Geräterichtlinie: Einstellungen der Skriptsteuerung

Die Einstellungen für die Skriptsteuerung legen fest, wie der Aurora Protect Desktop-Agent die Ausführung von Skripten auf Windows-Geräten handhabt.

Einstellung

Beschreibung

Skriptsteuerung

Sie müssen diese Option aktivieren, um Skriptsteuerungseinstellungen zu konfigurieren.

Sie können eine der folgenden Steuerungsmodus-Aktionen für jeden Skripttyp auswählen:
  • Deaktiviert: Ermöglicht die Ausführung aller Skripte und meldet sie nicht an die Verwaltungskonsole. Diese Einstellung wird nicht empfohlen.
  • Warnung: Ermöglicht die Ausführung aller Skripte und meldet sie an die Verwaltungskonsole. Verwenden Sie diese Einstellung, wenn Sie alle Skripte überwachen und beobachten möchten, die in Ihrer Umgebung ausgeführt werden. Dies wird für die anfängliche Bereitstellung empfohlen, während der Sie festlegen, welche Skripte zugelassen oder blockiert werden sollen.
  • Sperren: Blockiert die Ausführung aller Skripte und meldet sie an die Verwaltungskonsole. Nur Dateien, die der Ausschlussliste hinzugefügt wurden, können ausgeführt werden. Verwenden Sie diese Einstellung nach dem Testen und Überwachen auf Bedrohungen im Warnungsmodus.

Aktives Skript und PowerShell enthalten zusätzliche erweiterte Skriptsteuerungsoptionen. Weitere Informationen finden Sie in den entsprechenden Zeilen unten.

Sie finden Warnungen und Blockereignisse der Skriptsteuerung unter Schutz > Skriptsteuerung.

Aktives Skript

Steuert, wie der Agent aktive Skripte verarbeitet, einschließlich VBScript und JScript.

Die folgenden Steuerungsmodi sind für aktive Skripte zusätzlich zu den Funktionen „Deaktiviert“, „Warnung“ und „Sperren“ verfügbar. Diese Einstellungen erfordern die Agent-Version 3.2 oder höher (wenn auf dem Gerät ein früherer Agent ausgeführt wird, wird das Skript standardmäßig blockiert):
  • Unsichere Skripte blockieren: Wenn sich das Skript nicht bereits in der Ausschlussliste befindet, erhält der Agent eine Bedrohungsbewertung von den Aurora Protect-Cloud-Services. Wenn er eine Sicherheitsbedrohungsbewertung erhält, wird die Ausführung des Skripts blockiert. Unsichere Dateien haben große Ähnlichkeit mit Malware. Nicht ausgewertete und anormale Skripte werden an die Verwaltungskonsole gemeldet, aber nicht blockiert.
  • Anormale und unsichere Skripte blockieren: Wenn sich das Skript nicht in der Ausschlussliste befindet, erhält der Agent eine Bedrohungsbewertung von den Aurora Protect-Cloud-Services. Wenn er eine anormale oder unsichere Bedrohungsbewertung erhält, kann das Skript nicht ausgeführt werden. Abnormale Dateien weisen einige Attribute auf, die Malware ähneln, es ist aber weniger wahrscheinlich, dass sie Malware sind, als bei unsicheren Dateien. Nicht ausgewertete Skripte werden an die Konsole gemeldet, aber nicht blockiert.

PowerShell

Steuert, wie der Agent PowerShell-Skripte verarbeitet.

