Suchziele und Aktionen für Security Agents | Trend Micro Service Central

Ansichten:

Konfigurieren Sie die folgenden Einstellungen für jeden Suchtyp (manuelle Suche, zeitgesteuerte Suche und Echtzeitsuche):

Ziel (Registerkarte)

Wählen Sie eine Suchmethode:

Alle durchsuchbaren Dateien: Alle durchsuchbaren Dateien werden berücksichtigt. Zu den nicht durchsuchbaren Dateien gehören kennwortgeschützte und verschlüsselte Dateien sowie Dateien, die die vom Benutzer festgelegten Suchkriterien nicht erfüllen.

Anmerkung:
Diese Option bietet die höchstmögliche Sicherheit. Das Durchsuchen jeder Datei erfordert allerdings viel Zeit und viele Ressourcen und ist möglicherweise in manchen Fällen gar nicht notwendig. Deshalb können Sie bei Bedarf die Anzahl der durchsuchten Dateien begrenzen.
IntelliScan: Verwendet True-File-Type-Erkennung: Durchsucht Dateien auf Grundlage des ursprünglichen Dateityps. Weitere Informationen finden Sie unter IntelliScan.
Dateien mit diesen Erweiterungen durchsuchen: Legen Sie manuell fest, welche Dateien anhand der Dateierweiterung durchsucht werden sollen. Trennen Sie mehrere Einträge mit Kommas.

Wählen Sie einen Auslöser für die Suche aus:

Lesen: Durchsucht Dateien, deren Inhalt gelesen wird. Dateien werden gelesen, wenn sie geöffnet, ausgeführt, kopiert oder verschoben werden.
Schreiben: Durchsucht Dateien, deren Inhalt geschrieben wird. Der Inhalt einer Datei wird geschrieben, wenn die Datei geändert, gespeichert, heruntergeladen oder von einem anderen Speicherort kopiert wird.
Lesen oder Schreiben

Suchausschlüsse

Die folgenden Einstellungen können konfiguriert werden:

Ausschlüsse aktivieren oder deaktivieren
Trend Micro Produktverzeichnisse von der Suche ausschließen
Andere Verzeichnisse von der Suche ausschließen

Alle in dem angegebenen Verzeichnispfad enthaltenen Unterverzeichnisse werden ebenfalls ausgeschlossen.
Dateinamen oder Dateinamen mit vollständiger Pfadangabe von der Suche ausschließen
Dateierweiterungen ausschließen

Platzhalter wie z. B. „*“ sind als Dateierweiterung nicht zulässig.

Anmerkung:

(Nur Advanced) Wenn auf einem Client Microsoft Exchange Server ausgeführt wird, sollten Sie alle Microsoft Exchange Server-Ordner von der Suche ausschließen. Um Ordner des Microsoft Exchange Servers generell von der Suche auszuschließen, navigieren Sie zu Administration > Allgemeine Einstellungen > Desktop/Server {Registerkarte} > Allgemeine Sucheinstellungen und wählen Sie anschließend die Option Die Ordner des Microsoft Exchange Servers ausschließen, wenn auf Microsoft Exchange Server installiert aus.

