Home    SecuLution Version 1.x Dokumentation Zurück Vor
Willkommen
SecuLution Technik und Terminologie
Schnellstart
Testinstallation in 30 Minuten
Vorgehen im Alltag
Vollinstallation und Integration in 5 Stunden
Installation der Komponenten
Installation der Appliance
AdminWizard Installation
Agent Installation
Syslog Server Installation
Erstkonfiguration
Grundeinstellungen vornehmen
Agent Konfiguration
Aufgaben automatisieren
Verwaltung der Positivliste
Erste Erstellung einer Positivliste
Musterrechner importieren
Lernmodus
Ausrollen der Agents prüfen
Audit / Prüfung der gelernten Hashes
Zur Positivliste hinzufügen
Drag'n'drop
Individueller Lernmodus
Aus Verzeichnis importieren
Ständiger Lernbenutzer / PLU
Log Alarme
Positivliste bereinigen
Manuell ungenutzte Hashes entfernen
Hashes nach einem Muster entfernen
Klassifizierungen aufräumen
Managed Whitelist
Managed Whitelist
Aktionen
Aktionen
Regel auf Objekte beziehen
Offline Modus
Offline Modus
Geräte
USB Geräte Management
USB Geräte Verschlüsselung
Ausrollen der Agents (RCM)
Ausrollen der Agents (RemoteClientManagement)
ArpWatch
ArpWatch
Logs
Logs
FAQ
setup.ini

DIESE DOKUMENTATION IST NICHT AKTUELL!!!


Die aktuelle Dokumentation ist erhältlich unter:

SecuLution 2.x Dokumentation als Google Docs Dokument (empfohlen)

SecuLution 2.x Dokumentation als html Datei


Die aktuelle FAQ zu SecuLution Application Whitelisting ist erhältlich unter:

SecuLution 2.x FAQ als Google Docs Dokument (empfohlen)

 SecuLution 2.x FAQ als eine html Datei

Die folgende Dokumentation beschreibt das nicht mehr aktuelle Produkt SecuLution Application Whitelisting in den Versionen 1.x. Seit April 2018 ist SecuLution Application Whitelisting in der Version 2.x erhältlich. Seit Oktober 2019 ist der Support für SecuLution 1.x eingestellt.

Verteilung prüfen

Prüfung nach 4 Tagen

  • Prüfen Sie, ob die Verteilung des Agents bereits auf einigen Rechnern erfolgreich war, somit also grundsätzlich funktioniert. Wenn Sie SecuLutions eingebautes "Remote Client Management (RCM)" benutzen, klicken Sie auf den Tab "RCM" und prüfen Sie, ob bereits einige Computer in die Spalte "Hosts, durch SecuLution gesichert" verschoben wurden.
  • Prüfen Sie ob, Software und Geräte im Lernmodus in die Positivliste übernommen wurden. Hierzu klicken Sie auf das Tab "Logs" und setzen den Filter in der 2. Spalte auf Loglevel (LL) "4" und auf "allow" in der Spalte "Aktion" ganz rechts. Dadurch werden in den Logs nur die Einträge angezeigt, die im Lernmodus hinzugefügt wurden.
  • Prüfen Sie die Anzahl der gelernten Programme.
Je mehr vertrauenswürdige Software Sie vor dem Einschalten des Lernmodus durch den Import von Musterrechnern und anderen vertrauenswürdigen Datenquellen hinzugefügt haben, desto weniger Software wurde im Lernmodus gelernt und muss im Nachgang auditiert werden. Ein Anzeichen dafür, dass wesentliche Software nicht als vertrauenswürdig importiert wurde, ist, wenn bereits nach kurzer Zeit eine große Anzahl von Software im Lernmodus hinzugefügt wurde. Eine exakte Anzahl ist schwer zu definieren, aber angenommen, Sie finden nach kurzer Zeit mehr als 100 Einträge, die im Lernmodus gelernt wurden, ist es wahrscheinlich, dass Sie nicht genügend Musterrechner importiert haben. Dies kommt z.B. vor, wenn Sie als Musterrechner nur ein Windows 8 mit Service Pack 1 importiert haben, danach aber im Lernmodus den Agent auf einen Windows-8 Computer ohne Servicepack ausgerollt haben. Das hat zur Folge, dass ein paar hundert Hashes im Lernmodus gelernt wurden, weil die Hashes für Windows 8.1 anders sind als die Hashes der gleichen Software auf Windows-8. Dies ist an sich kein Problem, aber da Sie später gelernten Programme manuell auditieren, möchten Sie die Anzahl der gelernten Hashes klein halten. Daher möchten Sie vielleicht an dieser Stelle nochmals einen Schritt zurückgehen (Datensicherung einspielen) und entweder auch Windows 8.0 Musterrechner importieren oder alle Windows 8.0 Computer auf Windows 8.1 aktualisieren.

Prüfung nach 14 Tagen

Prüfen Sie, ob der Agent auf alle Computer ausgerollt wurde. Prüfen Sie außerdem nochmals die Anzahl der gelernten Hashes (s.o.).

Prüfung nach 21 Tagen und später

Ca. 21 Tage nach Beginn der Verteilung des Agents ist es normalerweise eine gute Idee, die Anzahl der neuen Programme, die jeden Tag im Lernmodus gelernt werden, anzusehen. Klicken Sie auf die Registerkarte "Logs" und wenden Sie Filter an (LL: 4, Aktion: "Erlauben"), um zu sehen, wie viele Hashes in den letzten 48 Stunden hinzugekommen sind. Sobald die Anzahl der neuen Hashes pro Tag klein genug ist um diese Fälle manuell zu behandeln (Benutzer rufen Sie an, weil sie eine Software nicht benutzen können), ist es Zeit, den Lernmodus abzuschalten und SecuLution in den Produktivmodus zu bringen.