2.2 Erstellen von Sicherheitsrichtlinien

  1. Wählen Sie in der Verwaltungskonsole die Optionsfolge Datei > Neue Richtlinie erstellen.

  2. Geben Sie den Namen für die neue Richtlinie an und klicken Sie dann auf Erstellen. Daraufhin wird die Verwaltungskonsole mit der Symbolleiste und den Registerkarten für Richtlinien angezeigt.

  3. Konfigurieren Sie die Richtlinieneinstellungen anhand der Informationen in folgenden Abschnitten:

Zum Erstellen von Sicherheitsrichtlinien werden sämtliche allgemeinen Einstellungen (Standardverhalten) definiert, dann Komponenten für diese Richtlinie erstellt und vorhandene Komponenten verknüpft (z. B. Standorte, Firewalls und Integritätsregeln) und abschließend die Einhaltungs-Berichterstellungsfunktion für die Richtlinie eingerichtet.

Die Komponenten werden entweder in einer "Dummy"-Richtlinie erstellt, oder es werden von anderen Komponenten aus Verknüpfungsvorgänge durchgeführt. Bei den ersten paar Richtlinien wird davon ausgegangen, dass Sie sämtliche eindeutigen Standorte, Firewall-Einstellungen und Integritätsregeln für das Unternehmen definieren. Diese Komponenten werden für die etwaige spätere Verwendung in anderen Richtlinien in der Datenbank des Verwaltungsdienst gespeichert.

Im nachfolgenden Diagramm sind die Komponenten der einzelnen Ebenen sowie eine Richtlinie zu sehen, die auf der jeweiligen Auswahl basiert.

2.2.1 Allgemeine Richtlinieneinstellungen

Die allgemeinen Richtlinieneinstellungen werden als grundlegende Standardwerte für die Richtlinie angewendet. Wenn Sie auf dieses Steuerelement zugreifen möchten, wechseln Sie zur Verwaltungskonsole und klicken Sie dann auf die Registerkarte Allgemeine Richtlinieneinstellungen.

In den nachfolgenden Abschnitten finden Sie weitere Informationen zu den Einstellungen, die auf allgemeiner (globaler) Basis konfiguriert werden können:

Richtlinieneinstellungen

Zu den primären allgemeinen Einstellungen zählen:

  • Name und Beschreibung: Der Richtlinienname wird zu Beginn des Richtlinienerstellungsvorgangs angegeben. Sie können den Namen bearbeiten oder eine Beschreibung·der Richtlinie eingeben.

  • Client-Selbstverteidigung aktivieren: Die Client-Selbstverteidigung kann nach Richtlinie aktiviert bzw. deaktiviert werden. Bleibt dieses Kästchen aktiviert (mit einem Häkchen versehen), wird sichergestellt, dass die Client-Selbstverteidigung aktiv ist. Durch Deaktivieren (Entfernen des Häkchens) wird die Client-Selbstverteidigung für alle Endpunkte deaktiviert, die diese Richtlinie verwenden.

  • Passwort-Außerkraftsetzung: Mit dieser Funktion kann ein Administrator eine Passwort-Außerkraftsetzung festlegen, durch die die Richtlinie für einen festgelegten Zeitraum vorübergehend deaktiviert werden kann. Aktivieren Sie das Kontrollkästchen Passwort-Außerkraftsetzung und geben Sie das Passwort im entsprechenden Feld an. Geben Sie im Bestätigungsfeld das Passwort erneut ein. Verwenden Sie dieses Passwort im Generator für die Passwort-Außerkraftsetzung, um den Passwortschlüssel für diese Richtlinie zu generieren. Weitere Informationen finden Sie unter Abschnitt 1.10, Verwenden des Benutzeraußerkraftsetzung Schlüsselgenerators.

    ACHTUNG:Es wird dringend davon abgeraten, Benutzern dieses Passwort zu nennen. Der Override Password Generator sollte verwendet werden, um einen temporären Schlüssel für sie zu generieren.

  • Passwort deinstallieren: Es empfiehlt sich, jede ZENworks* Security Client-Instanz mit einem Deinstallationspasswort zu installieren, um Benutzer daran zu hindern, die Software zu deinstallieren. Dieses Passwort wird normalerweise zum Installationszeitpunkt konfiguriert, das Passwort kann jedoch per Richtlinie aktualisiert, aktiviert bzw. deaktiviert werden.

    In der Dropdown-Liste können Sie eine der folgenden Einstellungen auswählen:

    • Vorhandene verwenden: Das ist die Standardeinstellung. Hiermit bleibt das aktuelle Passwort unverändert.

    • Aktiviert: Aktiviert bzw. ändert ein Deinstallationspasswort. Geben Sie das neue Passwort an und bestätigen Sie es anschließend.

    • Deaktiviert: Sorgt dafür, dass kein Deinstallationspasswort erforderlich ist.

  • Meldung bei Richtlinienaktualisierung verwenden: Sie können festlegen, dass bei jeder Aktualisierung der Richtlinie eine benutzerdefinierte Meldung angezeigt wird. Klicken Sie in das Kontrollkästchen und geben Sie dann in den dafür vorgesehenen Feldern die Informationen zur Meldung an.

  • Hyperlink verwenden: Sie können einen Hyperlink hinzufügen, über den weitere Informationen, die Unternehmensrichtlinie o. ä. aufgerufen werden (weitere Informationen finden Sie unter Hyperlinks).

Wireless-Steuerung

Mit "Wireless-Steuerung" werden Parameter für die Adapterkonnektivität global festgelegt, um sowohl den Endpunkt als auch das Netzwerk zu schützen. Für den Zugriff auf dieses Steuerelement wechseln Sie zur Registerkarte Allgemeine Richtlinieneinstellungen und klicken Sie im Richtlinienbaum auf der linken Seite auf das Symbol Wireless-Steuerung.

Zu den Einstellungen für die Wireless-Steuerung zählen u. a.:

  • Wi-Fi-Übertragungen deaktivieren: Deaktiviert global alle Wi-Fi-Adapter; dies schließt die vollständige Stummschaltung eines integrierten Wi-Fi-Radios ein.

    Sie können festlegen, dass eine benutzerdefinierte Meldung und ein Hyperlink angezeigt werden, wenn der Benutzer versucht, eine Wi-Fi-Verbindung zu aktivieren. Weitere Informationen finden Sie unter Benutzerdefinierte Meldung.

  • Adapter-Bridge deaktivieren: Deaktiviert global die Netzwerk-Bridge-Funktionalität von Windows* XP, mit deren Hilfe der Benutzer mehrere Adapter zu einer Bridge zusammenschließen kann (Funktion als Hub im Netzwerk).

    Sie können festlegen, dass eine benutzerdefinierte Meldung und ein Hyperlink angezeigt werden, wenn der Benutzer versucht, eine Wi-Fi-Verbindung herzustellen. Weitere Informationen finden Sie unter Benutzerdefinierte Meldung.

  • Wi-Fi deaktivieren, wenn verbunden: Deaktiviert global alle Wi-Fi-Adapter, wenn der Benutzer mit einer verkabelten Verbindung (LAN über NIC) arbeitet.

  • Adhoc-Netzwerke deaktivieren: Deaktiviert global sämtliche Adhoc-Konnektivitätsfunktionen; so werden·die Wi-Fi-Konnektivität über ein Netzwerk (z. B. über einen Zugriffspunkt) erzwungen sowie sämtliche Peer-to-Peer-Netzwerkfunktionen dieser Art beschränkt.

  • Wi-Fi-Verbindungen blockieren: Blockiert Wi-Fi-Verbindungen global, ohne das Wi-Fi-Radio stummzuschalten. Verwenden Sie diese Einstellung, wenn Sie Wi-Fi-Verbindungen deaktivieren, jedoch Zugriffspunkte für die Standorterkennung verwenden möchten. Weitere Informationen finden Sie unter Abschnitt 2.2.2, Standorte.

Kommunikationshardware

Mithilfe der Einstellungen für die Kommunikationshardware wird nach Standort gesteuert, welche Hardwaretypen in dieser Netzwerkumgebung eine Verbindung herstellen dürfen.

HINWEIS:Sie können die Steuerelemente für Kommunikationshardware auf der Registerkarte Allgemeine Richtlinieneinstellungen global bzw. auf der Registerkarte Standorte für einzelne Standorte festlegen.

Wenn Sie die Steuerelemente für Kommunikationshardware global festlegen möchten, klicken Sie auf die Registerkarte Allgemeine Richtlinieneinstellungen, erweitern Sie den Eintrag Globale Einstellungen im Baum und klicken Sie dann auf Komm-Hardware.

Wenn Sie die Steuerelemente für Kommunikationshardware für einen Standort festlegen möchten, klicken Sie auf die Registerkarte Standorte, erweitern Sie den gewünschten Standort im Baum und klicken Sie dann auf Komm-Hardware. Weitere Informationen zum Festlegen der Einstellungen für Kommunikationshardware für einen Standort finden Sie unter Kommunikationshardware.

Legen Sie fest, ob die allgemeine Einstellung für die einzelnen aufgelisteten Kommunikationshardware-Geräte zugelassen oder deaktiviert werden soll:

  • 1394 (FireWire): Steuert den Zugriff auf den FireWire*-Anschluss des Endpunkts.

  • IrDA: Steuert den Zugriff auf den Infrarotanschluss des Endpunkts.

  • Bluetooth: Steuert den Zugriff auf den Bluetooth*-Anschluss des Endpunkts.

  • Seriell/Parallel: Steuert den Zugriff auf den seriellen/parallelen Anschluss des Endpunkts.

Steuerelement für Speichergerätsteuerung

Mithilfe von Steuerelementen für Speichergeräte werden die Speichergerät-Standardeinstellungen für die Richtlinie festgelegt. Hierbei wird u. a. festgelegt, ob externe Dateispeichergeräte über Lese- oder Schreibrechte für Dateien verfügen, im schreibgeschützten Modus betrieben oder vollständig deaktiviert werden. Bei Deaktivierung sind diese Geräte nicht in der Lage, Daten vom Endpunkt abzurufen. Der Zugriff auf die Festplatte und alle Netzlaufwerke sowie deren Verwendung sind weiterhin möglich.

Die Speichergerätsteuerung von ZENworks Endpoint Security darf nicht verwendet werden, wenn Storage Encryption Solution aktiviert ist.

HINWEIS:Sie können die Steuerelemente für Speichergeräte auf der Registerkarte Allgemeine Richtlinieneinstellungen global bzw. auf der Registerkarte Standorte für einzelne Standorte festlegen.

Wenn Sie die Steuerelemente für Speichergeräte global festlegen möchten, klicken Sie auf die Registerkarte Allgemeine Richtlinieneinstellungen, erweitern Sie den Eintrag Globale Einstellungen im Baum und klicken Sie dann auf Speichergerätsteuerung.

Wenn Sie die Steuerelemente für Speichergeräte für einen Standort festlegen möchten, klicken Sie auf die Registerkarte Standorte, erweitern Sie den gewünschten Standort im Baum und klicken Sie dann auf Speichergerätsteuerung. Weitere Informationen finden Sie unter Kommunikationshardware.

Die Speichergerätsteuerung ist in folgende Kategorien unterteilt:

  • CD/DVD: Steuert sämtliche Geräte, die im Windows-Geräte-Manager unter DVD/CD-ROM-Laufwerke aufgeführt sind.

  • Wechseldatenträger: Steuert sämtliche Geräte, die im Windows-Geräte-Manager unter Laufwerke aufgeführt sind.

  • Diskettenlaufwerk: Steuert sämtliche Geräte, die im Windows-Geräte-Manager unter Diskettenlaufwerke aufgeführt sind.

  • Bevorzugte Geräte: Lässt nur die Wechselspeichergeräte zu, die im Fenster "Speichergerätsteuerung" aufgeführt sind. Alle anderen Geräte, die als Wechseldatenträger gemeldet werden, sind nicht zulässig.

Feste Speicher (Festplatten) und Netzlaufwerke (falls verfügbar) sind immer zulässig.

Wenn Sie den Richtlinienstandard für Speichergeräte festlegen möchten, wählen Sie in den Dropdown-Listen die globale Einstellung für beide Typen aus:

  • Aktivieren: Der Gerätetyp ist standardmäßig zulässig.

  • Deaktivieren: Der Gerätetyp ist nicht zulässig. Wenn Benutzer versuchen, auf einem definierten Speichergerät auf Dateien zuzugreifen, wird eine Fehlermeldung des Betriebssystems bzw. der Anwendung, die auf das lokale Speichergerät zuzugreifen versucht, ausgegeben, die besagt, dass bei dem Vorgang ein Fehler aufgetreten ist.

  • Nur Lesen: Für den Gerätetyp ist "Nur Lesen" festgelegt. Wenn Benutzer versuchen, auf das Gerät zu schreiben, wird eine Fehlermeldung des Betriebssystems bzw. der Anwendung, die auf das lokale Speichergerät zuzugreifen versucht, ausgegeben, die besagt, dass bei dem Vorgang ein Fehler aufgetreten ist.

HINWEIS:Wenn Sie CD-ROM-Laufwerke bzw. Diskettenlaufwerke für eine Gruppe von Endpunkten auf "Nur Lesen" einstellen möchten, muss in den lokalen Sicherheitseinstellungen (die durch ein Verzeichnisdienst-Gruppenrichtlinienobjekt übergeben wurden) sowohl für Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken als auch für Geräte: Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken die Option "Deaktiviert" festgelegt sein. Um dies sicherzustellen, öffnen Sie entweder das Gruppenrichtlinienobjekt oder sehen in der Systemsteuerung unter "Verwaltung" nach. Wählen Sie die Optionsfolge "Lokale Sicherheitseinstellungen" - "Sicherheitsoptionen" und vergewissern Sie sich, dass beide Geräte deaktiviert sind. "Deaktiviert" ist der Standardwert.

Die folgenden Abschnitte enthalten weitere Informationen:

Bevorzugte Geräte

Bevorzugte Wechselspeichergeräte können optional in eine Liste aufgenommen werden, um nur autorisierten Geräten den Zugriff zu erlauben, wenn die globale Einstellung an einem Standort verwendet wird. In diese Liste aufgenommene Geräte müssen·eine Seriennummer aufweisen.

So nehmen Sie ein bevorzugtes Gerät in die Liste auf:

  1. Verbinden Sie das Gerät mit dem USB-Anschluss des Computers, auf dem die Verwaltungskonsole installiert ist.

  2. Wenn das Gerät bereit ist, klicken Sie auf die Schaltfläche für die Absuche. Verfügt das Gerät über eine Seriennummer, werden die zugehörige Beschreibung und Seriennummer in der Liste aufgeführt.

  3. Wählen Sie in der Dropdown-Liste eine Einstellung aus (die Einstellung für das globale Wechselspeichergerät findet bei dieser Richtlinie keine Anwendung):

    • Aktiviert: Den Geräten in der Bevorzugt-Liste werden uneingeschränkte Lese-/Schreibrechte erteilt, alle anderen USB-Geräte und alle anderen externen Speichergeräte werden deaktiviert.

    • Nur Lesen: Den Geräten in der Bevorzugt-Liste wird das Recht "Nur Lesen" erteilt, alle anderen USB-Geräte und externen Speichergeräte werden deaktiviert.

Wiederholen Sie diese Schritte für sämtliche Geräte, die gemäß dieser Richtlinie zulässig sind. Auf sämtliche Geräte wird dieselbe Einstellung angewendet.

HINWEIS:Standortbasierte Einstellungen hinsichtlich der Speichergerätsteuerung setzen die globalen Einstellungen außer Kraft. Sie können beispielsweise konfigurieren, dass am Standort "Arbeit" alle externen Speichergeräte zulässig sind, während an allen anderen Standorten der globale Standardwert Gültigkeit hat (die Benutzer werden auf die Geräte in der Bevorzugt-Liste beschränkt).

Importieren von Gerätelisten

Der Novell-USB-Laufwerkscanner generiert eine Liste mit Geräten und deren Seriennummer (Abschnitt 1.11, USB-Laufwerkscanner). Wenn Sie diese Liste importieren möchten, klicken Sie auf Importieren und begeben Sie sich zu der Liste. Daraufhin werden die Felder Beschreibung und Seriennummer ausgefüllt.

USB-Konnektivität

Sämtliche Geräte, die über den USB-BUS eine Verbindung aufbauen, können nach der Richtlinie zugelassen oder verweigert werden. Diese Geräte können aus dem USB-Gerätinventarbericht per Absuche in die Richtlinie übernommen werden; eine weitere Möglichkeit ist die Absuche aller Geräte, die derzeit mit einem Computer verbunden sind. Diese Geräte können, basierend auf Hersteller, Produktname, Seriennummer, Typ usw., gefiltert werden. Zu Supportzwecken kann der Administrator die Richtlinie so konfigurieren, dass ein Satz Geräte akzeptiert wird, entweder nach Herstellertyp (Beispiel: alle HP-Geräte sind zulässig) oder nach Produkttyp (alle USB-Eingabegeräte (Maus und Tastatur) sind zulässig). Zudem können einzelne Geräte erlaubt werden, um zu verhindern, dass nicht unterstützte Geräte Bestandteil des Netzwerks werden (Beispiel: mit Ausnahme dieses Druckers sind keine Drucker zulässig).

Für den Zugriff auf dieses Steuerelement wechseln Sie zur Registerkarte Allgemeine Richtlinieneinstellungen und klicken Sie dann im Richtlinienbaum auf der linken Seite auf USB-Konnektivität.

Abbildung 2-1 Seite "USB-Konnektivität".

Zugriff wird zunächst danach evaluiert, ob der Bus aktiv ist. Dies hängt von der Einstellung unter USB-Geräte ab. Wenn hier Zugriff generell deaktivieren festgelegt ist, wird das Gerät deaktiviert und die Evaluierung wird gestoppt. Wenn hier Zugriff generell zulassen festgelegt ist, setzt der Client die Evaluierung und den Gerätesatz fort und sucht nach Übereinstimmungen im Filter. Wie bei den anderen Feldern in der ZENworks-Verwaltungszone, wenn diese auf einen Standort festgelegt ist, kann der Wert für USB-Geräte auch auf Globale Einstellungen anwenden festgelegt werden, wodurch in diesem Feld dann der globale Wert verwendet wird.

