Zum Inhalt

octoplant in Kombination mit einer bestehenden Windows AppLocker Strategie verwenden

Warning

Die nachfolgende Dokumentation dient nicht als Anleitung für die ordnungsgemäße Einrichtung des Windows AppLocker. Sie dient lediglich dazu, zu zeigen, wie ein Administrator, der den Windows AppLocker bereits ordnungsgemäß eingerichtet und verwendet, das Tool möglicherweise in Kombination mit octoplant einsetzen kann.

Warning

Wir raten Ihnen dringend, octoplant nur in Kombination mit Windows AppLocker zu verwenden, wenn Sie Windows AppLocker bereits eingerichtet haben und octoplant nicht auf dem Client ausführen können. Sollten Sie sich für die Verwendung von Windows AppLocker entscheiden, ist es zwingend erforderlich, dass nur Experten mit vorheriger Schulung und nachgewiesener Erfahrung mit dem Setup und dem Betrieb dieses Tool verwenden.

octoplant kann in Kombination mit der Defense-in-Depth-Sicherheitsfunktion Windows AppLocker verwendet werden. Der Windows AppLocker ist ein Tool, mit dem Administratoren Anwendungen auf eine Blacklist/Whitelist setzen können. Administratoren können damit die Kontrolle darüber ausüben, welche Anwendungen und Dateien Benutzer ausführen und von wo aus sie ausgeführt werden können/nicht können.

Info

Stellen Sie sicher, dass der Dienst Application Identity unter Services ausgeführt wird. Da dieser Dienst die Identität einer Anwendung feststellt und verifiziert, verhindert seine Deaktivierung, dass AppLocker Regeln durchgesetzt werden können.

Einstellungen für die Verwendung von Windows AppLocker konfigurieren

Um die Einstellungen für die Verwendung von Windows AppLocker mit octoplant zu konfigurieren, gehen Sie wie folgt vor:

  1. Gehen Sie unter Lokale Sicherheitsrichtlinie zu Anwendungssteuerungsrichtlinien und wählen Sie AppLocker aus.
  2. Klicken Sie mit der rechten Maustaste auf AppLocker und wählen Sie Eigenschaften.
  3. Stellen Sie sicher, dass die Kontrollkästchen Konfiguriert für Ausführbare Regeln, Windows Installer-Regeln, Skriptregeln und App-Paketregeln aktiviert sind.
  4. Verwenden Sie das Dropdownmenü, um jede Regelsammlung auf Regeln erzwingen zu setzen. Dadurch wird sichergestellt, dass die Regeln für jede Regelsammlung durchgesetzt werden.
  5. Wählen Sie OK.
  6. Die Einstellungen für die Verwendung von Windows AppLocker mit octoplant wurden konfiguriert.

Standardregeln für Windows AppLocker erstellen

Um Standardregeln für die Verwendung von Windows AppLocker mit octoplant zu erstellen, gehen Sie wie folgt vor:

Info

Vergewissern Sie sich, dass Sie die Standardregeln richtig erstellt und eingerichtet haben, bevor Sie weitere Regeln erstellen.

  1. Klicken Sie mit der rechten Maustaste auf Ausführbare Regeln und wählen Sie Standardregeln erstellen. Damit wird sichergestellt, dass:
    1. Alle Programme in den Ordnern Programmdateien und Windows ausgeführt werden können.
    2. Administratoren alle Dateien ausführen dürfen (daher gibt es für sie keine Einschränkungen.)
  2. Die Standardregeln werden automatisch generiert und sind in Ausführbare Regeln sichtbar.

Regeln automatisch generieren

Mit der Funktion Automatisch Regeln generieren... können Sie sicherstellen, dass alle Benutzer der Gruppe Benutzer auf Dateien im octoplant Installationsverzeichnis zugreifen können.

