US English (US)
FR French
DE German
ES Spanish
IT Italian
NL Dutch
JP Japanese

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

  • Contact Us
Dutch
US English (US)
FR French
DE German
ES Spanish
IT Italian
NL Dutch
JP Japanese
  • Home
  • AutoElevate Kennisbank
  • Regels beheren

Beheer van blokkeringsregels

Leer hoe u Blocker effectief kunt beheren en navigeren, zodat u verzekerd bent van een soepele werking en verbeterde beveiliging.

Written by Daniel Rivera

Updated at June 9th, 2025

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

  • AutoElevate Kennisbank
    Nieuw bij AutoElevate ? BEGIN HIER Algemeen & Probleemoplossing Regels beheren Integraties Aankondigingen Veelgestelde vragen Instructievideo's
  • Password Boss Kennisbank
    Password Boss gebruiken Bedrijfskunde Partnerdocumenten van Password Boss
  • Marketingtoolkit
    MSP Marketing & Educatie Toolkit
  • Wijzigingslogboeken voor Autoelevate en Password Boss
  • Huidige status
+ More

Met de Blocker-functie van AutoElevate kunt u meer dan 200 native Windows-applicaties, binaire bestanden en .dll-bestanden blokkeren die doorgaans worden gebruikt als Living off the Land (LOTL)-aanvalsvectoren. Bestandsloze malware, malwarevrij of Living Off The Land verwijzen naar cyberaanvalstechnieken. waarbij de cybercrimineel gebruikmaakt van legitieme hulpmiddelen binnen het systeem van het slachtoffer om een aanval te ondersteunen en uit te voeren .

Hoe kiest AutoElevate welke processen in onze blokkeerlijst worden opgenomen?

Om het product up-to-date te houden, vertrouwen we voornamelijk op bronnen zoals Microsoft , communityprojecten (zoals het LOLBAS-project ) en ons eigen onderzoek.

Blocker richt zich specifiek op "malwarevrije" aanvallen, oftewel "Living off the Land". Deze aanvallen maken vaak gebruik van bekende applicaties en tools die al heel lang in Windows aanwezig zijn. Een deel daarvan is inmiddels verouderd en blijft alleen bestaan vanwege achterwaartse compatibiliteit.

Deze functie is ontworpen en wordt ondersteund voor 64-bits Windows-werkstations, inclusief versie 10 en 11. Uw agents moeten v2.8 of hoger gebruiken om deze functie beschikbaar te maken.

Snelle start

  • Selecteer op het scherm Computers de computer(s) die u wilt inschakelen door op het vierkantje naast de vermelde computernaam te klikken.
  • Klik bovenaan het scherm op het menu Acties en klik vervolgens onder de sectie Blokkeringsmodus op Instellen op Controle .
  • Nadat u deze functie hebt ingeschakeld, raden we u aan deze minimaal een maand in de auditmodus te houden. Zo kan de agent gegevens verzamelen en analyseren en regels aanbevelen.
  • Realtime aanbevolen blokkeringsregels zijn te vinden onder het scherm 'Aanbevelingen voor blokkers' van de portal. U kunt 'TOEPASSINGEN BEKIJKEN' selecteren voor meer informatie en 'BLOKKERINGSREGELEN TOEVOEGEN' om de aanbevolen regels automatisch toe te voegen.
  • Nadat er voldoende tijd is verstreken en de gewenste blokkeringsregels zijn aangemaakt, keert u terug naar het scherm Computers , selecteert u de computer(s), klikt u op het menu Acties en vervolgens op Instellen op Live onder de sectie Blokkeringsmodus .

Inschakelen met scriptimplementatie

De blokkering kan tijdens de implementatie van het script worden ingeschakeld voor een specifieke modus door het onderstaande argument aan te passen. We raden aan de auditmodus in te stellen voor directe gegevensverzameling en -analyse.

BLOCKER_MODE="audit" (optioneel) – Dit kan worden ingesteld op live, audit of uitgeschakeld, zodat het agentinstallatieprogramma de huidige modus kan overschrijven of automatisch in de gewenste modus kan worden geïnstalleerd. De uitgeschakelde modus is de standaardinstelling als dit argument niet is opgegeven. Als het script een upgrade uitvoert op een reeds geïnstalleerde agent, wordt de momenteel ingestelde agentmodus behouden als dit argument niet wordt opgegeven.

Deze modusopties zijn hoofdlettergevoelig en moeten in kleine letters worden ingevuld. Anders mislukt dit opdrachtonderdeel en wordt de agent standaard in de uitgeschakelde modus gezet.

