bmonit

Verhaltensüberwachung

Die Verhaltensüberwachung überprüft regelmäßig Endpunkte auf ungewöhnliche Änderungen im Betriebssystem oder in installierter Software. Die Verhaltensüberwachung schützt Endpunkte durch Sperrung bei Malware-Verhalten und Ereignisüberwachung. Diese zwei Funktionen werden durch eine benutzerdefinierte Ausnahmeliste und den Certified Safe Software Service ergänzt.

Wichtig!

Die Verhaltensüberwachung unterstützt nur 32-Bit-Plattformen.
Standardmäßig ist die Verhaltensüberwachung auf 32-Bit-Versionen von Windows Server 2003 und Windows Server 2008 deaktiviert. Bevor Sie die Verhaltensüberwachung auf diesen Serverplattformen aktivieren, lesen Sie die unter Client-Dienste beschriebenen Richtlinien und bewährten Methoden.

Sperrung bei Malware-Verhalten

Die Sperrung bei Malware-Verhalten bietet eine für zusätzlichen Schutz vor Bedrohungen durch Programme, die ein bösartiges Verhalten zeigen, erforderliche Schicht. Sie beobachtet über einen gewissen Zeitraum Systemereignisse. Während Programme verschiedene Kombinationen oder Folgen von Aktionen ausführen, erkennt die Sperrung bei Malware-Verhalten bekanntes bösartiges Verhalten und sperrt die entsprechenden Programme. Verwenden Sie diese Funktion für einen besseren Schutz vor neuen, unbekannten und aufkommenden Bedrohungen.

Wenn ein Programm gesperrt wird und Benachrichtigungen aktiviert sind, zeigt OfficeScan auf dem Client-Computer eine Benachrichtigung an. Weitere Informationen finden Sie unter Benachrichtigungen der Verhaltensüberwachung für Client-Benutzer.

Ereignisüberwachung

Die Ereignisüberwachung bietet einen generischeren Ansatz zum Schutz vor nicht autorisierter Software und Malware-Angriffen. Sie überwacht Systembereiche auf bestimmte Ereignisse. Dies gibt Administratoren die Möglichkeit, Programme zu regulieren, die derartige Ereignisse auslösen. Verwenden Sie die Systemüberwachung, wenn Sie über den durch Sperrung bei Malware-Verhalten gebotenen Schutz hinaus spezielle Schutzanforderungen für das System benötigen.

Zu den überwachten Systemereignissen zählen:

Überwachte Systemereignisse

Ereignisse	Beschreibung
Duplikat-Systemdateien	Zahlreiche bösartige Programme erstellen Kopien von sich selbst oder anderen bösartigen Programmen unter Verwendung von Dateinamen, die von Windows Systemdateien verwendet werden. Das geschieht in der Regel, um Systemdateien zu überschreiben oder zu ersetzen und eine Erkennung zu verhindern oder Benutzer davon abzuhalten, die bösartigen Dateien zu löschen.
Änderung der Hosts-Datei	Die Hosts-Datei ordnet Domänennamen den IP-Adressen zu. Zahlreiche bösartige Programme verändern die Hosts-Datei so, dass der Webbrowser zu infizierten, nicht existierenden oder falschen Websites umgeleitet wird.
Verdächtiges Verhalten	Verdächtiges Verhalten kann sich in einer bestimmten Aktion oder einer Reihe von Aktionen zeigen, die normalerweise nicht von rechtmäßigen Programmen durchgeführt werden. Programme, die verdächtiges Verhalten aufweisen, sollten mit Vorsicht verwendet werden.
Neues Internet Explorer Plug-in	Spyware-/Grayware-Programme installieren oft unerwünschte Plug-ins für den Internet Explorer, wie z. B. Symbolleisten und Browser Helper Objects.
Einstellungsänderungen im Internet Explorer	Viele Viren-/Malware-Programme verändern die Einstellungen im Internet Explorer, einschließlich Startseite, vertrauenswürdige Websites, Proxy-Server-Einstellungen und Menü-Erweiterungen.
Änderungen der Sicherheitsrichtlinien	Durch Änderungen der Sicherheitsrichtlinien können unerwünschte Anwendungen ausgeführt und Systemeinstellungen verändert werden.
Einbringen einer Programmbibliothek	Zahlreiche bösartige Programme konfigurieren Windows so, dass alle Anwendungen automatisch eine Programmbibliothek (.DLL) laden. Dadurch können bösartige Routinen in der DLL bei jedem Start einer Anwendung ausgeführt werden.
Shell-Änderungen	Zahlreiche bösartige Programme verändern die Windows Shell-Einstellungen und fügen sich selbst bestimmten Dateitypen hinzu. Durch diese Routine können bösartige Programme automatisch gestartet werden, wenn Benutzer die verküpften Dateien im Windows Explorer öffnen. Durch Änderungen in den Windows Shell-Einstellungen können bösartige Programme außerdem verwendete Programme nachverfolgen und diese parallel zu rechtmäßigen Programmen starten.
Neuer Dienst	Windows-Dienste sind Prozesse, die spezielle Funktionen haben und in der Regel ständig mit Administratorberechtigungen im Hintergrund ausgeführt werden. Bösartige Programme installieren sich in manchen Fällen als versteckte Dienste selbst.
Änderung von Systemdateien	Einige Windows Systemdateien legen das Systemverhalten einschließlich der Startprogramme und der Bildschirmschonereinstellungen fest. Zahlreiche bösartige Programme verändern Systemdateien so, dass sie beim Start automatisch ausgeführt werden und das Systemverhalten kontrollieren.
Änderungen der Firewall-Richtlinien	Die Windows Firewall-Richtlinie legt die Anwendungen fest, die Zugriff zum Netzwerk haben, die Ports, die für die Kommunikation offen sind und die IP-Adressen, die mit dem Computer kommunizieren können. Zahlreiche bösartige Programme verändern die Richtlinie und ermöglichen sich dadurch selbst den Zugriff auf das Netzwerk und das Internet.
Änderungen an Systemprozessen	Viele bösartige Programme führen verschiedene Aktionen an integrierten Windows Prozessen durch. So beenden oder ändern sie beispielsweise aktive Prozesse.
Neues Startprogramm	Zahlreiche bösartige Programme konfigurieren Windows so, dass alle Anwendungen automatisch eine Programmbibliothek (.DLL) laden. Dadurch können bösartige Routinen in der DLL bei jedem Start einer Anwendung ausgeführt werden.

