US English (US)
FR French
DE German
ES Spanish
IT Italian
NL Dutch
JP Japanese

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

  • Contact Us
German
US English (US)
FR French
DE German
ES Spanish
IT Italian
NL Dutch
JP Japanese
  • Home
  • AutoElevate Wissensdatenbank
  • Regeln verwalten

Blocker-Regeln verwalten

Erfahren Sie, wie Sie Blocker effektiv verwalten und navigieren und so einen reibungslosen Betrieb mit verbesserter Sicherheit gewährleisten.

Written by Daniel Rivera

Updated at June 9th, 2025

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

  • AutoElevate Wissensdatenbank
    Neu bei AutoElevate ? HIER BEGINNEN Allgemeines und Fehlerbehebung Regeln verwalten Integrationen Ankündigungen Häufig gestellte Fragen Anleitungsvideos
  • Password Boss Wissensdatenbank
    Verwenden von Password Boss Betriebswirtschaftslehre Password Boss Partner Dokumente
  • Marketing-Toolkit
    MSP -Marketing- und Schulungs-Toolkit
  • Änderungsprotokolle für Autoelevate und Password Boss
  • Aktueller Status
+ More

Mit der Blocker-Funktion von AutoElevate können Sie über 200 native Windows-Anwendungen, Binärdateien und DLL-Dateien blockieren, die typischerweise als Angriffsvektoren für Living Off the Land (LOTL) verwendet werden. Fileless Malware, Malware-frei oder Living Off The Land beziehen sich auf Cyberangriffstechniken Dabei nutzt der Cyberkriminelle native, legitime Tools im System des Opfers, um einen Angriff aufrechtzuerhalten und voranzutreiben .

Wie wählt AutoElevate aus, welche Prozesse in unsere Sperrliste aufgenommen werden?

Um das Produkt auf dem neuesten Stand zu halten, verlassen wir uns hauptsächlich auf Quellen wie Microsoft , Community-Projekte (wie das LOLBAS-Projekt ) und unsere eigene Forschung.

Blocker konzentriert sich auf „Malware-freie“ Angriffe, auch bekannt als „Living off the Land“-Angriffe. Diese nutzen in der Regel bekannte Anwendungen und Tools aus, die schon lange in Windows verfügbar sind – ein Teil davon ist veraltet und nur noch aus Gründen der Abwärtskompatibilität vorhanden.

Diese Funktion ist für 64-Bit-Windows-Workstations, einschließlich der Versionen 10 und 11, konzipiert und wird für diese unterstützt. Ihre Agenten müssen auf Version 2.8 oder höher laufen, damit diese Funktion verfügbar ist.

Schnellstart

  • Wählen Sie auf dem Bildschirm „Computer“ den/die Computer aus, den/die Sie aktivieren möchten, indem Sie auf das Quadrat neben dem aufgelisteten Computernamen klicken.
  • Klicken Sie oben auf dem Bildschirm auf das Menü „Aktionen “ und dann im Abschnitt „ Blockermodus“ auf „Auf Prüfen einstellen“ .
  • Nach der Aktivierung empfehlen wir, den Überwachungsmodus etwa einen Monat oder länger beizubehalten, damit der Agent Daten sammeln und analysieren und empfohlene Regeln bereitstellen kann.
  • Empfohlene Blockregeln in Echtzeit finden Sie im Bildschirm „Blocker-Empfehlungen“ des Portals. Sie haben die Möglichkeit, ANWENDUNGEN ANZEIGEN, um weitere Informationen zu erhalten, und BLOCKREGELN HINZUFÜGEN, um die empfohlenen Regeln automatisch hinzuzufügen.
  • Wenn genügend Zeit vergangen ist und die gewünschten Blockierungsregeln erstellt wurden, kehren Sie zum Bildschirm „Computer“ zurück, wählen Sie den/die Computer aus, klicken Sie auf das Menü „Aktionen“ und dann im Abschnitt „Blockierungsmodus“ auf „Auf Live setzen “.

Aktivieren mit Skriptbereitstellung

Der Blocker kann bei der Skriptbereitstellung durch Ändern des folgenden Arguments in einem bestimmten Modus aktiviert werden. Wir empfehlen die Einstellung auf den Überwachungsmodus für die sofortige Datenerfassung und -analyse.

BLOCKER_MODE="audit" (optional) – Dies kann auf „live“, „audit“ oder „deaktiviert“ gesetzt werden, sodass das Agent-Installationsprogramm den aktuellen Modus überschreiben oder die Installation automatisch im gewünschten Modus durchführen kann. Der deaktivierte Modus ist die Standardeinstellung, wenn dieses Argument nicht angegeben ist. Wenn das Skript ein Upgrade eines bereits installierten Agenten durchführt, bleibt der aktuell eingestellte Agentenmodus erhalten, wenn dieses Argument nicht angegeben wird.

