Über das Richtlinienprofil
17. April 2023
ID 89258
Ein Richtlinienprofil ist eine benannte Auswahl von Richtlinieneinstellungen, die bei der Erfüllung von bestimmten Bedingungen auf dem Client-Gerät (Computer, mobiles Gerät) aktiviert wird, sofern das Gerät die festgelegten Aktivierungsregeln erfüllt. Bei der Aktivierung des Profils werden die Einstellungen der bis zur Aktivierung des Profils auf dem Gerät geltenden Richtlinie geändert. Diese Einstellungen nehmen die im Profil festgelegten Werte an.
Richtlinienprofile sind erforderlich, damit Geräte innerhalb einer Administrationsgruppe verschiedene Richtlinieneinstellungen haben konnten. Es ist beispielsweise eine Situation möglich, in der die Richtlinieneinstellungen in der Administrationsgruppe für einige Geräte geändert werden müssen. In diesem Fall können für eine solche Richtlinie Richtlinienprofile konfiguriert werden, bei deren Nutzung es möglich ist, die Richtlinieneinstellungen nicht für alle Geräte der Administrationsgruppe zu ändern. Beispielsweise verbietet eine Richtlinie den Start von jeglichen GPS-Navigationsprogrammen für alle Geräte der Administrationsgruppe "Benutzer". GPS-Navigationsprogramme sind nur für das Gerät eines Benutzers erforderlich, der in der Administrationsgruppe "Benutzer" die Rolle eines Kuriers ausführt. Diesem Gerät kann das Tag "Kurier" zugewiesen werden und anschließend kann das Richtlinienprofil so angepasst werden, dass es den Start der GPS-Navigationsprogramme nur auf dem Gerät mit dem Tag "Kurier" erlaubt, wobei alle übrigen Einstellungen der Richtlinie gespeichert werden. Taucht in diesem Fall in der Administrationsgruppe "Benutzer" ein Gerät mit dem Tag "Kurier" auf, wird auf diesem Gerät der Start der GPS-Navigationsprogramme erlaubt. Auf den anderen Geräten in der Administrationsgruppe "Benutzer", bei denen der Tag "Kurier" fehlt, ist der Start der GPS-Navigationsprogramme untersagt.
Die Profile werden nur für die folgenden Richtlinien unterstützt:
- Richtlinien des Programms Kaspersky Endpoint Security 10 Service Pack 1 für Windows und höher.
- Richtlinien des Programms Kaspersky Endpoint Security 10 Service Pack 1 für Mac.
- Richtlinien des Plug-ins für Kaspersky Mobile Device Management der Versionen 10 Service Pack 1 bis 10 Service Pack 3 Maintenance Release 1.
- Richtlinien des Plug-ins für Kaspersky Device Management für iOS.
- Richtlinien des Programms Kaspersky Security for Virtualization 5.1 Light Agent for Windows.
- Richtlinien des Programms Kaspersky Security for Virtualization 5.1 Light Agent for Linux.
Richtlinienprofile erleichtern die Verwaltung von Client-Geräten, auf denen Richtlinien angewendet werden:
- Die Einstellungen des Richtlinienprofils können sich von den Einstellungen der Richtlinie selbst unterscheiden.
- Es ist nicht erforderlich, manuell mehrere Kopien einer Richtlinie zu unterstützen und anzuwenden, wenn sich diese nur durch wenige Einstellungen unterscheiden.
- Es ist keine separate Richtlinie für eigenständige Benutzer erforderlich.
- Sie können Richtlinienprofile exportieren und importieren, sowie neue Profile auf Basis der bestehenden erstellen.
- Für eine Richtlinie können mehrere Richtlinienprofile aktiv sein. Auf ein Gerät werden jene Profile angewendet, die den Aktivierungsregeln auf diesem Gerät entsprechen.
- Die Profile unterliegen der Hierarchie der Richtlinien. Eine untergeordnete Richtlinie enthält alle Richtlinienprofile der obersten Ebene.
Profilpriorität
Die für die Richtlinie erstellten Profile sind in absteigender Priorität gereiht. Wenn sich das Profil X beispielsweise in der Richtlinienliste über dem Profil Y befindet, hat das Profil X eine höhere Priorität als Y. Einem Gerät können mehrere Profile gleichzeitig zugewiesen werden. Wenn sich der Wert einer bestimmten Einstellung in den Profilen unterscheidet, wird auf dem Gerät der Einstellungswert aus jenem Profil verwendet, das die höhere Priorität hat.
Regeln für die Profilaktivierung
Richtlinienprofile werden auf dem Client-Gerät mithilfe von Aktivierungsregeln aktiviert. Aktivierungsregeln – Satz von Bedingungen, bei deren Ausführung das Richtlinienprofil auf dem Gerät ausgeführt wird. Aktivierungsregeln können folgende Bedingungen enthalten:
- Der Administrationsagent auf dem Client-Gerät stellt unter Berücksichtigung bestimmter Verbindungseinstellungen, beispielsweise der Adresse des Administrationsservers, Portnummer usw., eine Verbindung zum Server her.
- Das Client-Gerät befindet sich im autonomen Modus.
- Dem Client-Gerät sind bestimmte Tags zugewiesen.
- Das Client-Gerät befindet sich explizit (das Gerät befindet sich unmittelbar im angegebenen Unterverzeichnis) oder implizit (das Gerät befindet sich in einem Unterverzeichnis, das sich auf einer beliebigen Verschachtelungsebene innerhalb des angegebenen Unterverzeichnisses befindet) in einem bestimmten Unterverzeichnis des Active Directory®, das Gerät oder sein Besitzer befinden sich in der Sicherheitsgruppe von Active Directory.
- Das Client-Gerät gehört einem bestimmten Eigentümer oder der Eigentümer des Geräts befindet sich in einer internen Sicherheitsgruppe von Kaspersky Security Center.
- Dem Inhaber des Client-Geräts wurde eine festgelegte Rolle zugewiesen.
Richtlinien in hierarchischen Administrationsgruppen
Wenn Sie die Richtlinie in der Administrationsgruppe der unteren Ebene erstellen, so erbt die neue Richtlinie die Profile der aktiven Richtlinie für die Gruppe der obersten Ebene. Profile mit identischen Namen werden zusammengelegt. Die Richtlinienprofile für die Gruppe der höheren Ebene haben höhere Priorität. Beispielsweise umfasst die Richtlinie P(A) in der Administrationsgruppe A die Profile X1, X2 und X3 in absteigender Reihenfolge. In der Administrationsgruppe B, die eine Untergruppe von Gruppe A ist, wird die Richtlinie P(B) mit den Profilen X2, X4 und X5 erstellt. Somit wird die Richtlinie P(B) durch die Richtlinie P(A) geändert, weil die Liste der Profile in der Richtlinie P(B) in absteigender Reihenfolge X1, X2, X3, X4, X5 lautet. Die Priorität von Profile X2 hängt vom ursprünglichen Status von X2 in der Richtlinie P(B) und X2 in der Richtlinie P(A) ab. Nach dem Erstellen der Richtlinie P(B) wird die Richtlinie P(A) in der Untergruppe B nicht angezeigt.
Die aktive Richtlinie wird bei jedem Start des Administrationsagenten, bei der Aktivierung bzw. Deaktivierung des autonomen Modus sowie bei einer Änderung der dem Client-Gerät zugewiesenen Tag-Liste neu berechnet. Wenn beispielsweise auf einem Gerät der Umfang des Arbeitsspeichers vergrößert wurde, wird daraufhin das Richtlinienprofil aktiviert, das für Geräte mit größerem Arbeitsspeichers verwendet wird.
Eigenschaften und Beschränkungen von Richtlinienprofilen
Profile haben folgende Eigenschaften:
- Profile von nicht aktiven Richtlinien haben keine Auswirkung auf Client-Geräte.
- Wenn eine Richtlinie in den Status Richtlinie für mobile Benutzer versetzt wird, werden die Profile dieser Richtlinie auch dann angewandt, wenn das Gerät vom Unternehmensnetzwerk getrennt ist.
- Die statistische Zugriffsanalyse auf ausführbare Dateien wird von Profilen nicht unterstützt.
- Das Richtlinienprofil kann keine Einstellungen für Benachrichtigungen über Ereignisse enthalten.
- Wenn für die Verbindung des Geräts mit dem Administrationsserver der UDP-Port 15000 verwendet wird, aktiviert sich das entsprechende Richtlinienprofil bei der Zuweisung eines Tags auf dem Gerät innerhalb einer Minute.
- Sie können die Verbindungsregeln des Administrationsagenten zum Administrationsserver verwenden, wenn Sie die Aktivierungsregeln des Richtlinienprofils erstellen.