Konfigurieren der Systemsperre

Die Systemsperre steuert Anwendungen auf einer Gruppe von Clientcomputern, indem sie nicht genehmigte Anwendungen blockiert. Sie können die Systemsperre so einrichten, dass nur Anwendungen einer angegebenen Liste zugelassen werden. Die Zulassungsliste (Whitelist) enthält alle genehmigten Anwendungen, alle anderen Anwendungen werden auf Clientcomputern blockiert. Alternativ können Sie die Systemsperre so einrichten, dass nur Anwendungen einer angegebenen Liste blockiert werden. Die Verweigerungsliste (Blacklist) enthält alle nicht genehmigten Anwendungen, alle anderen Anwendungen werden auf Clientcomputern zugelassen.
Alle von der Systemsperre zugelassenen Anwendungen werden von den anderen Schutzfunktionen von
Symantec Endpoint Protection
geschützt.
Eine Zulassungs- oder Verweigerungsliste kann Dateifingerabdrucklisten und bestimmte Anwendungsnamen einschließen. Eine Dateifingerabdruckliste enthält Dateiprüfsummen und Computerpfade.
Anstatt der oder zusätzlich zur Systemsperre können Sie bestimmte Anwendungen mit einer Richtlinie für Anwendungs- und Gerätesteuerung steuern.
Sie richten die Systemsperre für alle Gruppen oder Standorte in Ihrem Netzwerk ein.
Schritte zum Einrichten der Systemsperre
Aktion
Beschreibung
Schritt 1: Dateifingerabdrucklisten erstellen
Sie können eine Dateifingerabdruckliste mit den Anwendungen erstellen, die auf Ihren Clientcomputern zugelassen sind oder nicht. Sie fügen die Dateifingerabdruckliste der Zulassungs- oder Verweigerungsliste in der Systemsperre hinzu.
Wenn Sie die Systemsperre ausführen, benötigen Sie eine Dateifingerabdruckliste mit allen Anwendungen, die zugelassen oder blockiert werden sollen. Beispiel: Ihr Netzwerk umfasst Clients unter Windows 8.1 (32 und 64 Bit) sowie Windows 10 (64 Bit). Sie können eine Dateifingerabdruckliste für jedes Clientimage erstellen.
Sie haben folgende Möglichkeiten zum Erstellen einer Dateifingerabdruckliste:
  • Symantec Endpoint Protection
    stellt ein Prüfsummen-Dienstprogramm zum Erstellen einer Liste für Dateifingerabdrücke bereit. Das Dienstprogramm wird zusammen mit
    Symantec Endpoint Protection
    auf dem Clientcomputer installiert.
    Erstellen Sie mit dem Dienstprogramm eine Prüfsumme für eine Anwendung oder alle Anwendungen in einem angegebenen Pfad. Verwenden Sie diese Methode zum Erstellen von Dateifingerabdrücken, wenn die Systemsperre im Verweigerungsmodus ausgeführt wird.
  • Erstellen Sie eine Dateifingerabdruckliste auf einem einzelnen Computer oder einer kleinen Gruppe von Computern unter Verwendung des Befehls "Dateifingerabdruckliste erfassen".
    Sie können den Befehl
    Dateifingerabdruckliste erfassen
    in der Konsole ausführen. Der Befehl erfasst eine Dateifingerabdruckliste, die alle Anwendungen auf den Zielcomputern enthält. Beispiel: Führen Sie den Befehl auf einem Computer aus, der ein Gold-Image ausführt. Sie können diese Methode verwenden, wenn Sie die Systemsperre im Zulassungsmodus ausführen. Beachten Sie, dass die Dateifingerabdruckliste, die Sie mit dem Befehl generieren, nicht geändert werden kann. Wenn Sie den Befehl erneut ausführen, wird die Dateifingerabdruckliste automatisch aktualisiert.
  • Erstellen Sie eine Dateifingerabdruckliste mit einem beliebigen Prüfsummendienstprogramm eines anderen Herstellers.