Bei diesen Modusoptionen muss die Groß-/Kleinschreibung beachtet werden, und sie sollten in Kleinbuchstaben angegeben werden. Andernfalls schlägt dieser Befehlsteil fehl und der Agent wechselt standardmäßig in den deaktivierten Modus.

Generische RMM-Bereitstellung mit PowerShell-Befehlen

Blockermodi definiert

  • Deaktiviert – Der Filtertreiber des Agenten ist nicht installiert oder wurde deinstalliert, falls er bereits installiert war. Daher wird in diesem Zustand kein Windows-Prozess überwacht und keine vorhandene Blocker-Regel angewendet. Da der Blocker deaktiviert ist, ändert sich das Benutzererlebnis nicht.
  • Audit – Der Filtertreiber des Agenten ist installiert. Windows-Prozesse für Binärdateien, die bei LOTL-Angriffen verwendet werden, werden überwacht und ihre Nutzung analysiert, um Blocker-Empfehlungen zu generieren. Der AE-Agent wendet keine definierten Blocker-Regeln an, daher ändert sich das Benutzererlebnis nicht.
  • Live – Der Filtertreiber des Agenten ist installiert. Windows-Prozesse für Binärdateien, die bei LOTL-Angriffen verwendet werden, werden überwacht und ihre Nutzung analysiert, um Blocker-Empfehlungen zu generieren. Der AE-Agent blockiert oder erlaubt Windows-Prozesse basierend auf definierten Blocker-Regeln.

Manuelles Erstellen von Blockregeln

  • Wählen Sie oben auf der Seite im Bildschirm „ Blockerregeln“ das Symbol „+“ aus.
  • Aktivieren Sie das Kontrollkästchen neben dem Prozessnamen, für den Sie eine Regel hinzufügen möchten. Weitere Informationen erhalten Sie, indem Sie auf den Quelllink neben dem Prozessnamen klicken, der die Empfehlung enthält, warum Sie den Prozess blockieren sollten.
  • Wählen Sie oben im Menü „Aktionen “ die Option „Regel hinzufügen“ , wählen Sie nach Bedarf „Ebene“ , „ Standort“ und „Computer“ und bestätigen Sie mit „OK“ .
Ihr Browser unterstützt kein HTML5-Video.

Erstellen von Zulassungsregeln

  • Wählen Sie auf dem Bildschirm „Blocker-Ereignisse“ das Ereignis aus, das Sie in eine Zulassungsregel umwandeln möchten, indem Sie das Kontrollkästchen neben dem Namen aktivieren.
  • Klicken Sie oben auf dem Bildschirm auf das Menü „Aktionen“ und wählen Sie „In Regel konvertieren“ aus.

Ihr Browser unterstützt kein HTML5-Video.

Verwenden von Prozess- und übergeordneten Prozessidentifizierungskriterienkombinationen

Zulassungsregeln können für beliebig viele Kombinationen der Identifikationskriterien Datei und/oder Herausgeberzertifikat eingerichtet werden. Aktivieren Sie dazu die Kontrollkästchen neben den Elementen des Ereignisses, auf die die Regel zutreffen soll. Wird während eines Ereignisses eine Übereinstimmung gefunden, führt der AutoElevate Agent die definierte Aktion „ Zugelassen“ aus. Damit die Regel auf ein Ereignis angewendet werden kann, muss sie ALLE ausgewählten Identifikationskriterien erfüllen .

Kriterien zur Prozessidentifizierung

Prozessidentifizierungskriterien können in einer beliebigen Kombination aus vier Optionen ausgewählt werden: Dateiname, Dateipfad, Name der übergeordneten Datei und MD5/SHA256-Hashes . Die Standardwerte dieser Kriterien entsprechen den Werten, die aus der Datei des lokalen Computers gelesen wurden, auf dem das ursprüngliche Ereignis aufgetreten ist. Platzhalterzeichen können dynamische Elemente angeben (* ? [az]).

  • Dateiname: Der aus dem Pfad extrahierte Dateiname.
  • Dateipfad: Der vollständige Pfad zum Speicherort der Datei auf dem lokalen Rechner, einschließlich des Dateinamens. Der Agent erweitert bei der Verarbeitung des Dateipfads alle Windows-Umgebungsvariablen. Klicken Sie HIER für weitere Informationen zu Windows-Umgebungsvariablen.
    • Derzeit kann der Agent keine Umgebungsvariablen verarbeiten, die lokale Benutzerinformationen enthalten (z. B. %LOCALAPPDATA%). Dies wird in einem zukünftigen Update angepasst.
  • Name der übergeordneten Datei: Der aus dem Pfad extrahierte Name der übergeordneten Datei.
  • MD5/SHA256-Hashes: Die MD5/SHA256-Hashes der übergeordneten Datei.

Kriterien zur Herausgeberidentifizierung

Die Kriterien zur Herausgeberidentifizierung können auf eine von zwei Optionen eingestellt werden: „Subject Elements“ oder „Certificate Hash“ .

  • Subjektelemente: Dies sind die verschiedenen Teile des Subjekt-DN im Herausgeberzertifikat. Die Elemente können beliebig kombiniert werden. Beachten Sie jedoch, dass jeder Softwareherausgeber mehrere Zertifikate verwenden kann. Durch die Auswahl weniger Subjektelemente können Sie eine größere Auswahl an Software finden, die den ausgewählten Identifikationskriterien entspricht.
  • Zertifikat-Hash: Dies ist der Fingerabdruck des Zertifikats, mit dem die Datei signiert wurde. Er ist ausschließlich auf dieses Zertifikat beschränkt. Herausgeberzertifikate laufen in der Regel nach ein bis zwei Jahren ab. Daher benötigen Herausgeber regelmäßig neue Zertifikate mit neuen Fingerabdrücken. Die Verwendung des Zertifikat-Hashs kann dazu führen, dass Sie neue Regeln erstellen müssen, um diese neuen Zertifikate bei ihrer Ausstellung zu berücksichtigen.

Woher erhalten wir die Herausgeber-Identifikationsinformationen?

Sie sehen einen erweiterbaren Abschnitt mit Informationen zum Herausgeberzertifikat und den Herausgeberoptionen. Diese Daten werden aus der Datei generiert, die auf dem lokalen Computer untersucht wurde, von dem das Ereignis stammt.

Ob die Datei als verifiziert gekennzeichnet wird oder nicht, hängt davon ab, ob die Zertifikatskette auf dem lokalen Rechner verifiziert wurde. Verifizierte Zertifikate liegen vor, wenn sich das Zertifikat und/oder sein Aussteller in der lokalen Zertifizierungsstelle (CA) auf dem lokalen Rechner befinden und der Signaturzeitpunkt zwischen den Zeitstempeln „Gültig ab“ und „Gültig bis“ liegt.

Die definierten Regeln werden bei jedem Check-in verschlüsselt und in einem sicheren Registrierungsbereich gespeichert und funktionieren weiterhin mit oder ohne Verbindung zum Internet und/oder unseren Diensten.

Notiz

  • Ein Regelsatz auf der untersten Ebene, d. h. Computer, hat Vorrang vor dem Rest, sofern eine Hierarchie besteht.
  • Eine Rechteerweiterungsgenehmigung ermöglicht eine Ausnahme von einer blockierten Regel über die übergeordnete Datei. Die direkte Ausführung eines blockierten Prozesses bleibt auch mit einer Rechteerweiterungsgenehmigung blockiert.
  • Der Blocker ist vorübergehend deaktiviert, während der Technikermodus verwendet wird.
  • Regeln können über das Bleistiftsymbol geändert oder über das Papierkorbsymbol gelöscht werden.
  • Regeln können auch auf eine andere Ebene verschoben oder kopiert sowie über das Menü „Aktionen“ gelöscht werden.
  • Der Bildschirm „Blocker-Ereignisse“ zeichnet nur Ereignisse auf, die durch eine Regel ausgelöst wurden. Alle blockierten Ereignisse werden protokolliert, wobei pro Regel nur ein erlaubtes Ereignis pro Tag aufgezeichnet wird. Um alle Ereignisse auf dem lokalen Computer anzuzeigen, müssen Sie die Ereignisprotokollierung aktivieren.

Sicherheitshinweis

Die Überprüfung von Herausgeberzertifikaten wurde in den Agenten v2.4+ integriert, um die Sicherheit bei der Erstellung von Regeln auf Grundlage von Herausgeberzertifikatkriterien zu gewährleisten.

Die AutoElevate -Regel-Engine führt diese Überprüfung wie die meisten Sicherheitstools mithilfe von Informationen aus dem lokalen Zertifikatspeicher (CA) jedes Computers durch. Microsoft aktualisiert die lokalen Zertifikatspeicher. Sicherheit und Abwehr von Bedrohungen für den lokalen Zertifikatspeicher jedes Computers hängen stark davon ab, dass Benutzer nur über Standardbenutzerrechte verfügen.

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • SSO mit Entra ID (Azure AD) für AutoElevate
  • UAC-Ebenen und Windows-Einstellungen für die Benutzerkontensteuerung
  • Firewall-Whitelisting
  • Verbesserungen der VirusTotal-Integration
  • Products
    • Privileged Access Management
    • Password Management
  • Solutions
    • For MSPs
    • For IT Pros
    • By Industry
  • Resources
    • Weekly Demos
    • Events
    • Blog
    • FAQ
  • Company
    • Leadership
    • Culture + Values
    • Careers
    • Awards
    • News & Press
    • Trust Center
    • Distributors
  • Get Pricing
  • Free Trial
  • Request a Demo
  • Support
  • Login
  • Contact
4925 Independence Parkway
Suite 400
Tampa, FL 33634
CALL US (813) 578-8200
  • Link to Facebook
  • Link to Linkedin
  • Link to Twitter
  • Link to Youtube
© 2023 CYBERFOX LLC ALL RIGHTS RESERVED  |  Privacy Policy

Knowledge Base Software powered by Helpjuice

Expand