Generieke RMM-implementatie met behulp van PowerShell-opdrachten

Blokkermodi gedefinieerd

  • Uitgeschakeld - Het filterstuurprogramma van de agent is niet geïnstalleerd of wordt verwijderd als het al eerder was geïnstalleerd. Hierdoor wordt in deze status geen enkel Windows-proces gecontroleerd en wordt er geen bestaande blokkeringsregel toegepast. Omdat de blokkering is uitgeschakeld, verandert er niets aan de gebruikerservaring.
  • Audit - Het filterstuurprogramma van de agent is geïnstalleerd. Windows-processen voor binaire bestanden die worden gebruikt bij LOTL-aanvallen worden gemonitord en hun gebruik wordt geanalyseerd om aanbevelingen voor blokkering te genereren. De AE-agent past geen gedefinieerde blokkeringsregels toe en verandert daarom niets aan de gebruikerservaring.
  • Live - Het filterstuurprogramma van de agent is geïnstalleerd. Windows-processen voor binaire bestanden die worden gebruikt bij LOTL-aanvallen worden gemonitord en hun gebruik wordt geanalyseerd om Blocker Recommendations te genereren. De AE Agent blokkeert of staat Windows-processen toe op basis van gedefinieerde Blocker Rules.

Blokregels handmatig maken

  • Selecteer het "+" -icoontje in het scherm Blokkeringsregels bovenaan de pagina.
  • Selecteer het selectievakje naast de procesnaam waaraan u een regel wilt toevoegen. Voor meer informatie kunt u klikken op de bronlink naast de procesnaam met de aanbeveling waarom u dat proces zou moeten blokkeren.
  • Selecteer in het menu Acties bovenaan de optie Regel toevoegen , kies indien nodig Niveau , Locatie en Computer en druk op OK om te bevestigen.
Uw browser ondersteunt geen HTML5-video.

Toestaanregels maken

  • Selecteer op het scherm Blokkeringsgebeurtenissen de gebeurtenis die u wilt omzetten in een toegestane regel door het vakje naast de naam aan te vinken.
  • Klik bovenaan het scherm op het menu Acties en selecteer Converteren naar regel .

Uw browser ondersteunt geen HTML5-video.

Het gebruik van proces- en bovenliggende procesidentificatiecriteriacombinaties

Toestaanregels kunnen zo worden ingesteld dat ze overeenkomen met zoveel combinaties van de identificatiecriteria van het bestand en/of uitgeverscertificaat als u wenst. Dit doet u door de selectievakjes te selecteren naast de elementen van de gebeurtenis waaraan u de regel wilt laten voldoen. Als er een overeenkomst wordt gevonden wanneer een gebeurtenis plaatsvindt, voert de AutoElevate Agent de gedefinieerde actie ' Toegestaan' uit. Om de regel op een gebeurtenis toe te passen, moet deze voldoen aan ALLE geselecteerde identificatiecriteria .

Procesidentificatiecriteria

Procesidentificatiecriteria kunnen worden geselecteerd in een combinatie van 4 opties: Bestandsnaam, Bestandspad, Naam van bovenliggend bestand, MD5/SHA256-hashes . De standaardwaarden van deze criteria worden ingesteld op wat is gelezen uit het bestand zelf van de lokale computer waarop de oorspronkelijke gebeurtenis plaatsvond. Jokertekens kunnen dynamische elementen specificeren (* ? [az]).

  • Bestandsnaam: De bestandsnaam die uit het pad is geëxtraheerd.
  • Bestandspad: Het volledige pad van het bestand op de lokale computer, inclusief de bestandsnaam. De agent breidt alle Windows-omgevingsvariabelen uit bij het verwerken van het bestandspad. Klik HIER voor meer informatie over Windows-omgevingsvariabelen.
    • Momenteel kan de agent geen omgevingsvariabelen verwerken die lokale gebruikersinformatie bevatten (d.w.z. %LOCALAPPDATA%). Dit wordt in een toekomstige update aangepast.
  • Naam van bovenliggend bestand: De naam van het bovenliggende bestand, geëxtraheerd uit het pad.
  • MD5/SHA256-hashes: De MD5/SHA256-hashes van het bovenliggende bestand.

Criteria voor uitgeversidentificatie

De uitgeversidentificatiecriteria kunnen worden ingesteld op 1 van 2 opties: Onderwerpelementen of Certificaathash .

