Hinzufügen benutzerdefinierter Regeln zur Anwendungssteuerung

Wenn die Standardregelsätze nicht Ihre Bedingungen erfüllen, fügen Sie neue Regelsätze und Regeln hinzu. Sie können die vordefinierten Regelsätze ändern, die mit der Richtlinie installiert werden.
  • Der Regelsatz ist der Behälter, der eine oder mehrere Regeln enthält, die eine Aktion ermöglichen oder blockieren.
  • Die Regeln in den Regelsätzen definieren eine oder mehrere Prozesse oder Anwendungen. Sie können die Überwachung eines bestimmten Prozesses auch ausschließen.
  • Jede Regel umfasst Bedingungen und Aktionen, die für einen bestimmten Prozess bzw. bestimmte Prozesse gelten. Für jede Bedingung können Sie die Aktionen konfigurieren, die bei Erfüllung der Bedingung auszuführen sind. Sie können Regeln so konfigurieren, damit sie nur auf bestimmte Anwendungen angewendet werden, und Sie können sie optional konfigurieren, um auszuschließen, dass die Aktion auf andere Anwendungen angewendet wird.
Führen Sie folgende Schritte aus, um Ihre eigenen Anwendungsregeln hinzuzufügen:
Schritt 1: Benutzerdefinierte Regelsätze und Regeln hinzufügen
Es wird empfohlen, einen Regelsatz zu erstellen, der alle Aktionen enthält, die eine bestimmte Aufgabe zulassen, blockieren und überwachen. Andererseits sollten Sie mehrere Regelsätze erstellen, wenn Sie mehrere Aufgaben haben. Beispiel: Wenn Sie Schreibversuche auf alle Wechseldatenträger blockieren wollen und auch Anwendungen daran hindern wollen, eine bestimmte Anwendung zu manipulieren, sollten Sie zwei Regelsätze erstellen. Sie fügen beliebig viele Regelsätze und Regeln hinzu und aktivieren sie.
Beispiel: BitTorrent ist ein Kommunikationsprotokoll, das für die Peer-to-Peer-Dateifreigabe verwendet wird und nicht sicher ist. BitTorrent verteilt Filme, Spiele, Musik und andere Dateien. BitTorrent ist eine der einfachsten Methoden, um Bedrohungen zu verteilen. Malware wird innerhalb der Dateien ausgeblendet, die auf Peer-to-Peer-Netzwerken freigegeben werden. Sie können die Anwendungssteuerung verwenden, um den Zugriff auf das BitTorrent-Protokoll zu blockieren. Sie können auch Peer-to-Peer- Authentifizierung und Angriffsschutz verwenden. Blockieren eines Remote-Computers durch das Konfigurieren der Peer-to-Peer-Authentifizierung
Sie sollten die Reihenfolge der Regeln und ihrer Bedingungen berücksichtigen, wenn Sie sie konfigurieren, um unerwartete Konsequenzen zu vermeiden. Gewöhnlich sollten nur erfahrene Administratoren diese Aufgabe durchführen.
So fügen Sie benutzerdefinierte Regelsätze und Regeln hinzu
  1. Öffnen Sie eine Anwendungssteuerungsrichtlinie.
  2. Klicken Sie im Bereich
    Anwendungssteuerung
    unter der Liste von Standardregelsätzen auf
    Hinzufügen
    .
    Um einen vordefinierten Regelsatz zu ändern, wählen Sie ihn aus und klicken Sie dann auf
    Bearbeiten
    . Beispiel: Um Anwendungen zu überwachen, die auf das BitTorrent-Protokoll zugreifen, wählen Sie
    Programme an der Ausführung von Wechselplatten aus hindern [AC2]
    aus.
  3. Geben Sie im Dialogfeld
    Regelsatz für Anwendungssteuerung hinzufügen
    einen Namen und eine Beschreibung für den Regelsatz ein.
  4. Wählen Sie unter "Regeln" die Option
    Regel 1
    aus und geben Sie auf der Registerkarte
    Eigenschaften
    einen aussagekräftigen Namen und eine Beschreibung für die Regel ein.
    Um eine zusätzliche Regel hinzuzufügen, klicken Sie auf
    Hinzufügen
    >
    Regel hinzufügen
    .
Schritt 2: Definieren der Anwendung oder des Prozesses für die Regel
Jede Regel muss mindestens eine Anwendung oder einen Prozess auf dem Clientcomputer überwachen. Sie können auch bestimmte Anwendungen aus der Regel ausschließen.
So definieren Sie die Anwendung oder den Prozess für die Regel
  1. Wählen Sie die Regel aus und klicken Sie auf der Registerkarte
    Eigenschaften
    neben
    Diese Regel auf die folgenden Prozesse anwenden
    auf
    Hinzufügen
    .
  2. Im Dialogfeld
    Prozessdefinition hinzufügen
    geben Sie den Anwendungs- oder den Prozessnamen, zum Beispiel
    bittorrent.exe
    , ein.
    Wenn Sie die Regel auf alle Anwendungen außer einem bestimmten Satz Anwendungen anwenden, dann definieren Sie einen Platzhalter für alle (*) in diesem Schritt. Listen Sie dann die Anwendungen, die Ausnahmen sein müssen, neben
    Diese Regel nicht auf die folgenden Prozesse anwenden
    auf.
  3. Klicken Sie auf
    OK
    .
    Das Kontrollkästchen
    Diese Regel aktivieren
    ist standardmäßig aktiviert. Wenn Sie diese Option deaktivieren, trifft die Regel nicht zu.
Schritt 3: Hinzufügen von Bedingungen und Aktionen zu einer Regel
Die Bedingungen steuern das Verhalten der Anwendung oder des Prozesses, die bzw. der versucht, auf dem Clientcomputer ausgeführt zu werden. Jeder Bedingungstyp hat seine eigenen Eigenschaften, um anzugeben, wonach die Bedingung sucht.
Jede Bedingung hat ihre eigenen bestimmten Aktionen, die für den Prozess durchgeführt werden, wenn die Bedingung wahr ist. Außer der Aktion "Prozess beenden" gelten die Aktionen immer für den Prozess, den Sie für die Regel definieren, und nicht für die Bedingung.
Warnung
: Die Aktion
Prozess beenden
beendet den Anruferprozess oder die Anwendung, die die Anforderung gestellt hat. Der Anruferprozess ist der Prozess, den Sie in der Regel und nicht in der Bedingung definieren. Die anderen Aktionen beziehen sich auf den Zielprozess, der in der Bedingung definiert wurde.
Bedingung
Beschreibung
Registrierungs-Zugriffsversuche
Ermöglicht oder blockiert den Zugriff auf die Registrierungseinstellungen eines Clientcomputers.
Datei- und Ordner-Zugriffsversuche
Ermöglicht oder blockiert den Zugriff auf die definierten Dateien oder Ordner eines Clientcomputers.
Versuche, Prozesse zu starten
Ermöglicht oder blockiert die Fähigkeit, einen Prozess auf einem Clientcomputer zu starten.
Versuchte Beendigungen von Prozessen
Ermöglicht oder blockiert die Fähigkeit, einen Prozess auf einem Clientcomputer zu beenden. Beispielsweise können Sie verhindern, dass eine bestimmte Anwendung beendet wird.
Warnung
: Die Bedingung
Versuchte Beendigungen von Prozessen
bezieht sich auf den Zielprozess. Wenn Sie die Bedingung
Versuchte Beendigungen von Prozessen
für Symantec Endpoint Protection oder einen anderen wichtigen Prozess verwenden und dann die Aktion "Prozess beenden" verwenden, um den Prozess zu beenden, der versucht, Symantec Endpoint Protection zu beenden.
Versuchte DLL-Ladevorgänge
Ermöglicht oder blockiert die Fähigkeit, eine DLL auf einen Clientcomputer hochzuladen.
  1. Unter
    Regel
    wählen Sie die Regel, die Sie hinzufügten, aus, klicken Sie auf
    Hinzufügen
    >
    Bedingung hinzufügen
    und wählen Sie eine Bedingung aus.
    Beispiel: Klicken Sie auf
    Versuchte Prozessstarts
    , um eine Bedingung für den Zugriff des Clientcomputers auf das BitTorrent-Protokoll hinzuzufügen.
  2. Auf der Registerkarte
    Eigenschaften
    wählen Sie den zu startenden oder nicht zu startenden Prozess aus:
    • So geben Sie einen zu startenden Prozess an
      Klicken Sie neben
      Auf die folgenden
      "Entität"
      anwenden
      auf
      Hinzufügen
      .
    • So schließen Sie einen bestimmten Prozess vom Starten aus
      Klicken Sie neben
      Nicht auf die folgenden Prozesse anwenden
      auf
      Hinzufügen
      .
  3. Im Dialogfeld
    "Entität"
    -Definition hinzufügen
    geben Sie Prozessname, DLL oder Registrierungsschlüssel ein.
    Beispiel: Um BitTorrent hinzuzufügen, geben Sie Dateipfad und Programm ein, zum Beispiel:
    C:\Benutzer\Benutzername\Application Data\Roaming\BitTorrent
    .
    Wenn Sie eine Bedingung auf alle Entitäten in einem bestimmten Ordner anwenden, wird empfohlen, Folgendes zu verwenden:
    folder_name
    \* oder
    folder_name
    \*\*. Ein Sternchen enthält alle Dateien und Ordner im genannten Ordner. Verwenden Sie
    folder_name
    \*\*, um jede Datei und jeden Ordner im genannten Ordner sowie jede Datei und jeden Ordner in jeden Unterordner einzuschließen.
  4. Klicken Sie auf
    OK
    .
  5. Auf der Registerkarte
    Aktionen
    für die Bedingung wählen Sie eine Aktion aus, die ausgeführt wird.
    Beispiel: Um TextPad zu blockieren, wenn es versucht, Firefox zu starten, klicken Sie auf
    Zugriff blockieren
    .
  6. Aktivieren Sie
    Protokollierung aktivieren
    und
    Benutzer benachrichtigen
    und fügen Sie eine Nachricht hinzu, die der Clientcomputerbenutzer sehen soll.
    Geben Sie beispielsweise
    TextPad versucht, Firefox zu starten
    ein.
  7. Klicken Sie auf
    OK
    .
    Der neue Regelsatz wird angezeigt und für den Testmodus konfiguriert. Sie sollten neue Regelsätze testen, bevor Sie sie auf Ihre Clientcomputer anwenden.