Home    SecuLution Version 1.x Dokumentation Zurück Vor
Willkommen
SecuLution Technik und Terminologie
Schnellstart
Testinstallation in 30 Minuten
Vorgehen im Alltag
Vollinstallation und Integration in 5 Stunden
Installation der Komponenten
Installation der Appliance
AdminWizard Installation
Agent Installation
Syslog Server Installation
Erstkonfiguration
Grundeinstellungen vornehmen
Agent Konfiguration
Aufgaben automatisieren
Verwaltung der Positivliste
Erste Erstellung einer Positivliste
Musterrechner importieren
Lernmodus
Ausrollen der Agents prüfen
Audit / Prüfung der gelernten Hashes
Zur Positivliste hinzufügen
Drag'n'drop
Individueller Lernmodus
Aus Verzeichnis importieren
Ständiger Lernbenutzer / PLU
Log Alarme
Positivliste bereinigen
Manuell ungenutzte Hashes entfernen
Hashes nach einem Muster entfernen
Klassifizierungen aufräumen
Managed Whitelist
Managed Whitelist
Aktionen
Aktionen
Regel auf Objekte beziehen
Offline Modus
Offline Modus
Geräte
USB Geräte Management
USB Geräte Verschlüsselung
Ausrollen der Agents (RCM)
Ausrollen der Agents (RemoteClientManagement)
ArpWatch
ArpWatch
Logs
Logs
FAQ
setup.ini

DIESE DOKUMENTATION IST NICHT AKTUELL!!!


Die aktuelle Dokumentation ist erhältlich unter:

SecuLution 2.x Dokumentation als Google Docs Dokument (empfohlen)

SecuLution 2.x Dokumentation als html Datei


Die aktuelle FAQ zu SecuLution Application Whitelisting ist erhältlich unter:

SecuLution 2.x FAQ als Google Docs Dokument (empfohlen)

 SecuLution 2.x FAQ als eine html Datei

Die folgende Dokumentation beschreibt das nicht mehr aktuelle Produkt SecuLution Application Whitelisting in den Versionen 1.x. Seit April 2018 ist SecuLution Application Whitelisting in der Version 2.x erhältlich. Seit Oktober 2019 ist der Support für SecuLution 1.x eingestellt.

Agent Verteilung einrichten (RemoteClientManagement)

RCM einrichten

Das Feature "RemoteClientManagement" automatisiert die Softwareverteilung des SecuLution Agents auf ausgewählten Computern in Ihrem ActiveDirectory. Grundsätzlich ist die Nutzung des SecuLution AdminWizards auf beliebig vielen Computern möglich. Wir empfehlen aber, das RCM nur auf einem (!) Computer einzurichten. Es empfiehlt sich der Computer, an dem ein Administrator normalerweise arbeitet, damit automatisch erfolgende regelmäßige Prüfungen über vorhandene Updates dem Administrator mitgeteilt werden können.

Systemvoraussetzungen für das RCM:
  • Microsoft ActiveDirectory
  • Dot Net Framework 4.5

RCM einrichten:
  • Installieren Sie den RCMWizard aus dem AdminWizard Order ihrer SecuLution Installations-CD
  • Starten Sie den AdminWizard (neu)
  • Navigieren Sie im Menü zu Extra/Verzeichnisdienste/MS-Active-Directory/RCM Wizard starten

Der RCM Wizard führt Sie durch die erforderlichen Schritte. Folgen Sie den Instruktionen auf dem Bildschirm. Der RCM Wizard wird nach einem UNC Pfad fragen, in dem die Installationsdateien des SecuLution Agents zentral für alle Benutzer erreichbar abgelegt werden sollen. Die Einrichtung dieser Freigabe muss durch Sie manuell erfolgen, die Berechtigung muss "Jeder" -> "Lesen, Ausführen" sein.

RCMWizard

RCM Tools Update

Das Feature "RemoteClientManagement" verwendet MS Active Directory Gruppenrichtlinien zur Verteilung des Agents. Diese können grundsätzlich auch manuell im AD eingerichtet werden, die RCMTools erledigen jedoch sämtliche Vorgänge bequem und automatisch. Bis einschließlich Windows XP stand als Schnittstelle zum AD die Microsoft Group Policy Management Console (GPMC) zur Verfügung. Bei Betriebssystemen ab Windows Vista ist die GPMC nicht mehr verfügbar, weshalb die RCMTools neu programmiert werden mussten. Ein Update der RCMTools ist damit nicht zwingend erforderlich, sondern nur ratsam, wenn die Verteilung des Agents mit einem Rechner ab Vista verwaltet werden soll.

Zum Update der RCMTools gehen Sie wie folgt vor:

  • Installieren Sie die Microsoft RemoteServerAdministrationTools (RSAT)
  • Installieren Sie die SecuLution RCMTools
  • Öffnen Sie den Pfad "C:\ProgramData\SecuLutionAdminWizard\RemoteClientManagement\RCM" im Explorer
  • Kopieren oder erstellen Sie benötigte Pfade und Dateien wie folgt:
  • Im Ordner "Install" müssen die Installationsdateien des SecuLution Agents liegen:
  • Im Ordner "Uninstall" muss das Programm für die Deinstallation des SecuLution Agents liegen:
  • Starten Sie den SecuLution AdminWizard (ggf. erneut)
  • Wählen Sie das Menu "Extra/Verzeichnisdienste/MS-Active-Directory/RCM Wizard starten"
  • Folgen Sie den Anweisungen auf dem Bildschirm. Der RCM Wizard wird Sie durch die Konfiguration führen.

Agent per RCM bereitstellen

Um den Agent auf Computern in ihrem ActiveDirectory bereitzustellen, wählen Sie zunächst den Tab "RCM" aus.
Sie werden vier Listen finden:
  • Hosts ohne den Agent
  • Hosts, markiert für Installation des Agents
  • Hosts, auf welchen der Agent bereits installiert ist
  • Hosts, markiert für Deinstallation des Agents
Wählen Sie nun einfach einen oder mehrere Computer Objekte aus, auf denen der Agent installiert werden soll und klicken Sie auf den Pfeil, um diese von der einen Liste in die nächste zu verschieben. Klicken Sie "Apply", um die Änderungen auf das ActiveDirectory anzuwenden.
deploy


Agent Updates per RCM verteilen


Bitte laden Sie das neue Agent Update herunter und entpacken es lokal nach "C:\ProgramData\SecuLutionAdminWizard\RemoteClientManagement\RCM\install", dann starten Sie den RCMWizard neu.

Um ein Update des SecuLution Agents auf die aktuellste Version anzustoßen, markieren Sie die entsprechenden Rechner in der Spalte "Hosts, durch SecuLution gesichert" (1) und klicken den Pfeil nach links (2), der die Rechner in die Spalte "Hosts, die SecuLution beim nächsten Login installieren" (3) verschiebt. Klicken Sie dann "Übernehmen", um den Vorgang abzuschließen.

updatercm

Die RCM Tools führen die Aktionen Deinstallation, Installation und Änderung der Gruppenzugehörigkeiten im AD automatisch durch. Es ist daher nicht notwendig manuell zu prüfen, ob ein Rechner bereits die aktuellste Version installiert hat. Die RCM Tools erkennen die installierte Version automatisch und führen eine Aktualisierung nur wenn nötig durch.


Details über die Funktionsweise des RCM

RCM im Detail:

Der RCMWizard prüft folgende Schritte und führt sie (falls noch nicht geschehen) durch.
  • Eine neue OU "SecuLution" wird im Root der Domain erzeugt.
  • Neue Gruppen werden durch OU SecuLution erzeugt.
    • Hosts, um den Agent zu installieren
    • Hosts, um den Agent zu deinstallieren
    • Hosts, um den Agent laufen zu lassen
  • Ein neuer Benutzer SSAdmin wird erstellt und der Gruppe 'Domain-Admins' hinzu gefügt.
  • Ein GPO "Agent Management" wird erstellt und mit dem Root der Domain verknüpft. Dieses GPO:
    • Konfiguriert die Programme, welche beim Systemstart ausgeführt werden
  • Ein Sicherheitsfilter für den GPO wird hinzugefügt, damit das GPO nur auf Computern angewendet wird, die in der Gruppe "install" oder "uninstall" sind.
security-filtering

Problemlösungen

Es passiert nichts.
Mit einem Klick auf "Übernehmen" wird die Mitgliedschaft des Computers in Sicherheitsgruppen innerhalb der OU SecuLution geändert. Dies hat Einfluss auf die Sicherheitsfilter der Gruppenrichtlinie "SecuLution Agent Management". Ein Windows Computer aktualisiert die Informationen darüber, in welchen Gruppen der Computer Mitglied ist, zu dem Zeitpunkt, an dem sich der Benutzer auf dem Computer einloggt. Die Gruppenrichtlinie zur Installation des SecuLution Agents wird ebenfalls beim Login eines Benutzers ausgeführt. Dies wird von Windows nicht immer sofort übernommen, sondern kann einen Neustart erfordern. Dies hat folgendem Effekt:
  • Erster Tag: Der Admin benutzt das RCM. Die Gruppenzugehörigkeit eines Computers wird dadurch im AD geändert. Dies wird von dem Computer nicht bemerkt.
  • Zweiter Tag: Der Computer startet und erkennt eine neue Mitgliedschaft in einer neuen Gruppe. Auf die zeitgleich gefilterten Gruppenrichtlinien hat dies noch keinen Einfluss, der Gruppenrichtlinie "SecuLution Agent Management" wurde noch nicht angewendet.
  • Dritter Tag: Computer startet, der Benutzer meldet sich an, der Computer wendet die Gruppenrichtlinie an, der Agent wird installiert. Nach erfolgreicher Installation wird der Computer in die passende Gruppe im AD verschoben.
  • Vierter Tag: Computer startet, Benutzer meldet sich an und der  Computer erkennt die geänderte Gruppenmitgliedschaft. Die Filterung auf die Gruppenrichtlinien wird wieder geändert, sodass die GPO zukünftig nicht mehr angewendet werden wird.

