 75
McAfee Threat Intelligence Exchange (TIE) Server 75
Nutzung 86
Quellen 75, 78, 79, 84
Quellen, konfigurieren 84
S
Schreibschutzfunktion
außer Kraft setzen 53
Regeln 51, 53
Überblick 16
Selbstgenehmigungsfunktion
aktivieren 183, 184
Beschreibung 183
konfigurieren 127, 186
ServicePortal, Quellen für Produktinformationen 10
SHA-1
Programme oder Dateien autorisieren 109
Skipliste
Dateivorgänge umgehen 156
Schreibschutzregeln umgehen 156
Volume umgehen 156
Whitelist umgehen 156
Syslog-Server 219
Systemvariablen 37, 52
T
Ausnahme hinzufügen 122
Critical Address Space Protection (CASP) 86
Erzwungene DLL-Verlagerung 86
mp-casp (Critical Address Space Protection) 86
mp-nx (No eXecute) 86
mp-vasr (Virtual Address Space Randomization) 86
mp-vasr-randomization (VASR Randomization) 86
mp-vasr-rebase (VASR Rebasing) 86
mp-vasr-reloc (VASR Relocation für 64-Bit) 86
Produkthandbuch
247
Index
Techniken zum Speicherschutz (Fortsetzung)
mp-vasr-relocation (VASR Relocation für 32-Bit) 86
No eXecute (NX) 86
umgehen 140, 156
Virtual Address Space Randomization (VASR) 86
Technischer Support, Produktdokumentation finden 10
U
Überwachungsregeln
Aktionen 39
Änderungen am alternativen Datenstrom (ADS) 225
definieren 37
Funktionsweise 33
Richtlinien 41
überprüfen, vordefinierte Regeln 40
Umfang dieses Handbuchs 10
unterstützte Verwaltungsplattformversionen 10
V
veraltet
Seite "Beobachtungen" 131
Seite "Selbstgenehmigung" 131
Vertrauensmodell
Aktualisierungsmodus 116
Aktualisierungsprogramme 116
Beobachtungsmodus 116, 125, 127
definieren 110
Installationsprogramme 116
Installationsprogramme hinzufügen 104
nach Prüfsumme autorisieren 134, 191
nach Zertifikaten autorisieren 135, 191
Prüfungen, Dateiausführung 110
Regeln definieren 137, 193
vertrauenswürdige Benutzer 116
vertrauenswürdige Verzeichnisse 116
Zertifikate 116
Zertifikate hinzufügen 102, 225
vertrauenswürdige Benutzer
Beschreibung 116, 123
hinzufügen 123
Lese- und Schreibschutz außer Kraft setzen 53
vertrauenswürdige Verzeichnisse
Beschreibung 116
hinzufügen 122
verwaltete Plattform, unterstützte Versionen 10
Verzeichnisse
hinzufügen, vertrauenswürdige 122
Inhaltsänderungen verfolgen 42, 44
248
Verzeichnisse (Fortsetzung)
Leseschutz festlegen 51, 53
Überlegungen zu Pfaden 38
überwachen 37–41
Virtual Address Space Randomization (VASR)
Informationen 86
Volumes
Leseschutz festlegen 51
Schreibschutz festlegen 51
W
Warnungen, bereinigen 218
Whitelist
abrufen 166
Basisabbild festlegen 179
Dateikategorien 176
GTI-Bewertungen abrufen 167, 168
hinzufügen zu 139, 194
Richtlinien zum Abrufen 164
Überblick 109
überprüfen 170
vergleichen 179
verwalten 163, 170
Z
Zertifikate
Beschreibung 116
hinzufügen 102, 225
Programme oder Dateien autorisieren 109, 135, 191
Reputation 74–76, 78, 79, 84
Richtlinie oder Regelgruppe zuweisen 120
SHA-1s für öffentliche Schlüssel exportieren 168
suchen 103
unterstützt 225
unterstützte 101
vertrauenswürdige 101
verwalten 101
Zuweisungen anzeigen 103
Produkthandbuch
0-15

Change Control - Knowledge Center

Transcrição

Documentos relacionados

Deinstallation von McAfee (Windows XP) - ZIMT

Einladung zum McAfee Partner Summit 2011

McAfee All Access 2013—Individual

McAfee Perpetual Plus

GE DATA WEB - chiliGREEN

Datenblatt herunterladen

McAfee Endpoint Encryption

SPAM-Experiment - Torsten Fechner

McAfee® VirusScan® USB

McAfee Active Response Datenblatt