  • Onderwerpelementen: Dit zijn de verschillende onderdelen van de DN-naam van het onderwerp in het certificaat van de uitgever. Elke combinatie van elementen kan worden geselecteerd. Het is echter goed om te weten dat elke software-uitgever meerdere certificaten kan gebruiken. Door minder onderwerpelementen te targeten, kunt u een breder scala aan software aanbieden dat aan de geselecteerde identificatiecriteria voldoet.
  • Certificaathash: Dit is de vingerafdruk van het certificaat dat gebruikt wordt om het bestand te ondertekenen. Deze is zeer specifiek voor dat certificaat. Normaal gesproken verlopen uitgeverscertificaten na een jaar of twee. Dit betekent dat uitgevers regelmatig nieuwe certificaten met nieuwe vingerafdrukken moeten aanvragen. Het targeten van de certificaathash kan betekenen dat u nieuwe regels moet maken om rekening te houden met deze nieuwe certificaten wanneer ze worden uitgegeven.

Waar vinden we de uitgeversidentificatiegegevens?

U ziet een uitvouwbaar gedeelte met informatie over het uitgeverscertificaat, samen met de uitgeversopties. Deze gegevens worden gegenereerd op basis van het bestand dat is gecontroleerd op de lokale computer waarvan de gebeurtenis afkomstig is.

Of het bestand als geverifieerd wordt gemarkeerd, hangt af van of de certificaatketen op de lokale computer geverifieerd is. Geverifieerde certificaten zijn certificaten waarbij het certificaat en/of de uitgever zich in de lokale certificeringsinstantie (CA) op de lokale computer bevinden en of de ondertekeningstijd tussen de tijdstempels 'Geldig van' en 'Geldig tot' valt.

De gedefinieerde regels worden gecodeerd en bij elke check-in opgeslagen in een beveiligde registratieomgeving. Ze blijven van kracht, ongeacht of u verbonden bent met internet en/of onze diensten.

Opmerking

  • Een regel die op het laagste niveau is ingesteld, namelijk Computers, krijgt voorrang op de rest, zolang er sprake is van een hiërarchie.
  • Een hoogtegoedkeuring heeft een toegestane uitzondering op een geblokkeerde regel via het bovenliggende bestand. Het rechtstreeks uitvoeren van een geblokkeerd proces blijft geblokkeerd, zelfs met een hoogtegoedkeuring.
  • De blokkering is tijdelijk uitgeschakeld wanneer de Technicusmodus in gebruik is.
  • Regels kunnen worden gewijzigd via het potloodpictogram en verwijderd via het prullenbakpictogram .
  • Regels kunnen ook worden verplaatst of gekopieerd naar een ander niveau, en kunnen ook worden verwijderd via het menu Acties .
  • Het scherm 'Gebeurtenissen blokkeren' registreert alleen gebeurtenissen die door een regel worden geactiveerd. Alle geblokkeerde gebeurtenissen worden geregistreerd, terwijl er slechts één toegestane gebeurtenis per regel per dag wordt geregistreerd. Om alle gebeurtenissen op de lokale computer te zien, moet u 'Gebeurtenisregistratie' inschakelen.

Beveiligingsnotitie

Verificatie van uitgeverscertificaten is ingebouwd in agent v2.4+ om de veiligheid en beveiliging te garanderen bij het maken van regels op basis van de criteria van uitgeverscertificaten.

De AutoElevate -regelengine voert deze verificatie uit, net als de meeste beveiligingstools, met behulp van informatie uit het lokale certificaatautoriteitsarchief (CA) op elke machine. Microsoft werkt de lokale certificaatautoriteitsarchief bij. Beveiliging en het beperken van bedreigingen voor het lokale certificaatsarchief op elke machine zijn sterk afhankelijk van gebruikers die alleen standaardrechten hebben.

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • SSO met Entra ID (Azure AD) voor AutoElevate
  • UAC-niveaus en Windows-instellingen voor gebruikersaccountbeheer
  • Firewall-whitelisting
  • VirusTotal-integratieverbeteringen
  • Products
    • Privileged Access Management
    • Password Management
  • Solutions
    • For MSPs
    • For IT Pros
    • By Industry
  • Resources
    • Weekly Demos
    • Events
    • Blog
    • FAQ
  • Company
    • Leadership
    • Culture + Values
    • Careers
    • Awards
    • News & Press
    • Trust Center
    • Distributors
  • Get Pricing
  • Free Trial
  • Request a Demo
  • Support
  • Login
  • Contact
4925 Independence Parkway
Suite 400
Tampa, FL 33634
CALL US (813) 578-8200
  • Link to Facebook
  • Link to Linkedin
  • Link to Twitter
  • Link to Youtube
© 2023 CYBERFOX LLC ALL RIGHTS RESERVED  |  Privacy Policy

Knowledge Base Software powered by Helpjuice

Expand