Wanneer verhogingsregels worden aangemaakt als onderdeel van een realtime privilegeaanvraag (via de mobiele app AutoElevate Notify of via de beheerportal), wordt altijd de MD5-hash van het bestand gebruikt als identificatiecriterium . Geavanceerde regels kunnen worden ontwikkeld door aanvullende identificatiecriteria voor bestanden en uitgeverscertificaten te selecteren bij het bewerken van een bestaande MD5-regel of het aanmaken van een nieuwe regel vanuit een gebeurtenis.

• Bewerk een bestaande regel op het scherm Verhogingsregels (in de beheerportal - https://msp.autoelevate.com ) door op Bewerken (potloodpictogram) naast de regel te klikken.
  
• Maak een nieuwe regel op het scherm Verhogingsgebeurtenissen (in de beheerportal - https://msp.autoelevate.com ) door het vakje naast een gebeurtenis aan te vinken en Converteren naar regel te selecteren in het menu Acties .
  

Het gebruik van combinaties van bestands- en uitgeverscertificaatidentificatiecriteria

Geavanceerde regels kunnen worden ingesteld om te voldoen aan zoveel combinaties van identificatiecriteria voor het bestand en/of uitgeverscertificaat als u wenst. Dit doet u door de selectievakjes te selecteren naast de elementen van de gebeurtenis waaraan u de regel wilt laten voldoen. Als er een overeenkomst wordt gevonden wanneer een UAC-gebeurtenis plaatsvindt, voert de AutoElevate Agent de gedefinieerde actie Goedgekeurd, Geweigerd of Genegeerd uit. Om de regel op een gebeurtenis toe te passen, moet deze voldoen aan ALLE geselecteerde identificatiecriteria .

Bestandsidentificatiecriteria

Bestandsidentificatiecriteria kunnen worden geselecteerd in een combinatie van 5 opties: productnaam, bestandspad, bestandsnaam, oorspronkelijke bestandsnaam en MD5-hash . De standaardwaarden van deze criteria worden ingesteld op de waarden die zijn gelezen uit het bestand zelf van de lokale computer waarop de oorspronkelijke gebeurtenis plaatsvond. Jokertekens kunnen dynamische elementen specificeren (* ? [az]).

• Productnaam: Een waarde die door de software-uitgever is opgegeven en in het binaire bestand is opgenomen. Deze kan leeg zijn als het bestand geen versie-informatie bevat.
  
• Bestandspad: Het volledige pad van het bestand op de lokale computer, inclusief de bestandsnaam. De agent breidt alle Windows-omgevingsvariabelen uit bij het verwerken van het bestandspad. Klik HIER voor meer informatie over Windows-omgevingsvariabelen.
  • Momenteel kan de agent geen omgevingsvariabelen verwerken die lokale gebruikersinformatie bevatten (bijvoorbeeld %LOCALAPPDATA%, %USERPROFILE%, enz.).
    
• Bestandsnaam: De bestandsnaam die uit het pad is geëxtraheerd.
  
• Oorspronkelijke bestandsnaam: De naam waarmee het bestand is gemaakt. Deze kan leeg zijn als het bestand geen versie-informatie bevat.
  
• MD5-hash: De MD5-hash van het bestand.
  

Criteria voor uitgeversidentificatie

De uitgeversidentificatiecriteria kunnen worden ingesteld op 1 van 2 opties: Onderwerpelementen of Certificaathash .

• Onderwerpelementen: Dit zijn de verschillende onderdelen van de DN-naam van het onderwerp in het certificaat van de uitgever. Elke combinatie van elementen kan worden geselecteerd. Het is echter goed om te weten dat elke software-uitgever meerdere certificaten kan gebruiken. Door minder onderwerpelementen te targeten, kunt u een breder scala aan software aanbieden dat aan de geselecteerde identificatiecriteria voldoet.
  
• Certificaathash: Dit is de vingerafdruk van het certificaat dat gebruikt wordt om het bestand te ondertekenen. Deze is zeer specifiek voor dat certificaat. Normaal gesproken verlopen uitgeverscertificaten na een jaar of twee. Dit betekent dat uitgevers regelmatig nieuwe certificaten met nieuwe vingerafdrukken moeten aanvragen. Het targeten van de certificaathash kan betekenen dat u nieuwe regels moet maken om rekening te houden met deze nieuwe certificaten wanneer ze worden uitgegeven.
  

De gedefinieerde regels worden gecodeerd en bij elke check-in opgeslagen in een beveiligde registratieomgeving. Ze blijven van kracht, ongeacht of u verbonden bent met internet en/of onze diensten.

Wij nemen standaard de positie van beveiliging in en laten de UAC opkomen voor alles wat niet aan een regel voldoet.

We adviseren u ook om op elk systeem een lokale beheerder aan te maken die de inloggegevens kan 'break-the-glass'. (Misschien heeft alleen het management toegang tot de inloggegevens) voor zeldzame gevallen als deze.

Probleemoplossing:

• Zorg ervoor dat uw agents versie 2.4+ hebben. Alleen gebeurtenissen die zijn gegenereerd vanaf een machine met versie 2.4+ van Agent kunnen een regel definiëren met behulp van uitgeverscertificaat- en bestandsgegevens. Aanvullende informatie is vereist om uitgeverscertificaatregels te maken die niet werden vastgelegd in eerdere agentversies. Alleen agentversie 2.4+ kan de identificatiecriteria die voor deze nieuwe regels zijn ingesteld, interpreteren en verwerken.
  
• Als u ziet dat agents nog steeds vastlopen op v2.3.8, controleer dan of ze minimaal .NET v4.7 hebben (dit is vereist). Als de machine geen versie 4.7 heeft, wordt de agent niet geïnstalleerd en blijft de vorige versie behouden.
  
• Voor het verwerken van regels met jokertekens is ook Powershell v3.0+ vereist.
  
• Alleen gebruikers met de rollen Beheerder en Technicus (niveau 3) hebben toestemming om de identificatiecriteria voor regels te bewerken en in te stellen.