So aktivieren Sie den Modus „Blockierte Programme“
Im Modus Blockierte Programme erlaubt die Programmkontrolle den Benutzern den Start aller Programme, unter Ausnahme von Programmen, die durch Programmkontrolle-Regeln verboten sind. Das heißt: Wenn keine Verbotsregel vorhanden ist, erlaubt die Programmkontrolle den Start des Programms. Dieser Modus ist für die Programmkontrolle standardmäßig ausgewählt.
Bevor Sie den Modus Blockierte Programme aktivieren, sollten Sie die Programmkontrolle-Regeln unbedingt testen. Dazu können Sie den Testmodus aktivieren.
So aktivieren Sie den Modus „Blockierte Programme“ (in der Verwaltungskonsole (MMC))
- Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
- Wählen Sie in der Konsolenstruktur den Punkt Richtlinien aus.
- Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
- Wählen Sie im Richtlinienfenster Sicherheitskontrolle → Programmkontrolle aus.
- Aktivieren Sie das Kontrollkästchen Programmkontrolle.
- Verwenden Sie im Block Einstellungen der Programmkontrolle die Dropdown-Liste Kontrollmodus, um Deny-Liste auszuwählen.
- Wählen Sie aus der Dropdown-Liste Aktion die Aktion für die Programmkontrolle aus:
- Regeln testen. Programme, deren Ausführung durch die Regeln verhindert wird, werden durch die Programmkontrolle nicht blockiert. Die Programmkontrolle generiert aber Ereignisse über die Ausführung von Programmen, die andernfalls blockiert würden.
- Regeln anwenden. Die Programmkontrolle sperrt die blockierten Programme und generiert entsprechende Ereignisse.
- Wählen Sie den Status für die Programmkontrolle-Regeln aus:
- Ein. Dieser Status bedeutet, dass die Regel von der Komponente „Programmkontrolle“ verwendet wird.
- Aus. Dieser Status bedeutet, dass die Regel von der Komponente „Programmkontrolle“ ignoriert wird.
- Test. Dieser Status bedeutet, dass Kaspersky Endpoint Security den Start der Programme, auf welche die Regel gilt, immer erlaubt. Gleichzeitig werden aber Informationen über den Start dieser Programme protokolliert.
Fügen Sie bei Bedarf Regeln für die Programmkontrolle hinzu.
- Konfigurieren Sie die erweiterten Einstellungen der Programmkontrolle:
- Laden von DLL-Modulen überwachen (führt zu erheblich erhöhter Systemauslastung). Ist das Kontrollkästchen aktiviert, so kontrolliert Kaspersky Endpoint Security das Laden von DLL-Modulen, wenn Programme von Benutzern gestartet werden. Informationen über das DLL-Modul und das Programm, das dieses DLL-Modul geladen hat, werden protokolliert.
Wenn die Funktion zur Kontrolle des Ladens von DLL-Modulen und Treibern aktiviert ist, vergewissern Sie sich, dass in den „Programmkontrolle“-Einstellungen entweder die Regel Goldene Kategorie aktiviert ist oder eine andere Regel, welche die KL-Kategorie „Goldene Kategorie\Vertrauenswürdige Zertifikate“ enthält und das Laden von DLL-Modulen und Treibern vor dem Start von Kaspersky Endpoint Security gewährleistet. Wenn die Kontrolle von DLL-Modulen und Treibern gleichzeitig mit der Regel Goldene Kategorie aktiviert ist, kann es zur Instabilität des Betriebssystems kommen.
Kaspersky Endpoint Security kontrolliert nur jene DLL-Module und Treiber, die geladen wurden, nachdem das Kontrollkästchen aktiviert wurde. Nach dem Aktivieren des Kontrollkästchens wird empfohlen, den Computer neu zu starten, um sicherzustellen, dass das Programm alle DLL-Module und Treiber überwacht, einschließlich derer, die vor dem Start von Kaspersky Endpoint Security geladen wurden.
- Strenge Überprüfung für digitale Signaturen verwenden. Sie können ein Zertifikat als Auslösebedingung für eine Regel der Programmkontrolle auswählen. Wenn dieses Kontrollkästchen aktiviert ist, wendet Kaspersky Endpoint Security Regeln nur auf die Programme an, die mit Zertifikaten aus dem vertrauenswürdigen Zertifikatspeicher des Systems signiert sind. Programme, die mit einem solchen Zertifikat signiert sind, werden auch von den Schutzkomponenten als vertrauenswürdig eingestuft, z. B. von der Aufgabe Schadsoftware-Untersuchung. Wenn Sie in einer Regel der Programmkontrolle jedoch ein Zertifikat aus einem anderen Speicher angeben, wendet Kaspersky Endpoint Security diese Regel nicht an.
Wenn das Kontrollkästchen deaktiviert ist, wendet Kaspersky Endpoint Security Regeln auf die Programme an, die mit einem Zertifikat aus dem Trusted Root Certificate Store von Windows signiert sind. Solche Programme gehören nicht zur vertrauenswürdigen Zone. Die Schutzkomponenten überwachen die Aktivität solcher Programme.
- Nachricht beim Blockieren. Vorlage der Nachricht, die beim Auslösen einer Regel der Programmkontrolle erscheint, wenn diese Regel den Programmstart blockiert.
- Nachricht an den Administrator. Vorlage für die Nachricht, die an den Administrator des lokalen Unternehmensnetzwerks gesendet wird, wenn ein Programm nach Meinung des Benutzers irrtümlich blockiert wurde.
- Laden von DLL-Modulen überwachen (führt zu erheblich erhöhter Systemauslastung). Ist das Kontrollkästchen aktiviert, so kontrolliert Kaspersky Endpoint Security das Laden von DLL-Modulen, wenn Programme von Benutzern gestartet werden. Informationen über das DLL-Modul und das Programm, das dieses DLL-Modul geladen hat, werden protokolliert.
- Speichern Sie die vorgenommenen Änderungen. Um die Richtlinie auf Computern anzuwenden, schließen Sie die Vorhängeschlösser
.
So aktivieren Sie den Modus „Blockierte Programme“ (in der Web Console und Cloud Console)
- Wählen Sie im Web Console-Hauptfenster die Registerkarte Assets (Geräte) → Richtlinien und Profile aus.
- Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Gehen Sie zu Sicherheitskontrolle → Programmkontrolle.
- Aktivieren Sie den Schalter Programmkontrolle.
- Wählen Sie im Block Modus der Programmkontrolle die Variante Deny-Liste aus.
- Wählen Sie im Block Aktion beim Start von Programmen, die durch Regeln blockiert werden die Aktion für die Programmkontrolle aus:
- Informieren (Testmodus). Programme, deren Ausführung durch die Regeln verhindert wird, werden durch die Programmkontrolle nicht blockiert. Die Programmkontrolle generiert aber Ereignisse über die Ausführung von Programmen, die andernfalls blockiert würden.
- Blockieren. Die Programmkontrolle sperrt die blockierten Programme und generiert entsprechende Ereignisse.
- Wählen Sie den Status für die Programmkontrolle-Regeln aus:
- Aktiviert. Dieser Status bedeutet, dass die Regel von der Komponente „Programmkontrolle“ verwendet wird.
- Deaktiviert. Dieser Status bedeutet, dass die Regel von der Komponente „Programmkontrolle“ ignoriert wird.
- Testmodus. Dieser Status bedeutet, dass Kaspersky Endpoint Security den Start der Programme, auf welche die Regel gilt, immer erlaubt. Gleichzeitig werden aber Informationen über den Start dieser Programme protokolliert.
Fügen Sie bei Bedarf Regeln für die Programmkontrolle hinzu.
- Konfigurieren Sie die erweiterten Einstellungen der Programmkontrolle:
- Laden von DLL-Modulen überwachen (führt zu erheblich erhöhter Systemauslastung). Ist das Kontrollkästchen aktiviert, so kontrolliert Kaspersky Endpoint Security das Laden von DLL-Modulen, wenn Programme von Benutzern gestartet werden. Informationen über das DLL-Modul und das Programm, das dieses DLL-Modul geladen hat, werden protokolliert.
Wenn die Funktion zur Kontrolle des Ladens von DLL-Modulen und Treibern aktiviert ist, vergewissern Sie sich, dass in den „Programmkontrolle“-Einstellungen entweder die Regel Goldene Kategorie aktiviert ist oder eine andere Regel, welche die KL-Kategorie „Goldene Kategorie\Vertrauenswürdige Zertifikate“ enthält und das Laden von DLL-Modulen und Treibern vor dem Start von Kaspersky Endpoint Security gewährleistet. Wenn die Kontrolle von DLL-Modulen und Treibern gleichzeitig mit der Regel Goldene Kategorie aktiviert ist, kann es zur Instabilität des Betriebssystems kommen.
Kaspersky Endpoint Security kontrolliert nur jene DLL-Module und Treiber, die geladen wurden, nachdem das Kontrollkästchen aktiviert wurde. Nach dem Aktivieren des Kontrollkästchens wird empfohlen, den Computer neu zu starten, um sicherzustellen, dass das Programm alle DLL-Module und Treiber überwacht, einschließlich derer, die vor dem Start von Kaspersky Endpoint Security geladen wurden.
- Strenge Überprüfung für digitale Signaturen verwenden. Sie können ein Zertifikat als Auslösebedingung für eine Regel der Programmkontrolle auswählen. Wenn dieses Kontrollkästchen aktiviert ist, wendet Kaspersky Endpoint Security Regeln nur auf die Programme an, die mit Zertifikaten aus dem vertrauenswürdigen Zertifikatspeicher des Systems signiert sind. Programme, die mit einem solchen Zertifikat signiert sind, werden auch von den Schutzkomponenten als vertrauenswürdig eingestuft, z. B. von der Aufgabe Schadsoftware-Untersuchung. Wenn Sie in einer Regel der Programmkontrolle jedoch ein Zertifikat aus einem anderen Speicher angeben, wendet Kaspersky Endpoint Security diese Regel nicht an.
Wenn das Kontrollkästchen deaktiviert ist, wendet Kaspersky Endpoint Security Regeln auf die Programme an, die mit einem Zertifikat aus dem Trusted Root Certificate Store von Windows signiert sind. Solche Programme gehören nicht zur vertrauenswürdigen Zone. Die Schutzkomponenten überwachen die Aktivität solcher Programme.
- Nachricht beim Blockieren. Vorlage der Nachricht, die beim Auslösen einer Regel der Programmkontrolle erscheint, wenn diese Regel den Programmstart blockiert.
- Nachricht an den Administrator. Vorlage für die Nachricht, die an den Administrator des lokalen Unternehmensnetzwerks gesendet wird, wenn ein Programm nach Meinung des Benutzers irrtümlich blockiert wurde.
- Laden von DLL-Modulen überwachen (führt zu erheblich erhöhter Systemauslastung). Ist das Kontrollkästchen aktiviert, so kontrolliert Kaspersky Endpoint Security das Laden von DLL-Modulen, wenn Programme von Benutzern gestartet werden. Informationen über das DLL-Modul und das Programm, das dieses DLL-Modul geladen hat, werden protokolliert.
- Speichern Sie die vorgenommenen Änderungen. Um die Richtlinie auf Computern anzuwenden, schließen Sie die Vorhängeschlösser
.
So aktivieren Sie den Modus „Blockierte Programme“ (in der Programmoberfläche)
- Klicken Sie im Programmhauptfenster auf die Schaltfläche
. - Wählen Sie im Fenster mit den Programmeinstellungen Sicherheitskontrolle → Programmkontrolle aus.
- Aktivieren Sie den Schalter Programmkontrolle.
- Wählen Sie im Block Modus „Kontrolle des Programmstarts“ die Variante Deny-Liste. Alle Programme sind erlaubt, außer denen in der Regelliste aus.
- Wählen Sie im Block Aktion beim Start von Programmen, die durch Regeln blockiert werden die Aktion für die Programmkontrolle aus:
- Informieren (Testmodus) und Ereignisse protokollieren im Bericht. Programme, deren Ausführung durch die Regeln verhindert wird, werden durch die Programmkontrolle nicht blockiert. Die Programmkontrolle generiert aber Ereignisse über die Ausführung von Programmen, die andernfalls blockiert würden.
- Blockieren. Die Programmkontrolle sperrt die blockierten Programme und generiert entsprechende Ereignisse.
- Wählen Sie den Status für die Programmkontrolle-Regeln aus:
- Aktiviert. Dieser Status bedeutet, dass die Regel von der Komponente „Programmkontrolle“ verwendet wird.
- Deaktiviert. Dieser Status bedeutet, dass die Regel von der Komponente „Programmkontrolle“ ignoriert wird.
- Testmodus. Dieser Status bedeutet, dass Kaspersky Endpoint Security den Start der Programme, auf welche die Regel gilt, immer erlaubt. Gleichzeitig werden aber Informationen über den Start dieser Programme protokolliert.
Fügen Sie bei Bedarf Regeln für die Programmkontrolle hinzu.
- Konfigurieren Sie die erweiterten Einstellungen der Programmkontrolle:
- Laden von DLL-Modulen überwachen. Ist das Kontrollkästchen aktiviert, so kontrolliert Kaspersky Endpoint Security das Laden von DLL-Modulen, wenn Programme von Benutzern gestartet werden. Informationen über das DLL-Modul und das Programm, das dieses DLL-Modul geladen hat, werden protokolliert.
Wenn die Funktion zur Kontrolle des Ladens von DLL-Modulen und Treibern aktiviert ist, vergewissern Sie sich, dass in den „Programmkontrolle“-Einstellungen entweder die Regel Goldene Kategorie aktiviert ist oder eine andere Regel, welche die KL-Kategorie „Goldene Kategorie\Vertrauenswürdige Zertifikate“ enthält und das Laden von DLL-Modulen und Treibern vor dem Start von Kaspersky Endpoint Security gewährleistet. Wenn die Kontrolle von DLL-Modulen und Treibern gleichzeitig mit der Regel Goldene Kategorie aktiviert ist, kann es zur Instabilität des Betriebssystems kommen.
Kaspersky Endpoint Security kontrolliert nur jene DLL-Module und Treiber, die geladen wurden, nachdem das Kontrollkästchen aktiviert wurde. Nach dem Aktivieren des Kontrollkästchens wird empfohlen, den Computer neu zu starten, um sicherzustellen, dass das Programm alle DLL-Module und Treiber überwacht, einschließlich derer, die vor dem Start von Kaspersky Endpoint Security geladen wurden.
- Strenge Überprüfung von digitalen Signaturen verwenden. Sie können ein Zertifikat als Auslösebedingung für eine Regel der Programmkontrolle auswählen. Wenn dieses Kontrollkästchen aktiviert ist, wendet Kaspersky Endpoint Security Regeln nur auf die Programme an, die mit Zertifikaten aus dem vertrauenswürdigen Zertifikatspeicher des Systems signiert sind. Programme, die mit einem solchen Zertifikat signiert sind, werden auch von den Schutzkomponenten als vertrauenswürdig eingestuft, z. B. von der Aufgabe Schadsoftware-Untersuchung. Wenn Sie in einer Regel der Programmkontrolle jedoch ein Zertifikat aus einem anderen Speicher angeben, wendet Kaspersky Endpoint Security diese Regel nicht an.
Wenn das Kontrollkästchen deaktiviert ist, wendet Kaspersky Endpoint Security Regeln auf die Programme an, die mit einem Zertifikat aus dem Trusted Root Certificate Store von Windows signiert sind. Solche Programme gehören nicht zur vertrauenswürdigen Zone. Die Schutzkomponenten überwachen die Aktivität solcher Programme.
- Vorlagen für Nachrichten über Programmblockierung. Vorlage der Nachricht, die beim Auslösen einer Regel der Programmkontrolle erscheint, wenn diese Regel den Programmstart blockiert.
- Vorlage für die Nachricht, die beim Blockieren eines Programmstarts erscheint. Vorlage für die Nachricht, die an den Administrator des lokalen Unternehmensnetzwerks gesendet wird, wenn ein Programm nach Meinung des Benutzers irrtümlich blockiert wurde.
- Laden von DLL-Modulen überwachen. Ist das Kontrollkästchen aktiviert, so kontrolliert Kaspersky Endpoint Security das Laden von DLL-Modulen, wenn Programme von Benutzern gestartet werden. Informationen über das DLL-Modul und das Programm, das dieses DLL-Modul geladen hat, werden protokolliert.
- Speichern Sie die vorgenommenen Änderungen.
Künftig werden verbotene Programme durch die Programmkontrolle blockiert. Außerdem generiert Kaspersky Endpoint Security die Ereignisse Programmstart verboten. Anhand dieser Ereignisse können den Bericht Bericht über verbotene Programme in der Kaspersky Security Center-Konsole erstellen. In der Zusammenfassung des Berichts finden Sie eine Liste der Programme und Computer, von denen die Programmkontrolle-Regel ausgelöst wurde.
Nach oben