bmonit

Verhaltensüberwachung

Die Verhaltensüberwachung überprüft regelmäßig Endpunkte auf ungewöhnliche Änderungen im Betriebssystem oder in installierter Software. Die Verhaltensüberwachung schützt Endpunkte durch Sperrung bei Malware-Verhalten und Ereignisüberwachung. Diese zwei Funktionen werden durch eine benutzerdefinierte Ausnahmeliste und den Certified Safe Software Service ergänzt.

Wichtig!

Sperrung bei Malware-Verhalten

Die Sperrung bei Malware-Verhalten bietet eine für zusätzlichen Schutz vor Bedrohungen durch Programme, die ein bösartiges Verhalten zeigen, erforderliche Schicht. Sie beobachtet über einen gewissen Zeitraum Systemereignisse. Während Programme verschiedene Kombinationen oder Folgen von Aktionen ausführen, erkennt die Sperrung bei Malware-Verhalten bekanntes bösartiges Verhalten und sperrt die entsprechenden Programme. Verwenden Sie diese Funktion für einen besseren Schutz vor neuen, unbekannten und aufkommenden Bedrohungen.

Wenn ein Programm gesperrt wird und Benachrichtigungen aktiviert sind, zeigt OfficeScan auf dem Client-Computer eine Benachrichtigung an. Weitere Informationen finden Sie unter Benachrichtigungen der Verhaltensüberwachung für Client-Benutzer.

Ereignisüberwachung

Die Ereignisüberwachung bietet einen generischeren Ansatz zum Schutz vor nicht autorisierter Software und Malware-Angriffen. Sie überwacht Systembereiche auf bestimmte Ereignisse. Dies gibt Administratoren die Möglichkeit, Programme zu regulieren, die derartige Ereignisse auslösen. Verwenden Sie die Systemüberwachung, wenn Sie über den durch Sperrung bei Malware-Verhalten gebotenen Schutz hinaus spezielle Schutzanforderungen für das System benötigen.

Zu den überwachten Systemereignissen zählen:

Überwachte Systemereignisse

Ereignisse

Beschreibung

Duplikat-Systemdateien

Zahlreiche bösartige Programme erstellen Kopien von sich selbst oder anderen bösartigen Programmen unter Verwendung von Dateinamen, die von Windows Systemdateien verwendet werden. Das geschieht in der Regel, um Systemdateien zu überschreiben oder zu ersetzen und eine Erkennung zu verhindern oder Benutzer davon abzuhalten, die bösartigen Dateien zu löschen.

Änderung der Hosts-Datei

Die Hosts-Datei ordnet Domänennamen den IP-Adressen zu. Zahlreiche bösartige Programme verändern die Hosts-Datei so, dass der Webbrowser zu infizierten, nicht existierenden oder falschen Websites umgeleitet wird.

Verdächtiges Verhalten

Verdächtiges Verhalten kann sich in einer bestimmten Aktion oder einer Reihe von Aktionen zeigen, die normalerweise nicht von rechtmäßigen Programmen durchgeführt werden. Programme, die verdächtiges Verhalten aufweisen, sollten mit Vorsicht verwendet werden.

Neues Internet Explorer Plug-in

Spyware-/Grayware-Programme installieren oft unerwünschte Plug-ins für den Internet Explorer, wie z. B. Symbolleisten und Browser Helper Objects.

Einstellungsänderungen im Internet Explorer

Viele Viren-/Malware-Programme verändern die Einstellungen im Internet Explorer, einschließlich Startseite, vertrauenswürdige Websites, Proxy-Server-Einstellungen und Menü-Erweiterungen.

Änderungen der Sicherheitsrichtlinien

Durch Änderungen der Sicherheitsrichtlinien können unerwünschte Anwendungen ausgeführt und Systemeinstellungen verändert werden.

Einbringen einer Programmbibliothek

Zahlreiche bösartige Programme konfigurieren Windows so, dass alle Anwendungen automatisch eine Programmbibliothek (.DLL) laden. Dadurch können bösartige Routinen in der DLL bei jedem Start einer Anwendung ausgeführt werden.

Shell-Änderungen

Zahlreiche bösartige Programme verändern die Windows Shell-Einstellungen und fügen sich selbst bestimmten Dateitypen hinzu. Durch diese Routine können bösartige Programme automatisch gestartet werden, wenn Benutzer die verküpften Dateien im Windows Explorer öffnen. Durch Änderungen in den Windows Shell-Einstellungen können bösartige Programme außerdem verwendete Programme nachverfolgen und diese parallel zu rechtmäßigen Programmen starten.

Neuer Dienst

Windows-Dienste sind Prozesse, die spezielle Funktionen haben und in der Regel ständig mit Administratorberechtigungen im Hintergrund ausgeführt werden. Bösartige Programme installieren sich in manchen Fällen als versteckte Dienste selbst.

Änderung von Systemdateien

Einige Windows Systemdateien legen das Systemverhalten einschließlich der Startprogramme und der Bildschirmschonereinstellungen fest. Zahlreiche bösartige Programme verändern Systemdateien so, dass sie beim Start automatisch ausgeführt werden und das Systemverhalten kontrollieren.

Änderungen der Firewall-Richtlinien

Die Windows Firewall-Richtlinie legt die Anwendungen fest, die Zugriff zum Netzwerk haben, die Ports, die für die Kommunikation offen sind und die IP-Adressen, die mit dem Computer kommunizieren können. Zahlreiche bösartige Programme verändern die Richtlinie und ermöglichen sich dadurch selbst den Zugriff auf das Netzwerk und das Internet.

Änderungen an Systemprozessen

Viele bösartige Programme führen verschiedene Aktionen an integrierten Windows Prozessen durch. So beenden oder ändern sie beispielsweise aktive Prozesse.

Neues Startprogramm

Zahlreiche bösartige Programme konfigurieren Windows so, dass alle Anwendungen automatisch eine Programmbibliothek (.DLL) laden. Dadurch können bösartige Routinen in der DLL bei jedem Start einer Anwendung ausgeführt werden.

Wenn von der Ereignisüberwachung ein überwachtes Systemereignis erkannt wird, wird die für dieses Ereignis konfigurierte Aktion ausgeführt. Sie können die folgenden Aktionen auswählen:

Aktionen bei überwachten Systemereignissen

Aktion

Beschreibung

Bewerten

OfficeScan lässt mit einem Ereignis verbundene Programme immer zu, zeichnet diese Aktion aber in den Protokollen zur Bewertung auf.

Dies ist die Standardaktion für alle überwachten Systemereignisse.

Zulassen

OfficeScan lässt mit einem Ereignis verbundene Programme immer zu.

Bei Bedarf nachfragen

OfficeScan fordert Benutzer auf, mit einem Ereignis verbundene Programme zuzulassen oder abzulehnen, und die Programme der Ausnahmeliste hinzuzufügen.

Wenn der Benutzer nicht in einem bestimmten Zeitraum reagiert, lässt OfficeScan die Ausführung des Programm automatisch zu. Der Standardzeitraum beträgt 30 Sekunden. Weitere Informationen zum Ändern des Zeitraums finden Sie unter Den Zeitraum ändern, bevor die Ausführung eines Programms zugelassen wird:.

Verweigern

OfficeScan sperrt alle mit einem Ereignis verbundenen Programme und zeichnet diese Aktion in den Protokollen auf.

Wenn ein Programm gesperrt wird und Benachrichtigungen aktiviert sind, zeigt OfficeScan auf dem Client-Computer eine Benachrichtigung an. Weitere Informationen finden Sie unter Benachrichtigungen der Verhaltensüberwachung für Client-Benutzer.

Ausnahmeliste für Verhaltensüberwachung

Die Ausnahmeliste für die Verhaltensüberwachung enthält Programme, die von der Verhaltensüberwachung nicht überprüft werden.

Sie können die Ausnahmeliste über die Webkonsole konfigurieren. Sie können Benutzern auch die Berechtigung zum Konfigurieren einer eigenen Ausnahmeliste über die Client-Konsole gewähren. Weitere Informationen finden Sie unter Verhaltensüberwachungsberechtigungen

  1. Klicken Sie in der Client-Hierarchie auf das Stammsymbol , um alle Clients einzuschließen oder nur bestimmte Domänen oder Clients auszuwählen.

  2. Klicken Sie auf Einstellungen > Einstellungen der Verhaltensüberwachung.

  3. Wählen Sie Sperrung bei Malware-Verhalten aktivieren.

  4. Konfigurieren Sie die Einstellungen der Verhaltensüberwachung.

    1. Wählen Sie Ereignisüberwachung aktivieren.

    2. Wählen Sie die zu überwachenden Systemereignisse und wählen Sie eine Aktion für die einzelnen ausgewählten Ereignisse. Weitere Informationen zu überwachten Systemereignissen und Aktionen finden Sie unter Ereignisüberwachung.

  5. Konfigurieren Sie die Ausnahmeliste.

    1. Geben Sie unter Vollständigen Programmpfad eingeben den vollständigen Pfad des Programms ein, das zugelassen oder gesperrt werden soll. Trennen Sie mehrere Einträge durch Strichpunkte (;) voneinander. Die Ausnahmeliste unterstützt Platzhalter und UNC-Pfade.

    2. Klicken Sie auf Programme zulassen oder Programme sperren.

    3. Um ein gesperrtes oder zugelassenes Programm aus der Liste zu entfernen, klicken Sie neben dem Programm auf das Papierkorbsymbol .

  6. Klicken Sie bei der Auswahl von Domäne(n) oder Client(s) in der Client-Hierarchie auf Speichern. Wenn Sie auf das Stammsymbol geklickt haben, können Sie aus folgenden Optionen auswählen:

  1. Navigieren Sie zum Abschnitt Einstellungen der Verhaltensüberwachung.

  2. Geben Sie unter Programm automatisch zulassen, wenn keine Antwort vom Client innerhalb von den Zeitraum an.

  3. Klicken Sie auf Speichern.

Certified Safe Software Service

Der Certified Safe Software Service fragt Trend Micro Datenzentren ab, um die Sicherheit eines von der Sperrung bei Malware-Verhalten oder Ereignisüberwachung erkannten Programms zu überprüfen. Aktivieren Sie den Certified Safe Software Service, um die Häufigkeit von Fehlalarmen zu verringern.

  1. Navigieren Sie zum Abschnitt Einstellungen der Verhaltensüberwachung.

  2. Wählen Sie die Option Certified Safe Software Service aktivieren.

  3. Klicken Sie auf Speichern.

Siehe auch: