Testen von Regeln für die Anwendungssteuerung

Nachdem Sie benutzerdefinierte Regeln für die Anwendungssteuerung erstellt haben, sollten Sie sie in Ihrem Netzwerk testen. Konfigurationsfehler in den Regelsätzen, die in einer Richtlinie für Anwendungs- und Gerätesteuerung verwendet werden, können einen Computer oder einen Server deaktivieren. Der Clientcomputer kann ausfallen oder seine Kommunikation mit
Symantec Endpoint Protection Manager
kann blockiert werden. Nachdem Sie Regeln getestet haben, wenden Sie sie auf Ihr Produktionsnetzwerk an.
Schritt 1: Regelsatz auf Testmodus einstellen
Sie prüfen Regelsätze, indem Sie den Testmodus einstellen. Der Testmodus erstellt einen Protokolleintrag, um anzugeben, wann Regeln im Regelsatz angewendet werden würden, ohne sie tatsächlich anzuwenden.
Standardregeln verwenden den Produktionsmodus standardmäßig. Benutzerdefinierte Regeln verwenden den Testmodus standardmäßig. Sie sollten Standard- und benutzerdefinierte Regelsätze prüfen.
Sie sollten Regeln innerhalb des Satzes einzeln prüfen. Sie können einzelne Regeln prüfen, indem Sie sie im Regelsatz aktivieren oder deaktivieren.
  1. Ändern eines Regelsatzes in den Testmodus
  2. Öffnen Sie in der Konsole eine Richtlinie für Anwendungs- und Gerätesteuerung.
  3. Klicken Sie in der Richtlinie "
    Anwend.strg.
    " auf "
    Anwend.strg.
    ".
  4. In der Liste "
    Regelsätze für Anwendungssteuerung
    " klicken Sie auf den Nach-unten-Pfeil in der Spalte "
    Test/Produktion
    " für den Regelsatz und klicken Sie auf "
    Test (nur protokollieren)
    ".
Schritt 2: Richtlinie für Anwendungs- und Gerätesteuerung auf Computer in Ihrem Testnetzwerk anwenden
Wenn Sie eine neue Richtlinie für Anwendungs- und Gerätesteuerung erstellt haben, wenden Sie die Richtlinie auf Clients in Ihrem Testnetzwerk an.
Schritt 3: Anwendungssteuerungsprotokoll überwachen
Nachdem Sie Ihre Regelsätze eine Zeit lang im Testmodus ausgeführt haben, überprüfen Sie die Protokolle auf Fehler. Im Testmodus und im Produktionsmodus sind die Anwendungssteuerungsereignisse im Anwendungssteuerungsprotokoll in
Symantec Endpoint Protection Manager
. Anwendungs- und Gerätesteuerungsereignisse auf dem Clientcomputer werden im Steuerungsprotokoll angezeigt.
Es werden möglicherweise doppelten oder mehrfache Protokolleinträge für nur eine Anwendungssteuerungsaktion erstellt. Beispiel: Wenn explorer.exe versucht, eine Datei zu kopieren, werden die Schreib- und Lösch-Bits der Zugriffsmaske der Datei festgelegt.
Symantec Endpoint Protection
protokolliert das Ereignis. Wenn der Kopiervorgang scheitert, weil er von einer Anwendungssteuerungsregel blockiert wird, versucht explorer.exe, die Datei nur mit dem Lösch-Bit in der Zugriffsmaske zu kopieren.
Symantec Endpoint Protection
protokolliert ein weiteres Ereignis für den Kopierversuch.
Schritt 4: Regelsatz auf Produktionsmodus zurücksetzen
Wenn die Regeln wie erwartet funktionieren, schalten Sie den Regelsatz auf Produktionsmodus zurück.