Datei-Eigenschaften-Regel

Mit dieser Regel können Sie verschiedene Dateieigenschaften angeben, nach denen gefiltert werden soll.

Folgende Optionen stehen zur Verfügung:

  1. Pfad: Wählen Sie hier einen Pfad aus, von dem aus Anwendungen gestartet werden dürfen (bzw. geblockt werden sollen) oder eine bestimmte Datei innerhalb eines vorgegebenen Verzeichnisses. Klicken Sie hierzu die Schaltfläche ... . Diese Option überprüft, ob der Pfad der Datei bestimmte Bedingungen erfüllt.  

    Sobald Sie hier eine Auswahl getroffen haben, werden die anderen Felder im Dialog automatisch ausgefüllt. Sie können dann ein Häkchen bei den Optionen setzen, nach denen Sie filtern wollen.

    Sie können eine Anwendung auch aus der Liste der gerade gestarteten Programme (Option Aus laufenden Prozessen...) oder aus der Anwendungsdatenbank (Option Aus Applikations-Inventar...) auswählen.

    Um sich über die Remoteverbindung Informationen über aktuell laufende Anwendungen von einem anderen Rechner, auf dem DriveLock installiert und gestartet ist, anzeigen zu lassen, wählen Sie die Option auf Agent, geben den Namen des Rechners ein und klicken dann Verbinden.

    Wählen Sie außerdem eine der beiden Optionen in der Dropdown-Liste:

    • entspricht: trifft dann zu, wenn der Pfad dem angegebenen Text entspricht, wobei Platzhalter verwendet werden können. Enthält der Text keine Backslashes, wird nur der Dateiname überprüft.

    • enthält: trifft dann zu, wenn der angegebene Text an irgendeiner Stelle im Dateipfad vorkommt.

    Der Pfad kann mehrere Werte aufnehmen. Bei der Auswertung reicht es aus, wenn einer der angegebenen Pfade zutrifft.

    • In der DMC werden mehrere Pfade innerhalb eines Feldes durch das Zeichen „|“ getrennt eingetragen (z. B. C:\temp|D:\test).

    • Im DOC wird jeder Pfad in einer eigenen Zeile angegeben.

  2. Vergeben Sie dann einen Regelnamen und wählen Sie den Regeltyp, d.h. wie die Regel angewendet werden soll. Weitere Informationen finden Sie hier.

  3. Hash: Diese Option überprüft, ob der Hashwert des Dateiinhalts mit dem angegebenen Wert übereinstimmt. Dieser wird bei der Regelerstellung gespeichert und zur Laufzeit mit dem aktuell berechneten verglichen. Stimmen beide überein, wird die Regel aktiviert. Diese Option eignet sich z.B. für eine einzelne Applikation, die per Whitelist oder Blacklist erlaubt oder gesperrt werden soll.

  4. Eigentümer: Mit dieser Option wird der Start von Anwendungen vom Datei-Eigentümer abhängig gemacht, z.B. können Sie mit dieser Einstellung alle Programme, die von einem Administrator oder einem vertrauenswürdigem Installationskonto installiert wurden, erlauben. Alle Programme, die von anderen Benutzern installiert wurden, sind hingegen gesperrt. So können auch automatisch alle Programme gesperrt werden, die ohne vorherige Installation ausgeführt werden können.

    Folgende Eigentümer-Typen können ausgewählt werden bzw. sind je nach Auswahl automatisch eingetragen:

    • Administratoren-Gruppe: Diese Option deckt alle lokalen Administratoren ab. Die Administratoren-Gruppe muss explizit Datei-Eigentümer sein, damit die Datei zugelassen ist.

    • Trusted Installer und Local System: Diese Standard-Windows-Konten müssen Datei-Eigentümer sein, damit die Datei zugelassen ist.

    • AD-Benutzer oder Gruppe: Wählen Sie hier einen AD-Benutzer oder eine Gruppe als Datei-Eigentümer aus. Hierbei wird die SID überprüft.

    • Name (Benutzer / Gruppe): Sie können hier manuell einen Benutzer oder eine Gruppe hinzufügen. Hierbei wird der Name überprüft.

    Wenn Sie eine Gruppe zuweisen, muss der Datei-Eigentümer die Gruppe sein, nicht ein Mitglied der Gruppe.

  5. Beschreibung: Hier wird die Dateibeschreibung eingetragen, z.B. 'Paint' bei der mspaint.exe-Datei.

  6. Version: Sie können die Version überprüfen lassen, damit Benutzer keine anderen oder älteren Programmversionen ausführen können, z.B. können Sie die Firefox-Version 83.0.0.7621 oder höher erlauben und alle vorherigen Versionen blocken, die Sicherheitslücken enthalten könnten. Wählen Sie die entsprechende Option im Auswahlmenü aus, z.B. größer oder gleich.

  7. Produkt: Hier wird der Produktname eingetragen, z.B. Betriebssystem Microsoft Windows.

  8. Zertifikatsprüfung: Mit dieser Prüfung können Sie signierte Software whitelisten oder unsignierte Software blacklisten.

    Über die Browse-Schaltfläche können Sie auch Zertifikate über das Applikations-Inventar aussuchen.

    Beachten Sie, dass Windows Dateien nicht signiert sind. Hier muss zusätzlich z.B. ein Dateipfad angegeben werden.

  9. Herausgegeben für, Herausgeber, Thumbprint und Seriennummer sind weitere Eigenschaften des Zertifikats. Die Seriennummer ist nur in Kombination mit dem Herausgeber eindeutig.

Neben einigen zusätzlichen Auswahlmöglichkeiten vereint diese Regel die Optionen der Dateieigentümer-, Dateipfad-, Hash- und Hersteller-Zertifikatsregeln aus früheren Versionen. Beachten Sie bitte, dass Datei-Eigenschaften-Regeln nur dann kompatibel mit DriveLock Agenten vor Version 2020.2 sind, wenn nur die Kombinationen von Eigenschaften geprüft werden, die exakt den Einstellungsmöglichkeiten der jeweiligen alten Regeltypen entsprechen. Wenn Sie beispielsweise den Pfad mit dem Eigentümer und dem Herausgeber kombinieren, kann der (alte) Agent den Regeltyp nicht exakt auswerten und wird daher die Regel ignorieren.

In der DriveLock Management Konsole sehen die Dialoge anhand des Beispiels 'Firefox' folgendermaßen aus: