Skip Navigation

Erstellen einer
CylancePROTECT Desktop
-Testrichtlinie

Sie sollten
CylancePROTECT Desktop
-Richtlinienfunktionen phasenweise implementieren, um sicherzustellen, dass weder die Leistung noch die Vorgänge beeinträchtigt werden. Standardmäßig sind Richtlinienfunktionen beim Erstellen einer Geräterichtlinie nicht aktiviert und müssen daher manuell aktiviert werden. Wenn Sie die Arten von Bedrohungen kennen, die in Ihrer Umgebung protokolliert werden, und wissen, wie sich der
CylancePROTECT Desktop
-Agent verhält, können Sie nach und nach weitere Richtlinienfunktionen aktivieren.
Es wird empfohlen, Geräterichtlinien auf Geräten zu testen, die die in Ihrem Unternehmen verwendeten Anwendungen enthalten. Es ist wichtig, dass die Geräte, die Sie zum Testen von Geräterichtlinien verwenden, die Geräte in Ihrer Produktionsumgebung möglichst genau widerspiegeln (nicht nur auf einer „sauberen“ Maschine testen), um sicherzustellen, dass Anwendungen ordnungsgemäß ausgeführt werden können, wenn Richtlinien durch den
CylancePROTECT Desktop
-Agenten durchgesetzt werden. Sie können beispielsweise einen Teil der Geräte in Ihrer Produktionsumgebung auswählen, die alle Anwendungen (proprietär und benutzerdefiniert) enthalten, die Benutzer für ihre täglichen Aktivitäten benötigen.
Der Agent verwendet nur die Ausführungssteuerung und Prozessüberwachung, um laufende Prozesse zu analysieren. Dies umfasst alle Dateien, die beim Start ausgeführt werden, auf automatische Ausführung eingestellt sind oder manuell vom Benutzer ausgeführt werden. Der Agent sendet nur Warnungen an die Verwaltungskonsole. Standardmäßig werden keine Dateien blockiert oder unter Quarantäne gestellt.
  1. Klicken Sie in der Verwaltungskonsole auf
    Richtlinien > Geräterichtlinie > Neue Richtlinie hinzufügen
    .
  2. Geben Sie im Feld
    Richtlinienname
    einen Namen für die Testrichtlinie ein.
  3. Aktivieren Sie
    Automatisches Hochladen
    , um verdächtige Dateien zu analysieren und zur weiteren Analyse an die
    CylancePROTECT
    -Cloud-Dienste zu senden.
    1. Wählen Sie auf der Registerkarte
      Dateiaktionen
      im Abschnitt
      Automatisches Hochladen
      alle verfügbaren Dateitypen aus.
    2. Klicken Sie auf
      Erstellen
      , um die erste Testrichtlinie zu erstellen.
    3. Weisen Sie die anfängliche Testrichtlinie
      CylancePROTECT Desktop
      -Endpunkten zu, die Sie für Tests verwenden.
    4. Lassen Sie diese Testrichtlinie einen Tag lang auf den zugewiesenen Geräten laufen, um Anwendungen und Prozesse, die normalerweise auf dem Gerät verwendet werden, auszuführen und zu analysieren. Sie sollten zudem erforderliche Anwendungen berücksichtigen, die regelmäßig auf einem Gerät ausgeführt werden (z. B. einmal pro Woche), und die außerhalb dieses Testlaufs überwacht werden müssen.
    5. Navigieren Sie beim Testen der Richtlinie in der Verwaltungskonsole zum Bildschirm
      Schutz > Bedrohungen
      , um eine Liste der Anwendungen und Prozesse anzuzeigen, die
      CylancePROTECT
      als Bedrohung betrachtet (anormal oder unsicher), und identifizieren Sie die Anwendungen, die auf dem Endpunkt ausgeführt werden dürfen. Sie können auf eine Bedrohung klicken, um weitere Informationen dazu anzuzeigen, und die schädliche Datei herunterladen, um eine eigene Bedrohungsanalyse durchzuführen. Die schädliche Datei wird nicht verändert, aber mit dem SHA256-Hash ohne Dateierweiterung umbenannt, um eine versehentliche Ausbreitung zu verhindern. Wenn Sie den Dateinamen so ändern, dass er die ursprüngliche Dateierweiterung enthält, wird die schädliche Datei möglicherweise ausgeführt. Es werden keine personenbezogenen Daten an die Konsole oder an andere Mandanten bzw. Unternehmen weitergegeben.
    6. Navigieren Sie zu
      Richtlinien > Geräterichtlinie
      und bearbeiten Sie die Geräterichtlinie, damit bestimmte Anwendungen und Prozesse auf Endpunkten ausgeführt werden können, denen diese Richtlinie zugewiesen ist. Auf der Registerkarte
      Dateiaktionen
      können Sie Dateien zum Abschnitt
      Richtlinie „Sichere Liste“
      hinzufügen.
      Sie können auch Dateien auf bestimmten Geräten oder auf allen Geräten in Ihrem Unternehmen unter Quarantäne stellen oder ignorieren. Weitere Informationen finden Sie unter Verwalten von sicheren und unsicheren Listen für CylancePROTECT Desktop.
  4. Bearbeiten Sie die Geräterichtlinie, damit die Scans zur Erkennung von Bedrohungen im Hintergrund ausführbare Dateien auf der Festplatte analysieren können, bei denen es sich möglicherweise um inaktive Bedrohungen handelt.
    1. Aktivieren Sie auf der Registerkarte
      Schutzeinstellungen
      die Einstellung
      Bedrohungserkennung im Hintergrund
      , und wählen Sie die Option
      Einmal ausführen
      aus. Auch wenn regelmäßige Scans aufgrund der Vorhersagefähigkeit der Lösung nicht erforderlich sind, können Sie die Option
      Wiederholt ausführen
      auswählen, um sie beispielsweise für Compliance-Zwecke zu aktivieren.
    2. Aktivieren Sie die Einstellung
      Auf neue Dateien überwachen
      . Diese Einstellung kann jedoch die Leistung des Geräts beeinträchtigen. Das Hinzufügen von Ordnerausschlüssen kann dazu beitragen, die Leistungsbeeinträchtigung zu verringern.
    3. Um bestimmte Ordner von der Bedrohungserkennung im Hintergrund auszuschließen, wählen Sie
      Bestimmte Ordner ausschließen (einschließlich Unterordner)
      aus, und geben Sie die auszuschließenden Ordner an. Um die Ausführung von Dateien in den angegebenen Ordnern zuzulassen, wählen Sie
      Ausführung zulassen
      aus. Weitere Informationen zu diesen Feldern finden Sie unter Schutzeinstellungen.
    4. Klicken Sie auf
      Speichern
      , um die Richtlinie zu speichern.
    5. Testen Sie die Richtlinie erneut, und stellen Sie sicher, dass alle Anwendungen, die Benutzer verwenden müssen, ausgeführt werden dürfen. Der Bedrohungsscan im Hintergrund kann bis zu einer Woche dauern, je nachdem, wie stark das System ausgelastet ist und wie viele Dateien analysiert werden müssen. Stellen Sie bei Bedarf sicher, dass Sie Dateien zur Richtlinie „Sichere Liste“ oder zur globalen sicheren Liste hinzufügen oder für einzelne Geräte ignorieren. Sie können in den Schutzeinstellungen auch den Ordner ausschließen, der die Datei enthält.
  5. Bearbeiten Sie die Geräterichtlinie, um unsichere Prozesse zu beenden, die auf dem System ausgeführt werden. Wenn beispielsweise eine Bedrohung in einer ausführbaren Datei (.exe oder .msi) erkannt wird und diese als unsicher gilt, werden mit dieser Einstellung die laufenden Prozesse und deren Unterprozesse beendet.
    1. Aktivieren Sie auf der Registerkarte
      Schutzeinstellungen
      die Einstellung
      Unsichere laufende Prozesse beenden
      .
  6. Bearbeiten Sie die Richtlinie, um die Einstellungen für die automatische Quarantäne für unsichere und anormale Dateien zu aktivieren.
    1. Aktivieren Sie auf der Registerkarte
      Dateiaktionen
      unter der Tabellenspalte
      Unsicher
      die Einstellung
      Automatische Quarantäne
      neben
      Ausführbare Datei
      , um unsichere Dateien automatisch in den Quarantäneordner auf dem Gerät zu verschieben. Unsichere Dateien weisen Malware-Merkmale auf und sind wahrscheinlich Malware.
    2. Aktivieren Sie unter
      Anormal
      die Option
      Automatische Quarantäne
      , um anormale Dateien automatisch in den Quarantäneordner auf dem Gerät zu verschieben. Anormale Dateien weisen einige Malware-Merkmale auf, aber in geringerem Maße als unsichere Dateien, und sind mit geringerer Wahrscheinlichkeit Malware.
  7. Bearbeiten Sie die Richtlinie, um die Speicherschutzeinstellungen zu aktivieren und Speicher-Exploits, Prozessinjektionen und Eskalationen zu verarbeiten.
    1. Aktivieren Sie auf der Registerkarte
      Speicheraktionen
      der Geräterichtlinie den
      Speicherschutz
      und stellen Sie den Verletzungstyp auf
      Warnung
      ein. Wenn der Verletzungstyp auf „Warnung“ eingestellt ist und eine Bedrohung dieses Typs erkannt wird, sendet der Agent Informationen an die Konsole, blockiert oder beendet jedoch keine Prozesse, die im Gerätespeicher ausgeführt werden.
    2. Navigieren Sie beim Testen der Richtlinie zum Bildschirm
      Schutz > Speicherschutz
      in der Konsole, um eine Liste der Speicherschutzwarnungen für Prozesse anzuzeigen, die eine Gefahr darstellen können.
    3. Wenn Sie festgestellt haben, dass ein Prozess für tägliche Geschäftsaktivitäten sicher ist, können Sie Ausschlüsse für die Prozesse hinzufügen, die ausgeführt werden sollen. Klicken Sie auf der Registerkarte
      Speicheraktionen
      der Geräterichtlinie auf
      Ausschluss hinzufügen
      und geben Sie den relativen Pfad zur Datei an.
    4. Nachdem Sie die Ausschlüsse für Prozesse angegeben haben, die ausgeführt werden sollen, legen Sie die Aktion für alle Verletzungstypen auf
      Blockieren
      fest. Wenn ein Verletzungstyp blockiert wird, sendet der Agent Informationen an die Konsole und blockiert die Ausführung des schädlichen Prozesses im Speicher. Die Anwendung, die den bösartigen Prozess aufgerufen hat, kann weiterhin ausgeführt werden.
  8. Bearbeiten Sie die Richtlinie, um die Einstellungen der Gerätesteuerung zu aktivieren. In diesem Beispiel wird gezeigt, wie der Zugriff auf alle Gerätetypen gesperrt und die Ausnahmen zugelassen werden. Sie können aber auch den vollen Zugriff auf alle Gerätetypen zulassen und stattdessen die Ausnahmen blockieren.
    1. Aktivieren Sie auf der Registerkarte
      Gerätesteuerung
      der Geräterichtlinie die Richtlinie
      Gerätesteuerung
      .
    2. Stellen Sie die Zugriffsebene für jeden USB-Gerätetyp auf
      Vollzugriff
      ein.
    3. Speichern Sie die Richtlinie.
    4. Schließen Sie ein USB-Gerät an das Testgerät an.
    5. Navigieren Sie in der Verwaltungskonsole zu
      Schutz > Externe Geräte
      und geben Sie die Anbieter-ID, die Produkt-ID und die Seriennummer aller Geräte an, die Sie zulassen möchten. Nicht alle Hersteller verwenden eine eindeutige Seriennummer für ihre Produkte; einige Hersteller verwenden die gleiche Seriennummer für mehrere Produkte.
    6. Klicken Sie auf der Registerkarte
      Gerätesteuerung
      der Geräterichtlinie im Abschnitt
      Ausschlussliste für externen Speicher
      auf
      Gerät hinzufügen
      , um Geräte hinzuzufügen, die Sie zulassen möchten.
    7. Stellen Sie nach Abschluss des Tests die Zugriffsebene für jeden Gerätetyp auf
      Blockieren
      . Sie können nach Bedarf Ausschlüsse hinzufügen.
  9. Bearbeiten Sie die Richtlinie, um die Skriptsteuerungseinstellungen zu aktivieren. Die empfohlene Testdauer beträgt 1 bis 3 Wochen.
    1. Aktivieren Sie auf der Registerkarte
      Skriptsteuerung
      der Geräterichtlinie die Richtlinie
      Skriptsteuerung
      .
    2. Stellen Sie die Richtlinie für jeden der Skripttypen auf
      Warnung
      ein. Je länger die Skriptsteuerung auf Warnung eingestellt ist, desto wahrscheinlicher ist es, dass Sie selten ausgeführte in der Organisation verwendete Skripte finden.
      Die Aktivierung der Skriptsteuerungseinstellung kann zu einer hohen Anzahl von Ereignissen führen, wenn Skripte zur Verwaltung von
      Active Directory
      -Einstellungen verwendet werden.
    3. Navigieren Sie zu
      Schutz > Skriptsteuerung
      und identifizieren Sie die Skripte, die auf Geräten ausgeführt wurden, die Sie zulassen möchten.
    4. Klicken Sie auf der Registerkarte
      Skriptsteuerung
      der Geräterichtlinie im Abschnitt
      Dateien, Skripte oder Prozesse ausschließen
      auf
      Ausschluss hinzufügen
      und geben Sie einen relativen Prozesspfad der Skripte an, die Sie zulassen möchten (z. B.
      \Cases\AllowedScripts
      ).
    5. Nachdem Sie die Ausschlüsse für Skripte hinzugefügt haben, die Sie ausführen lassen möchten, können Sie die Richtlinie für jeden der Skripttypen auf
      Blockieren
      setzen.