Home    SecuLution Version 1.x Dokumentation Zurück Vor
Willkommen
SecuLution Technik und Terminologie
Schnellstart
Testinstallation in 30 Minuten
Vorgehen im Alltag
Vollinstallation und Integration in 5 Stunden
Installation der Komponenten
Installation der Appliance
AdminWizard Installation
Agent Installation
Syslog Server Installation
Erstkonfiguration
Grundeinstellungen vornehmen
Agent Konfiguration
Aufgaben automatisieren
Verwaltung der Positivliste
Erste Erstellung einer Positivliste
Musterrechner importieren
Lernmodus
Ausrollen der Agents prüfen
Audit / Prüfung der gelernten Hashes
Zur Positivliste hinzufügen
Drag'n'drop
Individueller Lernmodus
Aus Verzeichnis importieren
Ständiger Lernbenutzer / PLU
Log Alarme
Positivliste bereinigen
Manuell ungenutzte Hashes entfernen
Hashes nach einem Muster entfernen
Klassifizierungen aufräumen
Managed Whitelist
Managed Whitelist
Aktionen
Aktionen
Regel auf Objekte beziehen
Offline Modus
Offline Modus
Geräte
USB Geräte Management
USB Geräte Verschlüsselung
Ausrollen der Agents (RCM)
Ausrollen der Agents (RemoteClientManagement)
ArpWatch
ArpWatch
Logs
Logs
FAQ
setup.ini

DIESE DOKUMENTATION IST NICHT AKTUELL!!!


Die aktuelle Dokumentation ist erhältlich unter:

SecuLution 2.x Dokumentation als Google Docs Dokument (empfohlen)

SecuLution 2.x Dokumentation als html Datei


Die aktuelle FAQ zu SecuLution Application Whitelisting ist erhältlich unter:

SecuLution 2.x FAQ als Google Docs Dokument (empfohlen)

 SecuLution 2.x FAQ als eine html Datei

Die folgende Dokumentation beschreibt das nicht mehr aktuelle Produkt SecuLution Application Whitelisting in den Versionen 1.x. Seit April 2018 ist SecuLution Application Whitelisting in der Version 2.x erhältlich. Seit Oktober 2019 ist der Support für SecuLution 1.x eingestellt.

Offline Modus

Server nicht erreichbar (Offline Cache )

Der Agent kommuniziert mit der Appliance, so lange diese erreichbar ist. Falls die Appliance nicht erreichbar ist, verwendet der Agent einen lokalen verschlüsselten Cache der Hashes ("Offline Cache"), die bisher bereits geprüft wurden. Daher kann ein Computer, der offline ist (z.B. Laptop), auf die gleiche Weise verwendet werden, als wäre er online, so lange Hashes überprüft werden, die zuvor bereits für diesen Computer erlaubt waren und verwendet wurden. Beachten Sie, dass ein Hash nur in den lokalen Cache aufgenommen wird, wenn der Agent diesen Hash erfolgreich gegen die Appliance prüft.

Vorbereitung für Offline Modus

Der lokale Cache enthält nur Hashes, die zuvor erfolgreich auf der Appliance geprüft wurden, keine komplette Kopie der Positivliste. Sie können den Cache mit allen Hashes aus der Positivliste füllen, indem Sie auf das Menü "für Offline-Modus vorbereiten" im Icon des Agents klicken. Überprüfen Sie den Wert "Cachesize" in der setup.ini des Agents, damit diese groß genug ist, um alle Hashes ihrer Positivliste lokal zu speichern.



Diese Funktion lässt sich auch über einen Befehl, über Skripte oder die Kommandozeile automatisieren: "C:\Program Files\SecuLution\Agent\SSIcon.exe /fillcache".

Unbekannte Hashes im Offline Modus

Falls folgende Bedingungen zutreffen:

  • Der Agent ist offline (Appliance nicht erreichbar)
  • Der Hash ist unbekannt (z.B. der Benutzer startet eine Software, die (noch) nicht im Cache ist)

wird die Konfigurationseinstellung "offline mode" verwendet.

Die folgenden Optionen stehen zur Verfügung:

"Passwort":
Der Benutzer erhält die Möglichkeit, ein Passwort einzugeben. Falls das korrekt ist, wird der Hash erlaubt und sowohl in den lokalen "Offline Cache" als auch in einen "Delta Cache" eingetragen.

"Passwort nicht abfragen, alles erlauben":
Der Agent wird keine Hashes blocken. Unbekannte Hashes werden aber dennoch sowohl in den lokalen "Offline Cache" als auch in einen "Delta Cache" eingetragen.

"Challenge Response Verfahren".
Der Benutzer wird aufgefordert, eine Zahlenkombination (Response) zu einer angegebenen Zahlenkombination (Challenge) einzugeben.




Der Benutzer kann nun den Administrator kontaktieren (z.B. telefonisch) und unter Nennung der Challenge um Mitteilung einer passenden Response bitten. Falls der Administrator die Verwendung der fraglichen Software autorisieren will, kann er nun eine Response erzeugen und dem Benutzer mitteilen. Nach Eingabe der Response (die nur zu genau dieser Software und genau dieser Challenge passt), kann der Benutzer die Software verwenden. Die Software wird sowohl in den lokalen "Offline Cache" als auch in einen "Delta Cache" eingetragen.



Individuelle Konfigurationsoptionen

Hashes, die Konfigurationsoptionen repräsentieren, können auf die gleiche Weise konfiguriert werden wie Hashes, die sich auf Geräte oder Software beziehen.

In obigem Beispiel ist der Computer "l1w7" so konfiguriert, dass ein unbekannter Hash im Offline Modus erlaubt wird, ohne dass der Benutzer interagieren muss, während alle anderen Computer offline nach einem Passwort fragen, wenn ein unbekannter Hash verwendet werden soll.

Lokaler Offline "Delta Cache"

Falls folgende Bedingungen zutreffen:

wird der Agent den Hash:

  1. zum "Offline Cache" hinzufügen, sodass eine erneute Autorisierung bei einer weiteren Verwendung des Hashes nicht notwendig ist
  2. zum "Delta Cache" hinzufügen.
Der "Delta Cache" enthält damit die Hashes, die offline autorisiert wurden, da sie nicht im "Offline Cache" vorhanden waren.

Sobald der Agent wieder eine Verbindung zur Appliance hat, werden alle Einträge aus dem "Delta-Cache" auf der Positivliste überprüft. Befindet sich die Appliance im Lernmodus, werden diese Hashes gelernt. Ist der Server nicht im Lernmodus und der Hash nicht in der Positivliste, wird dieser Vorfall in den Logs protokolliert und der Hash aus dem lokalen "Offline Cache" entfernt. So kann der Administrator auch über die Software informiert werden, die Benutzer zu starten versucht haben, während sie offline waren.