Best Practices für das Hinzufügen von Regeln für die Anwendungssteuerung

Sie sollten Ihre benutzerdefinierten Regeln für die Anwendungssteuerung sorgfältig planen. Wenn Sie Regeln für die Anwendungssteuerung erstellen, beachten Sie die folgenden Best Practices.
Best Practices für Regeln für die Anwendungssteuerung
Best Practice
Beschreibung
Beispiel
Berücksichtigen der Regelreihenfolge
Die Regeln für die Anwendungssteuerung funktionieren ähnlich wie die meisten netzwerkbasierten Firewall-Regeln dahingehend, dass beide die erste Regel-Übereinstimmungsfunktion verwenden. Wenn mehrere Bedingungen wahr sind, wird nur die erste Regel angewendet, es sei denn,
Verarbeitung anderer Regeln fortsetzen
ist als Aktion für die Regel konfiguriert.
Sie möchten alle Benutzer am Verschieben, Kopieren und Erstellen von Dateien auf USB-Laufwerken hindern.
Es besteht eine vorhandene Regel mit einer Bedingung, die Schreibzugriff auf eine Datei mit dem Namen "Test.doc" ermöglicht. Sie fügen diesem vorhandenen Regelsatz eine zweite Bedingung hinzu, um alle USB-Laufwerke zu blockieren. In diesem Szenario sind die Benutzer noch in der Lage, eine Test.doc-Datei auf USB-Laufwerken zu erstellen und zu ändern. Die Bedingung
Zugriff zulassen
auf Test.doc steht im Regelsatz vor der Bedingung
Zugriff blockieren
auf USB-Laufwerke. Die Bedingung
Zugriff blockieren
auf USB-Laufwerke wird nicht verarbeitet, wenn die Bedingung, die ihr in der Liste vorausgeht, wahr ist.
Verwenden der richtigen Aktion
Die Bedingung
Versuchte Beendigungen von Prozessen
ermöglicht oder blockiert die Fähigkeit einer Anwendung, einen Prozess auf einem Clientcomputer zu beenden.
Die Bedingung ermöglicht oder verhindert nicht, dass Benutzer eine Anwendung über eine der üblichen Methoden stoppen, zum Beispiel durch Klicken auf "Beenden" im Menü "Datei".
Der Prozessexplorer ist ein Tool, das die DLL-Prozesse anzeigt, die geöffnet oder geladen wurden, und welche Ressourcen die Prozesse verwenden.
Sie sollten den Prozessexplorer beenden, wenn er versucht, eine bestimmte Anwendung zu beenden.
Verwenden Sie die Bedingung
Versuchte Beendigungen von Prozessen
und die Aktion
Prozess beenden
, um diesen Regeltyp zu erstellen. Sie wenden die Bedingung auf die Prozessexplorer-Anwendung an. Sie wenden die Regel auf die Anwendung oder die Anwendungen an, die der Prozessexplorer nicht beenden soll.
Verwenden eines Regelsatzes pro Ziel
Erstellen Sie einen Regelsatz, der alle Aktionen umfasst, die eine bestimmten Aufgabe ermöglichen, blockieren oder überwachen.
Sie möchten Schreibversuche auf alle Wechseldatenträger und die Manipulation einer bestimmten Anwendung durch Anwendungen blockieren.
Um diese Ziele zu erreichen, sollten Sie zwei verschiedene Regelsätze anstelle eines Regelsatzes erstellen.
Verwenden Sie die Aktion
Prozess beenden
sparsam.
Die Aktion
Prozess beenden
beendet einen Prozess, wenn er die konfigurierte Bedingung erfüllt.
Nur erweiterte Administratoren sollten die Aktion
Prozess beenden
verwenden. Normalerweise sollten Sie stattdessen die Aktion
Zugriff blockieren
verwenden.
Sie möchten Winword.exe jedes Mal beenden, wenn ein Prozess die Datei startet.
Sie erstellen eine Regel und konfigurieren sie mit der Bedingung
Versuchte Prozessstarts
und der Aktion
Prozess beenden
. Sie wenden die Bedingung auf Winword.exe und die Regel auf alle Prozesse an.
Sie erwarten vielleicht, dass diese Regel "Winword.exe" beendet. Dies ist jedoch nicht der Fall. Wenn Sie versuchen, "Winword.exe" über den Windows Explorer zu starten, beendet eine Regel bei dieser Konfiguration "Explorer.exe", jedoch nicht "Winword.exe". Benutzer können Winword.exe noch ausführen, wenn sie es direkt starten. Stattdessen verwenden Sie die Aktion
Zugriff blockieren
, die den Zielprozess blockiert, oder Winword.exe.
Prüfen von Regeln vor der Verwendung
Die Option
Test (nur protokollieren)
für Regelsätze protokolliert die Aktionen und wendet die Aktionen nicht auf die Clientcomputer an. Führen Sie Regeln in einem Testmodus während eines akzeptablen Zeitraums aus, bevor Sie sie in den Produktionsmodus zurückverschieben. Während dieses Zeitraums prüfen Sie die Anwendungssteuerungsprotokolle und überprüfen Sie, ob die Regeln wie geplant funktionieren.
Die Testoption reduziert potenzielle Fehler, die Sie möglicherweise machen, wenn Sie nicht alle Möglichkeiten der Regel berücksichtigen.