Programmkontrolle zur Verwaltung ausführbarer Dateien verwenden

Sie können die Programmkontrolle verwenden, um das Starten ausführbarer Dateien auf Benutzergeräten zu erlauben oder blockieren. Die Programmkontrolle unterstützt sowohl Windows- als auch Linux-basierte Betriebssysteme.

Für Linux-basierte Betriebssysteme ist die Komponente "Programmkontrolle" beginnend mit Kaspersky Endpoint Security 11.2 für Linux verfügbar.

Erforderliche Vorrausetzungen

• Kaspersky Security Center Linux ist in Ihrem Unternehmen bereitgestellt.
• Die Richtlinie von Kaspersky Endpoint Security für Linux oder Kaspersky Endpoint Security für Windows wurde erstellt und ist aktiv. Die Programmkontrolle ist in der Richtlinie aktiviert.

Schritte

Die Nutzung der Programmkontrolle erfolgt schrittweise:

1. Erstellen und Anzeigen der Liste der ausführbaren Dateien auf Client-Geräten

   Dieser Schritt unterstützt Sie dabei, herauszufinden, welche ausführbaren Dateien sich auf verwalteten Geräten befinden. Öffnen Sie die Liste der ausführbaren Dateien und vergleichen Sie diese mit den Listen der zulässigen und verbotenen ausführbaren Dateien. Die Einschränkungen zur Nutzung ausführbarer Dateien können sich auf die Informationssicherheitsrichtlinien des Unternehmens beziehen.

   Anleitungen: Liste der auf Client-Geräten gespeicherten ausführbaren Dateien abrufen und anzeigen

2. Erstellen von Kategorien für ausführbare Dateien, die in Ihrem Unternehmen verwendet werden

   Analysieren Sie die Listen der ausführbaren Dateien, die auf verwalteten Geräten gespeichert sind. Erstellen Sie basierend auf der Analyse Kategorien für ausführbare Dateien. Es wird empfohlen, die Kategorie "Arbeitsanwendung" zu erstellen, welche die Standardauswahl an ausführbaren Dateien enthält, die in Ihrem Unternehmen verwendet werden. Wenn von verschiedenen Sicherheitsgruppen unterschiedliche ausführbare Dateien verwendet werden, können Sie für jede Sicherheitsgruppe eine separate Kategorie erstellen.

   Das Starten von ausführbaren Dateien, deren Einstellungen keiner der Regeln der Programmkontrolle entsprechen, wird durch den ausgewählten Betriebsmodus der Komponente geregelt:

   • Deny-Liste. Dieser Modus wird verwendet, wenn Sie den Start aller ausführbaren Dateien mit Ausnahme jener zulassen möchten, die in den Regeln zum Blockieren angegebenen sind. Dieser Modus ist standardmäßig festgelegt.
   • Allow-Liste. Dieser Modus wird verwendet, wenn Sie den Start aller ausführbaren Programme mit Ausnahme jener blockieren möchten, die in den Regeln zum Zulassen angegeben sind.

   Die Regeln der Programmkontrolle werden durch Kategorien implementiert, denen die ausführbaren Dateien zugeordnet werden. In Kaspersky Security Center Linux gibt es drei Arten von ausführbaren Dateien:

   • Manuell zu erweiternde Kategorie. Sie definieren Bedingungen, z. B. Datei-Metadaten, Datei-Hashcode, Dateizertifikat oder Dateipfad, um ausführbare Dateien in die Kategorie aufzunehmen.
   • Kategorie für ausführbare Dateien von ausgewählten Geräten. Sie geben ein Gerät an, dessen ausführbare Dateien automatisch in die Kategorie aufgenommen werden.
   • Kategorie für ausführbare Dateien aus einem ausgewählten Ordner. Sie geben einen Ordner an, dessen ausführbare Dateien automatisch in die Kategorie aufgenommen werden.
3. Konfigurieren der "Programmkontrolle" in der Richtlinie von Kaspersky Endpoint Security

   Konfigurieren Sie die Komponente "Programmkontrolle" in der Richtlinie von Kaspersky Endpoint Security für Linux anhand der Kategorien, die Sie beim vorherigen Schritt erstellt haben.

   Anleitung: Konfigurieren der Programmkontrolle in der Richtlinie von Kaspersky Endpoint Security für Windows

4. Aktivieren der Komponente "Programmkontrolle" im Testbetrieb

   Um sicherzustellen, dass die Regeln der Programmkontrolle nicht die für die Benutzerarbeit erforderlichen ausführbaren Dateien blockieren, wird empfohlen, das Testen der Regeln der Programmkontrolle zu aktivieren und ihre Funktionsweise nach dem Erstellen neuer Regeln zu analysieren. Wenn das Testen aktiviert ist, blockiert Kaspersky Endpoint Security für Windows keine ausführbaren Dateien, deren Start durch die Regeln der Programmkontrolle unzulässig ist, sondern sendet Benachrichtigungen über deren Start an den Administrationsserver.

   Es wird empfohlen, beim Testen von Regeln der Programmkontrolle die folgenden Aktionen auszuführen:

   • Festlegen des Testzeitraums. Der Testzeitraum kann zwischen mehreren Tagen und zwei Monaten liegen.
   • Untersuchen Sie die Ereignisse, die sich aus dem Testen der Funktionsweise der Programmkontrolle ergeben.

   Anleitung für Kaspersky Security Center Web Console: Konfigurieren der Komponente "Programmkontrolle" in der Richtlinie von Kaspersky Endpoint Security für Windows. Folgen Sie dieser Anweisung und aktivieren Sie beim Konfigurieren die Option Testbetrieb.

5. Einstellungen der Programmkontrolle ändern

   Nehmen Sie bei Bedarf Änderungen an den Einstellungen für die Programmkontrolle vor. Auf der Grundlage der Testergebnisse können Sie einer zu erweiternden Kategorie manuell ausführbare Dateien hinzufügen, die sich auf Ereignisse der Programmkontrolle beziehen.

   Anleitung für Kaspersky Security Center Web Console: Ereignisbezogene ausführbare Dateien zur Programmkategorie hinzufügen

6. Anwenden der Regeln der Programmkontrolle im Funktionsmodus

   Nachdem die Regeln der Programmkontrolle getestet wurden und die Konfiguration der Kategorien abgeschlossen ist, können Sie die Regeln der Programmkontrolle im Ausführungsmodus anwenden.

   Anleitung für Kaspersky Security Center Web Console: Konfigurieren der Komponente "Programmkontrolle" in der Richtlinie von Kaspersky Endpoint Security für Windows. Folgen Sie dieser Anweisung und deaktivieren Sie beim Konfigurieren die Option Testbetrieb.

7. Überprüfen der Konfiguration der Programmkontrolle

   Stellen Sie sicher, dass folgende Aktionen ausgeführt wurden:

   • Erstellen von Kategorien für ausführbare Dateien
   • Konfigurieren der Programmkontrolle unter Verwendung der Kategorien
   • Anwenden der Regeln der Programmkontrolle im Funktionsmodus

Ergebnisse

Wenn das Szenario abgeschlossen ist, wird der Start der ausführbaren Dateien auf den verwalteten Geräten gesteuert. Die Benutzer können nur jene ausführbaren Dateien starten, die in Ihrem Unternehmen erlaubt sind. Im Unternehmen verbotene ausführbare Dateien können nicht gestartet werden.

Detaillierte Informationen über die Programmkontrolle finden Sie in der Hilfe für Kaspersky Endpoint Security für Linux und in der Hilfe für Kaspersky Security für Windows.

Nach oben