10.4 Eine Sicherheitsrichtlinie erstellen

Es sind 11 verschiedene Sicherheitsrichtlinien vorhanden:

Die Sicherheitseinstellungen eines Geräts werden von den Sicherheitsrichtlinien gesteuert, die vom Endpoint Security Agent angewendet wurden. Es sind acht Sicherheitsrichtlinien vorhanden, die eine Reihe von sicherheitsrelevanten Funktionen steuern. Je nach den Anforderungen in Ihrem Unternehmen können Sie alle oder einige der Richtlinien verwenden.

Richtlinie

Beschreibung

Anwendungssteuerung

Blockiert die Ausführung von Anwendungen oder verweigert den Internetzugriff durch Anwendungen. Sie geben die Anwendungen an, die gesperrt sind oder denen der Internetzugriff verweigert wird.

Kommunikationshardware

Deaktiviert die folgende Kommunikationshardware: 1394-Firewire, IrDA-Infrared, Bluetooth, seriell/parallel, Dialup, kabelgebunden und kabellos. Jede Kommunikationshardware wird einzeln konfiguriert, was bedeutet, dass Sie einige Hardwaretypen (wie zum Beispiel Bluetooth und Dialup) deaktivieren und andere aktiviert lassen können.

Datenverschlüsselung

Aktiviert die Datenverschlüsselung von Dateien auf Wechselspeichergeräten.

Firewall

Steuert die Netzwerk-Konnektivität durch Deaktivieren von Ports, Protokollen und Netzwerkadressen (IP und MAC).

Skripts

Führt ein Skript (JScript oder VBScript) auf einem Gerät aus. Sie können die Auslöser angeben, die die Ausführung des Skripts bewirken. Auslöser können auf Endpoint Security Agent-Aktionen (Aktionen der Endpunktsicherheitsverwaltung), Standortänderungen oder Zeitintervallen beruhen.

Steuerelement für Speichergerätsteuerung

Steuert den Zugriff auf CD/DVD-Laufwerke, Diskettenlaufwerke und Wechselspeicherlaufwerke. Jeder Speichergerätetyp wird einzeln konfiguriert, was bedeutet, dass Sie einige deaktivieren und andere aktivieren können.

USB-Konnektivität

Steuert den Zugriff auf USB-Geräte wie Wechselspeichergeräte, Drucker, Eingabegeräte (Tastaturen, Mausgeräte etc.). Sie können einzelne Geräte oder Gerätegruppen angeben. Sie können beispielsweise den Zugriff auf einen bestimmten Drucker deaktivieren und den Zugriff auf alle Sandisk-USB-Geräte aktivieren.

VPN-Erzwingung

Erzwingt eine auf dem Standort des Geräts basierende VPN-Verbindung. Wenn beispielsweise der Standort eines Geräts unbekannt ist, können Sie eine VPN-Verbindung erzwingen, über die der Internetverkehr insgesamt geroutet wird.

Wi-Fi

Deaktiviert Funkadapter, blockiert Funkverbindungen, steuert Verbindungen zu kabellosen Zugriffspunkten und so weiter.

Zusätzlich zu den oben genannten Sicherheitsrichtlinien können die folgenden Sicherheitsrichtlinien zum Schutz und zur Konfiguration des Endpoint Security Agent verwendet werden. Aufgrund der Eigenschaften dieser beiden Richtlinien empfehlen wir Ihnen, sie zunächst zu erstellen und zuzuweisen.

Richtlinie

Beschreibung

Sicherheitseinstellungen

Schützt den Endpoint Security Agent vor Manipulation und Deinstallation.

Informationen zum Konfigurieren von ZENworks Agent Security-Einstellungen finden Sie unter Konfigurieren der ZENworks-Agent-Sicherheit.

Standortzuweisung

Enthält die Liste der zulässigen Standorte für ein Gerät oder einen Benutzer. Der Endpoint Security Agent evaluiert seine aktuelle Netzwerkumgebung, um zu ermitteln, ob sie mit einem der zulässigen Standorte übereinstimmt. Wenn dies der Fall ist, wird der Standort zum Sicherheitsstandort und der Agent wendet alle mit dem Standort verknüpften Sicherheitsrichtlinien darauf an. Wenn sie mit keinem der Standorte in der Liste übereinstimmt, werden die Sicherheitsrichtlinien angewendet, die mit dem Standort „Unbekannt“ verknüpft sind.

Wenn Sie vorhaben, standortbasierte Richtlinien zu verwenden, sollten Sie sicher stellen, dass jedem Gerät oder Benutzer eine Standortzuweisungsrichtlinie zugewiesen wurde. Wenn einem Gerät bzw. Benutzer des Geräts keine Standortzuweisungsrichtlinie zugewiesen wurde, kann der Endpoint Security Agent keine standortbasierte Richtlinien auf das Gerät anwenden.

