Best Practices für das Auswählen, welche Bedingungen für eine Regel zu verwenden sind

Sie können benutzerdefinierte Anwendungssteuerungsregeln und Bedingungen hinzufügen, um Benutzer daran zu hindern, Anwendungen zu öffnen, in Dateien zu schreiben oder Dateien gemeinsam zu nutzen. Sie können die Standardregelsätze zu Hilfe nehmen, um herauszufinden, wie Sie Ihre Regeln einrichten. Beispielsweise können Sie den Regelsatz
Anwendungen gegen Ausführung blockieren
bearbeiten, um anzuzeigen, wie Sie die Bedingung
Versuchte Prozessstarts
verwenden können.
Typische Bedingungen, die für eine Regel zu verwenden sind
Regel
Bedingung
Hindern Sie Benutzer am Öffnen einer Anwendung
Sie können eine Anwendung blockieren, wenn sie eine dieser Bedingungen erfüllt:
  • Versuche, Prozesse zu starten
    Um beispielsweise Benutzer am Übertragen von FTP-Dateien zu hindern, können Sie eine Regel hinzufügen, die einen Benutzer am Starten eines FTP-Clients von der Eingabeaufforderung aus hindert.
  • Versuchte DLL-Ladevorgänge
    Wenn Sie beispielsweise eine Regel hinzufügen, die Msvcrt.dll auf dem Clientcomputer blockiert, können Benutzer Microsoft WordPad nicht öffnen. Die Regel blockiert auch jede andere Anwendung, die die DLL verwendet.
Verhindern Sie, dass Benutzer in eine bestimmte Datei schreiben
Möglicherweise möchten Sie, dass Benutzer zwar eine Datei öffnen, diese aber nicht ändern können. Beispielsweise enthält eine Datei möglicherweise die Finanzdaten, die Angestellte zwar anzeigen können sollen, aber nicht bearbeiten dürfen.
Sie können eine Regel erstellen, über die Benutzer einen schreibgeschützten Zugriff auf eine Datei erhalten. Beispielsweise können Sie eine Regel hinzufügen, die Ihnen ermöglicht, eine Textdatei im Notepad zu öffnen, die Sie jedoch nicht bearbeiten können.
Verwenden Sie die Bedingung
Versuchte Datei- und Ordnerzugriffe
für diesen Regeltyp.
Blockieren von Dateifreigaben auf Windows-Computern
Sie können die lokale Datei- und Druckerfreigabe auf Windows-Computern deaktivieren.
Schließen Sie die folgenden Bedingungen ein:
  • Registrierungs-Zugriffsversuche
    Fügen Sie alle relevanten Windows-Sicherheits- und freigegebenen Registrierungsschlüssel hinzu.
  • Versuche, Prozesse zu starten
    Geben Sie den Serverdienstprozess an (svchost.exe).
  • Versuchte DLL-Ladevorgänge
    Geben Sie die DLLs für die Registerkarten "Sicherheit" und "Freigabe" an (rshx32.dll, ntshrui.dll).
  • Versuchte DLL-Ladevorgänge
    Geben Sie die Serverdienst-DLL an (srvsvc.dll).
Sie legen die Aktion für jede Bedingung der Option
Zugriff blockieren
fest.
Sie können Firewall-Regeln auch verwenden, um die Dateifreigabe auf Clientcomputern zu verhindern oder zu ermöglichen.
Verhindern Sie, dass Benutzer Peer-to-Peer-Anwendungen ausführen.
Sie können Benutzer daran hindern, Peer-to-Peer-Anwendungen auf ihren Computern auszuführen.
Sie können eine benutzerdefinierte Regel mit der Bedingung
Versuchte Prozessstarts
erstellen. In der Bedingung müssen Sie alle Peer-to-Peer-Anwendungen angeben, die Sie blockieren möchten, wie zum Beispiel LimeWire.exe oder *.torrent. Sie können die Aktion für die Bedingung zum
Zugriff blockieren
festlegen übergehen.
Verwenden Sie eine Angriffsschutzrichtlinie, um Netzwerkverkehr von Peer-to-Peer-Anwendungen zu blockieren. Verwenden Sie eine Firewall-Richtlinie, um die Ports zu blockieren, die Peer-to-Peer-Anwendungsdatenverkehr senden und empfangen.
Blockieren von Schreibversuchen auf DVD-Laufwerke
Derzeit hat die Anwendungssteuerung keine Standardregel, die CD-/DVD-Schreibvorgänge direkt blockiert. Stattdessen erstellen Sie eine Regel, die genau die DLLs blockiert, die auf CD- oder DVD-Laufwerke unter Verwendung der Bedingungen
Bedingung hinzufügen
und
Versuchte Datei- und Ordnerzugriffe
schreiben.
Sie sollten außerdem eine Hostintegritätsrichtlinie erstellen, die den Windows-Registrierungsschlüssel festlegt, um Schreibversuche auf DVD-Laufwerken zu blockieren.