Scan- und Blockiermodus

Wenn ausführbare Programme gescannt/geblockt werden, prüft DriveLock die Datei während sie vom Windows-Betriebssystem in den Speicher geladen wird. Abhängig vom Ergebnis der Prüfung und den konfigurierten Regeln in der DriveLock Richtlinie erlaubt oder verweigert DriveLock die Programmausführung.

Scannen/Blockieren von DLLs funktioniert im Prinzip genauso. Wenn Programme DLLs laden, werden alle diese DLLs während des Ladens geprüft.

Wenn Sie planen, Application Control im Whitelist-Modus inklusive DLLs zu aktivieren, müssen Sie sicherstellen dass Sie keine DLLs blockieren, die für ein vollständiges Funktionieren ihres Systems erforderlich sind.

Windows installiert viele DLLs, die weder als Teil des Betriebssystems noch des .NET Frameworks markiert sind. Manche dieser DLLs sind auch nicht im Windows Systemverzeichnis installiert und manche haben nicht einmal eine (gültige) Microsoft Signatur. Deshalb werden solche DLLs von keiner der Spezial-Regeln erfasst.

Beispiel:

Standardmäßig wird von manchen Windows Versionen Microsoft OneDrive mit installiert. OneDrive wird im Benutzerprofil installiert und ist nicht Teil des Betriebssystems. Leider lädt der Windows Explorer OneDrive DLLs nach. Der Windows Explorer wird jedoch beendet, wenn diese DLLs nicht in ihren Regeln gewhitelistet sind.

Bewährte Praxis:

Wir empfehlen, Predictive Whitelisting bzw. die lokale Whitelist zu aktivieren, bevor Sie Blockieren von DLLs einschalten. In jedem Fall sollten Sie im Simulationsmodus beginnen und die Application Control-Ereignisse auswerten, um so alle vom System benötigten DLLs zu whitelisten.