Ansichten:
  1. Navigieren Sie zu Geräte.
  2. Wählen Sie eine Desktop- oder Servergruppe aus.
  3. Klicken Sie auf Richtlinie konfigurieren.

    Das Fenster Richtlinie konfigurieren: <Gruppenname> wird angezeigt.

  4. Klicken Sie auf Verhaltensüberwachung.
  5. Aktualisieren Sie auf Anforderung folgende Einstellungen:

    • Verhaltensüberwachung aktivieren

      Anmerkung:

      Wenn Benutzer ihre eigenen Einstellungen der Verhaltensüberwachung anpassen können sollen, navigieren Sie zu Geräte > {Gruppe} > Richtlinie konfigurieren > Agent-Berechtigungen > Verhaltensüberwachung und wählen Sie Benutzern erlauben, die Einstellungen der Verhaltensüberwachung zu ändern.

    • Sperren des Malware-Verhaltens für bekannte oder potenzielle Bedrohungen aktivieren: Das Sperren des Malware-Verhaltens wird mithilfe eines internen Regelsatzes erreicht, der in Pattern-Dateien definiert ist. Mithilfe dieser Regeln wird bekanntes und verdächtiges Bedrohungsverhalten identifiziert, das häufig bei Malware vorkommt. Zu den Beispielen für solches verdächtiges Verhalten gehören unter anderem das plötzliche und unerklärliche Ausführen neuer Dienste, Änderungen an der Firewall oder Änderungen von Systemdateien.

      Die Überwachung des Malware-Verhaltens bietet die folgenden Suchoptionen für Bedrohungsstufen:

      • Bekannte Bedrohungen: Blockiert mit bekannten Bedrohungen verbundene Verhaltensweisen.

      • Bekannte und potenzielle Bedrohungen: Hiermit wird mit bekannten Bedrohungen verbundenes Verhalten blockiert, und es werden entsprechende Maßnahmen gegen potenziell bösartiges Verhalten ergriffen.

    • Benutzer fragen, bevor neu entdeckte Programme ausgeführt werden, die über HTTP (Server-Plattformen ausgenommen) heruntergeladen wurden: Die Verhaltensüberwachung wird zusammen mit Web Reputation verwendet, um die Verbreitung von Dateien sicherzustellen, die über HTTP-Kanäle oder E-Mail-Anwendungen heruntergeladen wurden. Nach der Erkennung einer "neu entdeckten" Datei können Administratoren festlegen, dass Benutzer vor der Ausführung der Datei informiert werden. Trend Micro stuft ein Programm auf der Grundlage der Anzahl der Dateierkennungen oder des historischen Alters der Datei als neu gefunden ein, so wie dies durch das Smart Protection Network definiert ist.

      Anmerkung:

      Bei HTTP-Kanälen werden ausführbare Dateien (.exe) durchsucht. Bei E-Mail-Anwendungen (nur Outlook und Windows Live Mail) werden ausführbare Dateien (.exe) in nicht kennwortgeschützten archivierten Dateien (zip/rar) durchsucht.

    • Intuit QuickBooks-Schutz aktivieren: Diese Funktion schützt alle Intuit QuickBooks-Dateien und -Ordner vor unbefugten Änderungen durch andere Programme. Die Aktivierung dieser Funktion beeinträchtigt die durch Intuit QuickBooks-Programme vorgenommenen Änderungen nicht, sondern verhindert nur, dass andere unbefugte Anwendungen Dateien ändern.

      Folgende Produkte werden unterstützt:

      • QuickBooks Simple Start

      • QuickBooks Pro

      • QuickBooks Premier

      • QuickBooks Online

      Anmerkung:

      Da alle ausführbaren Intuit-Dateien über eine digitale Signatur verfügen, werden Updates dieser Dateien nicht gesperrt. Falls andere Programme versuchen, die binäre Intuit-Datei zu ändern, zeigt der Agent eine Nachricht mit dem Namen des Programms an, das versucht, die binären Dateien zu aktualisieren. Sie können andere Programme berechtigen, die Intuit-Dateien zu aktualisieren. Fügen Sie dazu das gewünschte Programm zur Ausnahmeliste der Verhaltensüberwachung auf dem Agent hinzu. Vergessen Sie nicht, das Programm nach dem Update aus der Ausnahmeliste zu entfernen.

