In diesem Artikel werden die Unterschiede zwischen dem Beobachtungsmodus und dem Aktualisierungsmodus in Application Control beschrieben.
MAC sorgt dafür, dass auf dem System ausschließlich in Whitelists enthaltene, legitime und autorisierte Anwendungen und Dateien ausgeführt werden. Dies wird anhand von Whitelist- und Speicherschutzfunktionen umgesetzt.
Nachdem Sie die anfängliche Systemzementierung durchgeführt haben, wird eine Whitelist mit allen unterstützten Anwendungen und Dateien erstellt. Anhand dieser Whitelist wird die Ausführung aller unterstützten Dateien überprüft. Dieser Prozess sperrt das System, um folgende Aktivitäten zu verhindern:
- Ausführen von unterstützten Dateien, die nicht in der Whitelist enthalten sind
- Änderungen unterstützter Dateien, die in der Whitelist enthalten sind
Was ist der Aktualisierungsmodus?
MAC stellt folgende Möglichkeiten zum Ändern oder Aktualisieren eines gesperrten Systems bereit:
- Aktualisierungsprogrammprozess: Als Prozess wird jedes Programm bezeichnet, das gerade ausgeführt wird. Eine in der Whitelist enthaltene ausführbare Datei oder ein in der Whitelist enthaltenes Skript kann als Aktualisierungsprogramm konfiguriert werden, sodass es jede unterstützte Datei ungeachtet ihres Inventarzustands (Whitelist) ändern oder ausführen kann. Die von einem Aktualisierungsprogrammprozess durchgeführten Änderungen werden dynamisch ins Inventar (Whitelist) übernommen.
- Benutzer als Aktualisierungsprogramm-Benutzer oder vertrauenswürdigen Benutzer festlegen: Sie können einzelne Benutzer in MAC als vertrauenswürdig festlegen. Alle Änderungen, die ein solcher Benutzer durchführt, werden auch auf einem gesperrten System zugelassen. Die von einem Aktualisierungsprogramm-Benutzer oder vertrauenswürdigen Benutzer durchgeführten Änderungen werden dynamisch ins Inventar (Whitelist) übernommen.
- Aktualisierungsmodus: Der Aktualisierungsmodus ist ein systemweit geltender Wartungsmodus. Im Aktualisierungsmodus werden alle Änderungen jedes beliebigen Prozesses oder Benutzers zugelassen. Änderungen, die vorgenommen werden, wenn sich das System im Aktualisierungsmodus befindet, werden dynamisch ins Inventar (Whitelist) übernommen.
HINWEIS: Sofern das System mit einer der oben aufgeführten Methoden aktualisiert wird, ist der Speicherschutz aktiviert und wirksam.
Was ist der Beobachtungsmodus?
Auf einem System, das sich im Beobachtungsmodus befindet, werden jegliche Änderungen an bzw. Ausführung von Dateien zugelassen. Der Beobachtungsmodus ist nur unter Windows verfügbar.
Vorteil des Beobachtungsmodus ist es, dass MAC zwar Ereignisse und Benachrichtigungen zur Verhinderung von Ausführungen oder Änderungen von Dateien genauso erzeugt, wie es auch im Aktivierten Modus der Fall wäre, jedoch ohne diese Ausführungen bzw. Änderungen tatsächlich zu verhindern. Die Ereignisse und Benachrichtigungen werden an ePO gemeldet. In dieser Meldung enthalten sind auch Vorschläge zu erforderlichen Konfigurationsänderungen, damit die jeweilige Ausführung bzw. Änderung im Aktivierten Modus zugelassen wird. Nachdem der Benutzer entscheidet, dass die im Ereignis gemeldete Veränderung legitim ist, können die vorgeschlagenen Konfigurationsänderungen vorgenommen werden, damit die entsprechende Ausführung/Änderung im aktivierten Modus bzw. im gesperrten Zustand zugelassen wird.
HINWEIS: McAfee empfiehlt, dass 10 % aller ähnlichen oder übereinstimmenden Systeme in den Beobachtungsmodus versetzt werden sollten. Wenn Sie dann entsprechende erforderliche Konfigurationsänderungen identifiziert haben, können Sie diese Änderungen auf allen Hosts durchführen, die über eine ähnliche bzw. übereinstimmende Software-Konfiguration verfügen.
Wenn im Aktualisierungsmodus Änderungen zulässig sind, wozu wird dann der Beobachtungsmodus benötigt?
Im Lieferumfang von MAC ist eine Standardrichtlinie enthalten, die ab Werk konfigurierte Regeln umfasst, mit denen häufig verwendeten und bekannten Anwendungen nahtloses Funktionieren in einer MAC-Umgebung ermöglicht wird. Viele Umgebungen verfügen jedoch über Anwendungen oder Anwendungsversionen, die von McAfee noch nicht getestet wurden. Wenn diese Anwendungen neue Dateien erstellen und ausführen oder in der Whitelist enthaltene Dateien verändern, wird MAC die entsprechenden Aktionen blockieren. Hierdurch kann es zu Problemen mit den Anwendungen oder deren Funktionen kommen.
Es ist nicht praktikabel, ein System jedes Mal in den Aktualisierungsmodus zu versetzen, wenn eine Anwendung Dateien ausführen oder ändern muss, oder Änderungen durch diese Anwendung ohne jegliche Art von Überwachung zuzulassen. Der Beobachtungsmodus ermöglicht es, die Anzahl von Anwendungsausfällen im Status "Aktiviert" bzw. im gesperrten Zustand möglichst gering zu halten, indem bestimmt wird, welche Konfigurationsänderungen bei gleichzeitig möglichst geringem Sicherheitsrisiko für ein korrektes Funktionieren der Anwendungen erforderlich sind.
Vergleich zwischen Aktualisierungs- und Beobachtungsmodus
Der Aktualisierungsmodus und der Beobachtungsmodus weisen große grundsätzliche Unterschiede auf, mögen jedoch manchen Benutzern recht ähnlich vorkommen, da beide Modi Änderungen am System zulassen. Zur besseren Unterscheidung folgt eine Auflistung der Unterschiede hinsichtlich Eigenschaften und Nutzung von Aktualisierungsmodus und Beobachtungsmodus.
- Im Aktualisierungsmodus werden Änderungen nur dann zugelassen, wenn sich das System im Wartungsmodus (Aktualisierung) befindet. Im Beobachtungsmodus werden Änderungen zwar zugelassen, jedoch wird eine Konfiguration vorgeschlagen, die erforderlich ist, um im Falle einer weiteren ähnlichen Änderung diese durchführen zu können, ohne dass vorher ein Wechsel in den Aktualisierungsmodus vorgenommen werden muss.
- Die Nutzung des Aktualisierungsmodus ist sinnvoll, wenn eine einmalige Änderung bzw. Aktualisierung eines Systems vorgenommen werden muss, nachdem es zementiert und gesperrt wurde. Der Beobachtungsmodus kann dagegen zur grundsätzlichen Verbesserung der Systemleistung beitragen, da hiermit die erforderliche Konfiguration zum problemlosen Funktionieren des gesperrten Systems ermittelt wird.
- Der Aktualisierungsmodus kann immer dann aktiviert werden, wenn ein Notfall eingetreten ist oder eine umfangreiche Änderung/Aktualisierung erforderlich wird. Der Beobachtungsmodus wird einmalig aktiviert, um die MAC-spezifischen Konfigurationen zu bestimmen, bevor das System komplett gesperrt wird.
- Alle im Aktualisierungsmodus vorgenommenen Änderungen werden dynamisch ins Inventar (Whitelist) übernommen. Alle im Beobachtungsmodus vorgenommenen Änderungen werden nach Ermessen des Benutzers ins Inventar (Whitelist) übernommen.
- Das System kann ohne vorherige Zementierung oder anfängliche Erstellung einer Whitelist in den Aktualisierungsmodus versetzt werden. Für einen Wechsel in den Beobachtungsmodus ist die vorherige Zementierung oder anfängliche Erstellung einer Whitelist jedoch obligatorisch bzw. Voraussetzung.
- Im Aktualisierungsmodus wird die einmalige Ausführung bzw. Änderung der Dateien zugelassen. Durch die im Beobachtungsmodus ermittelte Konfiguration können Dateien anschließend jederzeit problemlos ausgeführt werden.