Antivirus and Security Software from Sophos

Online-Support

Produktpflege

Kontakt

Support-Services

Ressourcen

Tipp: Erstellen von Gruppen in Enterprise Console

In Enterprise Console ist eine Gruppe eine Sammlung von Computern, die mit den gleichen Richtlinien arbeiten. In ADSync ähneln diese Gruppen den Organizational Units (OUs).

Gruppen und Untergruppen sind logische Bereiche, die gemeinsame Richtlinienanforderungen teilen. Eine neue Gruppe ist für jeden Computer notwendig, der eine andere Update-, Antivirus- und HIPS-, Firewall-, Data Control-, Device Control- oder Application Control-Richtlinie als die anderen Computer im Netzwerk benötigt.

Mehrere Gruppen sind beispielsweise notwendig, wenn auf Servern ein bestimmter Update-Plan eingerichtet wurde, damit das Netzwerk aktualisiert wird, wenn die Systembelastung gering ist. Solche Server erfordern eine eigene Gruppe in Enterprise Console mit besonderer Update-Richtlinie, alle anderen Richtlinien für Endpoint-Computer können jedoch übernommen werden.

Hinweise zur Erstellung von Computer-Gruppen in Enterprise Console

  1. Basieren Sie Ihre Gruppen auf Ihr IT-Verwaltungssystem. Das Übernehmen vorhandener Strukturen spart Zeit bei der Erstellung von Richtlinien und Ausführung von Korrekturmaßnahmen auf Computern.

    Bei der Verwendung von Active Directory empfiehlt sich, zuerst die OUs (Container) zu importieren, und wenn die entsprechenden Gruppen und Untergruppen (sowie Teilverwaltungseinheiten, sofern verwendet) in Enterprise Console erstellt wurden, sollten einige oder alle Gruppen mit Active Directory synchronisiert werden, um die Computer aus den OUs automatisch in den Enterprise Console-Gruppen zu übernehmen.

  2. Falls noch keine Struktur vorhanden ist oder eine neue erstellt werden soll, wird oftmals der Standort oder die Abteilung als Gruppenbasis angewandt. Schemenbeispiel:

    Stadt

    Abteilung

    Laptop

    Es empfiehlt sich, zumindest für Endpoints und Server separate Gruppen zu erstellen, da vermutlich für Server unterschiedliche Scan-Einstellungen und Update-Pläne erforderlich sind, damit Scans und Updates keine Verzögerungen beim Serverzugriff verursachen.

  3. Gruppen sollten besonders beim ersten Einsatz aber auch bei normalen Verwaltungsvorgängen nicht mehr als 1000 Computer enthalten.
  4. Wenn Teilverwaltungseinheiten erstellt und verwendet werden, müssen die Teilverwaltungseinheiten und die dazugehörigen Gruppen definiert werden, bevor die Computer in Enterprise Console importiert werden. Wenn sich Computer in verschiedenen Teilverwaltungseinheiten befinden, kann es schwierig sein, sie später von einer Gruppe auf eine andere zu übertragen.
  5. Die Auswirkungen bestimmter Richtlinieneinstellungen müssen beachtet werden. Beispielsweise soll die Abteilung Verkauf auf ein Instant Messaging-Programm Zugriff haben, die Produktionsabteilung jedoch nicht. Diese Abteilungen müssen sich deshalb in verschiedenen Gruppen befinden, damit für sie unterschiedliche Application Control-Richtlinien angewandt werden können.
  6. Falls mehr Flexibilität erforderlich ist, können auch Untergruppen mit anderen Richtlinien als ihre übergeordneten Gruppen erstellt werden. Mit Active Directory können Computer mit OUs erstellt und synchronisiert werden und trotzdem separate Richtlinien für einige der Computer in der Gruppe angewandt werden.

    Beispielsweise könnte dies für die Finanzabteilung zutreffen, die regelmäßig abteilungsinterne E-Mails mit Bank- oder anderen Finanzinformationen versendet. Es kann z.B. eine Data Control-Richtlinie eingerichtet werden, mit der die meisten Benutzer vor dem Übertragen von Daten eine Warnung annehmen müssen, wohingegen Vorgesetzte in dieser Einheit ungehindert Daten übertragen können. Folglich wird die Richtlinie, die am meisten zulässt, auf eine Untergruppe angewandt, auf die auch alle anderen Richtlinien (Antivirus, Firewall und andere) zutreffen.

    Untergruppen können beispielsweise auch für Laptops genutzt werden. Sie können die gleichen Richtlinien wie die Desktop-Computer der Gruppe verwenden, aber eine Firewall-Richtlinie mit sekundärem Speicherort oder strengeren Einstellungen haben, als die Computer im Unternehmen. In diesem Fall kann eine Untergruppe mit den gleichen Richtlinien wie die übergeordnete Gruppe erstellt werden, die aber eine andere Firewall-Richtline verwendet (die mit allen Laptops im Unternehmen geteilt werden kann).
  7. Lesen Sie bitte dazu die Richtlinienanleitung und die Antivirus- und Firewall-Einstellungsanleitung auf der Seite Praxistipps, um Ihnen bei der Entscheidung zu helfen, wie viele Richtlinien Sie benötigen bzw. wie viele Gruppen Sie erstellen. Richtlinieneinstellungen, die beeinflussen, wie viele Gruppen erforderlich sind:

    • On-Access-Scan-Einstellungen
    • Einstellungen für geplante Scans
    • Pläne für geplante Scans
    • Ausnahmen für potenziell unerwünschte Anwendungen
    • Ausnahmen für verdächtige Dateien
    • Ausnahmen für verdächtiges Verhalten
    • Update-Pläne und -Orte
    • Firewall-Ausnahmen und Anwendungsregeln
    • Ausnahmen für Device Control
    • Ausnahmen für Application Control
    • Unterschiede bei Data Control-Richtlinien und wie Benutzer mit ihnen umgehen

Ähnliche Artikel:

Weiteres zum Erstellen von Gruppen finden Sie unter Wie erfolgt das... Erstellen einer Gruppe?
Näheres zum Erstellen von Teilverwaltungseinheiten und der rollenbasierten Verwaltung finden sie in den Praxistipps: Erstellen von Teilverwaltungseinheiten und der rollenbasierten Verwaltung.
Weitere Informationen zu Antivirus- und Firewall-Richtlinieneinstellungen finden Sie in den Anleitungen zu Antivirus- und HIPS- sowie Firewall-Einstellungen auf der Praxistipps-Seite.
Hinweise zur Implementierung Ihrer Richtlinien nach dem Erstellen von Gruppen finden Sie in der Richtlinienanleitung.

Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.