Skip Navigation

Skriptsteuerung

Die Skriptsteuerung schützt
Windows
-Geräte, indem die Ausführung von Skripts blockiert wird. Wenn Sie die Ausführung von Skripts zulassen möchten, können Sie Ausschlüsse auf verschiedene Weise mithilfe von Platzhaltern hinzufügen. Sie können die Richtlinie beispielsweise so einstellen, dass die Ausführung von Skripten blockiert wird und nur Skripte ausgeführt werden können, die der Ausschlussliste hinzugefügt wurden.
Element
Beschreibung
Aktion
Für jeden Skripttyp können Sie eine der folgenden Aktionen auswählen:
  • Deaktiviert
    : Mit dieser Aktion können alle Skripte ausgeführt werden, ohne an die Konsole gemeldet zu werden. Diese Einstellung wird nicht empfohlen.
  • Warnung
    : Mit dieser Aktion können alle Skripte ausgeführt werden, dabei werden sie an die Konsole gemeldet. Verwenden Sie diese Einstellung, wenn Sie alle Skripte überwachen und beobachten möchten, die in Ihrer Umgebung ausgeführt werden. Diese Einstellung wird für die anfängliche Bereitstellung empfohlen, während der Sie festlegen, welche Skripte zugelassen oder blockiert werden sollen.
  • Blockieren
    : Diese Aktion blockiert die Ausführung aller Skripte, dabei werden sie an die Konsole gemeldet. Nur Dateien, die der Ausschlussliste hinzugefügt wurden, können ausgeführt werden. Verwenden Sie diese Einstellung nach dem Testen und Überwachen auf Bedrohungen im Warnungsmodus.
Die folgenden Einstellungen sind für Einstellungen für aktive Skripte und PowerShell-Skripte verfügbar:
  • UNSICHERE Skripte blockieren
    : Wenn sich das Skript nicht bereits in der Ausschlussliste befindet, ruft
    CylancePROTECT
    eine Bedrohungsbewertung für das Skript von den
    Cylance
    -Cloud-Diensten ab. Wenn es eine unsichere Bedrohungsbewertung erhält, wird die Ausführung des Skripts blockiert. Unsichere Dateien haben große Ähnlichkeit mit Malware. Nicht ausgewertete und abnormale Skripte werden an die Konsole gemeldet, aber nicht blockiert.
  • ABNORMALE und UNSICHERE Skripte blockieren
    : Wenn sich das Skript nicht bereits in der Ausschlussliste befindet, ruft
    CylancePROTECT
    eine Bedrohungsauswertung für das Skript von den
    Cylance
    -Cloud-Diensten ab. Wenn es eine abnormale oder unsichere Bedrohungsbewertung erhält, wird die Ausführung des Skripts blockiert. Unsichere Dateien haben große Ähnlichkeit mit Malware. Abnormale Dateien weisen einige Attribute auf, die Malware ähneln, es ist aber weniger wahrscheinlich, dass sie Malware sind, als bei unsicheren Dateien. Nicht ausgewertete Skripte werden an die Konsole gemeldet, aber nicht blockiert.
Sie finden Skriptsteuerungswarnungen und Blockierungsereignisse im Bildschirm
Schutz > Skriptsteuerung
.
Aktives Skript
Mit dieser Einstellung wird festgelegt, ob die Ausführung von aktiven Skripten zugelassen oder die Ausführung verhindert werden soll. Aktive Skripte umfassen VBScript und JScript.
Verwenden Sie für eine verbesserte Skriptsteuerung die Einstellung
UNSICHERE Skripte blockieren
oder
ABNORMALE und UNSICHERE Skripte blockieren
. Diese Einstellungen erfordern einen
CylancePROTECT Desktop
-Agenten der Version 3.2 oder höher. Wenn auf einem Gerät ein älterer Agent ausgeführt wird, wird das Skript standardmäßig blockiert.
PowerShell-Skript
Diese Einstellung steuert, ob die Ausführung von PowerShell-Skripten zugelassen oder blockiert werden soll.
Verwenden Sie für eine verbesserte Skriptsteuerung die Einstellung
UNSICHERE Skripte blockieren
oder
ABNORMALE und UNSICHERE Skripte blockieren
. Diese Einstellungen erfordern einen
CylancePROTECT Desktop
-Agenten der Version 3.2 oder höher. Wenn auf einem Gerät ein älterer Agent ausgeführt wird, wird das Skript standardmäßig blockiert.
PowerShell-Konsole
Mit dieser Einstellung wird festgelegt, ob die Ausführung der PowerShell-Konsole zugelassen oder ihr Start verhindert werden soll. Das Blockieren der PowerShell-Konsole bietet zusätzliche Sicherheit durch Schutz vor der Verwendung von PowerShell im interaktiven Modus.
Der Warnungsmodus für die PowerShell-Konsole erfordert einen
CylancePROTECT Desktop
-Agenten der Version 3.2 oder höher. Er ermöglicht die Ausführung von Skripten und meldet das erkannte Ereignis an die Verwaltungskonsole. Bei Agenten, die den Warnungsmodus nicht unterstützen, ist die Verwendung der PowerShell-Konsole standardmäßig zulässig und es wird keine Warnung generiert.
Wenn Sie ein Skript verwenden, das die PowerShell-Konsole startet, und die PowerShell-Konsole wird blockiert, kann das Skript nicht ausgeführt werden. Den Benutzern wird empfohlen, ihre Skripte so zu ändern, dass die PowerShell-Skripte aufgerufen werden und nicht die PowerShell-Konsole. Das kann mit dem Parameter
-file
erreicht werden. Ein grundlegender Befehl zur Ausführung eines PowerShell-Skripts ohne Aufruf der Konsole wäre:
Powershell.exe -file [script name]
Makros
(Version 2.1.1578 und früher)
Diese Einstellung steuert, ob für
Microsoft Office
-Makros Warnungen angezeigt oder diese blockiert werden sollen. Makros verwenden Visual Basic for Applications (VBA), das das Einbetten von Code in ein
Microsoft Office
-Dokument (in der Regel
Microsoft Office
,
Excel
und
PowerPoint
) ermöglicht. Der Hauptzweck von Makros ist die Vereinfachung von Routinevorgängen wie die Bearbeitung von Daten in einer Tabelle oder die Formatierung von Text in einem Dokument. Malware-Programmierer können jedoch Makros verwenden, um Befehle auszuführen und das System anzugreifen. Wenn ein Makro versucht, das System zu manipulieren, ist davon auszugehen, dass es eine bösartige Aktion durchführt. Der Agent sucht nach schädlichen Aktionen, die von einem Makro stammen, das sich auf Bereiche außerhalb der
Microsoft Office
-Produkte auswirkt.
Beachten Sie bitte Folgendes:
  • Die Funktion „Skriptsteuerungsmakros“ kann mit Agent-Version 2.1.1578 und früher genutzt werden. Verwenden Sie für neuere Agenten den Verletzungstyp
    Gefährliche VBA-Makros
    in der Speicherschutz-Richtlinie.
  • Alle Makro-Ausschlüsse, die für die Skriptsteuerung erstellt worden sind, müssen zu den Speicherschutzausschlüssen für den Verletzungstyp
    Gefährliche VBA-Makros
    hinzugefügt werden.
  • Ab
    Microsoft Office
     2013 sind Makros standardmäßig deaktiviert. Meistens brauchen Sie keine Makros zu aktivieren, um den Inhalt von
    Microsoft Office
    -Dokumenten anzuzeigen. Sie sollten nur Makros für Dokumente aktivieren, die Sie von vertrauenswürdigen Benutzern erhalten, und nur, wenn Sie einen guten Grund haben, sie zu aktivieren. Andernfalls sollten Makros immer deaktiviert werden.
Python
Diese Einstellung steuert, ob Python-Skripte (Version 2.7 und 3.0 bis 3.8) zugelassen oder deren Ausführung blockiert werden. Diese Einstellung gilt für Agent 2.1.1580 oder höher.
.NET DLR
Diese Einstellung steuert, ob die Ausführung von .NET DLR-Skripten zugelassen oder blockiert werden soll. Diese Einstellung gilt für Agent 2.1.1580 oder höher.
XLM-Makros
(Vorschau)
Die XLM-Makros-Funktion ist derzeit im Vorschaumodus verfügbar, wo sie möglicherweise unerwartetes Verhalten zeigt.
Diese Einstellung steuert, ob
CylancePROTECT Desktop
die Ausführung von
Excel
 4.0 (XLM)-Makros zulässt oder blockiert. Wenn Makros aktiviert und ausgeführt werden, kommuniziert die
Microsoft
AMSI-Schnittstelle mit dem Agenten, um zu bestimmen, ob das Makro ausgeführt oder gemäß der Geräterichtlinie gesperrt werden soll.
Diese Funktion erfordert Folgendes:
  • Microsoft Windows
    Version 10 oder höher
  • CylancePROTECT Desktop
    -Agent Version 3.1
  • VBA-Makros müssen im
    Excel
    -Menü
    Datei > Trust Center > Excel Trust Center > Makroeinstellungen
    deaktiviert werden.
Erweiterte Einstellungen
Die folgenden erweiterten Einstellungen unterstützen die Skriptauswertung und sind für die Skriptsteuerung von Vorteil:
  • Alle Skripte auswerten
    : Mit dieser Einstellung wird sichergestellt, dass alle Skripte unabhängig von der Skriptsteuerungseinstellung bewertet werden. Wenn die Einstellung für die Skriptsteuerung auf „Warnung“ oder „Blockieren“ gesetzt ist, werden Skripte nicht ausgewertet.
  • Skript in die Cloud hochladen
    : Diese Einstellung legt fest, ob eine Kopie des Skripts zur Bedrohungsanalyse und -auswertung in die
    CylancePROTECT
    -Cloud-Dienste hochgeladen wird. Wenn diese Option nicht ausgewählt ist, versucht
    CylancePROTECT
    eine Auswertung für das Skript anhand der Hash-Details zu erhalten.
  • Warnung nur bei Ausführung verdächtiger Skripte
    : Wenn ein Skript ausgewertet wird und keine Bedrohung erkannt wird, legt diese Einstellung fest, dass die Ausführung des Skripts nicht an die Verwaltungskonsole gemeldet wird. Wenn diese Option nicht ausgewählt ist, wird die Ausführung von Skripten an die Verwaltungskonsole gemeldet, selbst wenn keine Bedrohung zu erkennen ist.
Dateien, Skripte oder Prozesse ausschließen
Sie können Ordner angeben, um die Ausführung aller Skripte in diesem Ordner (und in entsprechenden Unterordnern) zuzulassen, ohne dass eine Warnmeldung generiert wird, selbst wenn die Skriptsteuerungen auf „Blockieren“ eingestellt sind. Sie können auch Ausschlüsse für Prozesse hinzufügen, damit Skripte von bestimmten Anwendungen ordnungsgemäß ausgeführt werden können, die andernfalls blockiert würden. Wenn die IT-Abteilung beispielsweise regelmäßig ein bestimmtes Tool zur Ausführung von Skripten verwendet, können Sie den Prozess für dieses Tool als Ausschluss hinzufügen, damit Skripte über dieses Tool ausgeführt werden können.
Sie müssen den relativen Pfad des Ordners oder Unterordners angeben. Ordnerpfade können auf ein lokales Laufwerk, ein zugeordnetes Netzlaufwerk oder einen UNC-Pfad (Universal Naming Convention) verweisen.
Ordner und Skripte ausschließen
  • Ordnerausschlüsse dürfen den Skript- oder Makrodateinamen nicht enthalten. Diese Einträge sind ungültig und werden vom Agenten ignoriert.
  • Wenn Sie ein bestimmtes Skript ausschließen möchten, müssen Sie einen Platzhalter verwenden. Weitere Informationen über die Verwendung von Platzhaltern zum Ausschließen bestimmter Skripte finden Sie unter Platzhalter in Skriptsteuerungsausschlüssen.
  • Wenn die Gruppe „Alle“ Schreibberechtigungen für einen Ordner erhält, kann jeder innerhalb oder außerhalb des Unternehmens ein Skript in dem Ordner ablegen und verfügt über Schreibrechte für diesen Ordner.
    CylancePROTECT Desktop
    sendet weiterhin Warnungen zu Skripten und blockiert sie. Die Schreibrechte gelten nicht nur für den direkten übergeordneten Ordner, sondern auch für alle übergeordneten Ordner bis hin zum Stammverzeichnis.
Prozesse ausschließen
  • Für Prozessausschlüsse ist Agent-Version 2.1.1580 oder höher erforderlich.
  • Die ausführbare Datei im Prozessausschluss kann von der Ausführungssteuerung unter Quarantäne gestellt werden und daher nicht ausführbar sein. Wenn die ausführbare Datei in Quarantäne verschoben wurde, müssen Sie sie der
    Richtlinie „Sichere Liste“
    auf der Registerkarte
    Dateiaktionen
    hinzufügen.
  • Prozessausschlüsse lassen die Ausführung von Skripten weiterhin zu und verhindern nicht, dass sie im angegebenen Ordner ausgeführt werden.