Anwendungs-Hashdatenbank

Um die Konfiguration der Applikationskontrolle zu vereinfachen, bietet DriveLock die Möglichkeit, Anwendungs-Hashdatenbanken zu erstellen und im White- oder Blacklist-Modus zu verwenden. Hashdatenbanken können erstellt werden, indem ein oder mehrere Verzeichnisse (und deren Unterverzeichnisse) automatisch nach Anwendungen durchsucht, von diesen Hashwerte berechnet und in einer Datei gespeichert werden. Auch von der Festplatte eines Referenzsystems kann eine Hashdatenbank aller installierten Programme erzeugt werden.

So erstellen Sie eine Anwendungs-Hashdatenbank:

  1. Wählen Sie im Knoten Anwendungen den Unterknoten Anwendungsregeln. Öffnen Sie dann über das Kontextmenü Neu den Dialog Anwendungs-Hashdatenbank.
  2. Zunächst ist auf dem Reiter Allgemein noch keine Datenbank ausgewählt. Sie können entweder eine neue Datei anlegen oder eine bereits bestehende Datei auswählen.

    DriveLock stellt ein Hilfsprogramm DriveLock Application Hash Database Tool zur Verfügung, mit dem ebenfalls eine Hashdatenbank generiert werden kann. Dieses Tool befindet sich im Installationsverzeichnis von DriveLock (C:\Program Files\CenterTools\DriveLock MMC\Tools\DLExeHasher.exe).

  3. Unter Benutzter Hash-Algorithmus steht der im Hash-Verfahren bereits voreingestellte Wert.

  4. Um eine neue Hashdatenbank zu erzeugen, klicken Sie auf Datenbank-Datei und wählen Neu anlegen aus dem Menü.

  5. Tragen Sie in das erste Eingabefeld den Namen des Computers ein, dessen Verzeichnis durchsucht werden soll. Diese Information erleichtert bei einer später möglichen Migration mehrerer Datenbankdateien die Zuordnung. Geben Sie einen Dateipfad an oder klicken Sie um einen entsprechenden Auswahldialog zu öffnen.

    Wenn Sie als Dateipfad einen UNC-Pfad eingeben, können Sie auch ein Verzeichnis auf einem anderen Computer durchsuchen lassen.

    Der Hash-Algorithmus für Anwendungen definiert den für diese Datenbank verwendeten Algorithmus. Das Hash-Verfahren legen Sie am zuvor global fest, bevor Sie Hash-Datenbanken erzeugen, um die Interoperabilität zwischen mehreren Datenbanken und Regeln sicherzustellen. Wählen Sie Ausführbare Dateien und Bibliotheken scannen, um neben EXE- auch DLL-Dateien zu scannen.

  6. Sobald Sie auf OK klicken, beginnt DriveLock damit, das angegebene Verzeichnis rekursiv nach Anwendungsdateien zu durchsuchen.

    Bitte beachten Sie, dass das Auslesen größerer Verzeichnisse oder UNC-Pfade etwas dauern kann. Der Vorgang sollte nicht unterbrochen werden.

    Beim Durchsuchen werden keine doppelten Einträge generiert. Wenn die gleiche Datei ein weiteres Mal in einem anderen Verzeichnis gefunden wird, fügt DriveLock den Hashwert nicht noch einmal der Hashdatenbank hinzu. Das hat jedoch auf die Sperrung oder Freigabe keine Auswirkung und ermöglicht so, einen sogenannten Differenz-Scan zu erstellen, bei dem dann nur neu hinzugekommene Anwendungen mit aufgenommen werden.

  7. Sobald alle Hashwerte berechnet und in die Hashdatenbank-Datei geschrieben wurde, kehrt DriveLock zum Ausgangsdialog zurück und wählt die soeben generierte Datei als Datenbank für diese Vorlage aus.

  8. Fügen Sie eine aussagekräftige Beschreibung (Regel-Name) hinzu und tragen ggf. ergänzende Informationen in das Textfeld Bemerkung ein.

  9. Über die Schaltfläche Datenbank-Inhalt können Sie sich nun die gefundenen Programme ansehen, den Inhalt der Datenbank nachbearbeiten oder Daten aus einer weiteren Hashdatenbank-Datei migrieren.

  10. Klicken Sie auf Datenbank-Inhalt und wählen Sie den Eintrag Anzeigen/Bearbeiten, um manuelle Änderungen am Inhalt vorzunehmen.

  11. Im Dialog sehen Sie links die durchsuchte Verzeichnisstruktur, rechts finden sich die Hashwerte aller in einem bestimmten Verzeichnis enthaltenen Programmdateien wieder.

  12. Über die Schaltflächen Ordner scannen und Datei scannen lassen sich weitere Programmdateien der bestehenden Hashdatenbank hinzufügen. Mit Hilfe der Schaltfläche Löschen können einzelne Dateien (rechts) oder ganze Verzeichnisse (links) aus der Datenbank entfernt werden. Klicken Sie auf Eigenschaften, um zusätzliche Informationen zur Hashdatenbank zu erhalten.

  13. Beenden Sie die Bearbeitung der Hashdatenbank, indem Sie auf Schließen klicken.

    Die gleiche Funktionalität – und auch die Möglichkeit, zwei Datenbanken zu einer zusammenzuführen – steht Ihnen auch über das Hilfsprogramm zur Verfügung.

  14. Klicken Sie auf Datenbank-Inhalt und wählen Sie den Eintrag Zusammenführen, um Daten aus einer weiteren Hashdatenbank in die ausgewählte Datenbank zu migrieren.

  15. Geben Sie den Pfad und den Dateinamen der Hashdatenbank an, die hinzugefügt werden soll. Alternativ können Sie den Dateiauswahldialog verwenden.

  16. Sobald Sie OK klicken, beginnt DriveLock mit der Zusammenführung der beiden Datenbanken.

  17. Anschließend kehrt DriveLock wieder zum Ausgangsdialog zurück:

  18. Klicken Sie OK, um den Dialog zu verlassen und die Änderungen zu speichern.

Auch wenn Sie für einen Computer eine Hashdatenbank mit allen installierten Anwendungen zur Konfiguration einer Whitelist-Regel verwenden, sollten Sie zusätzlich immer noch spezielle Anwendungsregeln (siehe Spezielle Regeln verwenden) insbesondere für die Betriebssystemdateien verwenden. Diese werden technisch bedingt schneller geladen als die Informationen aus der Hashdatenbank und stehen dem DriveLock Agenten somit beim Start der Applikationskontrolle wesentlich früher zur Verfügung.