Wenn von der Ereignisüberwachung ein überwachtes Systemereignis erkannt wird, wird die für dieses Ereignis konfigurierte Aktion ausgeführt. Sie können die folgenden Aktionen auswählen:

Aktionen bei überwachten Systemereignissen

Aktion	Beschreibung
Bewerten	OfficeScan lässt mit einem Ereignis verbundene Programme immer zu, zeichnet diese Aktion aber in den Protokollen zur Bewertung auf. Dies ist die Standardaktion für alle überwachten Systemereignisse.
Zulassen	OfficeScan lässt mit einem Ereignis verbundene Programme immer zu.
Bei Bedarf nachfragen	OfficeScan fordert Benutzer auf, mit einem Ereignis verbundene Programme zuzulassen oder abzulehnen, und die Programme der Ausnahmeliste hinzuzufügen. Wenn der Benutzer nicht in einem bestimmten Zeitraum reagiert, lässt OfficeScan die Ausführung des Programm automatisch zu. Der Standardzeitraum beträgt 30 Sekunden. Weitere Informationen zum Ändern des Zeitraums finden Sie unter Den Zeitraum ändern, bevor die Ausführung eines Programms zugelassen wird:.
Verweigern	OfficeScan sperrt alle mit einem Ereignis verbundenen Programme und zeichnet diese Aktion in den Protokollen auf. Wenn ein Programm gesperrt wird und Benachrichtigungen aktiviert sind, zeigt OfficeScan auf dem Client-Computer eine Benachrichtigung an. Weitere Informationen finden Sie unter Benachrichtigungen der Verhaltensüberwachung für Client-Benutzer.

Ausnahmeliste für Verhaltensüberwachung

Die Ausnahmeliste für die Verhaltensüberwachung enthält Programme, die von der Verhaltensüberwachung nicht überprüft werden.

Genehmigte Programme: Programme in dieser Liste können ausgeführt werden. Ein genehmigtes Programm wird von anderen OfficeScan Funktionen (wie der dateibasierten Suche) überprüft, bevor deren Ausführung zugelassen wird.
Gesperrte Programme: Programme in dieser Liste können nie ausgeführt werden. Zum Konfigurieren dieser Liste muss die Ereignisüberwachung aktiviert sein.

