10.4 Eine Sicherheitsrichtlinie erstellen

Die Sicherheitseinstellungen eines Geräts werden von den Sicherheitsrichtlinien gesteuert, die vom Endpoint Security Agent angewendet wurden. Sicherheitsrichtlinien steuern eine Vielzahl sicherheitsrelevanter Funktionen. Je nach den Anforderungen in Ihrem Unternehmen können Sie alle oder einige der Richtlinien verwenden. Für die Antimalware-Richtlinien sind eine Antimalware-Aktualisierungsberechtigung und die Konfiguration des Antimalware-Servers erforderlich. Auch für die Nutzung der Antimalware-Überwachungsfunktionen fallen mehrere Konfigurationsschritte an. Weitere Informationen finden Sie im Handbuch ZENworks Endpoint Security Antimalware Reference (Referenz zu ZENworks Endpoint Security Antimalware).

Richtlinie		Beschreibung
	Antimalware-Durchsetzung	Installiert den Antimalware-Agenten und konfiguriert die grundlegenden On-Access- und On-Demand-Absuchen, die verwaltete Geräte gegen Malware-Bedrohungen schützen. Diese Richtlinie bildet die Basisrichtlinie und installiert den Agenten, weshalb sie Geräten zugewiesen werden muss, bevor alle optionalen Richtlinien (Richtlinie für benutzerdefinierte Absuche, Netzwerkabsuchrichtlinie und Absuchausschlussrichtlinie) zugewiesen und durchgesetzt werden können.
	Benutzerdefinierte Antimalware-Absuche	Definiert und plant zusätzliche Absuchen auf lokalen Laufwerken neben den vollständigen Absuchen und den Schnellabsuchen, die bereits in der Antimalware-Durchsetzungsrichtlinie definiert sind. Eröffnet Ihnen die Möglichkeit, auf bestimmte Bedrohungen abzuzielen, die nicht in den regelmäßig geplanten Absuchen mit der Antimalware-Durchsetzungsrichtlinie abgedeckt sind.
	Antimalware-Netzwerkabsuche	Definiert und plant Absuchen ausschließlich auf Netzlaufwerken. Diese Richtlinie eröffnet Ihnen die Möglichkeit, von einem bestimmten Gerät aus auf ein Netzlaufwerk abzuzielen. Beispielsweise können Sie mit dieser Richtlinie ein Dateispeicherlaufwerk in einem Laufwerks-Array absuchen. Der Netzwerkberechtigungsnachweis muss in der Richtlinie definiert sein, damit der Zugriff auf Netzwerkdateien möglich ist.
	Antimalware-Absuchausschlüsse	Passt zusätzliche Absuchausschlüsse neben den Ausschlüssen, die bereits in anderen Antimalware-Richtlinien konfiguriert sind, an. Sobald diese Richtlinie erstellt wird, können Sie die Option „Ausschlussrichtlinie“ in die Details der benutzerdefinierten Ausschlüsse der drei anderen Antimalware-Richtlinien aufnehmen. Die Richtlinie wird dann auf der Grundlage derselben Gerätezuweisung der Ausschlussrichtlinie und der Antimalware-Richtlinie, in der diese Option konfiguriert wird, durchgesetzt.
	Anwendungssteuerung	Blockiert die Ausführung von Anwendungen oder verweigert den Internetzugriff durch Anwendungen. Sie geben die Anwendungen an, die gesperrt sind oder denen der Internetzugriff verweigert wird.
	Kommunikationshardware	Deaktiviert die folgende Kommunikationshardware: 1394-Firewire, IrDA-Infrared, Bluetooth, seriell/parallel, Dialup, kabelgebunden und kabellos. Jede Kommunikationshardware wird einzeln konfiguriert, was bedeutet, dass Sie einige Hardwaretypen (wie zum Beispiel Bluetooth und Dialup) deaktivieren und andere aktiviert lassen können.
	Firewall	Steuert die Netzwerk-Konnektivität durch Deaktivieren von Ports, Protokollen und Netzwerkadressen (IP und MAC).
	Microsoft-Datenverschlüsselung	Steuert die Verschlüsselung von Wechseldatenträgern und Ordnern auf Festplatten mit Microsoft BitLocker bzw. Microsoft Encrypting File System (EFS).
	Skripts	Führt ein Skript (JScript oder VBScript) auf einem Gerät aus. Sie können die Auslöser angeben, die die Ausführung des Skripts bewirken. Auslöser können auf Endpoint Security Agent-Aktionen (Aktionen der Endpunktsicherheitsverwaltung), Standortänderungen oder Zeitintervallen beruhen.
	Steuerelement für Speichergerätsteuerung	Steuert den Zugriff auf CD/DVD-Laufwerke, Diskettenlaufwerke und Wechselspeicherlaufwerke. Jeder Speichergerätetyp wird einzeln konfiguriert, was bedeutet, dass Sie einige deaktivieren und andere aktivieren können.
	USB-Konnektivität	Steuert den Zugriff auf USB-Geräte wie Wechselspeichergeräte, Drucker, Eingabegeräte (Tastaturen, Mausgeräte etc.). Sie können einzelne Geräte oder Gerätegruppen angeben. Sie können beispielsweise den Zugriff auf einen bestimmten Drucker deaktivieren und den Zugriff auf alle Sandisk-USB-Geräte aktivieren.
	VPN-Erzwingung	Erzwingt eine auf dem Standort des Geräts basierende VPN-Verbindung. Wenn beispielsweise der Standort eines Geräts unbekannt ist, können Sie eine VPN-Verbindung erzwingen, über die der Internetverkehr insgesamt geroutet wird.
	Wi-Fi	Deaktiviert Funkadapter, blockiert Funkverbindungen, steuert Verbindungen zu kabellosen Zugriffspunkten und so weiter.