So erstellen Sie eine Sicherheitsrichtlinie:

  1. Klicken Sie im ZENworks-Kontrollzentrum auf Richtlinien, um die Seite „Richtlinien“ anzuzeigen.

  2. Klicken Sie im Richtlinienbereich auf Neu > Richtlinie, um den Assistenten zum Erstellen neuer Richtlinien zu starten.

  3. Wählen Sie auf der Seite „Plattform auswählen“ die Option Windows aus und klicken Sie anschließend auf Weiter.

  4. Wählen Sie auf der Seite "Richtlinienkategorie auswählen" die Option Windows Endpoint Security-Richtlinien aus und klicken Sie anschließend auf Weiter.

  5. Wählen Sie auf der Seite "Richtlinientyp auswählen" den zu erstellenden Richtlinientyp aus und klicken Sie anschließend auf Weiter.

    Wenn Sie Standorte erstellt haben und vorhaben, standortbasierte Richtlinien zu verwenden, müssen Sie mindestens eine Standortzuweisungsrichtlinie erstellen und diese den Geräten oder den Benutzern der Geräte zuweisen. Anderfalls ist keiner der estellten Standorte für die Geräte verfügbar, was bedeutet, dass keine der standortbasierten Richtlinien angewendet werden kann.

  6. Geben Sie auf der Seite „Details definieren“ einen Namen für die Richtlinie an und wählen Sie den Ordner aus, in dem die Richtlinie abgelegt werden soll.

    Der Name muss unter allen anderen im ausgewählten Ordner befindlichen Richtlinien eindeutig sein.

  7. (Bedingt) Wenn die Seite „Vererbung und Standortzuweisungen konfigurieren“ angezeigt wird, konfigurieren Sie die folgenden Einstellungen und klicken Sie anschließend auf Weiter.

    • Vererbung: Lassen Sie die Einstellung Aus Richtlinienhierarchie übernehmen ausgewählt, wenn diese Richtlinie aktiviert werden soll, um Einstellungen von Richtlinien desselben Typs zu übernehmen, die in der Richtlinienhierarchie übergeordnet sind. Wenn Sie beispielsweise diese Richtlinie einem Gerät zuweisen und eine andere Richtlinie (desselben Typs) dem Ordner des Geräts, kann diese Richtlinie durch Aktivieren dieser Option Einstellungen von derjenigen Richtlinie übernehmen, die dem Ordner des Geräts zugewiesen sind. Heben Sie die Auswahl der Einstellung Aus Richtlinienhierarchie übernehmen auf, wenn diese Richtlinie keine Richtlinieneinstellungen übernehmen soll.

    • Standortzuweisungen: Richtlinien können global oder standortbasiert sein. Eine globale Richtlinie kann unabängig vom Standort angewendet werden. Eine standortbasierte Richtlinie wird nur angewendet, wenn das Gerät erkennt, dass es zu den Standorten gehört, die der Richtlinie zugewiesen wurden.

      Wählen Sie aus, ob diese Richtlinie global oder standortbasiert ist. Wenn Sie standortbasiert auswählen, klicken Sie auf Hinzufügen, wählen Sie die Standorte aus, denen die Richtlinie zugewiesen werden soll und klicken Sie anschließend auf OK, um sie der Liste hinzuzufügen.

  8. Konfigurieren Sie die richtlinienspezifischen Einstellungen und klicken Sie anschließend auf Weiter, bis Sie auf der Seite „Zusammenfassung“ angelangt sind.

    Weitere Informationen über die Einstellungen der Richtlinie erhalten Sie, wenn Sie im ZENworks-Kontrollzentrum auf Hilfe > Aktuelle Seite klicken.

  9. Überprüfen Sie die Informationen auf der Seite „Zusammenfassung“, um sicherzustellen, dass sie korrekt sind. Falls Sie nicht korrekt sind, können Sie auf die Schaltfläche Zurück klicken, um die entsprechende Assistentenseite erneut zu besuchen und Änderungen vorzunehmen. Wenn die Informationen korrekt sind, wählen Sie eine der folgenden Optionen aus (falls gewünscht) und klicken Sie anschließend auf Fertig stellen.

    • Als Sandbox erstellen: Wählen Sie diese Option aus, um die Richtlinie als Sandbox-Version zu erstellen. Benutzer und Geräte haben erst Zugriff auf die Sandbox-Version, wenn Sie sie veröffentlichen. Sie können sie beispielsweise Benutzern und Geräten zuweisen, sie wird jedoch erst angewendet, nachdem Sie sie veröffentlicht haben.

    • Zusätzliche Eigenschaften definieren: Wählen Sie diese Option aus, um die Eigenschaftenseiten der Richtlinie anzuzeigen. Auf diesen Seiten können Sie Richtlinieneinstellungen bearbeiten und die Richtlinie Benutzern und Geräten zuweisen.