Ereignisüberwachung Übergeordnetes Thema

Die Ereignisüberwachung bietet einen generischeren Ansatz zum Schutz vor nicht autorisierter Software und Malware-Angriffen. Sie überwacht Systembereiche auf bestimmte Ereignisse. Dies gibt Administratoren die Möglichkeit, Programme zu regulieren, die derartige Ereignisse auslösen. Verwenden Sie die Systemüberwachung, wenn Sie über den durch Sperrung bei Malware-Verhalten gebotenen Schutz hinaus spezielle Schutzanforderungen für das System benötigen.
Die folgende Tabelle enthält eine Liste der überwachten Systemereignisse.

Überwachte Systemereignisse

Ereignisse
Beschreibung
Duplikat-Systemdateien
Zahlreiche bösartige Programme erstellen Kopien von sich selbst oder anderen bösartigen Programmen unter Verwendung von Dateinamen, die von Windows Systemdateien verwendet werden. Das geschieht in der Regel, um Systemdateien zu überschreiben oder zu ersetzen und eine Erkennung zu verhindern oder Benutzer davon abzuhalten, die bösartigen Dateien zu löschen.
Änderung der Hosts-Datei
Die Hosts-Datei ordnet Domänennamen den IP-Adressen zu. Zahlreiche bösartige Programme verändern die Hosts-Datei so, dass der Webbrowser zu infizierten, nicht existierenden oder falschen Websites umgeleitet wird.
Verdächtiges Verhalten
Verdächtiges Verhalten kann sich in einer bestimmten Aktion oder einer Reihe von Aktionen zeigen, die normalerweise nicht von rechtmäßigen Programmen durchgeführt werden. Programme, die verdächtiges Verhalten aufweisen, sollten mit Vorsicht verwendet werden.
Neues Internet Explorer Plug-in
Spyware-/Grayware-Programme installieren oft unerwünschte Plug-ins für den Internet Explorer, wie z. B. Symbolleisten und Browser Helper Objects.
Einstellungsänderungen im Internet Explorer
Viele Viren-/Malware-Programme verändern die Einstellungen im Internet Explorer, einschließlich Startseite, vertrauenswürdige Websites, Proxy-Server-Einstellungen und Menü-Erweiterungen.
Änderungen der Sicherheitsrichtlinien
Durch Änderungen der Sicherheitsrichtlinien können unerwünschte Anwendungen ausgeführt und Systemeinstellungen verändert werden.
Einbringen einer Programmbibliothek
Zahlreiche bösartige Programme konfigurieren Windows so, dass alle Anwendungen automatisch eine Programmbibliothek (.DLL) laden. Dadurch können bösartige Routinen in der DLL bei jedem Start einer Anwendung ausgeführt werden.
Shell-Änderungen
Zahlreiche bösartige Programme verändern die Windows Shell-Einstellungen und fügen sich selbst bestimmten Dateitypen hinzu. Durch diese Routine können bösartige Programme automatisch gestartet werden, wenn Benutzer die verküpften Dateien im Windows Explorer öffnen. Durch Änderungen in den Windows Shell-Einstellungen können bösartige Programme außerdem verwendete Programme nachverfolgen und diese parallel zu rechtmäßigen Programmen starten.
Neuer Dienst
Windows-Dienste sind Prozesse, die spezielle Funktionen haben und in der Regel ständig mit Administratorberechtigungen im Hintergrund ausgeführt werden. Bösartige Programme installieren sich in manchen Fällen als versteckte Dienste selbst.
Änderung von Systemdateien
Einige Windows Systemdateien legen das Systemverhalten einschließlich der Startprogramme und der Bildschirmschonereinstellungen fest. Zahlreiche bösartige Programme verändern Systemdateien so, dass sie beim Start automatisch ausgeführt werden und das Systemverhalten kontrollieren.
Änderungen der Firewall-Richtlinien
 Die Windows Firewall-Richtlinie legt die Anwendungen fest, die Zugriff zum Netzwerk haben, die Ports, die für die Kommunikation offen sind und die IP-Adressen, die mit dem Computer kommunizieren können. Zahlreiche bösartige Programme verändern die Richtlinie und ermöglichen sich dadurch selbst den Zugriff auf das Netzwerk und das Internet.
Änderungen an Systemprozessen
Viele bösartige Programme führen verschiedene Aktionen an integrierten Windows Prozessen durch. So beenden oder ändern sie beispielsweise aktive Prozesse.
Neues Startprogramm
Zahlreiche bösartige Programme konfigurieren Windows so, dass alle Anwendungen automatisch eine Programmbibliothek (.DLL) laden. Dadurch können bösartige Routinen in der DLL bei jedem Start einer Anwendung ausgeführt werden.
Wenn von der Ereignisüberwachung ein überwachtes Systemereignis erkannt wird, wird die für dieses Ereignis konfigurierte Aktion ausgeführt.
Die folgende Tabelle enthält eine Liste der möglichen Aktionen, die Administratoren bei überwachten Systemereignissen ergreifen können.

Aktionen bei überwachten Systemereignissen

Aktion
Beschreibung
Bewerten
OfficeScan lässt mit einem Ereignis verbundene Programme immer zu, zeichnet diese Aktion aber in den Protokollen zur Bewertung auf.
Dies ist die Standardaktion für alle überwachten Systemereignisse.
Hinweis
Hinweis
Diese Option wird nicht für DLL-Injektionen auf 64-Bit-Systemen unterstützt.
Zulassen
OfficeScan lässt mit einem Ereignis verbundene Programme immer zu.
Bei Bedarf nachfragen
OfficeScan fordert Benutzer auf, mit einem Ereignis verbundene Programme zuzulassen oder abzulehnen, und die Programme der Ausschlussliste hinzuzufügen.
Wenn der Benutzer nicht in einem bestimmten Zeitraum reagiert, lässt OfficeScan die Ausführung des Programms automatisch zu. Der Standardzeitraum beträgt 30 Sekunden. Informationen zur Anpassung des Zeitraums finden Sie unter Den Zeitraum ändern, bevor die Ausführung eines Programms zugelassen wird..
Hinweis
Hinweis
Diese Option wird nicht für DLL-Injektionen auf 64-Bit-Systemen unterstützt.
Verweigern
OfficeScan sperrt alle mit einem Ereignis verbundenen Programme und zeichnet diese Aktion in den Protokollen auf.
Wenn ein Programm gesperrt wird und Benachrichtigungen aktiviert sind, zeigt OfficeScan auf dem OfficeScan Client-Computer eine Benachrichtigung an. Weitere Informationen zu Benachrichtigungen finden Sie unter Benachrichtigungen der Verhaltensüberwachung für OfficeScan Client-Benutzer.