Kategorie: Use Case 
Modul: Application Control
Testzeit: 30 min

Dieser Anwendungsfall ist die Anwendungskontrolle auf Grundlage einer prädiktiven Whitelist. Erfahren Sie mehr über DriveLocks Application Control.

1. Worum geht es bei folgendem Anwendungsfall

Die Anwendungssteuerung von DriveLock bietet zukunftsorientierten Schutz vor bekannten und unbekannten Bedrohungen.
Ransomware oder Malware haben keine Chance mehr, Ihre Betriebsabläufe zu stören und Dateien oder wichtige Dokumente zu zerstören. Selbst Zero-Day-Exploits werden keinen Schaden mehr anrichten können.   

Schutz vor Maleware - Das Prinzip eines Virenscanners ist umgekehrt, denn nur genehmigte Anwendungen können ausgeführt werden. Schadsoftware wird blockiert, egal ob bekannt oder unbekannt. 
Einfache Pflege der Whitelist - Zur automatischen Pflege der Whitelist können Client- und Patch-Management Systeme integriert werden. Für manuelle Software Installationen steht ein Lernmodus zur Verfügung.

2. Auswirkungen auf Ihren Client

Was die Anwendungskontrolle betrifft, so führt der DriveLock Agent einen ersten Scan des gesamten Systems durch und erstellt eine lokale Whitelist. Nach diesem Scan wird das Gerät versiegelt und nur Anwendungen, die Teil dieser Whitelist sind, können ausgeführt werden. Darüber hinaus gibt es eine Reihe weiterer Regeln einschließlich Selbstlernfunktionen, die Sie normalerweise nicht manuell pflegen müssen. Diese umfassen:

• Anwendungsregeln: Black- und/oder Whitelisting legt fest, welche Anwendungen ausgeführt und welche gesperrt werden. 

• Anwendungs-Verhaltensregeln: Diese bestimmen, welche Berechtigungen die Anwendungen erhalten, in welche Verzeichnisse Anwendungen schreiben oder welche Prozesse diese starten dürfen. Durch Aufzeichnen des Anwendungsverhaltens über die Agenten-Fernkontrolle können automatisch Anwendungs-Verhaltensregeln erzeugt werden.

• Lokales Lernen: Auf dem DriveLock Agenten selbst kann gelernt werden, was durch die Applikationskontrolle zugelassen wird.

Versucht der Benutzer eine Anwendung auszuführen, die durch die Anwendungskontrollregeln nicht autorisiert ist, öffnet sich ein Benachrichtigungs-Fenster, das darüber informiert, dass eine Anwendung blockiert wurde. 
Für den Fall, dass Sie etwas Dringendes benötigen (z.B. Installation einer neuen Anwendung), können Sie die SB-Freigabe verwenden, um den Schutz Ihrer Maschine freizuschalten.

Wie Sie dies machen, erfahren Sie hier. 

3. Überwachung der Ergebnisse im DOC

Einerseits können Sie dafür ein eigenes Dashboard erstellen, oder aber Sie benutzen die Vorlage, auf welcher bereits einige Informationen übersichtlich dargestellt sind. 

4. Hinzufügen weiterer Applikationen zur globalen Whitelist

Wenn eine Applikation geblockt wird, generiert es ein Ergebnis mit verschiedenen Parametern, wie Dateipfad und Hashwert. Anhand dieser Parameter kann anschließend für diese Applikation eine Whitelist Regel erstellt werden. Dies ist einmal mit den Parametern für Dateipfad und Hashwert möglich, zum anderen auch über die Zertifikate der Applikation. 
Gehen Sie im Menü entweder zu Analyse > Ereignisse oder Inventar > Software > Ausführbare Dateien. Dort können Sie durch Rechtsklick auf das geblockte Ereignis bzw. die ausführbare Datei eine Anwendungsregel erstellen. 

Im ersten Schritt geben Sie einen Regelnamen und den Regeltyp an.

Im nächsten Schritt können Sie die gewünschten Parameter, welche aus dem Ereignis übernommen werden, auswählen und bearbeiten.

Nach Fertigstellen der Regel ist die Applikation aus diesem Ereignis entsprechend der gewählten Parameter (z.B. Dateipfad oder Zertifikat) freigegeben.