Der Client sammelt die Filter, die von der Richtlinie angewendet werden, basierend auf Standort und globale Einstellungen. Der Client gruppiert dann die Filter, basierend auf dem Zugriff in den folgenden Gruppen:

  • Immer blockieren: Das Gerät immer blockieren. Diese Einstellung kann nicht überschrieben werden.

  • Immer zulassen: Zugriff immer erlauben, es sei denn, für das Gerät trifft der Filter Immer blockieren zu.

  • Blockieren: Zugriff immer blockieren, es sei denn, das Gerät stimmt mit Filter Immer zulassen überein.

  • Zulassen: Zugriff erlauben, es sei denn, das Gerät stimmt mit Filter Immer blockieren oder Blockieren überein.

  • Standardgerätezugriff: Für das Gerät die gleiche Zugriffsstufe anwenden wie unter Standardgerätezugriff, wenn keine andere Übereinstimmung gefunden wird.

Ein Gerät wird für jede Gruppe in der oben genannten Reihenfolge evaluiert (zuerst die Gruppe Immer blockieren, dann Immer zulassen etc.). Wenn ein Gerät mit mindestens einem Filter in einer Gruppe übereinstimmt, wird der Zugriff für dieses Gerät auf diese Stufe festgelegt und die Evaluierung wird gestoppt. Wenn das Gerät hinsichtlich aller Filter evaluiert und keine Übereinstimmung gefunden wird, wird die Stufe Standardgerätezugriff angewendet.

Der im Bereich Gerätegruppenzugriff festgelegte Gerätezugriff wird berücksichtigt, einschließlich aller anderen auf diesem Standort verwendeten Filter. Dies erfolgt durch Generieren übereinstimmender Filter für jede Gruppierung, wenn die Richtlinie für den Client veröffentlicht wird. Diese Filter sind:

Gerätegruppenzugriff:

Filter:

Ein- und Ausgabegeräte (Human Interface Device – HID)

"Geräteklasse" entspricht 3.

Massenspeicherklasse

"Geräteklasse" entspricht 8.

Druckklasse

"Geräteklasse" entspricht 7.

Scanning/Imaging (PTP)

"Geräteklasse" entspricht 6.

Speziell

In den meisten Situationen reichen die vier auf der Seite "USB-Konnektivität" aufgelisteten Gerätegrupen (HID, Massenspeicherklasse, Druckklasse und Scanning/Imaging), um den meisten USB-Geräten den Zugriff zu erlauben oder zu verweigern. Bei Geräten, die nicht in einer dieser Gruppen registriert sind, können Sie die Einstellungen auf der Seite "USB-Konnektivität – Erweitert" konfigurieren. Sie können auch die Einstellungen auf der Seite "Erweitert" verwenden, um Whitelist-Zugriff auf bestimmte Geräte zu erlauben, auch wenn ihnen bereits aufgrund der Einstellungen auf der Seite "USB-Konnektivität" der Zugriff verweigert wurde.

Zum Zugriff auf die erweiterten Optionen für USB-Konnektivität klicken Sie auf das Pluszeichen neben USB-Konnektivität im Baum Globale Einstellungen und anschließend auf Erweitert. Sie können den USB-Geräteauditbericht dazu verwenden, alle Informationen abzurufen, die Sie potenziell auf der Seite "USB-Konnektivitätssteuerung – Erweitert" verwenden können.

Abbildung 2-2 Seite "USB-Konnektivitätssteuerung – Erweitert"

Die Standardspalten enthalten folgende Einträge:

  • Zugriff: Ziehen Sie die Maus über Standardgerätezugriff und geben Sie eine Zugriffsstufe an:

    • Immer blockieren: Das Gerät immer blockieren. Diese Einstellung kann nicht überschrieben werden.

    • Immer zulassen: Zugriff immer erlauben, es sei denn, für das Gerät trifft der Filter Immer blockieren zu.

    • Blockieren: Zugriff immer blockieren, es sei denn, das Gerät stimmt mit Filter Immer zulassen überein.

    • Zulassen: Zugriff erlauben, es sei denn, das Gerät stimmt mit Filter Immer blockieren oder Blockieren überein.

    • Standardgerätezugriff: Für das Gerät die gleiche Zugriffsstufe anwenden wie unter Standardgerätezugriff, wenn keine andere Übereinstimmung gefunden wird.

  • Hersteller: Klicken Sie auf die Spalte Hersteller und geben Sie den Namen des Herstellers ein, den Sie zum Filter hinzufügen möchten (zum Beispiel Canon).

  • Produkt: Klicken Sie auf die Spalte Produkt und geben Sie den Namen des Produkts ein, das Sie zum Filter hinzufügen möchten.

  • Anzeigename: Klicken Sie auf die Spalte Anzeigename und geben Sie den Anzeigenamen für das Gerät ein, das Sie zum Filter hinzufügen möchten.

  • Seriennummer: Klicken Sie auf die Spalte Seriennummer und geben Sie die Seriennummer des Geräts ein, das Sie zum Filter hinzufügen möchten.

  • Kommentar: Klicken Sie auf die Spalte Kommentar und geben Sie den Kommentar ein, den Sie zum Filter hinzufügen möchten (zum Beispiel Canon).

Sie können auf das Feld Erweiterte Spalten klicken, um die folgenden Spalten hinzuzufügen: USB-Version, Geräteklasse, Geräteunterklasse, Geräteprotokoll, Händler-ID, Produkt-ID, BCD-Gerät, BS-Geräte-ID sowie BS-Geräteklasse.

Ein Gerät stellt dem BS einen Satz Attribute zur Verfügung. Der Client gleicht diese Attribute mit den Feldern ab, die von einem Filter benötigt werden. Alle Felder im Filter müssen einem vom Gerät zur Verfügung gestellten Attribut entsprechen, um eine Übereinstimmung zu finden. Wenn das Gerät kein Attribut oder Feld zur Verfügung stellt, das für den Filter erforderlich ist, kann dieser Filter keine Übereinstimmung finden.

Angenommen, ein Gerät stellt beispielsweise die folgenden Attribute zur Verfügung: Hersteller: Acme, Klasse: 8, Seriennummer: "1234".

Der Filter: Klasse = 8 würde eine Übereinstimmung für dieses Gerät finden. Der Filter: Produkt = "Acme" würden keine Übereinstimmung finden, da das Gerät dem BS kein Produkt-Attribut zur Verfügung gestellt hat.

Die folgenden Felder bieten Übereinstimmungen in Teilzeichenketten: Hersteller, Produkt und Anzeigename. Alle anderen Felder sind exakte Übereinstimmungen.

Es ist interessant, dass das Feld der USB-Seriennummern (SN) nach Spez. nur eindeutig ist, wenn es bei der Angabe der folgenden Felder zusammen mit der SN berücksichtigt wird: USB-Version, Händler-ID, Produktions-ID und BCD-Gerät.

Zurzeit gültige Werte für USB-Version in Dezimalschreibweise sind: 512 – USB 2.0, 272 – USB 1.1, 256 – USB 1.0.

Die folgenden Abschnitte enthalten weitere Informationen:

Manuelles Hinzufügen von Geräten

Mithilfe der folgenden Methoden können Sie die Liste ausfüllen und dann angeben, ob Sie die USB-Konnektivität für Geräte zulassen oder verweigern.

So fügen Sie ein Gerät manuell hinzu:

  1. Verbinden Sie das Gerät mit dem USB-Anschluss des Computers, auf dem die Verwaltungskonsole installiert ist.

  2. Wenn das Gerät bereit ist, klicken Sie auf die Schaltfläche Scan. Verfügt das Gerät über eine Seriennummer, werden die zugehörige Beschreibung und Seriennummer in der Liste aufgeführt.

  3. Wählen Sie in der Dropdown-Liste eine Einstellung aus (die Einstellung für das globale Wechselspeichergerät findet bei dieser Richtlinie keine Anwendung):

    • Aktivieren: Den Geräten in der Bevorzugt-Liste werden uneingeschränkte Lese-/Schreibrechte erteilt, alle anderen USB-Geräte und alle anderen externen Speichergeräte werden deaktiviert

    • Nur Lesen: Den Geräten in der Bevorzugt-Liste wird das Recht "Nur Lesen" erteilt, alle anderen USB-Geräte und anderen externen Speichergeräte werden deaktiviert

Wiederholen Sie diese Schritte für jedes Gerät, das in dieser Richtlinie zulässig sein soll. Auf sämtliche Geräte wird dieselbe Einstellung angewendet.

Aufnehmen eines Geräts in die "weiße" bzw. "schwarze" Liste (nach Produkttyp)

Im folgenden Abschnitt wird beschrieben, wie ein USB-Gerät entsprechend seines Produkttyps in die "weiße" bzw. "schwarze" Liste aufgenommen wird.

HINWEIS:Nachfolgendes Verfahren dient lediglich als Beispiel, das Ihnen zeigen soll, wie Sie den Produkttyp Ihres USB-Wechselspeichergeräts ermitteln. Je nachdem, welche Informationen der Hersteller Ihres Geräts bereitstellt, funktioniert dieses Verfahren eventuell nicht. Sie können den USB-Geräteauditbericht dazu verwenden, alle Informationen abzurufen, die Sie potenziell auf der Seite "USB-Konnektivitätssteuerung – Erweitert" verwenden können.

So ermitteln Sie den Produkttyp eines USB-Wechselspeichergeräts:

  1. Öffnen Sie den Geräte-Manager von Microsoft Windows.

  2. Klicken Sie auf das Pluszeichen neben Laufwerke, um den Baum zu erweitern.

  3. Klicken Sie mit der rechten Maustaste auf das USB-Gerät und klicken Sie dann auf Eigenschaften, um das Dialogfeld "Eigenschaften" des Geräts anzuzeigen.

  4. Klicken Sie auf die Registerkarte Details und wählen Sie in der Dropdown-Liste Geräteinstanzkennung aus.

    Der Produkttyp wird in der Geräteinstanzkennung nach der Zeichenfolge &PROD angezeigt. Im folgenden Beispiel ist DATATRAVELER der Produkttyp.

So nehmen Sie ein USB-Gerät in die "weiße" Liste auf: Behalten Sie auf der Seite "USB-Konnektivität" die Standardeinstellungen bei. Erstellen Sie auf der Seite "Erweitert" zwei Zeilen: Geben Sie in der ersten Zeile in der Spalte Zugriff die Einstellung Verweigern an und in der Spalte Geräteklasse die Zahl 8 (wenn Geräteklasse nicht angezeigt wird, aktivieren Sie das Kontrollkästchen Erweiterte Spalten). Geben Sie in der zweiten Zeile in der Spalte Zugriff die Einstellung Immer zulassen an, in der Spalte Produkt den Produkttyp (im Beispiel DATATRAVELER) und in der Spalte Geräteklasse die Zahl 8.

Die Seite "USB-Konnektivität (Erweitert)" sollte wie folgendes Beispiel aussehen:

Das USB-Gerät mit dem Produkttyp DATATRAVELER ist nun in die "weiße" Liste aufgenommen. Ihm wird von ZENworks Endpoint Security Management Zugriff gewährt, während allen anderen USB-Geräten der Zugriff verweigert wird.

So nehmen Sie ein USB-Gerät in die "schwarze" Liste auf: Behalten Sie auf der Seite "USB-Konnektivität" die Standardeinstellungen bei. Erstellen Sie auf der Seite "Erweitert" zwei Zeilen: Geben Sie in der ersten Zeile in der Spalte Zugriff die Einstellung Immer zulassen an und in der Spalte Geräteklasse die Zahl 8 (wenn Geräteklasse nicht angezeigt wird, aktivieren Sie das Kontrollkästchen Erweiterte Spalten). Geben Sie in der zweiten Zeile in der Spalte Zugriff die Einstellung Immer blockieren an, in der Spalte Produkt den Produkttyp (im Beispiel DATATRAVELER) und in der Spalte Geräteklasse die Zahl 8.

Die Seite "USB-Konnektivität (Erweitert)" sollte wie folgendes Beispiel aussehen:

Das USB-Gerät mit dem Produkttyp DATATRAVELER ist nun in die "schwarze" Liste aufgenommen. Ihm wird der Zugriff von ZENworks Endpoint Security Management verweigert, während allen anderen USB-Geräten Zugriff gewährt wird.

Datenverschlüsselung

Mit "Datenverschlüsselung" wird bestimmt, ob die Dateiverschlüsselung am Endpunkt erzwungen wird und welche Art der Verschlüsselung zur Verfügung steht. Daten können verschlüsselt werden, um die Dateifreigabe (mit Passwortschutz) zu ermöglichen; außerdem kann auf Computern, auf denen ZENworks Storage Encryption Solution ausgeführt wird, festgelegt werden, dass Daten schreibgeschützt sind.

HINWEIS:Verschlüsselung wird nur unter Windows XP SP2 unterstützt. Auf Geräten mit anderen Betriebssystemen wird der Verschlüsselungsteil der Sicherheitsrichtlinie ignoriert.

Die Speichergerätsteuerung von ZENworks Endpoint Security darf nicht verwendet werden, wenn ZENworks Storage Encryption Solution aktiviert ist.

Für den Zugriff auf dieses Steuerelement wechseln Sie zur Registerkarte Allgemeine Richtlinieneinstellungen und klicken Sie dann im Richtlinienbaum auf der linken Seite auf Datenverschlüsselung.

Zur Aktivierung der einzelnen Steuerelemente aktivieren Sie das Kontrollkästchen Datenverschlüsselung aktivieren.

HINWEIS:Verschlüsselungsschlüssel werden an alle Computer verteilt, die Richtlinien vom Richtlinienverteilungsservice erhalten, unabhängig davon, ob die Datenverschlüsselung aktiviert ist oder nicht. Mit diesem Steuerelement wird der ZENworks Security Client jedoch angewiesen, die eigenen Verschlüsselungstreiber zu aktivieren, wodurch ein Benutzer die an ihn gesendeten Dateien lesen kann, ohne dass hierfür das File Decryption Utility erforderlich ist. Weitere Einzelheiten finden Sie unter Abschnitt 1.9, Verwenden des ZENworks File Decryption Utility.

Legen Sie fest, welche Verschlüsselungsgrade diese Richtlinie erlaubt:

  • Richtlinienpasswort für Entschlüsselung: Geben Sie ein Passwort an, damit alle Benutzer, die diese Richtlinie verwenden, dieses Passwort eingeben müssen, bevor sie verschlüsselte Dateien entschlüsseln können, die in ihren Safe Harbor-Ordnern gespeichert sind.

    Hierbei handelt es sich um eine optionale Einstellung. Wenn hier keine Angabe erfolgt, ist das Passwort nicht erforderlich.

  • Festplattenverschlüsselung innerhalb von "Safe Harbor"-Ordner aktivieren (Nichtsystemlaufwerke): Generiert im Stammverzeichnis sämtlicher Nichtsystemlaufwerke am Endgerät einen Ordner, dessen Name Aufschluss darüber gibt, dass er durch Verschlüsselung geschützte Dateien enthält. Alle Dateien, die in diesem Ordner gespeichert werden, werden verschlüsselt und durch den ZENworks Security Client verwaltet. Daten, die in diesem Ordner gespeichert werden, werden automatisch verschlüsselt und nur autorisierte Benutzer dieses Computers können darauf zugreifen.

    Wenn Sie den Ordnernamen ändern möchten, klicken Sie in das Feld Ordnername, markieren Sie den dort enthaltenen Text und geben Sie den von Ihnen gewünschten Namen ein.

    • Benutzerordner "Eigene Dateien" verschlüsseln: Aktivieren Sie dieses Kontrollkästchen, um den Ordner Eigene Dateien der Benutzer als verschlüsselten Ordner zu definieren (zusätzlich zum Safe Harbor-Ordner). Dies bezieht sich nur auf den lokalen Ordner mit der Bezeichnung Eigene Dateien.

    • Benutzerdefinierte Ordner zulassen (Nichtsystemlaufwerk): Aktivieren Sie dieses Kontrollkästchen, damit Benutzer auswählen können, welche Ordner auf ihrem Computer verschlüsselt sein sollen. Dies bezieht sich nur auf lokale Ordner. Wechselspeichergeräte oder Netzlaufwerke können nicht verschlüsselt werden.

    ACHTUNG:Vergewissern Sie sich vor der Deaktivierung der Datenverschlüsselung, dass sämtliche in diesen Ordnern gespeicherten Daten vom Benutzer extrahiert und an einem anderen Ort gespeichert wurden.

  • Verschlüsselung für Wechselspeichergeräte aktivieren: Sämtliche Daten, die an einem durch diese Richtlinie geschützten Endpunkt auf Wechselspeichergeräte geschrieben werden, werden verschlüsselt. Benutzer, für deren Computer diese Richtlinie gilt, können die Daten lesen, folglich ist die Dateifreigabe über ein Wechselspeichergerät innerhalb einer Richtliniengruppe möglich. Benutzer, die dieser Richtliniengruppe nicht angehören, können die auf dem Laufwerk verschlüsselten Dateien nicht lesen. Sie können lediglich unter Angabe des entsprechenden Passworts auf Dateien im Ordner Freigegebene Dateien (falls aktiviert) zugreifen.

    • Verschlüsselung mit benutzerdefiniertem Passwort aktivieren: Diese Einstellung ermöglicht es dem Benutzer, Dateien in einem Ordner mit freigegebenen Dateien auf dem Wechselspeichergerät zu speichern (dieser Ordner wird bei Anwendung dieser Einstellung automatisch generiert). Der Benutzer kann beim Hinzufügen von Dateien zu diesem Ordner ein Passwort angeben, dass dann von Benutzern, die nicht Mitglied der aktuellen Richtliniengruppe sind, zum Extrahieren der Dateien verwendet wird.

      Wenn Sie den Ordnernamen ändern möchten, klicken Sie in das Feld Ordnername, markieren Sie den dort enthaltenen Text und geben Sie dann den von Ihnen gewünschten Namen ein.

    • Sicheres Passwort erforderlich: Durch diese Einstellung wird der Benutzer gezwungen, ein sicheres Passwort für den Ordner "Freigegebene Dateien" festzulegen. Ein starkes Passwort enthält folgende Merkmale:

      • Sieben oder mehr Zeichen

      • Mindestens ein Zeichen von jedem der vier folgenden Zeichenklassen:

        • Großbuchstaben A-Z

        • Kleinbuchstaben a-z

        • Zahlen von 0-9

        • Mindestens ein Sonderzeichen ~!@#$%^&*()+{}[]:;<>?,./

      Beispiel: y9G@wb?

    ACHTUNG:Vergewissern Sie sich vor der Deaktivierung der Datenverschlüsselung, dass sämtliche auf Wechseldatenträgern (Wechselspeichergeräten) gespeicherten Daten vom Benutzer extrahiert und an einem anderen Ort gespeichert wurden.

  • Client-Neustart bei Bedarf erzwingen: Wenn eine Richtlinie um Verschlüsselung ergänzt wird, erfolgt die Aktivierung erst, nachdem der Endpunkt neu gebootet wurde. Mit dieser Einstellung wird das erforderliche Neubooten erzwungen. Es wird ein Countdown angezeigt und der Benutzer wird gewarnt, dass der Computer nach der angegebenen Anzahl an Sekunden neu gebootet wird. So lange hat der Benutzer Zeit, seine Arbeit zu speichern, bevor der·Computer neu gebootet wird.

    Erneutes Booten ist erforderlich, wenn die Verschlüsselung in einer Richtlinie erstmals aktiviert wird und wenn die Safe Harbor-Verschlüsselung oder die Verschlüsselung für Wechseldatenträger aktiviert wird (wenn die Aktivierung getrennt von der Verschlüsselungsaktivierung erfolgt). Beispielsweise ist zweimaliges erneutes Booten erforderlich, wenn eine Verschlüsselungsrichtlinie erstmals angewendet wird: Beim ersten erneuten Booten werden die Treiber initialisiert und beim zweiten werden etwaige Safe Harbor-Bereiche in die Verschlüsselung einbezogen. Wenn nach der Anwendung der Richtlinie weitere Safe Harbor-Bereiche ausgewählt werden, ist nur ein einmaliges erneutes Booten erforderlich, um den betreffenden Safe Harbor-Bereich in die Richtlinie aufzunehmen.

ZSC-Aktualisierung

Patches zur Beseitigung geringfügiger Probleme mit dem ZENworks Security Client werden im Rahmen regelmäßiger ZENworks Endpoint Security Management-Aktualisierungen zur Verfügung gestellt. Anstatt ein neues Installationsprogramm zur Verfügung zu stellen, das über MSI an alle Endpunkte verteilt werden muss, kann der Administrator dank der ZENworks Security Client-Aktualisierungsfunktion eine Zone im Netzwerk bestimmen, von der aus Aktualisierungspatches an Endbenutzer verteilt werden, wenn diese eine Verbindung mit dieser Netzwerkumgebung herstellen.

Für den Zugriff auf dieses Steuerelement wechseln Sie zur Registerkarte Allgemeine Richtlinieneinstellungen und klicken Sie dann im Richtlinienbaum auf der linken Seite auf ZSC-Aktualisierung.

Führen Sie folgende Schritte durch, um die einfache und sichere Verteilung dieser Patches an sämtliche ZENworks Security Client-Benutzer zu ermöglichen:

  1. Wählen Sie die Option Aktivieren, um den Bildschirm und die Regel zu aktivieren.

  2. Geben Sie den Ort an, an dem der ZENworks Security Client nach den Aktualisierungen suchen soll.

    Basierend auf den Empfehlungen im nachfolgenden Schritt empfiehlt sich hierfür der mit der Unternehmensumgebung verknüpfte Standort (Standort "Arbeit").

  3. Geben Sie den URI (Uniform Resource Identifier) an, unter dem der Patch gespeichert wurde.

    Hier muss der Verweis auf die Patchdatei erfolgen, entweder die Datei "setup.exe" für den ZENworks Security Client oder eine MSI-Datei, die anhand der .exe-Datei erstellt wurde. Aus Sicherheitsgründen empfiehlt es sich, diese Dateien auf einem sicheren Server hinter der Firewall des Unternehmens zu speichern.

  4. Geben Sie die Versionsinformationen zu dieser Datei in den dafür vorgesehenen Feldern an.

    Die Versionsinformationen können Sie anzeigen, indem Sie den ZENworks Security Client installieren und das Dialogfeld "Info" öffnen (Details finden Sie in der ZENworks Endpoint Security Management-Installationsanleitung). In den Feldern muss die Versionsnummer von STEngine.exe eingegeben werden.

Jedes Mal, wenn sich der Benutzer an den zugewiesenen Standort begibt, sucht·der ZENworks Security Client unter dem URI nach·einer Aktualisierung, die dieser Versionsnummer entspricht. Ist eine Aktualisierung verfügbar, wird sie vom ZENworks Security Client heruntergeladen und installiert.

VPN-Erzwingung

Mit dieser Regel wird die Nutzung eines SSL-(Secure Sockets Layer-)VPN oder eines clientbasierten VPN (Virtual Private Network) erzwungen. Diese Regel wird im Normalfall an Wireless-Hotspots angewendet. Es wird dem Benutzer ermöglicht, eine Verknüpfung mit dem/eine Verbindung zum öffentlichen Netzwerk herzustellen; dann versucht die Regel, die VPN-Verbindung aufzubauen und dafür zu sorgen, dass der Benutzer einen definierten Standort und eine definierte Firewall-Einstellung verwendet. Alle·Parameter werden vom Administrator festgelegt. Alle Parameter setzen vorhandene Richtlinieneinstellungen außer Kraft. Um die Komponente für die VPN-Erzwingung verwenden zu können, muss der Benutzer vor dem Starten mit einem Netzwerk verbunden sein.

HINWEIS:Diese Funktion steht nur bei der ZENworks Endpoint Security-Installation zur Verfügung und kann für UWS-(Unlimited Web Solutions-)Sicherheitsrichtlinien nicht verwendet werden.

Für den Zugriff auf dieses Steuerelement wechseln Sie zur Registerkarte Allgemeine Richtlinieneinstellungen und klicken Sie dann im Richtlinienbaum auf der linken Seite auf VPN-Erzwingung.

Um die Regel für die VPN-Erzwingung verwenden zu können, müssen mindestens zwei Standorte vorhanden sein.

So ergänzen Sie eine neue oder vorhandene Sicherheitsrichtlinie um die VPN-Erzwingung:

  1. Wählen Sie Aktivieren, um den Bildschirm und die Regel zu aktivieren.

  2. Geben Sie die IP-Adressen für den VPN-Server in dem dafür vorgesehenen Feld an. Wenn Sie mehrere Adressen angeben, trennen Sie die einzelnen Einträge durch einen Strichpunkt voneinander ab (Beispiel: 10.64.123.5;66.744.82.36).

  3. Wählen Sie in der Dropdown-Liste den Standort aus, zu dem gewechselt werden soll.

    Dies ist der Standort, zu dem der ZENworks Security Client wechselt, wenn das VPN aktiviert wird. Für diesen Standort sollten bestimmte Einschränkungen gelten und es sollte nur eine einzige restriktive·Firewall-Einstellung als Standard verwendet werden.

    Die Firewall-Einstellung Alle geschlossen, gemäß der sämtliche TCP-/UDP-Ports geschlossen werden, wird für die strikte VPN-Erzwingung empfohlen. Mit dieser Einstellung werden sämtliche nicht autorisierten Netzwerkvorgänge unterbunden, und die VPN-IP-Adresse dient als ACL (Access Control List, Zugriffssteuerungsliste) für den VPN-Server. Zudem wird hiermit die Netzwerkkonnektivität ermöglicht.

  4. Wählen Sie die Auslöserstandorte aus, an denen die Regel für die VPN-Erzwingung angewendet werden soll. Zur strikten VPN-Erzwingung sollte der standardmäßige Standort "Unbekannt" für diese Richtlinie verwendet werden. Nach der Netzwerkauthentifizierung wird die VPN-Regel aktiviert und bewirkt den Wechsel zu dem zugewiesenen Wechselstandort.

    HINWEIS:Der Wechsel zum Standort erfolgt vor der VPN-Verbindung, nachdem die Netzwerkauthentifizierung vorgenommen wurde.

  5. Geben Sie eine benutzerdefinierte Meldung ein, die nach der Authentifizierung des VPN beim Netzwerk angezeigt wird. Für VPN ohne Client sollte dies ausreichend sein.

    Nehmen Sie für VPN mit einem Client einen Hyperlink mit auf, der auf den VPN-Client verweist.

    Beispiel: C:\Programme\Cisco Systems\VPN Client\ipsecdialer.exe

    Über diesen Link wird die Anwendung aufgerufen, der Benutzer muss sich aber dennoch anmelden. In das Parameterfeld kann ein Schalter eingegeben werden (es kann auch eine Stapeldatei erstellt werden, auf die anstelle der ausführbaren Client-Datei verwiesen wird).

HINWEIS:Bei VPN-Clients, die virtuelle Adapter generieren (z. B. Cisco Systems* VPN Client 4.0), wird eine Meldung ausgegeben, die besagt, dass die Richtlinie aktualisiert wurde. Die Richtlinie wurde nicht aktualisiert, der ZENworks Security Client gleicht lediglich den virtuellen Adapter mit sämtlichen Adapterbeschränkungen in der aktuellen Richtlinie ab.

Bei den oben erwähnten Standardeinstellungen für die VPN-Erzwingung ist VPN-Konnektivität eine Option. Benutzer verfügen über Konnektivität zum aktuellen Netzwerk, egal ob sie·das VPN starten oder nicht. Ziehen Sie hinsichtlich der strikteren Erzwingung den nachfolgenden Abschnitt zu erweiterten VPN-Einstellungen zurate.

Erweiterte VPN-Einstellungen

Mit Steuerelementen für erweitertes VPN werden Authentifizierungs-Zeitüberschreitungen zum Schutz vor VPN-Fehlern und Verbindungsbefehle für clientbasierte VPN festgelegt sowie Adaptersteuerelemente zur Steuerung der Adapter mit VPN-Zugriffsrecht verwendet.

Für den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Allgemeine Richtlinieneinstellungen, klicken Sie auf das "+"-Symbol neben VPN-Erzwingung und klicken Sie dann im Richtlinienbaum auf der linken Seite auf Erweitert.

Es können folgende erweiterte Einstellungen für die VPN-Erzwingung konfiguriert werden:

Zeitüberschreitung bei der Authentifizierung: Administratoren können den Endpunkt in eine gesicherte Firewall-Einstellung aufnehmen (die oben erwähnte Einstellung für den Standort, zu dem gewechselt wird), zum Schutz vor Ausfall der VPN-Konnektivität. Bei der Authentifizierungs-Zeitüberschreitung handelt es sich um den Wert, der angibt, wie lange der ZENworks Security Client auf die Authentifizierung beim VPN-Server wartet. Dieser Parameter sollte auf länger als 1 Minute eingestellt werden, um die Authentifizierung auch bei langsameren Verbindungen zu ermöglichen.

Verbindungs-/Trennbefehle: Bei Einsatz des Authentifizierungszeitgebers werden die Befehle Verbinden und Trennen zur Steuerung der clientbasierten VPN-Aktivierung verwendet. Geben Sie den Standort des VPN-Client und die erforderlichen Schalter in den Parameterfeldern an. Der Trennbefehl ist optional und wird für VPN-Clients zur Verfügung gestellt, bei denen der Benutzer die Verbindung trennen muss, bevor die Abmeldung beim Netzwerk erfolgt.

HINWEIS:Bei VPN-Clients, die virtuelle Adapter generieren (z. B. Cisco Systems* VPN Client 4.0), wird eine Meldung ausgegeben, die besagt, dass die Richtlinie aktualisiert wurde, und möglicherweise erfolgt der vorübergehende Wechsel an einen anderen Standort. Die Richtlinie wurde nicht aktualisiert; der ZENworks Security Client gleicht lediglich den virtuellen Adapter mit sämtlichen Adapterbeschränkungen in der aktuellen Richtlinie ab. Bei der Ausführung von VPN-Clients dieses Typs wird von der Verwendung des Hyperlinks für den Trennbefehl abgeraten.

Adapter: Hierbei handelt es sich um eine Mini-Adapterrichtlinie, die sich speziell auf die VPN-Erzwingung bezieht.

Wenn ein Adapter ausgewählt·ist (Änderung in eine Option mit dem Ausdruck "...deaktiviert, mit Ausnahme von..."), kann der jeweilige Adapter ("Wireless" bezieht sich hierbei spezifisch auf den Kartentyp) die Konnektivität zum VPN nutzen.

Adapter, die in die nachfolgenden Ausnahmelisten aufgenommen werden, können die VPN-Konnektivität nicht nutzen, alle anderen Adapter des jeweiligen Typs hingegen schon.

Wenn ein Adapter nicht ausgewählt ist (mit dem Ausdruck "...deaktiviert, mit Ausnahme von..."), dürfen nur·die in die Ausnahmeliste aufgenommenen Adapter eine Verbindung zum VPN herstellen, alle anderen hingegen nicht.

Dieses Steuerelement kann beispielsweise für Adapter verwendet werden, die mit dem VPN nicht kompatibel sind, oder für Adapter, die von der IT-Abteilung nicht unterstützt werden.

Diese Regel setzt die Adapterrichtlinie außer Kraft, welche für den Standort festgelegt wurde, zu dem gewechselt wird.

Benutzerdefinierte Meldung

Mithilfe der Funktion für benutzerdefinierte Meldungen kann der ZENworks Endpoint Security Management-Administrator Meldungen als direkte Antwort auf Fragen zu Sicherheitsrichtlinien erstellen. Dies ist hilfreich, um Benutzern, die auf richtlinienerzwungene Sicherheitsbeschränkungen stoßen, Unterstützung zukommen zu lassen. Auf diese Weise können auch spezifische Anweisungen für die Benutzer bereitgestellt werden. Steuerelemente für Benutzermeldungen stehen in mehreren Komponenten der Richtlinie zur Verfügung.

So erstellen Sie eine benutzerdefinierte Meldung:

  1. Geben Sie einen Titel für die Meldung ein. Dieser Titel wird in der oberen Leiste des Meldungsfelds angezeigt.

  2. Geben Sie die Meldung ein. Die Meldung darf maximal 1000 Zeichen umfassen.

  3. Ist ein Hyperlink erforderlich, aktivieren Sie das Kontrollkästchen für die Anzeige von Hyperlinks und machen Sie die erforderlichen Angaben.

HINWEIS:Wird die Meldung bzw. der Hyperlink in einer freigegebenen Komponente geändert, bewirkt dies die Änderung in allen anderen Instanzen dieser Komponente. Mithilfe des Befehls Auslastung anzeigen können alle anderen mit dieser Komponente verknüpften Richtlinien angezeigt werden.

Hyperlinks

Ein Administrator kann Hyperlinks in benutzerdefinierte Meldungen aufnehmen, um Sicherheitsrichtlinien weiter zu erläutern oder Links zu Software-Aktualisierungen bereitzustellen (zur Gewährleistung der Integritätseinhaltung). Hyperlinks stehen in mehreren Richtlinienkomponenten zur Verfügung. Es kann ein VPN-Hyperlink erstellt werden, der entweder auf die ausführbare Datei des VPN-Client oder auf eine Stapeldatei verweist, die ausgeführt wird und so den Benutzer vollständig beim VPN anmeldet (weitere Details finden Sie unter VPN-Erzwingung).

So erstellen Sie einen Hyperlink:

  1. Geben Sie einen Namen für den Link an. Dieser Name wird unterhalb der Meldung angezeigt. Er ist auch für Hyperlinks für erweitertes VPN erforderlich.

  2. Geben Sie den Hyperlink an.

  3. Geben Sie sämtliche Schalter oder anderen Parameter für den Link an.

HINWEIS:Wird die Meldung bzw. der Hyperlink in einer freigegebenen Komponente geändert, bewirkt dies die Änderung in allen anderen Instanzen dieser Komponente. Mithilfe des Befehls Auslastung anzeigen können alle anderen mit dieser Komponente verknüpften Richtlinien angezeigt werden.

2.2.2 Standorte

Unter Standorten versteht man Regelgruppen, die Netzwerkumgebungen zugewiesen sind. Diese Umgebungen können in der Richtlinie (siehe Netzwerkumgebungen) oder vom Benutzer festgelegt werden, falls erlaubt. Für jeden Standort können individuelle Sicherheitseinstellungen definiert werden. So kann beispielsweise in feindlicheren Netzwerkumgebungen der Zugriff auf bestimmte Netzwerkfunktionen und Hardware untersagt werden, während in vertrauenswürdigen Umgebungen weniger Einschränkungen gelten.

Für den Zugriff auf die standortbezogenen Steuerelemente klicken Sie auf die Registerkarte Standorte.

Die folgenden Abschnitte enthalten weitere Informationen:

Info zu Standorten

Folgende Standorttypen können konfiguriert werden:

Standort "Unbekannt": Sämtliche Richtlinien verfügen über einen standardmäßigen Standort mit der Bezeichnung "Unbekannt". Dies ist der Standort, an den der ZENworks Security Client Benutzer versetzt, wenn sie·eine bekannte Netzwerkumgebung verlassen. Der Standort "Unbekannt" ist für jede Richtlinie eindeutig und steht nicht als freigegebene Komponente zur Verfügung. Das Festlegen und Speichern von Netzwerkumgebungen ist für diesen Standort nicht möglich.

Für den Zugriff auf die Steuerelemente für den Standort "Unbekannt" klicken Sie auf die Registerkarte Standorte und dann im Richtlinienbaum auf der linken Seite auf den Standort Unbekannt.