    • Schutz vor Ransomware: Verhindert die nicht autorisierte Änderung oder Verschlüsselung von Dateien auf Computern durch "Ransomware"-Bedrohungen. Ransomware ist eine Art von Malware, die den Zugriff auf Dateien beschränkt und verlangt, dass Sie für die Wiederherstellung der betroffenen Dateien bezahlen.

      • Dokumentschutz vor nicht autorisierter Verschlüsselung oder Veränderung aktivieren: Schützt Dokumente vor nicht autorisierten Änderungen.

        • Dateien, die von verdächtigen Programmen geändert wurden, automatisch sichern: Sichert automatisch Dateien, die von verdächtigen Programmen geändert wurden, sofern der Dokumentschutz aktiviert ist.

      • Sperren von Vorgängen aktivieren, die häufig mit Ransomware verbunden sind: Schützt Endpunkte vor Ransomware-Angriffen, indem Prozesse gesperrt werden, die häufig mit Hijacking-Versuchen in Verbindung stehen.

      • (Nur Desktop-Gruppen) Programmüberprüfung zum Erkennen und Sperren gefährdeter ausführbarer Dateien aktivieren: Erhöht den Schutz durch Überwachung der Prozesse auf Ransomware-typisches Verhalten.

      • Programme beenden, die ein abnormales Verhalten im Zusammenhang mit Exploit-Angriffen aufweisen: Der Anti-Exploit-Schutz funktioniert in Verbindung mit der Programmüberwachung, um das Verhalten von Programmen zu überwachen und abnormales Verhalten zu erkennen, das darauf hindeuten kann, dass ein Angreifer eine Programmschwachstelle ausgenutzt hat. Sobald ein Problem erkannt wurde, beendet die Verhaltensüberwachung die Programmprozesse.

        Anmerkung:

        Für den Schwachstellenschutz muss die Option Programmüberprüfung zum Erkennen und Sperren gefährdeter ausführbarer Dateien aktivieren ausgewählt werden.

      Anmerkung:

      Um die Wahrscheinlichkeit zu verringern, dass Worry-Free Business Security einen sicheren Prozess als bösartig erkennt, müssen Sie sicherstellen, dass der Computer auf das Internet zugreifen kann, um weitere Überprüfungsprozesse mit Hilfe von Trend Micro-Servern auszuführen.

    • Ausnahmen: Ausnahmen beinhalten eine Liste der zulässigen Programme und eine Liste der gesperrten Programme. Programme in der Liste der zulässigen Programme können auch dann ausgeführt werden, wenn dies gegen eine überwachte Änderung verstößt, während Programme in der Liste der gesperrten Programme nie ausgeführt werden können.

      • Vollständigen Programmpfad eingeben: Geben Sie den vollständigen Windows- oder UNC-Pfad des Programms ein. Trennen Sie mehrere Einträge mit einem Strichpunkt. Klicken Sie auf Zur Liste der zulässigen Programme hinzufügen oder Zur Liste der gesperrten Programme hinzufügen. Verwenden Sie bei Bedarf Umgebungsvariablen, um den Pfad anzugeben.

      • Liste der zulässigen Programme: Programme in dieser Liste können gestartet werden. Klicken Sie auf das entsprechende Symbol, um einen Eintrag zu löschen.

        Die Liste der zulässigen Programme unterstützt Platzhalter und Umgebungsvariablen.

        Eine Liste der unterstützten Umgebungsvariablen finden Sie unter Unterstützte Umgebungsvariablen.

      • Liste der gesperrten Programme: Programme in dieser Liste können nie gestartet werden. Klicken Sie auf das entsprechende Symbol, um einen Eintrag zu löschen.

        Die Liste der gesperrten Programme unterstützt nur Platzhalter.

  6. Klicken Sie auf Speichern.
Übergeordnetes Thema: Verhaltensüberwachung