Um automatisch Regeln für die Verwendung von octoplant mit Windows AppLocker zu erstellen, gehen Sie wie folgt vor:

  1. Klicken Sie erneut mit der rechten Maustaste auf Ausführbare Regeln und wählen Sie Regeln automatisch generieren....
  2. Klicken Sie auf die Schaltfläche Wählen... unter Benutzer oder Sicherheitsgruppe, auf die die Regeln angewendet werden.
  3. Wählen Sie Erweitert.
  4. Neben Suchpfade klicken Sie auf die Schaltfläche Pfade.... Geben Sie als Pfad den PC an, an dem Sie arbeiten.
  5. Klicken Sie auf Jetzt suchen, scrollen Sie in den Suchergebnissen nach unten und wählen Sie *Users aus.
  6. Wählen Sie OK.
  7. Im Feld Benutzer oder Sicherheitsgruppe sehen, auf die die Regeln angewendet werden sollten Sie jetzt BUILTIN\Users sehen.
  8. Unter Ordner mit den Dateien, die analysiert werden sollen klicken Sie auf Durchsuchen....
  9. Gehen Sie im Fenster Ordner suchen zu Programme (x86) und wählen Sie vdogClient.
  10. Wählen Sie OK.
  11. Geben Sie im Feld Name, mit dem dieser Regelsatz identifiziert wird octoClient ein.
  12. Klicken Sie auf Weiter.
  13. Wählen Sie unter Regeleinstellungen die Option Dateihashregeln für alle Dateien erstellen.
  14. Regeln werden generiert und können mit Analysierte Dateien überprüfen und Regeln anzeigen, die automatisch erstellt wurden geprüft werden.
  15. Wählen Sie Erstellen, um den Assistenten zu schließen und die Regeln zu erstellen.
  16. Die Regeln, die Sie in Automatisch Regeln generieren... konfiguriert haben, erscheinen nun in Ausführbare Regeln. Abbildung: Abschnitt Ausführbare Regeln

Eine neue Regel zur Definition des Benutzerzugriffs auf DRIVE SNAPSHOT FOR WINDOWSNT erstellen

Um den Benutzerzugang zum Produkt DRIVE SNAPSHOT FOR WINDOWSNT des Herstellers O=TOM EHLERT SOFTWARE E.K, L=AACHEN, S=NORDRHEIN-WESTFALEN,C=DE zu definieren, gehen Sie wie folgt vor:

  1. Klicken Sie mit der rechten Maustaste auf Ausführbare Regeln und wählen Sie Neue Regel erstellen....
  2. Der Assistent Ausführbare Regeln erstellen wird geöffnet.
  3. Unter Berechtigungen setzen Sie die Aktion auf Zulassen.
  4. Neben Benutzer oder Gruppe klicken Sie auf Auswählen....
  5. Wählen Sie Erweitert.
  6. Neben Suchpfade klicken Sie auf die Schaltfläche Pfade.... Geben Sie als Pfad den PC an, an dem Sie arbeiten.
  7. Klicken Sie auf Jetzt suchen, scrollen Sie in den Suchergebnissen nach unten und wählen Sie *Users aus.
  8. Wählen Sie OK.
  9. Im Feld Geben Sie die zu verwendenden Objektnamen ein sollten Sie BUILTIN\Users sehen.
  10. Wählen Sie OK.
  11. Klicken Sie auf Weiter.
  12. Wählen Sie unter Bedingungen Herausgeber.
  13. In Herausgeber, gehen Sie zu Referenzdatei und wählen Sie Durchsuchen.... Anschließend gehen Sie zu C:\Program Files (x86)\vdogServer\auvesy_services und wählen Sie Snapshot.exe.
  14. Wählen Sie . Öffnen.
  15. Setzen Sie den Regler auf Dateiname. Abbildung: Ausführbare Regeln erstellen
  16. Klicken Sie auf Weiter.
  17. Wenn keine Ausnahmen zu konfigurieren sind, klicken Sie in Ausnahmen auf Weiter.
  18. Geben Sie einen Namen ein, um diese Regel zu identifizieren.
  19. Klicken Sie auf Erstellen.
  20. Die neue Regel, die den Benutzerzugriff auf DRIVE SNAPSHOT FOR WINDOWSNT definiert, wird nun in Ausführbare Regeln angezeigt.