Home    SecuLution Version 1.x Dokumentation Zurück Vor
Willkommen
SecuLution Technik und Terminologie
Schnellstart
Testinstallation in 30 Minuten
Vorgehen im Alltag
Vollinstallation und Integration in 5 Stunden
Installation der Komponenten
Installation der Appliance
AdminWizard Installation
Agent Installation
Syslog Server Installation
Erstkonfiguration
Grundeinstellungen vornehmen
Agent Konfiguration
Aufgaben automatisieren
Verwaltung der Positivliste
Erste Erstellung einer Positivliste
Musterrechner importieren
Lernmodus
Ausrollen der Agents prüfen
Audit / Prüfung der gelernten Hashes
Zur Positivliste hinzufügen
Drag'n'drop
Individueller Lernmodus
Aus Verzeichnis importieren
Ständiger Lernbenutzer / PLU
Log Alarme
Positivliste bereinigen
Manuell ungenutzte Hashes entfernen
Hashes nach einem Muster entfernen
Klassifizierungen aufräumen
Managed Whitelist
Managed Whitelist
Aktionen
Aktionen
Regel auf Objekte beziehen
Offline Modus
Offline Modus
Geräte
USB Geräte Management
USB Geräte Verschlüsselung
Ausrollen der Agents (RCM)
Ausrollen der Agents (RemoteClientManagement)
ArpWatch
ArpWatch
Logs
Logs
FAQ
setup.ini

DIESE DOKUMENTATION IST NICHT AKTUELL!!!


Die aktuelle Dokumentation ist erhältlich unter:

SecuLution 2.x Dokumentation als Google Docs Dokument (empfohlen)

SecuLution 2.x Dokumentation als html Datei


Die aktuelle FAQ zu SecuLution Application Whitelisting ist erhältlich unter:

SecuLution 2.x FAQ als Google Docs Dokument (empfohlen)

 SecuLution 2.x FAQ als eine html Datei

Die folgende Dokumentation beschreibt das nicht mehr aktuelle Produkt SecuLution Application Whitelisting in den Versionen 1.x. Seit April 2018 ist SecuLution Application Whitelisting in der Version 2.x erhältlich. Seit Oktober 2019 ist der Support für SecuLution 1.x eingestellt.

Test Setup in 30 Minuten

Schnellstart: Installieren und Konfigurieren Sie die Umgebung in 30 Minuten

Appliance starten

Ihre Appliance wird für Ihr Netzwerk vorkonfiguriert geliefert. Wenn Sie physische Hardware bekommen haben, können Sie diese sofort booten. Nach zwei Minuten sollte die Appliance auf einen Ping antworten.

Wenn Sie eine virtuelle Appliance (VM) bekommen haben,
  • kopieren Sie das Verzeichnis "SecuLution VM" von Ihrer CD auf Ihren ESX(i) Datenspeicher
  • wählen Sie "Add to inventory" für die .vmx Datei aus


Verändern Sie die Einstellungen der VM:
  • Entfernen Sie "network adapter 1", fügen Sie einen neuen E1000 Netzwerkadapter hinzu, wählen Sie das passende Netzwerk, ändern Sie die MAC Adresse auf "statisch" und vervollständigen Sie die MAC Adresse mit zufälligen werten.
  • Konfigurieren Sie die RAM Zuweisung. min 512MB werden benötigt, besser sind 2GB
  • Konfigurieren Sie die Anzahl der CPUs, min 1 CPU, je mehr, je besser
Fertig. Nun können Sie Ihre Appliance einschalten.

AdminWizard installieren

Um den AdminWizard zu installieren, führen Sie einfach die setup.exe aus dem AdminWizard Verzeichnis Ihrer SecuLution Installations CD aus. Das Default Login-Passwort ist "password". Beim ersten Start wird Sie der AdminWizard durch die benötigte Konfiguration führen. Er wird auch nach dem Verzeichnis fragen, in dem die Agent Installationsdateien liegen. Dies werden wir später konfigurieren. Jetzt können Sie diesen Schritt erst einmal abbrechen.
AgentInstallPath
Eine Internetverbindung wird für die VM Aktivierung benötigt.

Musterrechner importieren

Der Schlüssel für eine gute Positivliste ist, Dateien von einem Computer zu importieren, dem Sie vertrauen. Für unser Test Setup werden wir davon ausgehen, dass auf Ihrem Computer nur vertrauenswürdige Software läuft. Weil dies nicht unbedingt der Fall ist, werden wir eine neue Positivliste erstellen, sobald wir SecuLution in einer Produktivumgebung installieren. Um Hashes von vertrauenswürdiger Software zu importieren, wählen Sie das Menü "Extra / Hashes / Hashes aus Unterordnern generieren":
MenuImportFromFiles

Nach einem Doppelklick auf "C:\" klicken Sie "Auflisten"
ImportFromDir

Beachten Sie das Feld "Klassifizierung". Geben Sie hier einen Text ein, der beschreibt, was Sie importieren. Benutzen Sie ein Semikolon, um Ebenen zu trennen. Klicken Sie auf "Importieren". Der AdminWizard wird nun einen Hash (elektronischer Fingerabdruck) für jede Datei auf diesem Computer erstellen und in die Positivliste aufnehmen. Jeder Hash wird mit der eingetragenen Klassifizierung markiert.

Fertig. Sie haben eine Positivliste für einen ersten Test generiert.

Basiskonfiguration

Konfigurationseinstellungen für die Appliance sind im Reiter "Server config". Wählen Sie dort den Reiter "Standard Reaktion bei unbekannten Programmen" und geben Sie die Meldung ein, die angezeigt werden soll, wenn der Benutzer einen unbekannten Hash benutzen will. Wir werden das Logging später konfigurieren.
setDefaultDeny

Die Agent Konfigurationsoptionen sind Teil der Positivliste. Wählen Sie "Regeln nach Programm" (im Menü "Ansicht/Regeln/nach Programm" oder im Tab "Regeln" den ersten Optionsknopf), scrollen Sie die Baumansicht nach oben und machen Sie einen Doppelklick auf "Agent Konfiguration":
AgentConfig

Gehen Sie durch jede Konfigurationsoption und konfigurieren Sie die folgenden Einstellungen. (Wenn nötig können Sie in die Leerzeile klicken, um eine neue Regel zu erstellen.)
  • device-check -> auf "Geräte prüfen" setzen
  • disable-password -> ein Disable-Passwort einstellen
  • dll-check -> auf "DLLs nicht prüfen" setzen
  • hideicon -> auf "Agent Icon anzeigen" setzen
  • offline-mode -> auf "Passwort nicht abfragen, alles erlauben" setzen
Schließlich können Sie Ihre Änderungen aktivieren, indem Sie auf den Pfeil-nach-oben klicken:
activate

Wichtig: Jede Änderung der Positivliste wird nur im lokalen Speicher des AdminWizards durchgeführt und hat keine Auswirkung auf die Appliance, bis Sie die Positivliste durch Klicken auf das "Pfeil-nach-oben" Icon auf der Appliance aktivieren!

Lernmodus einschalten

Nachdem Sie die Hashes von vertrauenswürdigen Musterrechnern importiert haben, könnten Sie erwarten, dass jegliche Software (bzw. deren Hashes) in der Positivliste enthalten ist. Tatsächlich ist in den meisten Fällen unsere Positivliste immer noch nicht vollständig. Zum Beispiel die Hashes von Programmen, welche von einem UNC Pfad starten, Geräte und sogar vom Agent selbst (den wir als nächstes installieren werden) wurden noch nicht zu unserer Positivliste hinzugefügt, da wir bis jetzt nur Hashes importiert haben, die bereits auf "C:\" waren. Um alle anderen Hashes, welche auf diesem Computer benutzt werden, zu der Positivliste hinzuzufügen, werden wir nun den Lernmodus konfigurieren. Der Lernmodus ist eine Konfigurationsoption, die die Appliance anweist, unbekannte Hashes NICHT abzulehnen, sondern Sie zu erlauben und Sie außerdem zu der Positivliste hinzuzufügen. Der Computer "lernt" also diese neuen Hashes. Die eingetragene Klassifizierung wird zu jedem Programm, welches im Lernmodus neu gelernt wird, hinzugefügt werden. Schalten Sie den Lernmodus an, indem Sie im Reiter "Server Konfiguration" den Schalter "Lernmodus an" aktivieren:
learn mode
Geben Sie für die "Klassifizierung" "Im Lernmodus hinzugefügt" ein, stellen Sie eine Dauer von "32 d[ays]" (32 Tagen) bei "Dauer" ein und klicken Sie auf "Lernmodus an".

Die Appliance wird im Lernmodus nur neue und unbekannte Hashes lernen, wenn das Programm oder das Gerät, welches der Hash repräsentiert, auf dem Computer, auf dem der Agent installiert ist, gestartet oder benutzt wird. Also müssen wir als nächstes den Agent installieren.

Agent installieren

ACHTUNG: Nach dem nächsten Schritt wird ein erzwungener Neustart ohne Nachfrage folgen. Schließen Sie jetzt Ihre Anwendungen und speichern Sie Ihre Arbeit! Gehen Sie in das Verzeichnis "Client-Installer" auf Ihrer SecuLution Installations CD und klicken Sie mit der rechten Maustaste auf "autosetup.exe". Führen Sie diese als Administrator aus. Der Agent wird installiert und Ihr Computer wird neu gestartet. Melden Sie sich an und warten Sie einen Moment, damit Ihr Computer die Autostart Programme starten kann. Manchmal startet der Computer weitere Programme, nachdem Sie sich angemeldet haben (z.B. NETLOGON, GPOs). Wenn der Computer bereit für normalen Gebrauch ist, starten Sie den AdminWizard.