Sie können die Ausnahmeliste über die Webkonsole konfigurieren. Sie können Benutzern auch die Berechtigung zum Konfigurieren einer eigenen Ausnahmeliste über die Client-Konsole gewähren. Weitere Informationen finden Sie unter Verhaltensüberwachungsberechtigungen

Sperrung bei Malware-Verhalten, Ereignisüberwachung und Ausnahmeliste konfigurieren:

Netzwerkcomputer > Client-Verwaltung

Klicken Sie in der Client-Hierarchie auf das Stammsymbol , um alle Clients einzuschließen oder nur bestimmte Domänen oder Clients auszuwählen.
Klicken Sie auf Einstellungen > Einstellungen der Verhaltensüberwachung.
Wählen Sie Sperrung bei Malware-Verhalten aktivieren.
Konfigurieren Sie die Einstellungen der Verhaltensüberwachung.

Wählen Sie Ereignisüberwachung aktivieren.
Wählen Sie die zu überwachenden Systemereignisse und wählen Sie eine Aktion für die einzelnen ausgewählten Ereignisse. Weitere Informationen zu überwachten Systemereignissen und Aktionen finden Sie unter Ereignisüberwachung.

Konfigurieren Sie die Ausnahmeliste.

Geben Sie unter Vollständigen Programmpfad eingeben den vollständigen Pfad des Programms ein, das zugelassen oder gesperrt werden soll. Trennen Sie mehrere Einträge durch Strichpunkte (;) voneinander. Die Ausnahmeliste unterstützt Platzhalter und UNC-Pfade.
Klicken Sie auf Programme zulassen oder Programme sperren.

In OfficeScan sind maximal 100 zugelassene Programme und 100 gesperrte Programme möglich.

Um ein gesperrtes oder zugelassenes Programm aus der Liste zu entfernen, klicken Sie neben dem Programm auf das Papierkorbsymbol .

Klicken Sie bei der Auswahl von Domäne(n) oder Client(s) in der Client-Hierarchie auf Speichern. Wenn Sie auf das Stammsymbol geklickt haben, können Sie aus folgenden Optionen auswählen:

Auf alle Clients anwenden: Wendet die Einstellungen auf alle vorhandenen Clients und auf neu zu einer vorhandenen / zukünftigen Domäne hinzukommende an. Zukünftige Domänen sind Domänen, die bei der Konfiguration der Einstellungen noch nicht vorhanden waren.
Nur auf zukünftige Domänen anwenden: Wendet die Einstellungen nur auf Clients an, die zu zukünftigen Domänen hinzukommen. Bei dieser Option werden die Einstellungen nicht auf Clients angewendet, die neu zu einer vorhandenen Domäne hinzukommen.

Den Zeitraum ändern, bevor die Ausführung eines Programms zugelassen wird:

Netzwerkcomputer > Allgemeine Client-Einstellungen
Diese Einstellung wird nur unterstützt, wenn die Ereignisüberwachung aktiviert ist und die Aktion für ein überwachtes Systemereignis "Bei Bedarf nachfragen" lautet. Diese Aktion fordert einen Benutzer auf, mit dem Ereignisse verbundene Programme zuzulassen oder abzulehnen. Wenn der Benutzer nicht in einem bestimmten Zeitraum reagiert, lässt OfficeScan die Ausführung des Programm automatisch zu.

Weitere Informationen finden Sie unter Ereignisüberwachung.

Navigieren Sie zum Abschnitt Einstellungen der Verhaltensüberwachung.
Geben Sie unter Programm automatisch zulassen, wenn keine Antwort vom Client innerhalb von den Zeitraum an.
Klicken Sie auf Speichern.

Certified Safe Software Service

Der Certified Safe Software Service fragt Trend Micro Datenzentren ab, um die Sicherheit eines von der Sperrung bei Malware-Verhalten oder Ereignisüberwachung erkannten Programms zu überprüfen. Aktivieren Sie den Certified Safe Software Service, um die Häufigkeit von Fehlalarmen zu verringern.

Stellen Sie sicher, dass Clients die korrekten Client-Proxy-Einstellungen haben, bevor Sie Certified Safe Software Service aktivieren. Bei fehlerhaften Proxy-Einstellungen sowie einer Internetverbindung, die nicht ständig besteht, kann es zu Verzögerungen kommen oder Antworten von Trend Micro Datenzentren können nicht abgerufen werden.

Des Weiteren sind keine direkten Abfragen der IPv6-Clients von Trend Micro Datenzentren möglich. Für Dual-Stack Proxy-Server wie DeleGate, die IP-Adressen konvertieren können, müssen Clients Verbindungen zu den Trend Micro Datenzentren zulassen.

Certified Safe Software Service aktivieren:

Netzwerkcomputer > Allgemeine Client-Einstellungen

Navigieren Sie zum Abschnitt Einstellungen der Verhaltensüberwachung.
Wählen Sie die Option Certified Safe Software Service aktivieren.
Klicken Sie auf Speichern.

Siehe auch: