Beispiele zu Ausschlüssen für die Skriptsteuerung
Das Hinzufügen von Ausschlüssen für dynamische Skripte, die von einem bestimmten Verzeichnis ausgeführt werden, oder für ein Skript, das von mehreren verschiedenen Benutzerordnern ausgeführt wird, ist durch die Verwendung von Platzhaltern in Skriptsteuerungsausschlüssen möglich. Sie können beispielsweise das Token „*“ im Ausnahmepfad verwenden, um sicherzustellen, dass es Ihre Varianten abdeckt.
Die folgende Tabelle enthält einige Beispielausschlüsse mit Übereinstimmungen, die erfolgreich ausgeschlossen würden, und Nichtübereinstimmungen, die nicht ausgeschlossen werden.
Ausschlussbeispiel | Übereinstimmungen | Nichtübereinstimmungen |
---|---|---|
/users/*/temp/* |
|
Diese Ordner werden nicht ausgeschlossen, weil die Anzahl der Ordnerebenen nicht übereinstimmt. |
/program files*/app/script*.vbs |
|
Diese Ordner werden nicht ausgeschlossen, da die Platzhalter für mindestens ein Zeichen stehen. |
//*example.local/sysvol/script*.vbs | \\ad.example.local\sysvol\script1.vbs | \\ad.example.local\sysvol\script.vbs Dieses Skript wird nicht ausgeschlossen, da die Platzhalter für mindestens ein Zeichen stehen. |
/users/*/*/*.vbs |
|
Dieses Skript wird nicht ausgeschlossen, weil die Anzahl der Ordnerebenen nicht übereinstimmt. |
Prozessausschluss
Sie können der Liste der Skriptsteuerungsausschlüsse Prozesse hinzufügen. Diese Funktion kann nützlich sein, wenn Sie bestimmte Prozesse ausschließen möchten, die Skripte aufrufen. Sie können z. B. SCCM ausschließen, damit es PowerShell-Skripte in einem temporären Verzeichnis starten kann. Ein Prozess ist jeder Prozess, der einen Skript-Interpreter aufruft, um ein Skript auszuführen.
- Das folgende Beispiel ermöglicht es dem myfile.exe-Prozess, einen Interpreter (z. B. PowerShell.exe) zum Ausführen eines Skripts aufzurufen.
- /windows/*/myfile.exe
- Die folgenden Beispiele fügen der Ausschlussliste „myprocess.exe“ hinzu, sodass sie unabhängig vom Ordnerpfad ausgeführt werden kann:
- \myprocess.exe(auf einem lokalen Windows-Laufwerk)
- \\myprocess.exe(auf einem Windows-Netzlaufwerk)
- Im folgenden Beispiel wird der Ausschlussliste „myprocess.exe“ hinzugefügt, sodass die Ausführung nur über einen bestimmten Ordnerpfad möglich ist:
- \directory\child\myprocess.exe(auf einem lokalen Windows-Laufwerk)
- \\directory\child\myprocess.exe(auf einem Windows-Netzlaufwerk)
- Absolute Pfade werden für Ausschlüsse nicht unterstützt.
- Vorgänger werden nicht unterstützt.
- Wenn eine ausführbare Datei (exe) zu einem Ausschluss hinzugefügt wird, wird automatisch /[CySc_process]/ zum Ausschluss hinzugefügt. Wenn Sie den obigen Beispielausschluss hinzugefügt haben, wäre das Ergebnis: /[CySc_process]/ /windows/*/myfile.exe.
Alternative Optionen für Ausschlüsse für die Skriptsteuerung
Als alternative Methode zum Ausschließen von Skripts können Sie die globale sichere Liste verwenden oder ein Zertifikat hinzufügen.
- Diese Methode erfordert einen SHA256-Hash-Wert und geht davon aus, dass sich dieser Wert nicht ändert. Aktualisierungen des Skripts oder vom Skript vorgenommene Änderungen führen dazu, dass sich der Hash-Wert ändert. Daher ist für diese Methode mehr Verwaltungsaufwand erforderlich, wenn das Skript oder Makro häufig aktualisiert oder programmgesteuert geändert wird (z. B. Hinzufügen eines neuen Datums oder einer neuen Uhrzeit, Systemanfragen, Abrufen von Daten). Jedes Mal, wenn derCylancePROTECT Desktop-Agent ein Skript an die Verwaltungskonsole meldet, muss er einen SHA256-Hash-Wert melden. Bei jeder Änderung des Hash-Werts meldet der Agent den neuen Wert und Sie müssen den neuen Wert zur globalen sicheren Liste hinzufügen. Wenn ein Hash-Wert nicht generiert werden kann (z. B. weil das Skript nicht ordnungsgemäß ausgeführt wird, die Datei nicht vorhanden ist oder Berechtigungsprobleme vorliegen), wird ein generischer Hash verwendet, wenn das Skript an die Konsole gemeldet wird.
- Der folgende SHA256-Hash-Wert ist ein generischer Hash, den derCylancePROTECT Desktop-Agent verwendet, wenn kein Hash für ein Skript generiert werden kann. Wenn Sie versuchen, diesen Wert zur globalen sicheren Liste hinzuzufügen, wird aufgrund der Agentenfunktionalität eine Fehlermeldung angezeigt.
- FE9B64DEFD8BF214C7490AA7F35B495A79A95E81F8943EE279DC99998D3D3440
- Der folgende SHA256-Hash-Wert ist ein generischer Hash, den derCylancePROTECT Desktop-Agent verwendet, wenn ein einzeiliger PowerShell-Befehl verwendet wird und kein Hash für ein Skript generiert werden kann. Wenn Sie versuchen, diesen Wert zur globalen sicheren Liste hinzuzufügen, wird aufgrund der Agentenfunktionalität eine Fehlermeldung angezeigt.
- FE9B64DEFD8BF214C7490BB7F35B495A79A95E81F8943EE279DC99998D3D3440
- Diese Methode erfordert, dass Sie ein gültiges Codesignaturzertifikat an die Konsole senden und ist nur für PowerShell- und Active-Skripte (keine Makros) verfügbar.