Verhindern, dass Benutzer den Schutz auf Clientcomputern deaktivieren

Als
Symantec Endpoint Protection Manager
-Administrator können Sie verhindern, dass Benutzer den Schutz auf dem Clientcomputer deaktivieren, indem Sie die Steuerungsebene für die Benutzer festlegen oder die Richtlinienoptionen sperren. Beispiel: Die Firewall-Richtlinie nutzt eine Steuerungsebene, während die Richtlinie für Viren- und Spyware-Schutz eine Sperre verwendet.
Symantec empfiehlt, dass Sie Benutzer dauerhaft daran hindern, Schutz zu deaktivieren.
Was sind die Steuerungsebenen für die Benutzer?
Mithilfe der Benutzersteuerungsstufen geben Sie dem Clientbenutzer die Kontrolle über bestimmte Funktionen. Über die Benutzersteuerungsstufe wird auch festgelegt, ob die Clientbenutzeroberfläche vollständig unsichtbar ist, einen Teilsatz an Funktionen anzeigt oder vollständig angezeigt wird.
Benutzersteuerungsstufen
Benutzersteuerungsstufe
Beschreibung
Serversteuerung
Gibt den Benutzern die geringste Kontrolle über den Client. Über die Serversteuerung können Benutzer Änderungen an nicht gesperrten Einstellungen vornehmen, die jedoch beim nächsten Heartbeat überschrieben werden.
Clientsteuerung
Gibt den Benutzern die umfangreichste Steuerung über den Client. Die Einstellungen können mithilfe der Client-Steuerung konfiguriert werden. Durch den Client geänderte Einstellungen haben Vorrang vor Servereinstellungen. Sie werden nicht überschrieben, wenn die neue Richtlinie angewandt wird, es sei denn, die Einstellung in der neuen Richtlinie ist gesperrt worden.
Clientsteuerung ist für Angestellte nützlich, die an einem Remote-Standort oder zu Hause arbeiten.
Der Endbenutzer muss in einer Windows-Administratorgruppe sein, um die Einstellungen im Modus
Client-Steuerung
oder
Gemischte Steuerung
zu ändern.
Gemischte Steuerung
Gibt dem Benutzer eine gemischte Kontrolle über den Client. Sie legen fest, welche Optionen Benutzer konfigurieren dürfen, indem Sie die Option auf
Serversteuerung
bzw.
Client-Steuerung
einstellen. Bei Elementen mit Client-Steuerung hat der Benutzer die Kontrolle über die Einstellung. Bei Elementen mit Serversteuerung haben Sie die Kontrolle über die Einstellung.
Beim Windows-Client können Sie sämtliche Optionen konfigurieren. Beim Mac OS-Client sind nur das Symbol für den Infobereich und einige IPS-Optionen in der Server- und Client-Steuerung verfügbar.
Clients, die in der
Client-Steuerung
oder
gemischten Steuerung
ausgeführt werden, wechseln zur
Serversteuerung
, wenn der Server Quarantänerichtlinien anwendet.
Ändern der Benutzersteuerungsstufe
Einige verwaltete Einstellungen haben Abhängigkeiten. Benutzer können beispielsweise die Berechtigung haben, um Firewall-Regeln zu konfigurieren, aber können nicht auf die Clientbenutzeroberfläche zugreifen. Weil Benutzer keinen Zugriff auf das Dialogfeld "
Firewall-Regeln konfigurieren
" haben, können sie keine Regeln erstellen.
  1. Klicken Sie in der Konsole auf
    Clients
    .
  2. Unter "
    Clients anzeigen
    " wählen Sie die Gruppe aus und klicken Sie auf die Registerkarte "
    Richtlinien
    ".
  3. Erweitern Sie unter "
    Standortabhängige Richtlinien und Einstellungen
    ", unter dem Standort, den Sie ändern möchten, den Eintrag "
    Standortspezifische Einstellungen
    ".
  4. Klicken Sie neben
    Steuereinstellungen für die Client-Benutzerschnittstelle
    auf
    Aufgaben > Einstellungen bearbeiten
    .
  5. Wählen Sie im Dialogfeld "
    Steuereinstellungen für die Client-Benutzerschnittstelle
    " eine der folgenden Optionen:
    • Klicken Sie auf "
      Serversteuerung
      " und dann auf "
      Anpassen
      ".
      Konfigurieren Sie eine der Einstellungen und klicken Sie auf "
      OK
      ".