Zusätzlich zu den oben genannten Sicherheitsrichtlinien können die folgenden Sicherheitsrichtlinien zum Schutz und zur Konfiguration des Endpoint Security Agent verwendet werden. Angesichts der Beschaffenheit der Standortzuweisungsrichtlinie sollten Sie sie als erste Richtlinie erstellen und zuweisen.

Richtlinie	Beschreibung
	Sicherheitseinstellungen	Schützt den Endpoint Security Agent vor Manipulation und Deinstallation. Diese Richtlinie wird jedoch beibehalten und unterstützt Geräte, auf denen noch der Endpoint Security Agent aus ZENworks 11 oder ZENworks 11 SP1 ausgeführt wird. Sie wird nicht für den aktuellen Endpoint Security Agent verwendet. Diese Agentenversionen nutzen weiterhin die Richtlinie für Sicherheitseinstellungen. Weitere Informationen zum Konfigurieren der Einstellungen für die ZENworks-Agentensicherheit nach ZENworks 11 SP1 finden Sie unter Konfigurieren der ZENworks-Agent-Sicherheit.
	Standortzuweisung	Enthält die Liste der zulässigen Standorte für ein Gerät oder einen Benutzer. Der Endpoint Security Agent evaluiert seine aktuelle Netzwerkumgebung, um zu ermitteln, ob sie mit einem der zulässigen Standorte übereinstimmt. Wenn dies der Fall ist, wird der Standort zum Sicherheitsstandort und der Agent wendet alle mit dem Standort verknüpften Sicherheitsrichtlinien darauf an. Wenn sie mit keinem der Standorte in der Liste übereinstimmt, werden die Sicherheitsrichtlinien angewendet, die mit dem Standort „Unbekannt“ verknüpft sind. Wenn Sie vorhaben, standortbasierte Richtlinien zu verwenden, sollten Sie sicherstellen, dass jedem Gerät oder Benutzer eine Standortzuweisungsrichtlinie zugewiesen wurde. Wenn einem Gerät bzw. Benutzer des Geräts keine Standortzuweisungsrichtlinie zugewiesen wurde, kann der Endpoint Security Agent keine standortbasierten Richtlinien auf das Gerät anwenden.

Richtlinie

Beschreibung

Sicherheitseinstellungen

Schützt den Endpoint Security Agent vor Manipulation und Deinstallation. Diese Richtlinie wird jedoch beibehalten und unterstützt Geräte, auf denen noch der Endpoint Security Agent aus ZENworks 11 oder ZENworks 11 SP1 ausgeführt wird. Sie wird nicht für den aktuellen Endpoint Security Agent verwendet. Diese Agentenversionen nutzen weiterhin die Richtlinie für Sicherheitseinstellungen.

Weitere Informationen zum Konfigurieren der Einstellungen für die ZENworks-Agentensicherheit nach ZENworks 11 SP1 finden Sie unter Konfigurieren der ZENworks-Agent-Sicherheit.

Standortzuweisung

Enthält die Liste der zulässigen Standorte für ein Gerät oder einen Benutzer. Der Endpoint Security Agent evaluiert seine aktuelle Netzwerkumgebung, um zu ermitteln, ob sie mit einem der zulässigen Standorte übereinstimmt. Wenn dies der Fall ist, wird der Standort zum Sicherheitsstandort und der Agent wendet alle mit dem Standort verknüpften Sicherheitsrichtlinien darauf an. Wenn sie mit keinem der Standorte in der Liste übereinstimmt, werden die Sicherheitsrichtlinien angewendet, die mit dem Standort „Unbekannt“ verknüpft sind.

Wenn Sie vorhaben, standortbasierte Richtlinien zu verwenden, sollten Sie sicherstellen, dass jedem Gerät oder Benutzer eine Standortzuweisungsrichtlinie zugewiesen wurde. Wenn einem Gerät bzw. Benutzer des Geräts keine Standortzuweisungsrichtlinie zugewiesen wurde, kann der Endpoint Security Agent keine standortbasierten Richtlinien auf das Gerät anwenden.