Definierte Standorte: Für die Richtlinie können definierte Standorte erstellt oder bestehende (für andere Richtlinien erstellte) Standorte verknüpft werden.

So erstellen Sie einen neuen Standort:

  1. Klicken Sie auf Definierte Standorte und dann in der Symbolleiste auf die Schaltfläche Neue Komponente.

  2. Benennen Sie den Standort und geben Sie eine Beschreibung ein.

  3. Definieren Sie die Standorteinstellungen:

    Symbol: Wählen Sie ein Standortsymbol als optische Hilfestellung aus, um dem Benutzer die Identifizierung des aktuellen Standorts zu erleichtern. Das Standortsymbol wird im Benachrichtigungsbereich der Taskleiste angezeigt. Zeigen Sie die verfügbaren Standortsymbole in der Dropdown-Liste an und treffen Sie eine Auswahl.

    Aktualisierungsintervall: Legen Sie fest, wie oft der ZENworks Security Client an diesem Standort auf·Richtlinienaktualisierungen prüft. Der Häufigkeitswert wird in Minuten, Stunden oder Tagen angegeben. Wenn die Auswahl dieses Parameters aufgehoben wird, prüft der ZENworks Security Client an diesem Standort nicht auf Aktualisierungen.

    Benutzerberechtigungen: Geben Sie die Benutzerberechtigungen an:

    • Manuellen Standortwechsel zulassen: Ermöglicht dem Benutzer den Wechsel zu/von diesem Standort. Für nicht verwaltete Standorte (Hotspots, Flughäfen, Hotels usw.) sollte diese Berechtigung erteilt werden. In gesteuerten und kontrollierten Umgebungen, in denen die Netzwerkparameter bekannt sind, kann diese Berechtigung deaktiviert werden. Wenn diese Berechtigung deaktiviert ist, kann der Benutzer nicht·von/zu Standorten wechseln, stattdessen verwendet der ZENworks Security Client die Netzwerkumgebungsparameter, die für diesen Standort angegeben wurden.

    • Netzwerkumgebung speichern: Hiermit kann der Benutzer die Netzwerkumgebung an diesem Standort speichern und so bei seiner Rückkehr den automatischen Wechsel zu dem Standort ermöglichen. Diese Einstellung empfiehlt sich für sämtliche Standorte, zu denen der Benutzer wechseln muss. Es können mehrere Netzwerkumgebungen für einen einzelnen Standort gespeichert werden. Wenn beispielsweise ein Standort, der als "Flughafen" definiert ist, Teil der aktuellen Richtlinie ist, kann jeder Flughafen, den der Benutzer besucht, als Netzwerkumgebung für diesen Standort gespeichert werden. Auf diese Weise kann ein mobiler Benutzer zu einer gespeicherten Flughafen-Umgebung zurückkehren, und der ZENworks Security Client wechselt automatisch zum Standort "Flughafen" und wendet die definierten Sicherheitseinstellungen an. Ein Benutzer hat selbstverständlich die Möglichkeit, einen Standortwechsel vorzunehmen, ohne die Umgebung zu speichern.

    • Manuelle Änderung von Firewall-Einstellungen zulassen: Ermöglicht dem Benutzer, die Firewall-Einstellungen zu ändern.

    • Standort in Client-Menü anzeigen: Hiermit kann der Standort im Client-Menü angezeigt werden. Ist diese Option nicht ausgewählt, wird der Standort unter keinen Umständen angezeigt.

    Client Location Assurance: Da die Netzwerk-Umgebungsinformationen zur Ermittlung eines Standorts leicht gefälscht werden können und so der Endpunkt potenzielles Angriffsziel für Eindringlinge werden kann, stellt Client Location Assurance Service (CLAS) eine Option zur kryptographischen Überprüfung·des Standorts bereit. Dieser Service ist nur in Netzwerkumgebungen zuverlässig, die vollständig und ausschließlich der Kontrolle des Unternehmens unterstehen. Wenn ein Standort um Client Location Assurance ergänzt wird, können die Firewall-Einstellungen und Berechtigungen für diesen Standort weniger strikt festgelegt werden, da davon ausgegangen wird, dass der Endpunkt nun hinter der Netzwerk-Firewall geschützt ist.

    Der ZENworks Security Client verwendet einen festen, von Unternehmen konfigurierbaren Port, um eine Herausforderung an Client Location Assurance Service zu senden. Client Location Assurance Service entschlüsselt das Paket, antwortet auf die Herausforderung und beweist so, dass er über den privaten Schlüssel verfügt, der dem öffentlichen Schlüssel entspricht. Im Symbol in der Taskleiste ist ein Häkchen zu sehen; so wird angegeben, dass sich der Benutzer am richtigen Standort befindet.

    Der ZENworks Security Client kann nur zu dem Standort wechseln, wenn der CLAS-Server erkannt wird. Wird der CLAS-Server nicht erkannt, verbleibt der ZENworks Security Client am Standort "Unbekannt", um den Endpunkt zu sichern, selbst wenn alle anderen Netzwerkparameter übereinstimmen.

    Wenn Sie CLAS für einen Standort aktivieren möchten, aktivieren Sie das Kontrollkästchen für Client Location Assurance, klicken Sie auf Importieren und wählen Sie dann die Datei aus. Nach erfolgreichem Import des Schlüssels wird das Wort "Konfiguriert" angezeigt.

    Diese Option steht für den Standort "Unbekannt" nicht zur Verfügung.

    Standortmeldung verwenden: Hiermit kann eine optionale benutzerdefinierte Meldung angezeigt werden, wenn der ZENworks Security Client zu diesem Standort wechselt. Diese Meldung kann Anweisungen für den Endbenutzer, Details zu Richtlinienbeschränkungen an diesem Standort oder einen Hyperlink für weitere Informationen enthalten.

  4. Klicken Sie auf Richtlinie speichern. Wenn Ihre Richtlinie Fehler aufweist, ziehen Sie Abschnitt 2.2.6, Fehlerbenachrichtigung zurate.

So verknüpfen Sie einen bestehenden Standort:

  1. Klicken Sie auf Definierte Standorte und dann in der Symbolleiste auf die Schaltfläche Komponente verknüpfen.

  2. Wählen Sie die gewünschten Standorte in der Liste aus.

  3. Bearbeiten Sie die Einstellungen gegebenenfalls.

    HINWEIS:Wenn Sie die Einstellungen in einer freigegebenen Komponente ändern, beeinflusst dies alle Instanzen dieser Komponente. Mithilfe des Befehls Auslastung anzeigen können alle anderen mit dieser Komponente verknüpften Richtlinien angezeigt werden.

  4. Klicken Sie auf Richtlinie speichern. Wenn Ihre Richtlinie Fehler aufweist, ziehen Sie Abschnitt 2.2.6, Fehlerbenachrichtigung zurate.

Es sollten mehrere definierte Standorte (über einfache Standorte vom Typ "Arbeit" und "Unbekannt" hinaus) in die Richtlinie aufgenommen werden, um den Benutzern beim Verbindungsaufbau außerhalb der Firewall des Unternehmens unterschiedliche Sicherheitsberechtigungen zur Verfügung zu stellen. Wenn die Standortnamen einfach gehalten werden (z. B. Cafés, Flughäfen, Zuhause) und das Standortsymbol in der Taskleiste optische Hilfestellung gibt, können Benutzer ganz einfach zu den entsprechenden Sicherheitseinstellungen wechseln, die für die jeweilige Netzwerkumgebung erforderlich sind.

Kommunikationshardware

Mithilfe der Einstellungen für die Kommunikationshardware wird nach Standort gesteuert, welche Hardwaretypen in dieser Netzwerkumgebung eine Verbindung herstellen dürfen.

HINWEIS:Sie können die Steuerelemente für Kommunikationshardware auf der Registerkarte Allgemeine Richtlinieneinstellungen global bzw. auf der Registerkarte Standorte für einzelne Standorte festlegen.

Wenn Sie die Steuerelemente für Kommunikationshardware für einen Standort festlegen möchten, klicken Sie auf die Registerkarte Standorte, erweitern Sie den gewünschten Standort im Baum und klicken Sie dann auf Komm-Hardware.

oder

Wenn Sie die Steuerelemente für Kommunikationshardware global festlegen möchten, klicken Sie auf die Registerkarte Allgemeine Richtlinieneinstellungen, erweitern Sie den Eintrag Globale Einstellungen im Baum und klicken Sie dann auf Komm-Hardware. Weitere Informationen finden Sie unter Kommunikationshardware.

Treffen Sie eine Auswahl, um zu aktivieren, zu deaktivieren oder um die globale Einstellung für die einzelnen, aufgeführten Kommunikationshardware-Geräte anzuwenden:

  • 1394 (FireWire): Steuert den Zugriff auf den FireWire*-Anschluss des Endpunkts.

  • IrDA: Steuert den Zugriff auf den Infrarotanschluss des Endpunkts.

  • Bluetooth: Steuert den Zugriff auf den Bluetooth*-Anschluss des Endpunkts.

  • Seriell/Parallel: Steuert den Zugriff auf den seriellen/parallelen Anschluss des Endpunkts.

  • Einwählen: Steuert die Modemkonnektivität nach Standort. Diese Option steht bei der globalen Konfiguration von Einstellungen für Kommunikationshardware über die Registerkarte Allgemeine Richtlinieneinstellungen nicht zur Verfügung.

  • Wired: Steuert die LAN-Kartenkonnektivität nach Standort. Diese Option steht bei der globalen Konfiguration von Einstellungen für Kommunikationshardware über die Registerkarte Allgemeine Richtlinieneinstellungen nicht zur Verfügung.

Lautet die Einstellung "Aktivieren", ist der uneingeschränkte Zugriff auf den Kommunikationsanschluss möglich.

Lautet die Einstellung "Deaktivieren", wird jeglicher Zugriff auf den Kommunikationsanschluss unterbunden.

HINWEIS:Wi-Fi-Adapter werden entweder global gesteuert oder mithilfe der Steuerelemente für die Wi-Fi-Sicherheit lokal deaktiviert. Adapter können nach Marke angegeben werden, und zwar anhand der Liste der genehmigten Wireless-Adapter.

Liste der genehmigten Einwähladapter: Der ZENworks Security Client kann dafür sorgen, dass nur die angegebenen, genehmigten Einwähladapter (Modems) eine Verbindung herstellen können. So kann ein Administrator beispielsweise eine Richtlinie implementieren, gemäß der nur eine bestimmte Marke oder Art von Modemkarte zulässig ist. Hierdurch werden die Kosten verringert, die entstehen, wenn Mitarbeiter nicht unterstützte Hardware verwenden.

Liste der genehmigten Wireless-Adapter: Der ZENworks Security Client kann dafür sorgen, dass nur die angegebenen, genehmigten Wireless-Adapter eine Verbindung herstellen können. So kann ein Administrator beispielsweise eine Richtlinie implementieren, gemäß der nur eine bestimmte Marke oder Art von Wireless-Karte zulässig ist. Hierdurch werden die Supportkosten verringert, die entstehen, wenn Mitarbeiter nicht unterstützte Hardware verwenden. Zudem werden so die Unterstützung und die Umsetzung von auf IEEE-(Institute of Electrical & Electronics Engineers-)Standards aufbauenden Sicherheitsinitiativen vereinfacht. Dies gilt u. a. auch für LEAP (Lightweight Extensible Authentication Protocol ), PEAP (Protected Extensible Authentication Protocol ), WPA (Wireless Protected Access) und TKIP (Temporal Key Integrity Protocol).

Verwenden der AdapterAware-Funktion:

Der ZENworks Security Client wird bei jeder Installation eines Netzwerkgeräts im System benachrichtigt und ermittelt, ob das Gerät autorisiert oder nicht autorisiert ist. Ist es nicht autorisiert, wird der Gerätetreiber deaktiviert, das neue Gerät kann also nicht verwendet werden. Der Benutzer wird entsprechend benachrichtigt.

HINWEIS:Wenn ein neuer, nicht autorisierter Adapter (gilt sowohl für Einwähl- als auch für Wireless-Adapter) erstmals seine Treiber am Endpunkt installiert (über PCMCIA oder USB), wird der Adapter im Windows-Geräte-Manager bis zum Neubooten des Systems als aktiviert angezeigt, obwohl jegliche Netzwerkkonnektivität blockiert ist.

Geben Sie den Namen jedes zulässigen Adapters an. Es ist zulässig, nur Teile von Adapternamen einzugeben. Adapternamen sind auf 50 Zeichen beschränkt und die Groß-/Kleinschreibung wird beachtet. Das Betriebssystem Windows 2000 benötigt den Gerätenamen, um diese Funktionalität bereitstellen zu können. Werden keine Adapter eingegeben, sind alle Adapter des Typs zulässig. Wird nur ein Adapter eingegeben, ist nur dieser eine Adapter an diesem Standort zulässig.

HINWEIS:Befindet sich der Endpunkt an einem Standort, an dem als Netzwerkidentifikation lediglich eine Zugriffspunkt-SSID (Service Set Identification) angegeben wird, wechselt der ZENworks Security Client zu diesem Standort, bevor der nicht autorisierte Adapter deaktiviert wird. Die Passwort-Außerkraftsetzung sollte ermöglicht werden, um für diesen Fall einen manuellen Standortwechsel bereitzustellen.

Steuerelement für Speichergerätsteuerung

Mit Steuerelementen für die Speichergerätsteuerung werden die Speichergerät-Standardeinstellungen für die Richtlinie festgelegt, in denen sämtliche externen Dateispeichergeräte über Lese- oder Schreibrechte für Dateien verfügen, im schreibgeschützten Modus betrieben werden oder vollständig deaktiviert sind. Bei Deaktivierung können·diese Geräte keine Daten vom Endpunkt abrufen. Der Zugriff auf die Festplatte und alle Netzlaufwerke sowie deren Verwendung sind weiterhin möglich.

Die Speichergerätsteuerung von ZENworks Endpoint Security darf nicht verwendet werden, wenn ZENworks Storage Encryption Solution aktiviert ist.

HINWEIS:Sie können die Steuerelemente für Speichergeräte auf der Registerkarte Allgemeine Richtlinieneinstellungen global bzw. auf der Registerkarte Standorte für einzelne Standorte festlegen.

Wenn Sie die Steuerelemente für Speichergeräte für einen Standort festlegen möchten, klicken Sie auf die Registerkarte Standorte, erweitern Sie den gewünschten Standort im Baum und klicken Sie dann auf Speichergerätsteuerung.

oder

Wenn Sie die Steuerelemente für Speichergeräte global festlegen möchten, klicken Sie auf die Registerkarte Allgemeine Richtlinieneinstellungen, erweitern Sie den Eintrag Globale Einstellungen im Baum und klicken Sie dann auf Speichergerätsteuerung. Weitere Informationen finden Sie unter Steuerelement für Speichergerätsteuerung.

Die Speichergerätsteuerung ist in folgende Kategorien unterteilt:

  • CD/DVD: Steuert sämtliche Geräte, die im Windows-Geräte-Manager unter DVD/CD-ROM-Laufwerke aufgeführt sind.

  • Wechseldatenträger: Steuert sämtliche Geräte, die im Windows-Geräte-Manager unter Laufwerke aufgeführt sind.

  • Diskettenlaufwerk: Steuert sämtliche Geräte, die im Windows-Geräte-Manager unter Diskettenlaufwerke aufgeführt sind.

Feste Speicher (Festplatten) und Netzlaufwerke (falls verfügbar) sind immer zulässig.

Wenn Sie den Richtlinienstandard für Speichergeräte festlegen möchten, wählen Sie in den Dropdown-Listen die globale Einstellung für beide Typen aus:

  • Aktivieren: Der Gerätetyp ist standardmäßig zulässig.

  • Deaktivieren: Der Gerätetyp ist nicht zulässig. Wenn Benutzer versuchen, auf einem definierten Speichergerät auf Dateien zuzugreifen, wird eine Fehlermeldung des Betriebssystems bzw. der Anwendung, die auf das lokale Speichergerät zuzugreifen versucht, ausgegeben, die besagt, dass bei dem Vorgang ein Fehler aufgetreten ist.

  • Nur Lesen: Für den Gerätetyp ist "Nur Lesen" festgelegt. Wenn Benutzer versuchen, auf das Gerät zu schreiben, wird eine Fehlermeldung des Betriebssystems bzw. der Anwendung, die auf das lokale Speichergerät zuzugreifen versucht, ausgegeben, die besagt, dass bei dem Vorgang ein Fehler aufgetreten ist.

HINWEIS:Wenn Sie CD-ROM-Laufwerke bzw. Diskettenlaufwerke für eine Gruppe von Endpunkten auf "Nur Lesen" einstellen möchten, muss in den lokalen Sicherheitseinstellungen (die durch ein Verzeichnisdienst-Gruppenrichtlinienobjekt übergeben wurden) sowohl für Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken als auch für Geräte: Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken die Option "Deaktiviert" festgelegt sein. Um dies sicherzustellen, öffnen Sie entweder das Gruppenrichtlinienobjekt oder sehen in der Systemsteuerung unter "Verwaltung" nach. Wählen Sie die Optionsfolge "Lokale Sicherheitseinstellungen" - "Sicherheitsoptionen" und vergewissern Sie sich, dass beide Geräte deaktiviert sind. "Deaktiviert" ist der Standardwert.

Firewall-Einstellungen

Mit Firewall-Einstellungen wird die Konnektivität sämtlicher Netzwerkports, Zugriffssteuerungslisten, Netzwerkpakete (ICMP (Internet Control Message Protocol), ARP (Address Resolution Protocol) usw.) gesteuert. Zudem wird gesteuert, welche Anwendungen über ein ausgehendes Socket verfügen bzw. verwendet werden können, wenn die Firewall-Einstellung angewandt wird.

HINWEIS:Diese Funktion steht nur bei der ZENworks Endpoint Security-Installation zur Verfügung und kann für UWS-(Unlimited Web Solutions-)Sicherheitsrichtlinien nicht verwendet werden.

Für den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Standorte und klicken Sie dann im Richtlinienbaum auf der linken Seite auf das Symbol für Firewall-Einstellungen.

Die einzelnen Komponenten einer Firewall-Einstellung werden separat konfiguriert, hierbei muss lediglich das Standardverhalten der TCP-/UDP-Ports festgelegt werden. Ist diese Einstellung aktiviert, wirkt sie sich auf sämtliche TCP-/UDP-Ports aus. Individuelle oder zu Gruppen zusammengefasste Ports können mit einer anderen Einstellung erstellt werden.

So erstellen Sie eine neue Firewall-Einstellung:

  1. Wählen Sie im Komponentenbaum den Eintrag Firewall-Einstellungen aus und klicken Sie dann auf die Schaltfläche Neue Komponente.

  2. Benennen Sie die Firewall-Einstellung und geben Sie eine Beschreibung ein.

  3. Klicken Sie im Komponentenbaum mit der rechten Maustaste auf TCP-/UDP-Anschlüsse und wählen Sie dann die Option zum Hinzufügen neuer TCP-/UDP-Ports, um das Standardverhalten für sämtliche TCP-/UDP-Ports festzulegen.

    Die Firewall-Einstellungen können um weitere Ports und Listen ergänzt werden und ihnen können individuelle und eindeutige Verhaltensweisen zugewiesen werden, die die Standardeinstellungen außer Kraft setzen.

    Die Standardeinstellung für sämtliche Ports lautet beispielsweise "Alle Stateful". Das bedeutet, dass die Portlisten für Streaming-Medien und Webbrowsing der Firewall-Einstellung hinzugefügt werden. Das Verhalten des Ports für Streaming-Medien ist auf "Geschlossen" eingestellt, das Verhalten des Ports für Webbrowsing auf "Geöffnet". Der Netzwerkverkehr über die TCP-Ports 7070, 554, 1755 und 8000 wird blockiert. Der Netzwerkverkehr über die Ports 80 und 443 ist·möglich (Port offen) und kann·im Netzwerk nachvollzogen werden. Alle anderen Ports befinden·sich im Stateful-Modus; der Datenverkehr, der über sie abgewickelt wird, muss·also erst angefordert werden.

    Weitere Informationen finden Sie unter TCP-/UDP-Ports.

  4. Klicken Sie mit der rechten Maustaste auf Zugriffssteuerungslisten und wählen Sie dann die Option zum Hinzufügen neuer Zugriffssteuerungslisten, um Adressen hinzuzufügen, bei denen unerwünschter Datenverkehr möglicherweise passieren können muss, ungeachtet des aktuellen Portverhaltens.

    Weitere Informationen finden Sie unter Zugriffssteuerungslisten.

  5. Klicken Sie mit der rechten Maustaste auf Anwendungssteuerung und wählen Sie dann die Option zum Hinzufügen neuer Anwendungssteuerungen, um Anwendungen entweder am Netzwerkzugriff zu hindern oder einfach ihre Ausführung zu unterbinden.

    Weitere Informationen finden Sie unter Anwendungssteuerungselemente.

  6. Legen Sie fest, ob diese Firewall im ZENworks Security Client-Menü angezeigt werden soll (bei Deaktivierung dieser Option wird diese Firewall-Einstellung für den Benutzer nicht angezeigt).

  7. Klicken Sie auf Richtlinie speichern. Wenn Ihre Richtlinie Fehler aufweist, ziehen Sie Abschnitt 2.2.6, Fehlerbenachrichtigung zurate.

So verknüpfen Sie eine bestehende Firewall-Einstellung:

  1. Wählen Sie im Komponentenbaum den Eintrag Firewall-Einstellungen aus und klicken Sie dann auf die Schaltfläche Komponente verknüpfen.

  2. Wählen Sie die gewünschten Firewall-Einstellungen in der Liste aus.

  3. Ändern Sie im Bedarfsfall die Einstellung für das Standardverhalten.

    HINWEIS:Wenn Sie die Einstellungen in einer freigegebenen Komponente ändern, beeinflusst dies alle Instanzen dieser Komponente. Mithilfe des Befehls Auslastung anzeigen können alle anderen mit dieser Komponente verknüpften Richtlinien angezeigt werden.

  4. Klicken Sie auf Richtlinie speichern. Wenn Ihre Richtlinie Fehler aufweist, ziehen Sie Abschnitt 2.2.6, Fehlerbenachrichtigung zurate.

An einem einzigen Standort kann es mehrere Firewall-Einstellungen geben. Eine Einstellung ist als Standardeinstellung definiert, die restlichen Einstellungen stehen dem Benutzer als Optionen zur Verfügung, die er im Bedarfsfall nutzen kann. Mehrere Einstellungen sind hilfreich, wenn für einen Benutzer im Regelfall bestimmte Sicherheitseinschränkungen innerhalb einer Netzwerkumgebung erforderlich sind und diese Einschränkungen beispielsweise für ICMP-Rundsendungen für kurze Zeit entweder aufgehoben oder verstärkt werden müssen.

Nach der Installation stehen folgende Firewall-Einstellungen zur Verfügung:

  • Alle adaptiv: Legt sämtliche Netzwerkports als "Stateful" fest (jeglicher unerwünscht eingehender Netzwerkverkehr wird blockiert, jeglicher ausgehender Netzwerkverkehr ist zulässig), ARP- und 802.1x-Pakete sind zulässig und sämtliche Netzwerkanwendungen dürfen eine Netzwerkverbindung aufbauen.

  • Alle geöffnet: Legt sämtliche Netzwerkports als geöffnet fest (jeglicher Netzwerkverkehr ist zulässig), und alle Pakettypen sind zulässig. Sämtliche Netzwerkanwendungen dürfen eine Netzwerkverbindung aufbauen.

  • Alle geschlossen: Hiermit werden sämtliche Netzwerkports geschlossen und sämtliche Pakettypen beschränkt.

Bei einem neuen Standort ist eine einzige Firewall-Einstellung, "Alle geöffnet", als Standard eingestellt. Wenn Sie eine andere Firewall-Einstellung als Standard festlegen möchten, klicken Sie mit der rechten Maustaste auf die gewünschte Firewall-Einstellung und wählen Sie dann Als Standard einrichten.

TCP-/UDP-Ports

Endpunktdaten werden hauptsächlich durch Steuerung der TCP-/UDP-Port-Aktivität gesichert. Mit dieser Funktion können Sie eine Liste der TCP-/UDP-Ports erstellen, die nur in dieser Firewall-Einstellung behandelt werden. Die Listen enthalten eine Sammlung an Ports und Portbereichen zusammen mit ihren Transporttypen, die die Funktion des Bereichs definieren.

HINWEIS:Diese Funktion steht nur bei der ZENworks Endpoint Security-Installation zur Verfügung und kann für UWS-(Unlimited Web Solutions-)Sicherheitsrichtlinien nicht verwendet werden.

Für den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Standorte, klicken Sie auf das "+"-Symbol neben Firewall-Einstellungen, klicken Sie auf das "+"-Symbol neben der gewünschten Firewall und klicken Sie dann im Richtlinienbaum auf der linken Seite auf das Symbol für TCP-/UDP-Anschlüsse.

Neue Listen mit TCP-/UDP-Ports können mit einzelnen Ports oder als Bereich (1-100) definiert werden (pro Listenzeile).

So erstellen Sie eine neue TCP-/UDP-Port-Einstellung:

  1. Klicken Sie im Komponentenbaum mit der rechten Maustaste auf TCP-/UDP-Anschlüsse und wählen Sie dann die Option zum Hinzufügen neuer TCP-/UDP-Ports .

  2. Benennen Sie die Portliste und geben Sie eine Beschreibung ein.

  3. Wählen Sie das Portverhalten in der Dropdown-Liste aus:

    • Geöffnet: Sämtlicher ein- und ausgehender Netzwerkverkehr ist zulässig. Da sämtlicher Netzwerkverkehr zulässig ist, kann die Identität Ihres Computers für diesen Port bzw. Portbereich eingesehen werden.

    • Geschlossen: Sämtlicher ein- und ausgehender Netzwerkverkehr ist blockiert. Da sämtliche Netzwerk-Identifikationsanforderungen blockiert werden, ist Ihre Computeridentität für diesen Port oder Portbereich verborgen.

    • Stateful: Sämtlicher unerwünscht eingehender Netzwerkverkehr wird blockiert. Sämtlicher ausgehende Netzwerkverkehr ist über diesen Port oder Portbereich erlaubt.

  4. Geben Sie den Transporttyp an, indem Sie in der Spalte Anschlusstyp auf den Abwärtspfeil klicken:

    • TCP/UDP

    • Ether

    • IP

    • TCP

    • UDP

  5. Geben Sie Ports und Portbereiche wie folgt ein:

    • Einzelne Ports

    • Einen Portbereich mit der ersten Portnummer, gefolgt von einem Bindestrich und der letzten Portnummer.

      Mit 1-100 werden·beispielsweise alle Ports von 1 bis 100 hinzugefügt.

      Eine vollständige Liste von Ports und Transporttypen finden Sie auf der Webseite Assigned Numbers Authority.

  6. Klicken Sie auf Richtlinie speichern.

So verknüpfen Sie einen bestehenden TCP/UDP-Port mit dieser Firewall-Einstellung:

  1. Wählen Sie TCP-/UDP-Anschlüsse im Komponentenbaum aus und klicken Sie dann auf die Schaltfläche Komponente verknüpfen.

  2. Wählen Sie die gewünschten Ports·in der Liste aus.

  3. Konfigurieren Sie die Einstellungen für das Standardverhalten.

    Wenn Sie die Einstellungen in einer freigegebenen Komponente ändern, beeinflusst dies alle Instanzen dieser Komponente. Mithilfe des Befehls Auslastung anzeigen können alle anderen mit dieser Komponente verknüpften Richtlinien angezeigt werden.

  4. Klicken Sie auf Richtlinie speichern.

Mehrere TCP/UDP-Portgruppen wurden gebündelt und stehen bei der Installation zur Verfügung:

Name

Beschreibung

Transport

Wert

Alle Ports

Alle Ports

Alle

1-65535

BlueRidge VPN

Ports, die vom BlueRidge VPN-Client genutzt werden

UDP

820

Cisco VPN

Ports, die vom Cisco* VPN-Client genutzt werden

IP

UDP

UDP

UDP

UDP

UDP

50,51

500,4500

1000-1200

62514,62515,62517

62519-62521

62532,62524

Allgemeines Networking

Allgemein verwendete Netzwerkports für die Erstellung von Firewalls

TCP

UDP

UDP

TCP

UDP

TCP

UDP

53

53

67,68

546, 547

546, 547

647, 847

647, 847

Datenbankkommunikation

Microsoft*-, Oracle*-, Siebel*-, Sybase*-, SAP*-Datenbankports

TCP

TCP

TCP

UDP

TCP

TCP

TCP

TCP

4100

1521

1433

1444

2320

49998

3200

3600

File Transfer Protocol (FTP)

Port für das File Transfer Protocol

TCP/UDP

21

Instant Messaging

Microsoft-, AOL*- und Yahoo* Instant Messaging-Ports

TCP

TCP

UDP

UDP

TCP

UDP

TCP

UDP

TCP

UDP

TCP

TCP

6891-6900

1863,443

1863,443

5190

6901

6901

5000-5001

5055

20000-20059

4000

4099

5190

Internet Key Exchange-kompatibles VPN

Ports, die von Internet Key Exchange-kompatiblen VPN-Clients genutzt·werden

UDP

500

Microsoft Networking

Übliche Dateifreigabe-/Active Directory*-Ports

TCP/UDP

135-139, 445

Offene Ports

Ports, die für diese Firewall offen sind

TCP/UDP

80

Streaming-Medien

Übliche Ports für Microsoft- und Real-Streaming-Media

TCP

7070, 554, 1755, 8000

Webbrowser

Übliche Webbrowser-Ports, einschließlich SSL

Alle

80, 443

Zugriffssteuerungslisten

Es gibt Adressen, bei denen unerwünschter Datenverkehr möglicherweise passieren können muss, ungeachtet des aktuellen Portverhaltens (z. B. Sicherungsserver oder Exchange Server-Instanz des Unternehmens). In Instanzen, in denen unerwünschter Datenverkehr an und von verbürgte(n) Server(n) geleitet werden muss, kann zur Lösung dieses Problems eine Zugriffssteuerungsliste (ACL) definiert werden.

HINWEIS:Diese Funktion steht nur bei der ZENworks Endpoint Security-Installation zur Verfügung und kann für UWS-(Unlimited Web Solutions-)Sicherheitsrichtlinien nicht verwendet werden.

Für den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Standorte, klicken Sie auf das "+"-Symbol neben Firewall-Einstellungen, klicken Sie auf das "+"-Symbol neben der gewünschten Firewall, klicken Sie im Richtlinienbaum auf der linken Seite mit der rechten Maustaste auf Zugriffssteuerungslisten und wählen Sie dann die Option zum Hinzufügen neuer Zugriffssteuerungslisten.

So erstellen Sie eine neue ACL-Einstellung:

  1. Klicken Sie im Komponentenbaum mit der rechten Maustaste auf Zugriffssteuerungslisten und wählen Sie dann die Option zum Hinzufügen neuer Zugriffssteuerungslisten.

  2. Geben Sie einen Namen und eine Beschreibung für die Zugriffssteuerungsliste ein.

  3. Geben Sie Adresse oder Makro für die Zugriffssteuerungsliste an.

  4. Geben Sie den ACL-Typ an:

    • IP: Bei diesem Typ ist die Adresse auf 15 Zeichen beschränkt und enthält lediglich die Zahlen 0–9 sowie Punkte (Beispiel: 123.45.6.189). IP-Adressen können auch als Bereich eingegeben werden, beispielsweise 123.0.0.0–123.0.0.255.

    • MAC: Bei diesem Typ ist die Adresse auf 12 Zeichen beschränkt und enthält lediglich die Zahlen 0–9 sowie die Buchstaben A–F (Groß- und Kleinbuchstaben), durch Doppelpunkte voneinander getrennt (Beispiel: 00:01:02:34:05:B6).

  5. Klicken Sie in die Dropdown-Liste für das ACL-Verhalten und legen Sie fest, ob die aufgelisteten ACL Verbürgt (immer erlauben, auch wenn sämtliche TCP-/UDP-Ports geschlossen sind) oder Nicht verbürgt (Zugriff blockieren) sein sollen.

  6. Wenn Sie Verbürgt ausgewählt haben, wählen Sie optionale verbürgte Ports (TCP/UDP) aus, die diese ACL verwenden soll. Diese Ports erlauben sämtlichen ACL-Verkehr, während andere TCP-/UDP-Ports ihre aktuellen Einstellungen beibehalten. Die Auswahl von Keine bedeutet, dass diese ACL jeden Port verwenden kann.

  7. Klicken Sie auf Richtlinie speichern.

So verknüpfen Sie eine vorhandene ACL bzw. ein vorhandenes Makro mit dieser Firewall-Einstellung:

  1. Wählen Sie Zugriffssteuerungsliste im Komponentenbaum aus und klicken Sie dann auf die Schaltfläche Komponente verknüpfen.

  2. Wählen Sie die ACL bzw. Makros in der Liste aus.

  3. Konfigurieren Sie die Einstellungen für das ACL-Verhalten nach Bedarf.

    HINWEIS:Wenn Sie die Einstellungen in einer freigegebenen Komponente ändern, beeinflusst dies alle Instanzen dieser Komponente. Mithilfe des Befehls Auslastung anzeigen können alle anderen mit dieser Komponente verknüpften Richtlinien angezeigt werden.

  4. Klicken Sie auf Richtlinie speichern.

Liste mit Netzwerkadressmakros

Nachfolgend finden Sie eine Liste mit speziellen Zugriffssteuerungsmakros. Diese können individuell als Teil einer ACL in einer Firewall-Einstellung verknüpft werden.

Tabelle 2-1 Netzwerkadressmakros

Makro

Beschreibung

[Arp]

Erlaubt ARP-(Address Resolution Protocol-)Pakete. Der Begriff Address Resolution (Adressauflösung) bezeichnet den Suchvorgang nach einer Adresse eines Computers in einem Netzwerk. Die Adresse wird mithilfe eines Protokolls aufgelöst, in dem eine Information durch einen auf dem lokalen Computer ausgeführten Clientprozess an einen Serverprozess gesendet wird, der auf einem Remote-Computer ausgeführt wird. Die vom Server empfangenen Informationen ermöglichen es dem Server, eindeutig das Netzwerksystem zu identifizieren, für das die Adresse angefordert wurde, um so die gewünschte Adresse bereitzustellen. Der Adressauflösungsvorgang wird abgeschlossen, wenn der Client vom Server eine Antwort mit der angeforderten Adresse erhält.

[Icmp]

Erlaubt ICMP-(Internet Control Message Protocol-)Pakete. ICMPs werden von Routern, zwischengeschalteten Geräten oder Hosts verwendet, um Aktualisierungen oder Fehlerinformationen an andere Router, zwischengeschaltete Geräte oder Hosts zu übermitteln. ICMP-Meldungen werden in mehreren Situationen gesendet: etwa, wenn ein Datagramm sein Ziel nicht erreichen kann, das Gateway nicht über die Pufferkapazität zur Weiterleitung eines Datagramms verfügt und wenn das Gateway den Host anweisen kann, Datenverkehr auf einer kürzeren Route zu senden.

[IpMulticast]

Erlaubt IP-Multicast-Pakete. Multicast ist eine Bandbreiten-konservierende Technologie, die den Verkehr reduziert, indem sie gleichzeitig einen einzelnen Informationsstrom an Tausende von Empfängern im Unternehmen und daheim liefert. Anwendungen, die Multicast nutzen, sind Videokonferenzen, Unternehmenskommunikation, Fernkurse sowie Verteilung von Software, Börsenkursen und Nachrichten. Multicast-Pakete können mit IP- oder Ethernet-Adressen verteilt werden.