Wenn Sie
Symantec EDR
im Netzwerk ausführen, werden eventuell Dateifingerabdrucklisten aus
Symantec EDR
angezeigt.
Schritt 2: Dateifingerabdrucklisten in
Symantec Endpoint Protection Manager
importieren
Bevor Sie eine Dateifingerabdruckliste in der Konfiguration der Systemsperre verwenden können, muss die Liste in
Symantec Endpoint Protection Manager
verfügbar sein.
Wenn Sie Dateifingerabdrucklisten mit einem Prüfsummen-Tool erstellen, müssen Sie die Listen manuell in
Symantec Endpoint Protection Manager
importieren.
Wenn Sie eine Dateifingerabdruckliste mit dem Befehl
Dateifingerabdruckliste erfassen
erstellen, ist diese Liste automatisch in der
Symantec Endpoint Protection Manager
-Konsole verfügbar.
Sie können auch vorhandene Dateifingerabdrucklisten aus
Symantec Endpoint Protection Manager
exportieren.
Schritt 3: Listen mit Anwendungsnamen für genehmigte oder nicht genehmigte Anwendungen erstellen
Sie können mithilfe eines beliebigen Texteditors eine Textdatei erstellen, die die Dateinamen der Anwendungen enthält, die Sie zulassen oder blockieren möchten. Im Gegensatz zu Dateifingerabdrucklisten importieren Sie diese Dateien direkt in die Systemsperrenkonfiguration. Die importierten Dateien werden in der Systemsperrenkonfiguration als einzelne Einträge angezeigt.
Sie können außerdem einzelne Anwendungsnamen manuell in die Systemsperrenkonfiguration eingeben.
Eine hohe Anzahl benannter Anwendungen beeinträchtigt möglicherweise die Leistung des Clientcomputers, wenn die Systemsperre im Verweigerungsmodus aktiviert ist.
Schritt 4: Systemsperrenkonfiguration einrichten und testen
Im Testmodus ist die Systemsperre deaktiviert und blockiert keine Anwendungen. Alle nicht genehmigten Anwendungen werden protokolliert, jedoch nicht blockiert. Mithilfe der Option "
Nur nicht genehmigte Anwendungen protokollieren
" im Dialogfeld "
Systemsperre
" testen Sie die gesamte Konfiguration der Systemsperre.
Führen Sie folgende Schritte aus, um den Test einzurichten und auszuführen:
  • Fügen Sie der Systemsperrenkonfiguration Dateifingerabdrucklisten hinzu.
    Im Zulassungsmodus sind die Dateifingerabdrücke genehmigte Anwendungen. Im Verweigerungsmodus sind die Dateifingerabdrücke nicht genehmigte Anwendungen.
  • Fügen Sie einzelne Anwendungsnamen hinzu oder importieren Sie Listen mit Anwendungsnamen in die Systemsperrenkonfiguration.
    Sie können eine Liste mit Anwendungsnamen importieren, anstatt jeden Namen einzeln in die Systemsperrenkonfiguration einzugeben. Im Zulassungsmodus sind die Anwendungen genehmigte Anwendungen. Im Verweigerungsmodus sind die Anwendungen nicht genehmigte Anwendungen.
  • Führen Sie den Test über einen gewissen Zeitraum aus.
    Führen Sie die Systemsperre lange genug im Testmodus aus, sodass Clients ihre üblichen Anwendungen ausführen. Dies könnte eine Woche dauern.
Schritt 5: Nicht genehmigte Anwendungen anzeigen und Systemsperrenkonfiguration bei Bedarf ändern
Nachdem der Test über einen gewissen Zeitraum ausgeführt wurde, können Sie die Liste nicht genehmigter Anwendungen prüfen. Sie können die Liste nicht genehmigter Anwendungen anzeigen, indem Sie den Status im Dialogfeld "
Systemsperre
" prüfen.
Die protokollierten Ereignisse werden auch im Anwendungssteuerungsprotokoll angezeigt.
Sie können festlegen, ob der Dateifingerabdruckdatei oder der Anwendungsliste weitere Anwendungen hinzufügt werden. Sie können bei Bedarf auch Dateifingerabdrucklisten oder Anwendungen hinzufügen oder entfernen, bevor Sie die Systemsperre aktivieren.
Schritt 6: Systemsperre aktivieren
Standardmäßig wird die Systemsperre im Zulassungsmodus ausgeführt. Sie können die Systemsperre so konfigurieren, dass sie stattdessen im Verweigerungsmodus ausgeführt wird.
Wenn Sie die Systemsperre im Zulassungsmodus aktivieren, werden alle Anwendungen blockiert, die nicht in der Liste genehmigter Anwendungen aufgeführt sind. Wenn Sie die Systemsperre im Verweigerungsmodus aktivieren, werden alle Anwendungen blockiert, die in der Liste nicht genehmigter Anwendungen aufgeführt sind.
Stellen Sie sicher, dass Sie Ihre Konfiguration testen, bevor Sie die Systemsperre aktivieren. Wenn Sie eine erforderliche Anwendung blockieren, können Ihre Clientcomputer möglicherweise nicht neu starten.
Schritt 7: Dateifingerabdrucklisten für die Systemsperre aktualisieren
Mit der Zeit ändern Sie möglicherweise die Anwendungen, die in Ihrem Netzwerk ausgeführt werden. Sie können Ihre Dateifingerabdrucklisten aktualisieren oder Listen bei Bedarf entfernen.
Sie können Dateifingerabdrucklisten auf folgende Weisen aktualisieren:
Sie sollten die gesamte Systemsperrenkonfiguration erneut testen, wenn Sie Ihrem Netzwerk Clientcomputer hinzufügen. Sie können neue Clients in ein separates Gruppen- oder Testnetzwerk verschieben und die Systemsperre deaktivieren. Oder Sie können die Systemsperre aktiviert lassen und die Konfiguration im Modus "Nur protokollieren" ausführen. Sie können auch einzelne Dateifingerabdrücke oder Anwendungen testen, wie im nächsten Schritt beschrieben.
Schritt 8: Ausgewählte Elemente vor dem Hinzufügen oder Entfernen testen, wenn die Systemsperre aktiviert ist
Bei aktivierter Systemsperre können Sie einzelne Dateifingerabdrücke, Listen mit Anwendungsnamen oder bestimmte Anwendungen testen, bevor Sie sie der Systemsperrenkonfiguration hinzufügen oder daraus entfernen.
Sie sollten Dateifingerabdrucklisten entfernen, wenn Sie über viele Listen verfügen und einige davon nicht mehr verwenden.
Gehen Sie beim Hinzufügen oder Entfernen von Dateifingerabdrucklisten oder bestimmten Anwendungen aus der Systemsperre vorsichtig vor. Das Hinzufügen oder Entfernen von Elementen aus der Systemsperre kann mit Risiken verbunden sein. Sie blockieren möglicherweise wichtige Anwendungen auf Ihren Clientcomputern.
  • Testen Sie ausgewählte Elemente.
    Verwenden Sie "
    Vor Entfernen testen
    ", um bestimmte Dateifingerabdrucklisten oder bestimmte Anwendungen als "nicht genehmigt" zu protokollieren.
    Wenn Sie diesen Test ausführen, wird die Systemsperre aktiviert, blockiert jedoch keine ausgewählten Anwendungen oder Anwendungen in den ausgewählten Dateifingerabdrucklisten. Stattdessen protokolliert die Systemsperre die Anwendungen als nicht genehmigt.
  • Prüfen Sie das Anwendungssteuerungsprotokoll.
    Die Protokolleinträge werden im Anwendungssteuerungsprotokoll aufgeführt. Enthält das Protokoll keine Einträge zu den getesteten Anwendungen, werden diese Anwendungen nicht von Ihren Clients genutzt.