US English (US)
FR French
DE German
ES Spanish
IT Italian
NL Dutch
JP Japanese

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

  • Contact Us
German
US English (US)
FR French
DE German
ES Spanish
IT Italian
NL Dutch
JP Japanese
  • Home
  • AutoElevate Wissensdatenbank
  • Regeln verwalten

Erweiterte Rechtevergaberegeln: Kriterien zur Identifizierung von Datei- und Herausgeberzertifikaten

Verschaffen Sie sich mithilfe der Anleitung eines Experten ein besseres Verständnis dafür, wie Sie Regeln effektiv organisieren und verwalten.

Written by Owen Parry

Updated at June 9th, 2025

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

  • AutoElevate Wissensdatenbank
    Neu bei AutoElevate ? HIER BEGINNEN Allgemeines und Fehlerbehebung Regeln verwalten Integrationen Ankündigungen Häufig gestellte Fragen Anleitungsvideos
  • Password Boss Wissensdatenbank
    Verwenden von Password Boss Betriebswirtschaftslehre Password Boss Partner Dokumente
  • Marketing-Toolkit
    MSP -Marketing- und Schulungs-Toolkit
  • Änderungsprotokolle für Autoelevate und Password Boss
  • Aktueller Status
+ More

Erstellen von Höhenregeln

Regeln müssen aus einem UAC-Ereignis oder einer Rechteanforderung stammen. Sie können nicht manuell von Grund auf neu erstellt werden, da wir auf die Informationen angewiesen sind, die der Windows-Benutzerkontensteuerung bereitgestellt werden, um die Details im AutoElevate Portal auszufüllen.

Wenn Rechteerweiterungsregeln im Rahmen einer Echtzeit-Berechtigungsanforderung (entweder über die mobile AutoElevate Notify-App oder das Admin-Portal) erstellt werden, wird als Identifikationskriterium stets der MD5-Hash der Datei verwendet. Erweiterte Regeln können entwickelt werden, indem zusätzliche Identifikationskriterien für Datei- und Herausgeberzertifikate ausgewählt werden, wenn eine vorhandene MD5-Regel bearbeitet oder eine neue aus einem Ereignis erstellt wird.

  • Bearbeiten Sie eine vorhandene Regel im Bildschirm „Erhöhungsregeln“ (im Admin-Portal – https://msp.autoelevate.com ), indem Sie neben der Regel auf „Bearbeiten “ (Bleistiftsymbol) klicken.
  • Erstellen Sie eine neue Regel auf dem Bildschirm „Elevation-Ereignisse“ (im Admin-Portal – https://msp.autoelevate.com ), indem Sie das Kontrollkästchen neben einem Ereignis aktivieren und im Menü „ Aktionen“ die Option „In Regel konvertieren“ auswählen.

Verwenden von Kombinationen aus Datei- und Herausgeberzertifikatidentifizierungskriterien

Erweiterte Regeln können so eingerichtet werden, dass sie beliebig vielen Kombinationen der Identifizierungskriterien für Datei- und/oder Herausgeberzertifikate entsprechen. Aktivieren Sie dazu die Kontrollkästchen neben den Elementen des Ereignisses, auf die die Regel angewendet werden soll. Wird bei einem UAC-Ereignis eine Übereinstimmung gefunden, führt der AutoElevate Agent die definierte Aktion „ Genehmigt“, „Abgelehnt“ oder „Ignoriert“ aus. Damit die Regel auf ein Ereignis angewendet werden kann, muss sie ALLE ausgewählten Identifizierungskriterien erfüllen.

Kriterien zur Dateiidentifizierung

Dateiidentifizierungskriterien können in beliebiger Kombination aus fünf Optionen ausgewählt werden: Produktname, Dateipfad, Dateiname, Originaldateiname, MD5-Hash . Die Standardwerte dieser Kriterien entsprechen den gelesenen Daten aus der Datei des lokalen Computers, auf dem das ursprüngliche Ereignis aufgetreten ist. Platzhalterzeichen können dynamische Elemente angeben (* ? [az]).

  • Produktname: Ein vom Softwarehersteller angegebener und in die Binärdatei eingebetteter Wert. Dieser Wert kann leer sein, wenn die Datei keine Versionsinformationen enthält.
  • Dateipfad: Der vollständige Pfad zum Speicherort der Datei auf dem lokalen Rechner, einschließlich des Dateinamens. Der Agent erweitert bei der Verarbeitung des Dateipfads alle Windows-Umgebungsvariablen. Klicken Sie HIER für weitere Informationen zu Windows-Umgebungsvariablen.
    • Derzeit kann der Agent keine Umgebungsvariablen verarbeiten, die lokale Benutzerinformationen enthalten (z. B. %LOCALAPPDATA%, %USERPROFILE% usw.).
  • Dateiname: Der aus dem Pfad extrahierte Dateiname.
  • Ursprünglicher Dateiname: Der Name, unter dem die Datei erstellt wurde. Das Feld kann leer bleiben, wenn die Datei keine Versionsinformationen enthält.
  • MD5-Hash: Der MD5-Hash der Datei.

Kriterien zur Herausgeberidentifizierung

Die Kriterien zur Herausgeberidentifizierung können auf eine von zwei Optionen eingestellt werden: „Subject Elements“ oder „Certificate Hash“ .

  • Subjektelemente: Dies sind die verschiedenen Teile des Subjekt-DN im Herausgeberzertifikat. Die Elemente können beliebig kombiniert werden. Beachten Sie jedoch, dass jeder Softwareherausgeber mehrere Zertifikate verwenden kann. Durch die Auswahl weniger Subjektelemente können Sie eine größere Auswahl an Software finden, die den ausgewählten Identifikationskriterien entspricht.
  • Zertifikat-Hash: Dies ist der Fingerabdruck des Zertifikats, mit dem die Datei signiert wurde. Er ist ausschließlich auf dieses Zertifikat beschränkt. Herausgeberzertifikate laufen in der Regel nach ein bis zwei Jahren ab. Daher benötigen Herausgeber regelmäßig neue Zertifikate mit neuen Fingerabdrücken. Die Verwendung des Zertifikat-Hashs kann dazu führen, dass Sie neue Regeln erstellen müssen, um diese neuen Zertifikate bei ihrer Ausstellung zu berücksichtigen.

Verifiziertes Herausgeberzertifikat

Beachten Sie, dass erweiterte Regeln, die einen beliebigen Aspekt der Herausgeberidentifizierungskriterien verwenden, nur für ein verifiziertes Herausgeberzertifikat gelten.

Woher erhalten wir die Herausgeber-Identifikationsinformationen?

Sie sehen einen erweiterbaren Abschnitt mit Informationen zum Herausgeberzertifikat und den Herausgeberoptionen. Diese Daten werden aus der Datei generiert, die auf dem lokalen Computer untersucht wurde, von dem das Ereignis stammt.

Ob die Datei als verifiziert gekennzeichnet wird oder nicht, hängt davon ab, ob die Zertifikatskette auf dem lokalen Rechner verifiziert wurde. Verifizierte Zertifikate liegen vor, wenn sich das Zertifikat und/oder sein Aussteller in der lokalen Zertifizierungsstelle (CA) auf dem lokalen Rechner befinden und der Signaturzeitpunkt zwischen den Zeitstempeln „Gültig ab“ und „Gültig bis“ liegt.

Die definierten Regeln werden bei jedem Check-in verschlüsselt und in einem sicheren Registrierungsbereich gespeichert und funktionieren weiterhin mit oder ohne Verbindung zum Internet und/oder unseren Diensten.

Wir greifen standardmäßig auf eine Sicherheitsposition zurück und lassen zu, dass die Benutzerkontensteuerung für alles aufgerufen wird, wofür es keine Regel gibt.

Für solche seltenen Fälle empfehlen wir außerdem, auf jedem System einen lokalen Break-the-Glass-Administrator einzurichten (möglicherweise hat nur das Management Zugriff auf die Anmeldeinformationen).

Fehlerbehebung:

  • Stellen Sie sicher, dass Ihre Agenten Version 2.4 oder höher verwenden. Nur Ereignisse, die von einem Rechner mit Agent Version 2.4 oder höher generiert werden, können eine Regel mit Herausgeberzertifikat und Dateiinformationen definieren. Für die Erstellung von Herausgeberzertifikatsregeln sind zusätzliche Informationen erforderlich, die von den vorherigen Agentenversionen nicht erfasst wurden. Nur Agentenversionen ab 2.4 können die in diesen neuen Regeln festgelegten Identifikationskriterien interpretieren und verarbeiten.
  • Wenn die Agenten immer noch auf Version 2.3.8 hängen, überprüfen Sie, ob sie mindestens die erforderliche Version .NET 4.7 haben. Wenn die Maschine nicht über Version 4.7 verfügt, wird der Agent nicht installiert und sollte auf der vorherigen Version verbleiben.
  • Zur Verarbeitung von Regeln mit Platzhalterzeichen ist außerdem Powershell v3.0+ erforderlich.
  • Nur Benutzer in den Rollen „Administratoren“ und „Techniker“ (Stufe 3) haben die Berechtigung, die Identifikationskriterien für Regeln zu bearbeiten und festzulegen.

Sicherheitshinweis

Die Überprüfung von Herausgeberzertifikaten wurde in den Agenten v2.4+ integriert, um die Sicherheit bei der Erstellung von Regeln auf Grundlage von Herausgeberzertifikatkriterien zu gewährleisten.

Die AutoElevate -Regel-Engine führt diese Überprüfung wie die meisten Sicherheitstools mithilfe von Informationen aus dem lokalen Zertifikatspeicher (CA) jedes Computers durch. Microsoft aktualisiert die lokalen Zertifikatspeicher. Sicherheit und Abwehr von Bedrohungen für den lokalen Zertifikatspeicher jedes Computers hängen stark davon ab, dass Benutzer nur über Standardbenutzerrechte verfügen.

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Verwenden von DUO mit AutoElevate
  • Übersicht der Einstellungen
  • Products
    • Privileged Access Management
    • Password Management
  • Solutions
    • For MSPs
    • For IT Pros
    • By Industry
  • Resources
    • Weekly Demos
    • Events
    • Blog
    • FAQ
  • Company
    • Leadership
    • Culture + Values
    • Careers
    • Awards
    • News & Press
    • Trust Center
    • Distributors
  • Get Pricing
  • Free Trial
  • Request a Demo
  • Support
  • Login
  • Contact
4925 Independence Parkway
Suite 400
Tampa, FL 33634
CALL US (813) 578-8200
  • Link to Facebook
  • Link to Linkedin
  • Link to Twitter
  • Link to Youtube
© 2023 CYBERFOX LLC ALL RIGHTS RESERVED  |  Privacy Policy

Knowledge Base Software powered by Helpjuice

Expand