[EthernetMulticast]

Erlaubt Ethernet-Multicast-Pakete.

[IpSubnetBrdcast]

Erlaubt Subnet-Broadcast-Pakete. Subnet-Broadcasts werden verwendet, um Pakete an alle Hosts eines Netzwerks zu senden, das Subnetze oder Supernetze besitzt oder auf andere Weise außerhalb der normalen Klasseneinteilung liegt. Alle Hosts eines Netzwerks außerhalb der normalen Klasseneinteilung, die den Eingang von Paketen überwachen und Pakete verarbeiten, die an die Subnet-Broadcast-Adresse gesendet werden.

[Snap]

Erlaubt Snap-kodierte Pakete.

[LLC]

Erlaubt LLC-kodierte Pakete.

[Allow8021X]

Erlaubt 802.1x-Pakete. Um Defizite in Wired Equivalent Privacy (WEP) -Schlüsseln zu überwinden, nutzen Microsoft und andere Unternehmen 802.1x als alternative Authentifizierungsmethode. 802.1x ist eine portbasierte Netzwerk-Zugriffsteuerung, bei der Extensible Authentication Protocol (EAP) oder Zertifikate zum Einsatz kommen. Derzeit unterstützen die meisten Hersteller von Wireless-Karten und viele Hersteller von Zugriffspunkten 802.1x. Diese Einstellung erlaubt auch Light Extensible Authentication Protocol- (LEAP) und WiFi Protected Access- (WPA) Authentifizierungspakete.

[Gateway]

Repräsentiert die Standard-Gateway-Adresse der aktuellen IP-Konfiguration. Wenn dieser Wert eingegeben wird, erlaubt der ZENworks Security Client sämtlichen Netzwerkverkehr vom Standard-Gateway der aktuellen IP-Konfiguration als verbürgte ACL.

[GatewayAll]

Wie [Gateway], jedoch für alle definierten Gateways.

[Wins]

Repräsentiert die Standard-WINS-Server-Adresse der aktuellen Client-IP-Konfiguration. Wenn dieser Wert eingegeben wird, erlaubt der ZENworks Security Client sämtlichen Netzwerkverkehr vom Standard-WINS-Server der aktuellen IP-Konfiguration als verbürgte ACL.

[WinsAll]

Wie [Wins], jedoch für alle definierten WINS-Server.

[Dns]

Repräsentiert die Standard-DNS-Server-Adresse der aktuellen Client-IP-Konfiguration. Wenn dieser Wert eingegeben wird, erlaubt der ZENworks Security Client sämtlichen Netzwerkverkehr vom Standard-DNS-Server der aktuellen IP-Konfiguration als verbürgte ACL.

[DnsAll]

Wie [Dns], jedoch für alle definierten DNS-Server.

[Dhcp]

Repräsentiert die Standard-DHCP-Server-Adresse der aktuellen Client-IP-Konfiguration. Wenn dieser Wert eingegeben wird, erlaubt der ZENworks Security Client sämtlichen Netzwerkverkehr vom Standard-DHCP-Server der aktuellen IP-Konfiguration als verbürgte ACL.

[DhcpAll]

Wie [Dhcp], jedoch für alle definierten DHCP-Server.

Anwendungssteuerungselemente

Diese Funktion ermöglicht es dem Administrator, für Anwendungen den Netzwerkzugriff zu blockieren oder einfach ihre Ausführung ganz zu verhindern.

HINWEIS:Diese Funktion steht nur bei der ZENworks Endpoint Security-Installation zur Verfügung und kann für UWS-(Unlimited Web Solutions-)Sicherheitsrichtlinien nicht verwendet werden.

Für den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Standorte, klicken Sie auf das "+"-Symbol neben Firewall-Einstellungen, klicken Sie auf das "+"-Symbol neben der gewünschten Firewall und klicken Sie dann im Richtlinienbaum auf der linken Seite auf das Symbol für Anwendungssteuerelemente.

So legen Sie eine neue Einstellung für Anwendungssteuerungselemente fest:

  1. Klicken Sie im Komponentenbaum mit der rechten Maustaste auf Anwendungssteuerelemente und wählen Sie dann die Option zum Hinzufügen neuer Anwendungssteuerelemente.

  2. Geben Sie einen Namen und eine Beschreibung für die Liste der Anwendungssteuerelemente ein.

  3. Wählen Sie ein Ausführungsverhalten aus. Dieses Verhalten wird auf alle aufgelisteten Anwendungen angewendet. Wenn mehrere Verhaltensweisen erforderlich sind (Beispiel: Einigen Netzwerkanwendungen wird der Netzwerkzugriff verweigert, allen Anwendungen für die Dateifreigabe hingegen die Ausführung), müssen mehrere Anwendungssteuerelemente definiert werden. Aktivieren Sie einen der folgenden Parameter:

    • Alle erlaubt: Alle aufgelisteten Anwendungen dürfen ausgeführt werden und auf das Netzwerk zugreifen.

    • Keine Ausführung: Keine der aufgelisteten Anwendungen darf ausgeführt werden.

    • Kein Netzwerkzugriff: Keine der aufgelisteten Anwendungen darf auf das Netzwerk zugreifen. Anwendungen (z. B. Webbrowser), die von einer anderen Anwendung aus aufgerufen werden, dürfen ebenfalls nicht auf das Netzwerk zugreifen.

    HINWEIS:Das Blockieren des Netzwerkzugriffs hat keinen Einfluss auf das Speichern von Dateien auf zugeordnete Netzwerklaufwerke. Benutzer dürfen auf allen Netzlaufwerken speichern, die ihnen zur Verfügung stehen.

  4. Geben Sie jede zu blockierende Anwendung an. Es muss eine Anwendung pro Zeile eingegeben werden.

    WICHTIG:Das Blockieren der Ausführung von wichtigen Anwendungen kann sich negativ auf den Systembetrieb auswirken. Blockierte Microsoft Office-Anwendungen versuchen, ihre Installationsprogramme auszuführen.

  5. Klicken Sie auf Richtlinie speichern.

So verknüpfen Sie eine vorhandene Anwendungssteuerungselementliste mit dieser Firewall-Einstellung:

  1. Wählen Sie "Anwendungssteuerelemente" im Komponentenbaum aus und klicken Sie dann auf die Schaltfläche Komponente verknüpfen.

  2. Wählen Sie einen·Anwendungssatz in der Liste aus.

  3. Konfigurieren Sie die Anwendungen und den Beschränkungsgrad nach Bedarf.

    HINWEIS:Wenn Sie die Einstellungen in einer freigegebenen Komponente ändern, beeinflusst dies alle Instanzen dieser Komponente. Mithilfe des Befehls Auslastung anzeigen können alle anderen mit dieser Komponente verknüpften Richtlinien angezeigt werden.

  4. Klicken Sie auf Richtlinie speichern.

Die verfügbaren Anwendungssteuerelemente sind·nachfolgend aufgeführt. Das Standardverhalten bei der Ausführung ist "Kein Netzwerkzugriff".

Tabelle 2-2 Anwendungssteuerungselemente

Name

Anwendungen

Webbrowser

explore.exe; netscape.exe; netscp.exe

Instant Messaging

aim.exe; icq.exe; msmsgs.exe; msnmsgr.exe; trillian.exe; ypager.exe

Dateifreigabe

blubster.exe; grokster.exe; imesh.exe; kazaa.exe; morpheus.exe; napster.exe; winmx.exe

Internet-Medien

mplayer2.exe; wmplayer.exe; naplayer.exe; realplay.exe; spinner.exe; QuickTimePlayer.exe

Wenn dieselbe Anwendung zu zwei unterschiedlichen Anwendungssteuerelementen in derselben Firewall-Einstellung hinzugefügt wird (Beispiel: Die Ausführung von kazaa.exe wird in einem Anwendungssteuerelement blockiert, und in einem anderen definierten Anwendungssteuerelement unter derselben Firewall-Einstellung wird der Netzwerkzugriff für kazaa.exe blockiert.), wird die strikteste·Steuerung für die entsprechende ausführbare Datei (Anwendung) angewendet (in diesem Beispiel würde die Ausführung von kazaa blockiert).

Netzwerkumgebungen

Wenn die Netzwerkparameter (Gateway-Server, DNS-Server, DHCP-Server, WINS-(Windows Internet Naming Service-)Server, verfügbare Zugriffspunkte und spezifische Adapterverbindungen) für einen Standort bekannt sind, können die Servicedetails (IP und MAC), die der Identifizierung des Netzwerks dienen, in die Richtlinie eingegeben werden, um den sofortigen Standortwechsel zu ermöglichen, ohne dass der Benutzer die Umgebung als Standort speichern muss.

Für den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Standorte und klicken Sie im Richtlinienbaum auf der linken Seite auf den Ordner Netzwerkumgebungen.

Anhand der Listen kann der Administrator definieren, welche Netzwerkservices in der Umgebung vorhanden sind. Jeder Netzwerkservice kann mehrere Adressen umfassen. Der Administrator bestimmt, wie viele der Adressen in der Umgebung übereinstimmen müssen, damit der Standortwechsel aktiviert wird.

In jeder Netzwerkumgebungsdefinition müssen mindestens zwei Standortparameter angegeben werden.

So definieren Sie eine Netzwerkumgebung:

  1. Wählen Sie im Komponentenbaum den Eintrag Netzwerkumgebungen aus und klicken Sie dann auf die Schaltfläche Neue Komponente.

  2. Benennen Sie die Netzwerkumgebung und geben Sie eine Beschreibung ein.

  3. Wählen Sie in der Dropdown-Liste zur Einschränkung auf den Adaptertyp den Adaptertyp aus, der auf diese Netzwerkumgebung zugreifen darf:

    • Wireless

    • Alle

    • Modem

    • Wired

    • Wireless

  4. Geben Sie an, wie viele Netzwerkservices zur Identifizierung dieser Netzwerkumgebung mindestens erforderlich sind.

    Jede Netzwerkumgebung weist eine Mindestanzahl an Adressen auf, anhand derer die Identifizierung durch den ZENworks Security Client erfolgt. Die unter Mindestentsprechung angegebene Anzahl darf die Gesamtzahl der Netzwerkadressen nicht überschreiten, die in den Registerkartenlisten als erforderlich angegeben werden. Geben Sie an, wie viele Netzwerkservices zur Identifizierung dieser Netzwerkumgebung mindestens erforderlich sind.

  5. Geben Sie für jeden Service folgende Informationen an:

    • IP-Adresse: Geben Sie bis zu 15 Zeichen an, die sich nur aus den Zahlen 0–9 und Punkten zusammensetzen. Zum Beispiel 123.45.6.789

    • MAC-Adresse: Sie können auch bis zu 12 Zeichen angeben, die sich nur aus den Zahlen 0–9 und den Buchstaben A–F (Groß- und Kleinbuchstaben) zusammensetzen und durch Doppelpunkte getrennt sind. Beispiel: 00:01:02:34:05:B6

    • Aktivieren Sie das Kontrollkästchen Muss entsprechen, wenn die Identifizierung dieses Service für die Definition der Netzwerkumgebung erforderlich ist.

  6. Machen Sie für die Registerkarten Einwählverbindungen und Karten folgende Angaben:

    • Geben Sie bei Einwählverbindungen den Namen des RAS-(Remote Access Services-)Eintrags aus dem Telefonbuch bzw. die gewählte Nummer an.

      HINWEIS:Telefonbucheinträge müssen alphanumerische Zeichen enthalten und dürfen nicht nur aus Sonderzeichen (@, #, $, -, % usw.) bestehen. oder Ziffern (1-9) bestehen. Einträge, die nur aus Sonderzeichen und Ziffern bestehen, werden als gewählte Nummern angesehen.

    • Geben Sie bei "Karten" die SSID für die einzelnen zulässigen Karten an. Karten können angegeben werden, um ganz genau zu beschränken, welche Karten auf diese Netzwerkumgebung zugreifen können. Werden keine SSIDs eingegeben, wird allen Adaptern des zulässigen Typs Zugriff gewährt.

So verknüpfen Sie eine bestehende Netzwerkumgebung mit diesem Standort:

HINWEIS:Das Verknüpfen einer einzelnen Netzwerkumgebung mit zwei oder mehr Standorten in derselben Sicherheitsrichtlinie führt zu unvorhergesehenen Ergebnissen und wird nicht empfohlen.

  1. Wählen Sie im Komponentenbaum den Eintrag Netzwerkumgebungen aus und klicken Sie dann auf die Schaltfläche Komponente verknüpfen.

  2. Wählen Sie die Netzwerkumgebungen in der Liste aus.

  3. Konfigurieren Sie die Umgebungsparameter nach Bedarf.

    HINWEIS:Wenn Sie die Einstellungen in einer freigegebenen Komponente ändern, beeinflusst dies alle Instanzen dieser Komponente. Mithilfe des Befehls Auslastung anzeigen können alle anderen mit dieser Komponente verknüpften Richtlinien angezeigt werden.

  4. Klicken Sie auf Richtlinie speichern.

USB-Konnektivität

Sämtliche Geräte, die über den USB-BUS eine Verbindung aufbauen, können nach Richtlinie erlaubt oder verweigert werden. Diese Geräte können aus dem USB-Gerätinventarbericht per Absuche in die Richtlinie übernommen werden; eine weitere Möglichkeit ist die Absuche aller Geräte, die derzeit mit einem Computer verbunden sind. Diese Geräte können basierend auf Hersteller, Produktname, Seriennummer, Typ usw. gefiltert werden. Zu Supportzwecken kann der Administrator die Richtlinie so konfigurieren, dass ein Satz Geräte akzeptiert wird, entweder nach Herstellertyp (Beispiel: alle HP-Geräte sind zulässig) oder nach Produkttyp (alle USB-Eingabegeräte, etwa Maus und Tastatur, sind zulässig). Zudem können einzelne Geräte erlaubt werden, um zu verhindern, dass nicht unterstützte Geräte Bestandteil des Netzwerks werden (Beispiel: mit Ausnahme des Druckers in der Richtlinie sind keine Drucker zulässig).

Für den Zugriff auf dieses Steuerelement wechseln Sie zur Registerkarte Allgemeine Richtlinieneinstellungen und klicken Sie dann im Richtlinienbaum auf der linken Seite auf USB-Konnektivität.

Geben Sie an, ob der Zugriff auf nicht in der Liste enthaltene Geräte erlaubt oder verweigert werden soll.

Mithilfe der folgenden Methoden können Sie die Liste ausfüllen und dann angeben, ob Sie die USB-Konnektivität für Geräte zulassen oder verweigern.

Manuelles Hinzufügen von Geräten
  1. Verbinden Sie das Gerät mit dem USB-Anschluss des Computers, auf dem die Verwaltungskonsole installiert ist.

  2. Wenn das Gerät bereit ist, klicken Sie auf die Schaltfläche für die Absuche. Verfügt das Gerät über eine Seriennummer, werden die zugehörige Beschreibung und Seriennummer in der Liste aufgeführt.

  3. Wählen Sie in der Dropdown-Liste eine Einstellung aus (die Einstellung für das globale Wechselspeichergerät findet bei dieser Richtlinie keine Anwendung):

    • Aktivieren: Den Geräten in der Bevorzugt-Liste werden uneingeschränkte Lese-/Schreibrechte erteilt, alle anderen USB-Geräte und alle anderen externen Speichergeräte werden deaktiviert.

    • Nur Lesen: Den Geräten in der Bevorzugt-Liste wird das Recht "Nur Lesen" erteilt, alle anderen USB-Geräte und anderen externen Speichergeräte werden deaktiviert.

Wiederholen Sie diese Schritte für sämtliche Geräte, die gemäß dieser Richtlinie zulässig sind. Auf sämtliche Geräte wird dieselbe Einstellung angewendet.

Importieren von Gerätelisten

Der Novell-USB-Laufwerkscanner generiert eine Liste mit Geräten und deren Seriennummer (Abschnitt 1.11, USB-Laufwerkscanner). Wenn Sie diese Liste importieren möchten, klicken Sie auf Importieren und begeben Sie sich zu der Liste. Daraufhin werden die Felder Beschreibung und Seriennummer ausgefüllt.

Wi-Fi-Verwaltung

Im Rahmen der Wi-Fi-Verwaltung kann der Administrator Listen mit Zugriffspunkten erstellen. Durch die in diese Listen aufgenommenen Wireless-Zugriffspunkte wird bestimmt, mit welchen Zugriffspunkten der Endpunkt am Standort eine Verbindung herstellen darf. Zudem wird hiermit festgelegt, welche Zugriffspunkte für den Endpunkt in Zero Configuration Manager (Zero Config) von Microsoft angezeigt werden. Drittanbieter-Manager für die Wireless-Konfiguration werden für diese Funktionalität nicht unterstützt. Wenn keine Zugriffspunkte eingegeben werden, stehen dem Endpunkt alle Zugriffspunkte zur Verfügung.

Für den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Standorte und klicken Sie dann im Richtlinienbaum auf der linken Seite auf Wi-Fi-Verwaltung.

HINWEIS:Wird im Bereich für die Wi-Fi-Sicherheit oder die Wi-Fi-Verwaltung die Auswahl der Option Aktivieren aufgehoben, wird jegliche Wi-Fi-Konnektivität an diesem Standort deaktiviert.

Durch die Eingabe von Zugriffspunkten in die Liste Verwaltete Zugriffspunkte wird Zero Config deaktiviert und der Endpunkt wird gezwungen, nur eine Verbindung mit den Zugriffspunkten herzustellen, wenn sie verfügbar sind. Wenn die verwalteten Zugriffspunkte nicht zur Verfügung stehen, nutzt der ZENworks Security Client wieder die Liste der gefilterten Zugriffspunkte (Fallback). Zugriffspunkte, die in die Liste der unzulässigen·Zugriffspunkte eingegeben wurden, werden in Zero Config unter keinen Umständen angezeigt.

HINWEIS:Die Liste mit den Zugriffspunkten wird nur unter dem Betriebssystem Windows* XP unterstützt. Vor der Bereitstellung einer Liste mit Zugriffspunkten wird empfohlen, dass an sämtlichen Endpunkten die Liste der bevorzugten Netzwerke aus Zero Config gelöscht wird.

Die folgenden Abschnitte enthalten weitere Informationen:

Einstellungen für die Wi-Fi-Signalstärke

Wenn in der Liste mehr als ein WEP-verwalteter Zugriffspunkt definiert ist, kann die Signalstärken-Umschaltung für den Wi-Fi-Adapter festgelegt werden. Die Schwellenwerte für die Signalstärke können nach Standort angepasst werden, um zu bestimmen, wann der ZENworks Security Client nach einem anderen in der Liste definierten Zugriffspunkt sucht, ihn verwirft bzw. zu ihm wechselt.

Folgende Informationen können angepasst werden:

  • Search: Wenn die Signalstärke diesen Grad erreicht, beginnt der ZENworks Security Client mit der Suche nach einem neuen Zugriffspunkt, mit dem eine Verbindung hergestellt werden kann. "Niedrig" [-70 dB] ist die Standardeinstellung.

  • Switch: Damit der ZENworks Security Client die Verbindung mit einem neuen Verbindungspunkt herstellen kann, muss die Rundsendung dieses Zugriffspunkts mit der angegebenen Signalstärke erfolgen (oberhalb der aktuellen Verbindung). Die Standardeinstellung ist +20 dB.

Die Schwellenwerte für die Signalstärke werden anhand der Leistung (in dB) bestimmt, die vom Miniport-Treiber des Computers gemeldet wird. Da die dB-Signale hinsichtlich der Received Signal Strength Indication (RSSI, Angabe der Funksignalstärke) von jeder Wi-Fi-Karte und jedem Radio anders verarbeitet werden, können die Werte von Adapter zu Adapter unterschiedlich sein.

Sie können basierend auf folgenden Kriterien die von Ihnen bevorzugte Zugriffspunktauswahl festlegen:

  • Signalstärke

  • Verschlüsselungstyp

Die Standardwerte, die den definierten Schwellenwerten in der Verwaltungskonsole zugeordnet sind, sind für die meisten Wi-Fi-Adapter zutreffend. Es empfiehlt sich, die RSSI-Werte Ihrer Wi-Fi-Karte zu ermitteln, um den genauen Grad eingeben zu können. Die Novell-Werte lauten:

Name

Standardwert

Ausgezeichnet

-40 dB

Sehr gut

-50 dB

Gut

-60 dB

Niedrig

-70 dB

Sehr niedrig

-80 dB

HINWEIS:Obwohl die oben angegebenen Signalstärkenbezeichnungen denen entsprechen, die vom Zero Configuration Service von Microsoft verwendet werden, ist dies bei den Schwellenwerten möglicherweise nicht der Fall. Zero Config ermittelt die Werte basierend auf dem Störabstand (Signal to Noise Ratio, SNR), nicht nur auf dem von RSSI gemeldeten dB-Wert. Angenommen, ein Wi-Fi-Adapter empfängt ein Signal mit -54 dB und weist einen Störpegel von -22 dB auf, dann wird der Störabstand als 32 dB (-54 - -22 = 32) gemeldet, was laut der Zero Configuration-Skala einer ausgezeichneten Signalstärke entspricht. Auf der Novell-Skala jedoch entspricht das Signal mit -54 dB (falls so vom Miniport-Treiber gemeldet) einer sehr guten Signalstärke.

Wichtiger Hinweis: Für den Endbenutzer werden die Novell-Schwellenwerte für die Signalstärke unter keinen Umständen angezeigt; diese Angaben sollen lediglich verdeutlichen, was für den Benutzer von Zero Config angezeigt wird und was sich hinter den Kulissen tatsächlich abspielt.

Verwaltete Zugriffspunkte

In ZENworks Endpoint Security Management gibt es einen einfachen Prozess für die automatische Verteilung und Anwendung von Wired Equivalent Privacy-(WEP-)Schlüsseln ohne Benutzereingriff (hierbei wird Zero Configuration Manager von Microsoft umgangen und beendet). Die Integrität der Schlüssel bleibt hierbei gewahrt, da sie nicht in Klartext per E-Mail oder Memo weitergegeben werden. Dem Endbenutzer muss der Schlüssel nicht bekannt sein, um die automatische Verbindung zum Zugriffspunkt herzustellen. Hierdurch wird die potenzielle erneute Verteilung der Schlüssel an nicht autorisierte Benutzer verhindert.

Aufgrund der Sicherheitslücken, die die Shared WEP Key Authentication mit sich bringt, wird von Novell nur die Open WEP Key Authentication unterstützt. Bei der Shared Authentication sendet der Bestätigungsprozess für den Client-/Zugriffspunkt-Schlüssel sowohl eine unverschlüsselte als auch eine verschlüsselte Version eines Herausforderungssatzes, der ohne Mühe drahtlos ausspioniert werden kann. Auf diese Weise kann ein Hacker sowohl in den Besitz der unverschlüsselten Version (Klartextversion) als auch der verschlüsselten Version eines Satzes gelangen. Sobald ihm diese Information zur Verfügung steht, ist das Knacken des Schlüssels ein Kinderspiel.

Geben Sie für jeden Zugriffspunkt·folgende Informationen an:

  • SSID: Geben Sie die SSID-Nummer an. Bei der SSID-Nummer muss die Groß-/Kleinschreibung beachtet werden.

  • MAC-Adresse: Geben Sie die MAC-Adresse an (wird aufgrund der Häufigkeit unter SSID empfohlen). Erfolgt keine Angabe, wird angenommen, dass es mehrere Zugriffspunkte gibt, die bei Störmeldungen dieselbe SSID verwenden.

  • Tasten: Geben Sie den WEP-Schlüssel für den Zugriffspunkt an (10 oder 26 Hexadezimalzeichen).

  • Schlüsseltyp: Geben Sie den Verschlüsselungsschlüsselindex an, indem Sie in der Dropdown-Liste die entsprechende Ebene auswählen.

  • Störungsmeldung: Aktivieren Sie diese Option, wenn der definierte Zugriffspunkt zurzeit seine SSID per Rundsendung bekannt gibt. Wenn es sich um einen Zugriffspunkt handelt, auf den dies nicht zutrifft, belassen Sie diese Option deaktiviert.

HINWEIS:Der ZENworks Security Client versucht zunächst, die Verbindung zu den einzelnen störungsmeldenden Zugriffspunkten herzustellen, die in der Richtlinie aufgelistet sind. Wenn kein störungsmeldender Zugriffspunkt gefunden werden kann, versucht der ZENworks Security Client, die Verbindung zu einem nicht störungsmeldenden Zugriffspunkt (Identifizierung anhand der SSID) herzustellen, der in der Richtlinie aufgelistet ist.

Wenn in der Liste Verwaltete Zugriffspunkte ein oder mehrere Zugriffspunkte definiert sind, kann die Signalstärken-Umschaltung für den Wi-Fi-Adapter festgelegt werden.

Gefilterte Zugriffspunkte

Die in die Liste Gefilterte Zugriffspunkte eingegebenen Zugriffspunkte sind die einzigen, die in Zero Config angezeigt werden. Dadurch wird ein Endpunkt daran gehindert, eine Verbindung zu nicht autorisierten Zugriffspunkten herzustellen.

Geben Sie für jeden Zugriffspunkt folgende Informationen ein:

  • SSID: Geben Sie die SSID-Nummer an. Bei der SSID-Nummer muss die Groß-/Kleinschreibung beachtet werden.

  • MAC-Adresse: Geben Sie die MAC-Adresse an (wird aufgrund der Häufigkeit unter SSID empfohlen). Erfolgt keine Angabe, wird angenommen, dass es mehrere Zugriffspunkte gibt, die bei Störmeldungen dieselbe SSID verwenden.

Unzulässige Zugriffspunkte

In die Liste Unzulässige Zugriffspunkte eingegebene Zugriffspunkte werden in Zero Config nicht angezeigt, und der Endpunkt darf keine Verbindung zu ihnen herstellen.

Geben Sie für jeden Zugriffspunkt·folgende Informationen ein:

  • SSID: Geben Sie die SSID-Nummer an. Bei der SSID-Nummer muss die Groß-/Kleinschreibung beachtet werden.

  • MAC-Adresse: Geben Sie die MAC-Adresse an (wird aufgrund der Häufigkeit unter SSID empfohlen). Erfolgt keine Angabe, wird angenommen, dass es mehrere Zugriffspunkte gibt, die bei Störmeldungen dieselbe SSID verwenden.

Wi-Fi-Sicherheit

Wenn Wi-Fi-Kommunikationshardware (Wi-Fi-Adapter, PCMCIA-Karten oder andere Karten und integrierte Wi-Fi-Radios) global zulässig ist (siehe Wireless-Steuerung), können zusätzliche Einstellungen auf den Adapter an diesem Standort angewendet werden.

Für den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Standorte und klicken Sie dann im Richtlinienbaum auf der linken Seite auf Wi-Fi-Sicherheit.

HINWEIS:Wird im Bereich für die Wi-Fi-Sicherheit oder die Wi-Fi-Verwaltung die Auswahl der Option Aktivieren aufgehoben, wird jegliche Wi-Fi-Konnektivität an diesem Standort deaktiviert.

Der Wi-Fi-Adapter kann so konfiguriert werden, dass er an einem bestimmten Standort nur mit Zugriffspunkten mit einem bestimmten Verschlüsselungsgrad kommuniziert.

Wird beispielsweise eine WPA-Konfiguration von Zugriffspunkten in einer Zweigstelle bereitgestellt, kann der Adapter darauf beschränkt werden, nur mit Zugriffspunkten mit dem Verschlüsselungsgrad WEP 128 (oder einem höheren Grad) zu kommunizieren. So wird verhindert, dass unbeabsichtigt mit fremden Zugriffspunkten kommuniziert wird, die nicht sicher sind.

Es empfiehlt sich, eine benutzerdefinierte Meldung zu verfassen, wenn eine andere (sicherere) Einstellung als die verwendet wird, die besagt, dass keine Verschlüsselung erforderlich ist.

Es kann eine Voreinstellung für den Verbindungsaufbau mit Zugriffspunkten festgelegt werden (nach Verschlüsselungsstufe oder Signalstärke), wenn zwei oder mehr Zugriffspunkte in die Liste der verwalteten und gefilterten Zugriffspunkte aufgenommen werden. Durch die ausgewählte Stufe wird die Konnektivität mit Zugriffspunkten erzwungen, die mindestens die Mindestverschlüsselungsanforderung erfüllen.

Wenn beispielsweise WEP 64 die Verschlüsselungsanforderung ist und die Verschlüsselung ausschlaggebend ist, haben Zugriffspunkte mit dem höchsten Verschlüsselungsgrad Vorrang vor allen anderen. Wenn die Signalstärke ausschlaggebend ist, hat beim Verbindungsaufbau das stärkste Signal Vorrang.

2.2.3 Integritäts- und Behebungsregeln

ZENworks Endpoint Security Management bietet die Möglichkeit, zu überprüfen, ob erforderliche Software am Endpunkt ausgeführt wird, und stellt bei einem negativen Ergebnis sofortige Abhilfeprozeduren zur Verfügung.

Die folgenden Abschnitte enthalten weitere Informationen:

Antivirus- und Spyware-Regeln

Antivirus- und Spyware-Regeln prüfen, ob vorgesehene Antivirus- oder Spyware-Software am Endpunkt ausgeführt wird und auf dem neuesten Stand ist. Mithilfe von Tests wird ermittelt, ob die Software läuft und die Version aktuell ist. Ein positives Ergebnis beider Prüfungen erlaubt den Wechsel zu einem beliebigen der definierten Standorte. Wenn einer der Tests nicht bestanden wird, kann dies folgende Vorgänge nach sich ziehen (vom Administrator definiert):

  • Ein Bericht wird an den Berichtsservice gesendet.

  • Eine benutzerdefinierte Meldung wird angezeigt mit einer optionalen Verknüpfung, die Informationen über die Behebung der Regelverletzung bietet.

  • Der Benutzer wird in einen Quarantänezustand geschaltet, der seinen Netzwerkzugriff begrenzt und für bestimmte Anwendungen den Zugriff auf das Netzwerk unterbindet; so wird verhindert, dass der Benutzer das Netzwerk weiter infiziert.

Sobald in einem Folgetest festgestellt wird, dass die Endpunkte die Regeln einhalten, gelten für·die Sicherheitseinstellungen automatisch wieder die ursprünglichen Werte.

HINWEIS:Diese Funktion steht nur bei der ZENworks Endpoint Security-Installation zur Verfügung und kann für UWS-(Unlimited Web Solutions-)Sicherheitsrichtlinien nicht verwendet werden.

Für den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Integritäts- und Sanierungsregeln und klicken Sie dann im Richtlinienbaum auf der linken Seite auf Antivirus-/Spyware-Regeln.

Für Software, die sich nicht in der Standardliste befindet, können spezielle Tests definiert werden. Ein einzelner Test kann erstellt werden, der Prüfungen für einen oder mehrere Softwareteile in derselben Regel ausführt. Jede Vornahme der Prüfungen "Prozess läuft" und "Datei vorhanden" hat ihre eigenen Erfolgs- und Fehler-Ergebnisse.

So erstellen Sie eine neue Antivirus- oder Spyware-Regel:

  1. Wählen Sie im Komponentenbaum den Eintrag Antivirus-/Spyware-Regeln und klicken Sie dann auf die Option zum Erstellen einer neuen Antivirus-/Spyware-Regel.

  2. Klicken Sie auf Neue Komponente.

  3. Geben Sie einen Namen und eine Beschreibung für die Regel ein.

  4. Wählen Sie den Auslöser für die Regel aus:

    • Programmstart: Führt Tests beim Systemstart aus.

    • Standortwechsel: Führt Tests aus, wenn der ZENworks Security Client zu einem anderen Standort wechselt.

    • Zeitgeber: Führt Integritätstests gemäß einem definierten Zeitplan (auf Basis von Minute, Stunde oder Tag) aus.

  5. Klicken Sie auf Richtlinie speichern. Wenn Ihre Richtlinie Fehler aufweist, ziehen Sie Abschnitt 2.2.6, Fehlerbenachrichtigung zurate.

  6. Definieren Sie die Integritätstests.

So verknüpfen Sie bestehende Antivirus- oder Spyware-Regeln:

  1. Wählen Sie Antivirus-/Spyware-Regeln aus und klicken Sie dann auf Komponente verknüpfen.

  2. Wählen Sie die gewünschten Regeln·in der Liste aus.

  3. (Optional) Definieren Sie Tests, Überprüfungen und Ergebnisse neu.

    HINWEIS:Wenn Sie die Einstellungen in einer freigegebenen Komponente ändern, beeinflusst dies alle Instanzen dieser Komponente. Mithilfe des Befehls Auslastung anzeigen können alle anderen mit dieser Komponente verknüpften Richtlinien angezeigt werden.

  4. Klicken Sie auf Richtlinie speichern. Wenn Ihre Richtlinie Fehler aufweist, ziehen Sie Abschnitt 2.2.6, Fehlerbenachrichtigung zurate.

Integritätstests und -prüfungen sind automatisch inbegriffen und können nach Bedarf bearbeitet werden.

Integritätstests

Bei jedem Integritätstest können zwei Überprüfungen vorgenommen werden, Datei vorhanden und Prozess läuft. Jeder Test erhält seine eigenen Erfolgs- oder Fehlerergebnisse.

Für alle definierten Antivirus- und Spyware-Regeln wurden vorab Standardtests und -prüfungen geschrieben. Zusätzliche Tests können der Integritätsregel hinzugefügt werden.

Mehrere Tests werden in der hier angegebenen Reihenfolge ausgeführt. Der erste Test muss·erfolgreich abgeschlossen sein, bevor der nächste Test ausgeführt wird.

So erstellen Sie einen Integritätstest:

  1. Wählen Sie im Komponentenbaum den Eintrag Integritätstests, klicken Sie zum Erweitern der Liste neben dem gewünschten Bericht auf das "+"-Symbol, klicken Sie mit der rechten Maustaste auf Tests und wählen Sie dann die Option zum Hinzufügen neuer Tests.

  2. Geben Sie einen Namen und eine Beschreibung für den Test ein.

  3. Geben Sie den Text für den Erfolgsbericht des Tests ein.

  4. Definieren Sie Folgendes für einen Testfehler:

    • Bei Fehler fortfahren: Wählen Sie diese Option, wenn die Netzwerkkonnektivität bei Fehlschlag des Tests weiterhin für den Benutzer gegeben sein soll; Sie können auch festlegen, dass der Test wiederholt werden soll.

    • Firewall: Diese Einstellung wird angewendet, wenn der Test fehlschlägt. "Alle geschlossen", "Non-compliant Integrity" oder eine benutzerdefinierte Quarantäne-Firewall-Einstellung verhindert, dass der Benutzer eine Verbindung zum Netzwerk herstellen kann.

    • Nachricht: Wählen Sie eine benutzerdefinierte Meldung, die bei Fehlschlag des Tests angezeigt werden soll. Diese kann Schritte zur Problembehebung durch den Endbenutzer enthalten.

    • Bericht: Geben Sie den Fehlschlag-Bericht an, der an den Berichtsservice gesendet werden soll.

  5. Geben Sie eine Fehlschlag-Meldung an. Diese Meldung wird nur angezeigt, wenn eine oder mehrere der Prüfungen nicht bestanden werden. Aktivieren Sie das Kontrollkästchen und geben Sie dann in den dafür vorgesehenen Feldern die Informationen zur Meldung an.

  6. Ein Hyperlink kann hinzugefügt werden, über den Abhilfemaßnahmen bereitgestellt werden. Dabei kann es sich um einen Link zu weiteren Informationen oder zum Download eines Patches oder einer Aktualisierung für den nicht bestandenen Test handeln (siehe Hyperlinks).

  7. Klicken Sie auf Richtlinie speichern. Wenn Ihre Richtlinie Fehler aufweist, ziehen Sie Abschnitt 2.2.6, Fehlerbenachrichtigung zurate.

  8. Definieren Sie die Integritätsprüfungen.

  9. Wiederholen Sie die obigen Schritte, um gegebenenfalls einen neuen Antivirus- oder Spyware-Test zu erstellen.

Integritätsprüfungen

Mithilfe der Prüfungen für die einzelnen Tests wird ermittelt, ob einer oder mehrere der Antivirus-/Spyware-Prozesse ausgeführt werden bzw. ob essenzielle Dateien vorhanden sind. Mindestens eine Prüfung muss definiert werden, damit ein Integritätstest ausgeführt werden kann.

Wenn Sie eine neue Prüfung erstellen möchten, klicken Sie im Richtlinienbaum auf der linken Seite mit der rechten Maustaste auf Integritätsprüfungen und wählen·Sie dann die Option zum Hinzufügen neuer Integritätsprüfungen. Wählen Sie einen der beiden Prüfungstypen und geben Sie die unten beschriebenen Informationen ein:

Prozess wird ausgeführt: Hiermit kann ermittelt werden, ob die Software (z. B. der AV-Client) zum Zeitpunkt der Ereignisauslösung ausgeführt wird. Die einzige erforderliche Information für diesen Test ist der Name der ausführbaren Datei.

Datei vorhanden: Anhand dieser Prüfung wird festgestellt, ob die Software zum Zeitpunkt des Auslöseereignisses auf dem aktuellen Stand war.

Geben Sie die folgenden Informationen in die entsprechenden Felder ein:

  • Dateiname: Geben Sie den Namen der Datei an, die Sie überprüfen möchten.

  • Verzeichnis: Geben Sie das Verzeichnis an, in dem sich die Datei befindet.

  • Vergleich: Wählen Sie in der Dropdown-Liste einen Datumsvergleich aus:

    • None

    • Gleich

    • Größer oder gleich

    • Kleiner oder gleich

  • Vergleich nach: Geben Sie Alter oder Datum an.

    • Datum stellt sicher, dass die Datei nicht älter als das angegebene Datum mit Uhrzeit ist (z. B. das Datum der letzten Aktualisierung).

    • Alter stellt sicher, dass die·Datei nicht älter als eine bestimmte Zeitspanne, gemessen in Tagen, ist.

HINWEIS:Der Dateivergleich "Gleich" wird bei Verwendung der Altersprüfung als "Kleiner oder gleich" behandelt.

Die Prüfungen werden in der Reihenfolge durchgeführt, in der sie eingegeben werden.

Erweiterte Skriptregeln

ZENworks Endpoint Security Management enthält ein Werkzeug zur erweiterten Regel-Skripterstellung, mit dem Administratoren ausgesprochen·flexible und komplexe Regeln und Abhilfemaßnahmen definieren können.

Für den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Integritäts- und Sanierungsregeln und klicken Sie dann im Richtlinienbaum auf der linken Seite auf das Symbol für Erweiterte Skriptregeln.

Das Skriptwerkzeug verwendet die gängigen Skriptsprachen VBScript oder JScript zur Erstellung von Regeln, die sowohl einen Auslöser (wann die Regel ausgeführt werden soll) als auch das eigentliche Skript (die Logik der Regel) enthalten. Der Administrator ist nicht auf einen Typ des auszuführenden Skripts eingeschränkt.

Die Implementierung der erweiterten Skripterstellung erfolgt sequenziell, gemeinsam mit anderen Integritätsregeln. Folglich unterbindet ein Skript, dessen Ausführung geraume Zeit in Anspruch nimmt, die Ausführung anderer Regeln (einschließlich zeitlich festgelegter Regeln) so lange, bis dieses Skript abgeschlossen ist.

So erstellen Sie eine neue erweiterte Skriptregel:

  1. Klicken Sie im Komponentenbaum mit der rechten Maustaste auf Erweiterte Skriptregeln und wählen Sie dann die Option zum Hinzufügen neuer Skriptregeln.

  2. Geben Sie einen Namen und eine Beschreibung für die Regel ein.

  3. Geben Sie die Auslöse-Ereignisse an.

    • Zeitpunkte und Tage für die Ausführung: Sie können bis zu fünf unterschiedliche Zeitpunkte für die Skriptausführung angeben. Das Skript wird wöchentlich ausgeführt, und zwar an den ausgewählten Tagen.

    • Zeitgeberausführung alle: Geben Sie an, wie oft der Zeitgeber ausgeführt werden soll.

    • Sonstige Ereignisse: Geben Sie die Ereignisse am Endpunkt an, die zur Auslösung des Skripts führen.

    • Ereignis: Standortwechsel: Geben Sie das Standortwechselereignis an, das zur Auslösung des Skripts führt. Diese Ereignisse sind nicht unabhängig, sondern vielmehr als Ergänzung des vorangegangenen Ereignisses zu verstehen.

      • Ereignis: Standortprüfung: Das Skript wird bei jedem Standortwechsel ausgeführt.

      • Aktivieren bei Wechsel von: Das Skript wird nur ausgeführt, wenn der Benutzer diesen (angegebenen) Standort verlässt und an einen beliebigen anderen Standort wechselt.

      • Aktivieren bei Wechsel zu: Das Skript wird ausgeführt, wenn der Benutzer von einem beliebigen anderen Standort an diesen angegebenen Standort wechselt. Wenn bei Aktivieren bei Wechsel von ein Standortparameter angegeben wurde, beispielsweise "Büro", wird das Skript nur ausgeführt, wenn der Standortwechsel vom Büro zu dem angegebenen Standort erfolgt.

      • Wechsel muss manuell erfolgen: Das Skript wird nur ausgeführt, wenn der Benutzer den manuellen Standortwechsel vornimmt.

  4. Erstellen Sie Skriptvariablen. Weitere Informationen hierzu finden Sie in Skriptvariablen.

  5. Schreiben Sie den Skripttext. Weitere Informationen finden Sie unter Skripttext.

  6. Klicken Sie auf Richtlinie speichern. Wenn Ihre Richtlinie Fehler aufweist, ziehen Sie Abschnitt 2.2.6, Fehlerbenachrichtigung zurate.

So verknüpfen Sie eine vorhandene erweiterte Skriptregel:

  1. Wählen Sie Erweiterte Skriptregeln im Komponentenbaum aus und klicken Sie auf Neue verknüpfen.

  2. Wählen Sie die gewünschten Regeln·in der Liste aus.

  3. Definieren Sie Auslöse-Ereignis, Variablen bzw. Skript nach Bedarf neu.

    HINWEIS:Wenn Sie die Einstellungen in einer freigegebenen Komponente ändern, beeinflusst dies alle Instanzen dieser Komponente. Mithilfe des Befehls Auslastung anzeigen können alle anderen mit dieser Komponente verknüpften Richtlinien angezeigt werden.

  4. Klicken Sie auf Richtlinie speichern. Wenn Ihre Richtlinie Fehler aufweist, ziehen Sie Abschnitt 2.2.6, Fehlerbenachrichtigung zurate.

Skriptvariablen

Dies ist eine optionale Einstellung, mit welcher der Administrator eine Variable (var) für das Skript definieren kann. Damit hat er die Möglichkeit, ZENworks Endpoint Security Management-Funktionalität zu verwenden (z. B. benutzerdefinierte Meldungen oder Hyperlinks starten, zu einem definierten Standort oder einer Firewall-Einstellung umschalten) oder den Wert einer Variablen zu ändern, ohne das eigentliche Skript zu ändern.

So erstellen Sie eine neue Skriptvariable:

  1. Klicken Sie im Komponentenbaum mit der rechten Maustaste auf Skriptvariablen und wählen Sie dann die Option zum Hinzufügen neuer Variablen.

  2. Geben Sie einen Namen und eine Beschreibung für die Variable ein.

  3. Wählen Sie den Typ der Variablen:

    • Benutzerdefinierte Meldungen: Definiert eine benutzerdefinierte Meldung, die als Aktion gestartet werden kann.

    • Firewall: Definiert eine Firewall-Einstellung, die als Aktion angewendet werden kann.

    • Hyperlinks: Definiert einen Hyperlink, der als Aktion gestartet werden kann.

    • Standort: Definiert einen Standort, der als Aktion angewendet werden kann.

    • Nummer: Definiert einen Zahlenwert.

    • String: Definiert einen Zeichenkettenwert.

  4. Geben Sie den Wert·der Variablen an:

    • Alle adaptiv

    • Alle geschlossen

    • Alle geöffnet

    • Neue Firewall-Einstellungen

    • Non-Compliant Integrity

  5. Klicken Sie auf Richtlinie speichern. Wenn Ihre Richtlinie Fehler aufweist, ziehen Sie Abschnitt 2.2.6, Fehlerbenachrichtigung zurate.

Skripttext

Der ZENworks Endpoint Security Management-Administrator ist nicht auf den Skripttyp beschränkt, den der ZENworks Security Client ausführen kann. Es empfiehlt sich, sämtliche Skripte zu testen, bevor die Richtlinie verteilt wird.

Wählen Sie den Skripttyp aus (Jscript oder VBscript) und geben Sie den Skripttext in das Feld ein. Das Skript kann aus einer anderen Quelle kopiert und in das Feld eingefügt werden.

2.2.4 Einhaltungsberichterstellung

Aufgrund von Ebene und Zugriff der ZENworks Security Client-Treiber kann praktisch jede Transaktion, die der Endpunkt ausführt, in einen Bericht aufgenommen werden. Der Endpunkt kann jedes optionale Systeminventar für Fehlerbehebung und Richtlinienerstellung ausführen. Der Zugriff auf diese Berichte erfolgt über die Registerkarte Einhaltungs-Berichterstellung.

HINWEIS:Berichterstellung ist nicht verfügbar, wenn die Standalone-Verwaltungskonsole ausgeführt wird.

So führen Sie die Einhaltungs-Berichterstellung für diese Richtlinie durch:

  1. Geben Sie an, wie oft Berichte generiert werden sollen. Dies ist die Häufigkeit, mit der das Heraufladen von Daten vom ZENworks Security Client zum Richtlinienverteilungsservice erfolgt.

  2. Wählen Sie sämtliche Berichtskategorien bzw. Typen aus, die erfasst werden sollen.

Folgende Berichte stehen zur Verfügung:

Endpunkt

  • Nutzung der Standortrichtlinien: Der ZENworks Security Client meldet alle erzwungenen Standortrichtlinien und die Dauer dieser Erzwingung.

  • Erkannte Netzwerkumgebungen: Der ZENworks Security Client meldet alle erkannten Netzwerkumgebungs-Einstellungen.

Systemintegrität

  • Antivirus-, Spyware- und benutzerdefinierte Regeln: Der ZENworks Security Client meldet die konfigurierten Integritätsmeldungen auf der Basis von Testergebnissen.

  • Schutzaktivität gegen unbefugten Endpunktzugriff: Der ZENworks Security Client meldet alle Security Client-Manipulationsversuche.

  • Verwaltungsanweisung: Der ZENworks Security Client meldet alle Versuche, die Verwaltungsanweisung in der Security Client-Instanz zu initiieren.

  • Erzwingungsaktivitäten für verwaltete Anwendungen: Der ZENworks Security Client meldet alle Aktivitäten zur Erzwingung bei verwalteten Anwendungen.

Speichergeräte

  • Erkannte Wechseldatenträger: Der ZENworks Security Client meldet alle Wechselspeichergeräte, die von der Security Client-Instanz erkannt wurden.

  • Auf einen Wechseldatenträger kopierte Dateien: Der ZENworks Security Client meldet Dateien, die auf ein Wechselspeichergerät kopiert werden.

  • Von einem Wechseldatenträger geöffnete Dateien: Der ZENworks Security Client meldet Dateien, die auf einem Wechselspeichergerät geöffnet werden.

  • Verschlüsselungsverwaltung und -aktivität: Der ZENworks Security Client meldet Verschlüsselungs-/Entschlüsselungsaktivitäten mit ZENworks Storage Encryption Solution.

  • Auf Festplatten geschriebene Dateien: Der ZENworks Security Client meldet, wie viele Dateien auf die Festplatten des Systems geschrieben werden.

  • Auf CD-/DVD-Laufwerke geschriebene Dateien: Der ZENworks Security Client meldet, wie viele Dateien auf die CD-/DVD-Laufwerke des Systems geschrieben werden.

Netzwerke

  • Firewall-Aktivität: Der ZENworks Security Client meldet sämtlichen Datenverkehr, der von der Firewall blockiert wurde, die für die angewendete Standortrichtlinie konfiguriert wurde.

    WICHTIG:Das Aktivieren dieses Berichts kann dazu führen, dass große Datenmengen erfasst werden. Die Daten können sehr schnell zur Überlastung der Datenbank führen. Ein Test von einer·ZENworks Security Client-Instanz ergab 1.115 Daten-Uploads blockierter Pakete in einem Zeitraum von 20 Stunden. Vor der großangelegten Bereitstellung empfiehlt sich eine Überwachungs- und Anpassungsphase mit einem Test-Client in der jeweiligen Umgebung.

  • Netzwerkadapter-Aktivität: Der ZENworks Security Client meldet alle Datenverkehrsaktivitäten für ein verwaltetes Netzwerkgerät.

Wi-Fi

  • Erkannte Wireless-Zugriffspunkte: Der ZENworks Security Client meldet alle erkannten Zugriffspunkte.

  • Wireless-Zugriffspunktverbindungen: Der ZENworks Security Client meldet alle Zugriffspunktverbindungen, die vom Endpunkt erfolgt sind.

Geräteinventar

  • USB-Geräte: Der ZENworks Security Client meldet alle erkannten USB-Geräte im System.

2.2.5 Herausgeben

Fertiggestellte Sicherheitsrichtlinien werden über den Veröffentlichungsmechanismus an Benutzer gesendet. Sobald eine Richtlinie veröffentlicht ist, kann sie weiter aktualisiert werden; die Benutzer erhalten zu diesem Zweck bei geplanten Check-ins Aktualisierungen. Wenn Sie eine Richtlinie veröffentlichen möchten, klicken Sie auf die Registerkarte Veröffentlichen. Die folgenden Informationen werden angezeigt:

  • Der aktuelle Verzeichnisbaum

  • Erstellungs- und Änderungsdatum für die Richtlinie

  • Schaltflächen Aktualisieren und Veröffentlichen

Auf der Basis der aktuellen Veröffentlichungsberechtigungen des Benutzers kann der Verzeichnisbaum eine oder mehrere Auswahlen in Rot anzeigen. Benutzer dürfen keine·Benutzer/Gruppen veröffentlichen, die in Rot angezeigt sind.

Benutzer und ihre verknüpften Gruppen werden erst angezeigt, wenn sie sich beim Verwaltungsdienst authentifiziert haben. Änderungen im Verzeichnisdienst des Unternehmens werden eventuell nicht sofort in der Verwaltungskonsole angezeigt. Klicken Sie auf Aktualisieren, um den Verzeichnisbaum für den Verwaltungsdienst zu aktualisieren.

Die folgenden Abschnitte enthalten weitere Informationen:

Richtlinien veröffentlichen

  1. Wählen Sie eine Benutzergruppe (oder Einzelbenutzer) im Verzeichnisbaum links aus. Doppelklicken Sie auf Benutzer, um sie auszuwählen (ist eine Benutzergruppe ausgewählt, sind alle Benutzer eingeschlossen).

    Neben den Namen von Benutzern, die die Richtlinie nicht erhalten haben, wird das Symbol angezeigt. Wenn ein Benutzer/eine Gruppe die Richtlinie bereits erhalten hat, wird neben den Einträgen im Verzeichnisbaum das Symbol angezeigt.

    Wenn Sie die Auswahl eines Benutzers/einer Gruppe aufheben möchten, doppelklicken sie das jeweilige Element, um das Symbol zu entfernen.

  2. Klicken Sie auf Veröffentlichen, um die Richtlinie an den Richtlinienverteilungsservice zu senden.

Aktualisieren einer veröffentlichten Richtlinie

Nachdem eine Richtlinie für Benutzer veröffentlicht wurde, können einfache Aktualisierungen verwaltet werden, indem die Komponenten in einer Richtlinie bearbeitet werden und die Richtlinie erneut veröffentlicht wird. Wenn der ZENworks Endpoint Security Management-Administrator beispielsweise den WEP-Schlüssel für einen Zugriffspunkt ändern muss, muss er lediglich den Schlüssel bearbeiten, die Richtlinie speichern und dann auf Veröffentlichen klicken. Die betroffenen Benutzer erhalten die aktualisierte Richtlinie (und den neuen Schlüssel) bei ihrem nächsten Check-in.

2.2.6 Fehlerbenachrichtigung

Wenn der Administrator versucht, eine Richtlinie mit unvollständigen oder falschen Daten in einer Komponente zu speichern, wird der Bestätigungsbereich am unteren Rand der Verwaltungskonsole angezeigt, in dem die einzelnen Fehler hervorgehoben sind. Sämtliche Fehler müssen·korrigiert werden, bevor die Richtlinie gespeichert werden kann.

Doppelklicken Sie auf die einzelnen Bestätigungszeilen, um zum Bildschirm mit dem jeweiligen Fehler zu gelangen. Fehler werden wie in der nachfolgenden Abbildung dargestellt hervorgehoben.

2.2.7 Auslastung anzeigen

Änderungen, die an freigegebenen Richtlinienkomponenten vorgenommen werden, wirken sich auf alle Richtlinien aus, die damit verknüpft sind. Bevor Sie eine Richtlinienkomponente aktualisieren oder anderweitig ändern, sollten Sie den Befehl Auslastung anzeigen ausführen, um zu ermitteln, welche Richtlinien von der Änderung betroffen sind.

  1. Klicken Sie mit der rechten Maustaste auf die Komponente und klicken Sie dann auf Auslastung anzeigen.

    Daraufhin wird ein Popup-Fenster mit sämtlichen Instanzen dieser Komponente in anderen Richtlinien angezeigt.