Vor-und Nachteile unterschiedlicher Filtereigenschaften
Bei der Entscheidung, nach welchen Kriterien Anwendungen geblockt oder erlaubt werden sollen, sollten verschiedene Aspekte betrachtet werden. Es gibt Kriterien, die eine hohe Sicherheit bieten, dafür aber mehr Verwaltungsaufwand fordern oder solche, die sehr schnell ausgewertet werden können, dafür aber eine geringere Sicherheit bieten. In der Tabelle sind diese Aspekte zusammengefasst.
|
Filtereigenschaft |
Vorteil |
Nachteil |
Anmerkung |
|---|---|---|---|
|
Hash |
eindeutig für jede Datei erlaubt eine exakte Steuerung, welche Anwendungen zugelassen werden soll und welche nicht |
hoher Pflegeaufwand, wenn neue Dateien hinzukommen (z.B. durch Updates) |
sehr hohe Sicherheit |
|
Dateipfad und -eigentümer |
sehr schnell, weil der Dateiinhalt nicht geprüft werden muss (hohe Performance) |
nur dann sicher, wenn der Benutzer keine Schreibrechte auf den Pfad hat |
geringere Sicherheit (außer z.B. bei Verwendung einer Softwareverteilung) |
|
Produktinformation und Zertifikat/Signatur (dasselbe gilt auch für Dateipfad und -eigentümer) |
geringe Anzahl an Regeln kann viele Dateien abdecken und auch nach Updates weiter funktionieren |
möglicherweise wird mehr erlaubt, als beabsichtigt (z.B. Programme, die mit dem gleichen Zertifikat signiert sind) Bitte beachten Sie, dass die Produktinformation ohne Signatur nicht sicher ist |
mittlere Sicherheit |
Eine Kombinationen der Kriterien ist empfehlenswert, um möglichst viele Aspekte abzudecken.
Um eine hohe Effizienz bei der Regelauswertung erreichen zu können, ist die Einstellung Regelauswertung beenden, sobald das Ergebnis feststeht standardmäßig aktiviert. Sie bewirkt, dass bevorzugt Regeln für Dateipfad und Dateieigentümer ausgeführt werden. Sobald eine Regel gefunden wird, die eine Anwendung zulässt, werden die anderen Regeln gar nicht erst ausgewertet, da diese an der Entscheidung, ob die Anwendung zugelassen wird oder nicht (d.h. am Ergebnis) nichts mehr ändern würden.
Beispiel: Sie erstellen zwei Regeln. In Regel 1 (Datei-Eigenschaften-Regel) werden alle Dateien unter dem Pfad C:\Windows erlaubt. In Regel 2 (Anwendungs-Hashdatenbank-Regel) nehmen Sie alle Windows Dateien auf. Wenn ein Benutzer C:\Windows\notepad.exe startet, dann greift Regel 1 und die Hash-Datenbank-Regel wird gar nicht erst geprüft. Wenn die Einstellung deaktiviert ist, dann wird Regel 2 auch noch geprüft (inkl. der Hashes), dann dauert dieser Prozess sehr viel länger.
Wenn Sie ausschließlich einfache Whitelist-Regeln anlegen, funktioniert dies gut, denn wenn eine schnelle Regel greift, müssen die zeitaufwändigen Regeln nicht mehr geprüft werden. Wenn Sie dagegen zusätzlich Blacklist-Regeln oder Regeln für lokales Lernen verwenden, müssen diese auch noch geprüft werden, nachdem eine einfache Whitelist-Regel bereits zugetroffen hat. In diesem Fall müssen alle diese Regeln schnell ausgewertet werden können, um von der schnelleren Regelauswertung profitieren zu können.
Priorisierung von Anwendungsregeln
Sie können für Anwendungsregeln auf dem Reiter Optionen eine Priorität einstellen. Sobald eine passende Regel gefunden wurde, werden Regeln mit einer niedrigeren Priorität nicht mehr ausgeführt. Auf diese Weise können Sie auch im Whitelist-Modus Whitelist-Regeln erstellen, die eine höhere Priorität haben, als Blacklist-Regeln.
Beispiel: Eine Blacklist-Regel blockiert exe-Dateien im Downloads-Ordner. Eine Whitelist-Regel erlaubt Programme, die von Microsoft signiert sind. Bei gleich eingestellter Priorität hätte die Blacklist-Regel Vorrang. Wenn Sie jetzt der Whitelist-Regel eine höhere Priorität geben, können die Microsoft -Programme trotzdem ausgeführt werden.