Lernmodus ausschalten

Um den Lernmodus auszuschalten, klicken Sie auf das Mülltonnensymbol:
turnofflm

Jetzt wird Ihr Computer durch SecuLution gesichert. Wir sind bereit zum Testen.

Testen

Sie haben Ihren Computer erfolgreich gesichert. Lassen Sie uns einige vertrauenswürdige Programme starten, um sicherzustellen, dass der Computer sich normal verhält. Sie sollten in der Lage sein, alle Programme zu starten, welche sich auf "C:\" befinden, da Sie diese alle importiert haben. Nun lassen Sie uns ein Programm starten, welches (noch) nicht in der Positivliste ist. Sie können Software herunterladen, eine CD einlegen oder ein Programm starten, welches auf einem Server liegt (ein UNC Pfad, welcher nicht importiert wurde). Benutzen Sie noch keinen USB-Stick, da USB-Geräte auch durch SecuLution verwaltet werden und Ihr Stick noch kein erlaubtes Gerät ist. Jeder Versuch ein Programm zu starten, welches nicht in der Positivliste ist, wird geblockt und es wird die Nachricht auftauchen, die Sie vorher konfiguriert haben:
denypopup

Das war's! Ihr Computer ist sicher! Nur Software, die als vertrauenswürdig eingestuft wurde, kann gestartet werden.

Gelernte Programme überprüfen

Zuvor haben wir den Lernmodus eingeschaltet, um zusätzliche Software und Geräte zu "lernen", welche nicht auf dem Musterrechner vorhanden waren. Nun werden wir die Hashes (Programme und Geräte), die in diesem Lernmodus hinzugefügt wurden, überprüfen, um ungewollte Hashes zu entfernen und gewollte Hashes korrekt zu klassifizieren. Da Sie nicht tausende Hashes durchsehen wollen, lassen Sie sich nur die Hashes anzeigen, die im Lernmodus neu hinzugefügt wurden. Um dies zu tun, wählen Sie das Menü "Ansicht/Regeln/nach Klassifizierung" (oder klicken Sie einfach den vierten Optionsknopf über der "Regeln" Baumansicht):
tbclassification

Machen Sie einen Doppelklick auf "im Lernmodus hinzugefügt". Sie werden die Hashes finden, die im Lermodus "gelernt" wurden, da Sie (noch) nicht in der Positivliste bekannt waren, als sie vom Agent überprüft wurden. Daher wurden sie gelernt und mit der Klassifizierung "im Lernmodus hinzugefügt" versehen. Im obrigen Beispiel sind die drei Programme Teil des SecuLution Agents. Der SecuLution Agent war noch nicht auf diesem Computer vorhanden, als der Musterrechner-Import von "C:\" durchgeführt wurde.
Markieren Sie alle Programme, bei denen Sie die Klassifizierung ändern wollen, indem Sie die Strg-Taste gedrückt halten und dabei auf die einzelnen Einträge im Baum klicken. Machen Sie dann einen Rechtsklick und wählen Sie "Klassifizierung ändern". Geben Sie "SecuLution;Agent;Vx.yz" ein, wobei x, y und z für die Versionsnummer stehen (siehe Programmeigenschaften).

Danach sollten Sie erfolgreich die Hashes klassifiziert haben (drücken Sie F5, um die Ansicht zu aktualisieren).
classified

Nun machen Sie das selbe für Ihre Geräte:
classified

Unbekannte Hashes

Was machen Sie, wenn Sie sich während der Überprüfung nicht sicher sind, was Sie gefunden haben?
Machen Sie einen Rechtsklick auf den Hash und suchen Sie mit Google:
sgoogle
Meistens finden Sie interessante Informationen über den Hash.

Sie können außerdem zusätzliche Informationen von unseren optionalen Webservice "Managed Whitelist" anfordern, indem Sie auf "Programm prüfen" klicken. Ihnen werden dann Informationen über diesen Hash angezeigt, in diesem Fall:
virusfound
Die Informationen basieren auf über 50 verschiedenen Antivirus Programmen und auf einer Liste von vertrauenswürdigen Anwendungen, welche wir (die Firma SecuLution) verwalten und täglich updaten.

In diesem Beispiel wollen Sie auf jeden Fall die Software verbieten. Um die Software zu verbieten, entfernen Sie sie einfach von der Liste der vertrauenswürdigen Anwendungen, indem Sie den "Eintrag entfernen" Knopf drücken:
deleteentry

Das war's.
(Allerdings ist es trotzdem eine gute Idee, den Computer, auf dem die Schadsoftware ursprünglich ausgeführt wurde zu überprüfen.)