Die folgenden Steuermodi sind für PowerShell-Skripte zusätzlich zu den Funktionen „Deaktiviert“, „Warnung“ und „Sperren“ verfügbar. Diese Einstellungen erfordern die Agent-Version 3.2 oder höher (wenn auf dem Gerät ein früherer Agent ausgeführt wird, wird das Skript standardmäßig blockiert):
  • Unsichere Skripte blockieren: Wenn sich das Skript nicht bereits in der Ausschlussliste befindet, erhält der Agent eine Bedrohungsbewertung von den Aurora Protect-Cloud-Services. Wenn er eine Sicherheitsbedrohungsbewertung erhält, wird die Ausführung des Skripts blockiert. Unsichere Dateien haben große Ähnlichkeit mit Malware. Nicht ausgewertete und anormale Skripte werden an die Verwaltungskonsole gemeldet, aber nicht blockiert.
  • Anormale und unsichere Skripte blockieren: Wenn sich das Skript nicht in der Ausschlussliste befindet, erhält der Agent eine Bedrohungsbewertung von den Aurora Protect-Cloud-Services. Wenn er eine anormale oder unsichere Bedrohungsbewertung erhält, kann das Skript nicht ausgeführt werden. Abnormale Dateien weisen einige Attribute auf, die Malware ähneln, es ist aber weniger wahrscheinlich, dass sie Malware sind, als bei unsicheren Dateien. Nicht ausgewertete Skripte werden an die Konsole gemeldet, aber nicht blockiert.

PowerShell-Konsole

Steuert, wie der Agent die PowerShell-Konsole verarbeitet. Das Blockieren der PowerShell-Konsole bietet zusätzliche Sicherheit durch Schutz vor der Verwendung von PowerShell im interaktiven Modus.

Der Warnungssteuerungsmodus erfordert die Aurora Protect Desktop-Agentversion 3.2 oder höher. Bei Agenten, die den Warnungsmodus nicht unterstützen, ist die Verwendung der PowerShell-Konsole standardmäßig zulässig und es wird keine Warnung generiert.

Wenn der Steuermodus auf Sperren gesetzt ist und ein Skript die PowerShell-Konsole startet, schlägt das Skript fehl. Es empfiehlt sich, dass Skripte die PowerShell-Skripte anstelle der PowerShell-Konsole aufrufen (ein grundlegender Befehl zur Ausführung eines PowerShell-Skripts ohne Aufruf der Konsole ist powershell.exe -file [Skriptname]).

Makros

Steuert, wie der Agent Microsoft Office-Makros verarbeitet. Makros verwenden Visual Basic for Applications (VBA), das das Einbetten von Code in ein Microsoft Office-Dokument ermöglicht. Malware-Entwickler können Makros verwenden, um Befehle auszuführen und das System anzugreifen.

Diese Einstellung gilt nur für die Agentversion 2.1.1578 und früher. Für neuere Agenten verwenden Sie den Typ Gefährliche VBA-Makroverletzung auf der Registerkarte Speicherschutz. Alle Makroausschlüsse, die Sie zuvor für die Skriptsteuerung erstellt haben, müssen zu den Speicherschutzausschlüssen für den Verletzungstyp Gefährliches VBA-Makro hinzugefügt werden.

Ab Microsoft Office 2013 sind Makros standardmäßig deaktiviert. In der Regel müssen Sie keine Makros aktivieren, damit Benutzer den Inhalt eines Microsoft Office-Dokuments anzeigen können. Aktivieren Sie Makros nur für Dokumente von vertrauenswürdigen Benutzern. Es hat sich bewährt, Makros zu deaktivieren.

Python

Steuert, wie der Agent die Python-Skripte 2.7 und 3.0 bis 3.8 verarbeitet.

.NET DLR

Steuert, wie der Agent .NET DLR-Skripte verarbeitet.

XLM-Makros (Vorschau)
Anmerkung: Die XLM-Makrofunktion ist derzeit im Vorschaumodus verfügbar, wo sie möglicherweise unerwartetes Verhalten zeigt.

Steuert, wie der Agent Excel 4.0 (XLM)-Makros verarbeitet.

Diese Funktion erfordert:
  • Microsoft Windows 10 oder höher
  • Aurora Protect Desktop-Agentversion 3.1 oder höher
  • VBA-Makros müssen in Excel deaktiviert sein.