Die oben genannten Vorgänge dauern Zeit. Da Windows seine Gruppenmitgliedschaften und Richtlinien einige Minuten nach dem Login eines Benutzers aktualisiert, kann das zu schnelle Rebooten eines Client Computers zur Anwendung der Gruppenrichtlinie den Gegenteiligen Effekt haben, sodass Windows neu gestartet wird, bevor es den Abgleich mit dem AD durchführen konnte. Nach einem Login einige Minuten abzuwarten ist daher grundsätzlich eine gute Idee.

In der Regel wird die Verteilung nach ein bis zwei Tagen erfolgreich angestoßen. Die Installation des Agents oder eines Updates benötigt genau einen Reboot. Zu Verzögerungen kann es kommen, wenn Windows die Gruppenrichtlinie (noch) nicht anwendet.


Es passiert immer noch nichts.
Sollte die Verteilung der Agents immer noch nicht automatisch erfolgen:
  • Stellen Sie manuell die Rangfolge der Anwendung der GPOs so um, dass die SecuLution Agent Management GPO nach vorn gestellt wird, also als erstes durchgeführt wird
  • Prüfen Sie auf einem der betroffenen Rechner die Ausgabe von "gpresult /R" daraufhin, ob der Rechner im Abschnitt "COMPUTEREINSTELLUNGEN" korrekt die Mitgliedschaft der Gruppe "SecuLutionInstallAgent" übernommen hat. Ebenso sollte unter dem Abschnitt "angewandte Gruppenrichtlinienpbjekte" der Eintrag "SecuLution Agent Management" vorhanden sein. Sollte nicht beides der Fall sein, gibt es ein grundsätzliches Problem mit Ihrem AD das nichts mit SecuLution zu tun hat und zunächst gelöst werden muss.
  • Prüfen Sie mit Hilfe von rsop.msc die effektiv angewandten GPO Einstellungen. Eventuell werden Einstellungen überschrieben.


Was ist der Splashscreenstarter?
Sollte das Dot-Net Framework nach dem Booten des Rechners noch nicht verwendet worden sein, wird es beim Start des RCMWizards zunächst gestartet. Dies kann einige Sekunden dauern, in denen auf dem Bildschirm keine Reaktion zu erkennen ist. Der Start des Programms Splashscreenstarter.exe sorgt ausschließlich für eine optische Anzeige auf dem Bildschirm so lange bis der RCMWizard gestartet wird.


Der RCM Wizard startet nicht
Wird der RCMWizard durch Klick auf das Menu "Extra/Verzeichnisdienste/MS-Active-Directory/RCM Wizard starten" nicht gestartet, so kann der RCMWizard von Hand aus dem Ordner C:\ProgramData\SecuLutionAdminWizard\RemoteClientManagement mittels Rechtsklick auf Splashscreenstarter.exe -> Als Administrator ausführen gestartet werden.


Der RCMWizard startet nicht und gibt die Fehlermeldung 80040154  aus.
Der Fehler 0x080040154 (CLASS_NOT_REGISTERED) ist ein Windows Fehler (nicht von SecuLution). Der Fehler kann z.B. auftreten, wenn eine benötigte Windows Komponente noch nicht im Windows System Registriert/Aktiviert wurde. Möglicherweise ist eine Komponente vom Dot Net 4.5 Framework oder den Remoteserver-Verwaltungstools nicht oder nicht sauber installiert worden.

Der RCM Wizard kann versuchen, diese Komponenten zu installieren. Hierzu gehen Sie wie folgt vor:

  • Alle Instanzen des RCMWizards schließen
  • Starten von CMD.exe als Administrator, eintippen:
    • c:
    • cd \ProgramData\SecuLutionAdminWizard\RemoteClientManagement
    • RCMWizard.exe -preinstall
  • Starten des RCMWizards
Sollte das nicht zum gewünschten Ergebnis führen, sollten Sie versuchen die Remoteserver-Verwaltungstools manuell zu installieren. Anschließend muss "Systemsteuerung > Programme und Funktionen >Windows-Funktionen aktivieren oder deaktivieren >Remoteserver-Verwaltungstools > Featureverwaltungstools > Tools für die Gruppenrichtlinienverwaltung" angehakt werden.