    • Klicken Sie auf "
      Clientsteuerung
      ".
    • Klicken Sie auf "
      Gemischte Steuerung
      " und dann auf "
      Anpassen
      ".
      Konfigurieren Sie eine der Einstellungen und klicken Sie auf "
      OK
      ".
  6. Klicken Sie auf
    OK
    .
Sperren und Entsperren von Richtlinieneinstellungen
Sie können einige Richtlinieneinstellungen sperren und freigeben. Benutzer können gesperrte Einstellungen nicht ändern. Neben einer sperrbaren Einstellung ist das Symbol eines Vorhängeschlosses abgebildet. Sie können Viren- und Spyware-Schutz, Manipulationsschutz-, Übertragungs- und Angriffsschutzeinstellungen sperren und freigeben.
Verhindern der Deaktivierung bestimmter Schutzfunktionen durch Benutzer
Wenn Sie für den Client "
Gemischte Steuerung
" oder "
Serversteuerung
" festlegen, diese Optionen aber nicht sperren, kann der Benutzer die Einstellungen ändern. Diese Änderungen bleiben bis zum nächsten Heartbeat mit
Symantec Endpoint Protection Manager
aktiv. Durch das Sperren der Richtlinienoptionen in verschiedenen Richtlinien wird sichergestellt, dass Benutzer diese Optionen nicht ändern könne, auch nicht in der "
Client-Steuerung
".
Windows-Benutzer, die sich nicht in der Administrator-Gruppe befinden, können keine Einstellungen auf der Benutzeroberfläche des
Symantec Endpoint Protection
-Clients ändern, unabhängig von der Konfiguration von "
Standortabhängige Einstellungen
". Windows 10-Administratoren können das Produkt nach dem Einstellen dieser Optionen weiterhin über das Benachrichtigungsbereichssymbol ändern. Sie können jedoch nicht die einzelnen Schutzfunktionen über die Clientbenutzeroberfläche deaktivieren.
Wenn Sie Richtlinien nicht für alle Gruppen ändern möchten, deaktivieren Sie die Richtlinienvererbung für die Gruppe, an der Sie eine Änderung vornehmen möchten. Wenn Sie eine gemeinsam genutzte Richtlinie bearbeiten, gilt diese bearbeitete Richtlinie für alle Gruppen, für die die gemeinsam genutzte Richtlinie gilt, selbst wenn die Richtlinienvererbung deaktiviert ist.
So verhindern Sie, dass Benutzer die Firewall oder Anwendungs- und Gerätesteuerung deaktivieren
  1. Klicken Sie in der Konsole auf
    Clients
    .
  2. Klicken Sie auf die Gruppe, die eingeschränkt werden soll, und dann auf die Registerkarte "
    Richtlinien
    ".
  3. Erweitern Sie "
    Standortabhängige Einstellungen
    ".
  4. Klicken Sie neben
    Steuereinstellungen für die Client-Benutzerschnittstelle
    auf
    Aufgaben > Einstellungen bearbeiten
    .
  5. Klicken Sie auf "
    Serversteuerung
    " oder "
    Gemischte Steuerung
    " und dann auf "
    Anpassen
    ".
  6. Deaktivieren Sie im Dialogfeld (Serversteuerung) bzw. Teilfenster (Gemischte Steuerung) "
    Einstellungen für die Client-Benutzerschnittstelle
    " die Optionen "
    Zulassen, dass die folgenden Benutzer die Firewall aktivieren und deaktivieren
    " und "
    Benutzer die Anwendungs-/Gerätesteuerung aktivieren bzw. deaktivieren lassen
    ".
  7. Klicken Sie auf
    OK
    und klicken Sie dann erneut auf
    OK
    .
So verhindern Sie, dass Benutzer den Angriffsschutz deaktivieren
  1. Klicken Sie in der Konsole auf
    Clients
    .
  2. Klicken Sie auf die Gruppe, die eingeschränkt werden soll, und dann auf die Registerkarte "
    Richtlinien
    ".
  3. Erweitern Sie "
    Standortabhängige Richtlinien
    ".
  4. Klicken Sie neben "
    Angriffsschutzrichtlinie
    " auf "
    Aufgaben > Richtlinie bearbeiten
    ".
  5. Klicken Sie auf "
    Angriffsschutz
    " und dann auf das Schloss neben
    "Netzwerk-Angriffsschutz aktivieren
    " und "
    Browser-Angriffsschutz aktivieren
    ", um diese Funktionen zu sperren.
