Home    SecuLution Version 1.x Dokumentation Zurück Vor
Willkommen
SecuLution Technik und Terminologie
Schnellstart
Testinstallation in 30 Minuten
Vorgehen im Alltag
Vollinstallation und Integration in 5 Stunden
Installation der Komponenten
Installation der Appliance
AdminWizard Installation
Agent Installation
Syslog Server Installation
Erstkonfiguration
Grundeinstellungen vornehmen
Agent Konfiguration
Aufgaben automatisieren
Verwaltung der Positivliste
Erste Erstellung einer Positivliste
Musterrechner importieren
Lernmodus
Ausrollen der Agents prüfen
Audit / Prüfung der gelernten Hashes
Zur Positivliste hinzufügen
Drag'n'drop
Individueller Lernmodus
Aus Verzeichnis importieren
Ständiger Lernbenutzer / PLU
Log Alarme
Positivliste bereinigen
Manuell ungenutzte Hashes entfernen
Hashes nach einem Muster entfernen
Klassifizierungen aufräumen
Managed Whitelist
Managed Whitelist
Aktionen
Aktionen
Regel auf Objekte beziehen
Offline Modus
Offline Modus
Geräte
USB Geräte Management
USB Geräte Verschlüsselung
Ausrollen der Agents (RCM)
Ausrollen der Agents (RemoteClientManagement)
ArpWatch
ArpWatch
Logs
Logs
FAQ
setup.ini

DIESE DOKUMENTATION IST NICHT AKTUELL!!!


Die aktuelle Dokumentation ist erhältlich unter:

SecuLution 2.x Dokumentation als Google Docs Dokument (empfohlen)

SecuLution 2.x Dokumentation als html Datei


Die aktuelle FAQ zu SecuLution Application Whitelisting ist erhältlich unter:

SecuLution 2.x FAQ als Google Docs Dokument (empfohlen)

SecuLution 2.x FAQ als eine html Datei

Die folgende Dokumentation beschreibt das nicht mehr aktuelle Produkt SecuLution Application Whitelisting in den Versionen 1.x. Seit April 2018 ist SecuLution Application Whitelisting in der Version 2.x erhältlich. Seit Oktober 2019 ist der Support für SecuLution 1.x eingestellt.

SecuLution Technik und Terminologie

Es ist wichtig zu verstehen, wie SecuLution funktioniert und welche Terminologie in diesem Dokument verwendet wird.

Komponenten

SecuLution besteht aus drei Komponenten:

  1. SecuLution Agent
  2. SecuLution Appliance
  3. SecuLution AdminWizard

Der SecuLution-Agent, von nun an als "Agent" bezeichnet, ist eine Software, die auf allen Computern, die gesichert werden sollen, installiert werden muss. Der Agent integriert sich in das Microsofts Windows-Betriebssystem und stellt sicher, dass nur Software, die als vertrauenswürdig eingestuft wurde, ausgeführt werden kann. Das gleiche gilt für USB-Geräte.

Die SecuLution Appliance, von nun an als "Appliance" bezeichnet, ist ein Server-Komplettsystem, das die Positivliste als Datenbank in Ihrem Netzwerk bereitstellt. Die Appliance erhalten Sie entweder als Hardware oder als virtuelle Maschine. Die Appliance basiert auf OpenBSD, ist jedoch komplett geschlossen und stellt keine Schnittstellen für Administratoren zur Verfügung. Es sind keine Wartungsarbeiten an der Appliance notwendig.


Der SecuLution AdminWizard, von nun an als "AdminWizard" bezeichnet, ist eine Windows Software, mit der die Administration (Konfiguration, Wartung, Pflege der Positivliste) der Appliance durchgeführt wird.

 

Technik

Wird auf einem mit SecuLution gesicherten Rechner eine Software gestartet oder ein USB Gerät angeschlossen, erstellt der Agent einen elektronischen Fingerabdruck (Hash) der Software oder Geräts. Über eine gesicherte Netzwerkverbindung prüft der Agent, ob der Hash auf der Positivliste als vertrauenswürdig eingestuft wurde. Dieser Vorgang wird von nun an bezeichnet als „check“. Die Positivliste besteht aus Hash-Werten von vertrauenswürdigen Programmen und Geräten. In diesem Dokument wird daher die Terminologie "Hash" als Repräsentation einer Software verwendet.

Hashes, die sich nicht auf der Positivliste befinden, werden als „nicht vertrauenswürdig“ eingestuft und können daher nicht gestartet oder verwendet werden.

Die Positivliste enthält für jeden Hash Eigenschaften und Richtlinien, von nun an als "Regeln" bezeichnet. Regeln können eine Eigenschaft (z.B. Datum der letzten Benutzung), eine Konfigurationsoption (wie ein Passwort) oder eine Richtlinie (z.B. „Erlauben“) darstellen. Eine Richtlinie wird von nun an als "Aktion" bezeichnet.

Für jede Aktion gibt es eine Reihe von IP-Adressen oder ein Microsoft Active Directory Objekt (von nun an als "Objekt" bezeichnet), für die diese Aktion gültig ist.


regelansicht
  1. Pfad, Dateiname: Statische Eigenschaften des HASH, nur zu Informationszwecken, nicht relevant für die Positivliste
  2. Hash: Der eindeutige HASH, Repräsentation eines Programms, Geräts oder Konfigurationsoption
  3. Bemerkung, Benutzt, Klasse: Dynamische Eigenschaften (Regeln), nur zu Informationszwecken, teilweise einstellbar
  4. Trustlevel: Einstufung der Vertrauenswürdigkeit eines Hashes ( Managed Whitelist )
  5. Aktion: Die AKTION, die der Agent anwenden wird
  6. Gültig für: Das OBJEKT, dem die Aktion zugewiesen werden soll. In diesem Beispiel entspricht das Alias "0.0.0.0/0" einem Netzwerk, das alle IP Adressen enthält, wodurch diese Aktion für alle Computer gültig wird.

Zusammengefasst:

Der Agent wird auf Ihrem Computer installiert. Sobald eine Software gestartet werden soll, generiert der Agent den Fingerabdruck der Software (Hash) und sendet ihn an die Appliance, die eine Aktion für diesen Computer oder Benutzer zurückgibt. Wenn der Hash nicht in der Positivliste aufgeführt ist, wird die Appliance die Aktion "DENY" zurückliefern und der Agent die Ausführung des Programms oder die Nutzung des Gerätes verhindern.