So erstellen Sie eine Sicherheitsrichtlinie:

Klicken Sie im ZENworks-Kontrollzentrum auf Richtlinien, um die Seite „Richtlinien“ anzuzeigen.
Klicken Sie im Richtlinienbereich auf Neu > Richtlinie, um den Assistenten zum Erstellen neuer Richtlinien zu starten.
Wählen Sie auf der Seite „Plattform auswählen“ die Option Windows aus und klicken Sie anschließend auf Weiter.
Wählen Sie auf der Seite "Richtlinienkategorie auswählen" die Option Windows Endpoint Security-Richtlinien aus und klicken Sie anschließend auf Weiter.
Wählen Sie auf der Seite „Richtlinientyp auswählen“ den zu erstellenden Richtlinientyp aus und klicken Sie anschließend auf Weiter.

Wenn Sie Standorte erstellt haben und vorhaben, standortbasierte Richtlinien zu verwenden, müssen Sie mindestens eine Standortzuweisungsrichtlinie erstellen und diese den Geräten oder den Benutzern der Geräte zuweisen. Anderfalls ist keiner der erstellten Standorte für die Geräte verfügbar, was bedeutet, dass keine der standortbasierten Richtlinien angewendet werden kann.
Geben Sie auf der Seite „Details definieren“ einen Namen für die Richtlinie an und wählen Sie den Ordner aus, in dem die Richtlinie abgelegt werden soll.

Der Name muss unter allen anderen im ausgewählten Ordner befindlichen Richtlinien eindeutig sein.
(Bedingt) Wenn die Seite „Vererbung und Standortzuweisungen konfigurieren“ angezeigt wird, konfigurieren Sie die folgenden Einstellungen und klicken Sie anschließend auf Weiter.
- Vererbung: Lassen Sie die Einstellung Aus Richtlinienhierarchie übernehmen ausgewählt, wenn diese Richtlinie aktiviert werden soll, um Einstellungen von Richtlinien desselben Typs zu übernehmen, die in der Richtlinienhierarchie übergeordnet sind. Wenn Sie beispielsweise diese Richtlinie einem Gerät zuweisen und eine andere Richtlinie (desselben Typs) dem Ordner des Geräts, kann diese Richtlinie durch Aktivieren dieser Option Einstellungen von derjenigen Richtlinie übernehmen, die dem Ordner des Geräts zugewiesen sind. Heben Sie die Auswahl der Einstellung Aus Richtlinienhierarchie übernehmen auf, wenn diese Richtlinie keine Richtlinieneinstellungen übernehmen soll.
- Standortzuweisungen: Richtlinien können global oder standortbasiert sein. Eine globale Richtlinie kann unabängig vom Standort angewendet werden. Eine standortbasierte Richtlinie wird nur angewendet, wenn das Gerät erkennt, dass es zu den Standorten gehört, die der Richtlinie zugewiesen wurden.
  
  Wählen Sie aus, ob diese Richtlinie global oder standortbasiert ist. Wenn Sie standortbasiert auswählen, klicken Sie auf Hinzufügen, wählen Sie die Standorte aus, denen die Richtlinie zugewiesen werden soll und klicken Sie anschließend auf OK, um sie der Liste hinzuzufügen.
Konfigurieren Sie die richtlinienspezifischen Einstellungen und klicken Sie anschließend auf Weiter, bis Sie auf der Seite „Zusammenfassung“ angelangt sind.

Weitere Informationen über die Einstellungen der Richtlinie erhalten Sie, wenn Sie im ZENworks-Kontrollzentrum auf Hilfe > Aktuelle Seite klicken.
Überprüfen Sie die Informationen auf der Seite „Zusammenfassung“, um sicherzustellen, dass sie korrekt sind. Falls Sie nicht korrekt sind, können Sie auf die Schaltfläche Zurück klicken, um die entsprechende Assistentenseite erneut zu besuchen und Änderungen vorzunehmen. Wenn die Informationen korrekt sind, wählen Sie eine der folgenden Optionen aus (falls gewünscht) und klicken Sie anschließend auf Fertig stellen.
- Als Sandbox erstellen: Wählen Sie diese Option aus, um die Richtlinie als Sandbox-Version zu erstellen. Benutzer und Geräte haben erst Zugriff auf die Sandbox-Version, wenn Sie sie veröffentlichen. Sie können sie beispielsweise Benutzern und Geräten zuweisen, sie wird jedoch erst angewendet, nachdem Sie sie veröffentlicht haben.
- Zusätzliche Eigenschaften definieren: Wählen Sie diese Option aus, um die Eigenschaftenseiten der Richtlinie anzuzeigen. Auf diesen Seiten können Sie Richtlinieneinstellungen bearbeiten und die Richtlinie Benutzern und Geräten zuweisen.