  6. Klicken Sie auf
    OK
    .
So verhindern Sie, dass Benutzer den Viren- und Spyware-Schutz deaktivieren
  1. Klicken Sie in der Konsole auf
    Clients
    .
  2. Klicken Sie auf die Gruppe, die eingeschränkt werden soll, und dann auf die Registerkarte "
    Richtlinien
    ".
  3. Erweitern Sie "
    Standortabhängige Richtlinien
    ".
  4. Klicken Sie neben "
    Richtlinie für Viren- und Spyware-Schutz
    " auf "
    Aufgaben > Richtlinie bearbeiten
    ".
  5. Sperren Sie unter "
    Windows-Einstellungen
    " die folgenden Funktionen:
    • Klicken Sie auf "
      Auto-Protect
      " und dann auf das Schloss neben "
      Auto-Protect aktivieren
      ".
    • Klicken Sie auf "
      Downloadschutz
      " und dann auf das Schloss neben "
      Download-Insight aktivieren, um heruntergeladenen Dateien potenzielle Risiken basierend auf der Dateibewertung zu erkennen
      ".
    • Klicken Sie auf "
      SONAR
      " und dann auf das Schloss neben "
      SONAR aktivieren
      ".
    • Klicken Sie auf "
      Early Launch Anti-Malware-Treiber
      " und dann auf das Schloss neben "
      Symantec Early Launch Anti-Malware aktivieren
      ".
    • Klicken Sie auf "
      Auto-Protect für Microsoft Outlook
      " und dann auf das Schloss neben "
      Auto-Protect für Microsoft Outlook aktivieren
      ".
    • Versionen niedriger als 14.2 RU1: Klicken Sie auf "
      Auto-Protect für Internet-E-Mail
      " und dann auf das Schloss neben "
      AutoProtect für Internet-E-Mail aktivieren
      ".
    • Versionen niedriger als 14.2 RU1: Klicken Sie auf "
      Auto-Protect für Lotus Notes
      " und dann auf das Schloss neben "
      Lotus Notes Auto-Protect aktivieren
      ".
    • Klicken Sie auf "
      Globale Scanoptionen
      " und dann auf das Schloss neben "
      Insight aktivieren für
      " und "
      Heuristische Virenerkennung mit Bloodhound aktivieren
      ".
  6. Klicken Sie auf
    OK
    .
So verhindern Sie, dass Benutzer Memory Exploit Mitigation deaktivieren (ab 14.1)
In Version 14 befand sich "
Memory Exploit Mitigation
" in der Angriffsschutzrichtlinie und wurde "
Generic Exploit Mitigation
" genannt.
  1. Klicken Sie in der Konsole auf
    Clients
    .
  2. Klicken Sie auf die Gruppe, die eingeschränkt werden soll, und dann auf die Registerkarte "
    Richtlinien
    ".
  3. Erweitern Sie "
    Standortabhängige Einstellungen
    ".
  4. Klicken Sie neben "
    Memory Exploit Mitigation
    " auf "
    Aufgaben > Richtlinie bearbeiten
    ".
  5. Klicken Sie auf "
    Memory Exploit Mitigation
    " und dann auf das Schloss neben "
    Memory Exploit Mitigation aktivieren
    ".
  6. Klicken Sie auf
    OK
    .
Aktualisieren der Clientrichtlinie von
Symantec Endpoint Protection Manager
aus
Nachdem Sie diese Änderungen durchgeführt haben, erhalten die Clients in der Gruppe die aktualisierten Richtlinien gemäß den Kommunikationseinstellungen der Gruppe. Ist für die Gruppe der Push-Modus festgelegt, fordert
Symantec Endpoint Protection Manager
den Client innerhalb weniger Sekunden zum Einzuchecken auf. Ist für die Gruppe der Pull-Modus festgelegt, checkt der Client beim nächsten geplanten Heartbeat ein.
Sollen Clients die Richtlinie vor dem nächsten Heartbeat erhalten, können Sie den Client zum Einchecken und Aktualisieren der Richtlinie auffordern. Sie haben auch die Möglichkeit, die Richtlinie über den
Symantec Endpoint Protection
-Client zu aktualisieren.
Sobald der Client die Richtlinie aktualisiert hat, ist "
Symantec Endpoint Protection
deaktivieren
" ausgegraut, wenn Sie auf das
Symantec Endpoint Protection
-Benachrichtigungsbereichssymbol klicken.