Bewerten aller Skripte

Wenn diese Option aktiviert ist, werden alle aktiven Skripts und PowerShell-Skripte ausgewertet, auch wenn der Steuerungsmodus auf Warnung oder Sperren eingestellt ist. Wenn diese Option nicht aktiviert ist, werden aktive Skripts und PowerShell-Skripte nur ausgewertet, wenn der Steuerungsmodus auf „Unsichere Skripte blockieren“ oder „Anormale und unsichere Skripte blockieren“ eingestellt ist.

Skript in Cloud hochladen

Wenn diese Funktion aktiviert ist, wird eine Kopie des aktiven Skripts und der PowerShell-Skripte zur Analyse und Bewertung von Bedrohungen in die Aurora Protect-Cloud Services hochgeladen. Wenn diese Option nicht aktiviert ist, versucht Aurora Protect, eine Bewertung für aktive Skripte und PowerShell-Skripte anhand der Hash-Details zu erhalten.

Warnung nur bei Ausführung verdächtiger Skripte

Wenn diese Option aktiviert ist, werden nur aktive Skript- oder PowerShell-Skriptausführungen, die als unsicher oder anormal eingestuft werden, an die Verwaltungskonsole gemeldet. Wenn diese Option nicht aktiviert ist, wird die Ausführung jedes aktiven Skripts oder PowerShell-Skripts an die Konsole gemeldet, unabhängig davon, ob eine Bedrohung erkannt wird.

Aktionen für große Skripte

Wenn diese Option aktiviert ist, führt der Agent die angegebene Aktion aus, wenn eine Bedrohung durch ein größeres Skript erkannt wird (z. B. PowerShell-Skripte, die größer als 5 MB sind):

  • Große Skripte ignorieren: Der Agent meldet die Warnung nicht an die Verwaltungskonsole.
  • Warnung nur bei großen Skripten: Wenn der Agent ein großes Skript erkennt, meldet er das Skript nur an die Konsole und führt keine weiteren Maßnahmen durch.
  • Sprachspezifische Richtlinieneinstellungen anwenden: Wenn der Agent ein großes Skript entdeckt, meldet er die Warnung an die Konsole und führt die ausgewählte Aktion (Kontrollmodus) aus, die Sie für jeden Skripttyp konfiguriert haben.

Dateien, Skripte oder Prozesse ausschließen: Ausschluss hinzufügen

Sie können Ordner angeben, die von der Skriptsteuerung ausgeschlossen sind. Alle Skripte, die innerhalb eines bestimmten Ordners (oder Unterordners) ausgeführt werden, unterliegen nicht dem von Ihnen konfigurierten Kontrollmodus und erzeugen keine Warnung.

Sie können Ausnahmen für Prozesse hinzufügen, um Skripte aus bestimmten Anwendungen zuzulassen, die sonst blockiert würden. Wenn Ihre IT-Abteilung beispielsweise bestimmte Tools zur Ausführung von Skripten verwendet, können Sie den Prozess für dieses Tool als Ausschluss hinzufügen, damit Skripte ausgeführt werden können.

Sie müssen den relativen Pfad des Ordners oder Unterordners angeben. Ordnerpfade können auf ein lokales Laufwerk, ein zugeordnetes Netzlaufwerk oder einen UNC (Universal Naming Convention)-Pfad verweisen.

Ordner und Skripte ausschließen:
  • Ordnerausschlüsse dürfen den Skript- oder Makrodateinamen nicht enthalten. Diese Einträge sind ungültig und werden vom Agenten ignoriert.
  • Wenn die Gruppe „Alle“ Schreibberechtigungen für einen Ordner erhält, kann jeder innerhalb oder außerhalb des Unternehmens ein Skript in dem Ordner ablegen und verfügt über Schreibrechte für diesen Ordner. Aurora Protect Desktop sendet weiterhin Warnungen zu Skripten und blockiert sie. Die Schreibrechte gelten nicht nur für den direkten übergeordneten Ordner, sondern auch für alle übergeordneten Ordner bis hin zum Stammverzeichnis.
  • Wenn Sie ein bestimmtes Skript ausschließen möchten, müssen Sie einen Platzhalter verwenden.
Prozesse ausschließen:
  • Die ausführbare Datei im Prozessausschluss kann von der Ausführungssteuerung unter Quarantäne gestellt werden und nicht ausführbar sein. Wenn die ausführbare Datei in Quarantäne ist, müssen Sie sie zur Liste der sicheren Richtlinien hinzufügen.
  • Prozessausschlüsse erlauben die Ausführung von Skripten und verhindern nicht, dass sie aus dem angegebenen Ordner ausgeführt werden.

Weitere Informationen zur Verwendung von Platzhaltern für Datei-, Skript- oder Prozessausschlüsse finden Sie unten.

Verwendung von Platzhaltern für Datei-, Skript- oder Prozessausschlüsse

Beachten Sie die folgenden Überlegungen für die Verwendung von Platzhaltern (*) in Skriptsteuerungsausschlüssen:
  • Nur das Sternchen (*) wird als Platzhalter für Ausschlüsse für die Skriptsteuerung unterstützt. Der Platzhalter stellt ein oder mehrere Zeichen dar.
  • Ausschlüsse müssen Unix-Schrägstriche verwenden (auch für Windows-Systeme), z. B. /Windows/System*/*.
  • Um einen Ordner auszuschließen, muss der Ausschluss am Ende des Pfads einen Platzhalter haben, um den Ausschluss als Ordner und nicht als Datei zu kennzeichnen. Beispiel: /windows/system32/test*/*.
  • Wenn Sie eine Datei ausschließen möchten, muss der Ausschluss mit einer Dateierweiterung enden, um den Ausschluss als Datei (und nicht als Ordner) erkennbar zu machen. Beispiel: /windows/system32/script*.vbs.
    • Jeder Platzhalter stellt nur eine Ordnerebene dar. Die Anzahl der im Ausschluss dargestellten Ordnerebenen muss mit der Dateiebene übereinstimmen, die Sie ausschließen möchten. Zum Beispiel passt /folder/*/script.vbs zu \folder\test\script.vbs, aber nicht zu \folder\test\001\script.vbs. In diesem Fall ist entweder /folder/*/001/script.vbs oder /folder/*/*/script.vbs erforderlich.
    • Der Platzhalter muss dann für jede Ebene bis zur Ebene, auf der sich das Skript befindet, verwendet werden.
    • Zwei oder mehr Platzhalter pro Ebene sind nicht zulässig. /folder/*file*.ext ist zum Beispiel nicht erlaubt.
  • Bei Prozessausschlüssen mit Platzhalter muss eine Dateierweiterung angegeben werden, um zwischen einem Ordner und einer Datei unterscheiden zu können. Beispiel: /My*.exe (lokales Laufwerk),/directory/child/my*.exe (lokales Laufwerk), //my*.exe (Netzlaufwerk),//directory/child/my*.exe (Netzlaufwerk)
  • Platzhalter können Ihre Sicherheitslage verringern, wenn Ihre Ausschlüsse zu weit gefasst sind. Vermeiden Sie es beispielsweise, ganze Ordner wie /Windows/temp auszuschließen. Verwenden Sie stattdessen einen Platzhalter, wenn Sie den vollständigen oder teilweisen Dateinamen des Skripts angeben, das Sie ausschließen möchten (z. B. /windows/temp/myscript*.vbs).
  • Absolute Pfade werden bei Ausschlüssen für die Skriptsteuerung nicht unterstützt.
  • Wenn Sie einen gemeinsamen relativen Pfad identifizieren können, können Sie UNC (Universal Naming Convention)-Pfade mit einem Platzhalter ausschließen. Wenn Sie beispielsweise Gerätenamen in einem Pfad verwenden, z. B. „DC01“ bis „DC24“: /dc*/path/to/script/*
  • Netzwerkpfade können ausgeschlossen werden: Beispiel: //host*/application/*.
  • Genauere Beispiele finden Sie unter Beispiele zu Ausschlüssen für die Skriptsteuerung.