Erweiterte Einstellungen

Suchtyp	Optionen
Echtzeitsuche	POP3-Nachrichten durchsuchen: Standardmäßig kann Mail Scan nur neue Nachrichten im Posteingang oder Junk-Mail-Ordner durchsuchen, die über Port 110 versendet wurden. Es unterstützt sichere POP3 (SSL-POP3) nicht. Microsoft Outlook 2007, 2010 oder 2013 Mozilla Thunderbird 1.5 oder höher Mail Scan findet weder Sicherheitsrisiken noch Spam in IMAP-Nachrichten. Verwenden Sie den Messaging Security Agent (nur Advanced), um IMAP-Nachrichten nach Sicherheitsrisiken und Spam zu durchsuchen.
Echtzeitsuche	Diskettenlaufwerke beim Herunterfahren des Systems durchsuchen
Echtzeitsuche	IntelliTrap aktivieren: IntelliTrap entdeckt in komprimierten Dateien bösartigen Code, wie Bots. Weitere Informationen finden Sie unter IntelliTrap.
Echtzeitsuche	Verschiedene Varianten von Quarantäne-Malware in Speicher entdeckt: Wenn die Echtzeitsuche und die Verhaltensüberwachung aktiviert sind und diese Option ausgewählt wird, wird der ausgeführte Prozess im Arbeitsspeicher auf komprimierte Malware untersucht. Jegliche komprimierte Malware, die durch die Verhaltensüberwachung erkannt wird, wird in Quarantäne verschoben.
Echtzeitsuche, manuelle Suche, zeitgesteuerte Suche	Komprimierte Dateien bis zu folgender Ebene durchsuchen: Eine komprimierte Datei hat für jeden Komprimierungsvorgang eine Ebene. Wenn eine infizierte Datei mehrere Komprimierungsebenen hat, muss die angegebene Anzahl von Ebenen durchsucht werden, um die Infektion zu erkennen. Das Durchsuchen mehrerer Ebenen erfordert jedoch mehr Zeit und Ressourcen.
Echtzeitsuche, manuelle Suche, zeitgesteuerte Suche	Liste der zulässigen Spyware/Grayware bearbeiten: Diese Einstellung kann nicht über die Agent-Konsole konfiguriert werden.
Manuelle Suche, Zeitgesteuerte Suche	CPU-Auslastung/Suchgeschwindigkeit: Der Security Agent kann nach dem Durchsuchen einer Datei und vor dem Durchsuchen der nächsten eine Pause machen. Wählen Sie unter folgenden Optionen: Hoch: Ohne Pause zwischen den Suchläufen Mittel: Pause zwischen den Suchläufen, wenn die CPU-Auslastung über 50 % liegt, sonst keine Pause Niedrig: Pause zwischen den Suchläufen, wenn die CPU-Auslastung über 20 % liegt, sonst keine Pause
Manuelle Suche, Zeitgesteuerte Suche	Erweitertes Cleanup ausführen: Der Security Agent beendet Aktivitäten, die von einer bösartigen Sicherheitssoftware, auch bekannt als FakeAV, ausgeführt werden. Der Agent setzt ebenfalls erweiterte Cleanup-Regeln zur proaktiven Erkennung und zum Beenden von Anwendungen ein, die ein FakeAV-Verhalten zeigen. Anmerkung: Das erweiterte Cleanup bietet zwar proaktiven Schutz, löst aber auch viele Fehlalarme aus.

Liste der zulässigen Spyware/Grayware

Einige Anwendungen werden von Trend Micro als Spyware/Grayware eingestuft – nicht, weil sie für das System, auf dem sie installiert sind, schädlich sind, sondern weil Sie den Client oder das Netzwerk möglicherweise Angriffen durch Malware oder Hacker aussetzen.

Worry-Free Business Security enthält eine Liste mit potenziell gefährlichen Anwendungen und verhindert standardmäßig, dass diese auf Clients ausgeführt werden.

Damit Anwendungen, die von Trend Micro als Spyware oder Grayware eingestuft wurden, auf Clients ausgeführt werden können, müssen Sie zunächst den Namen der Anwendung zur Liste der zulässigen Spyware/Grayware hinzufügen.

Aktion (Registerkarte)

Security Agents können gegen Viren/Malware folgende Aktionen durchführen:

Tabelle 1. Viren-/Malware-Suchaktionen
Aktion	Beschreibung
Löschen	Die infizierte Datei wird gelöscht.
Quarantäne	Die infizierte Datei wird umbenannt und anschließend in das temporäre Quarantäne-Verzeichnis auf dem Client verschoben. Der Security Agent sendet die Datei anschließend an das festgelegte Quarantäne-Verzeichnis, das sich standardmäßig auf dem Security Server befindet. Der Security Agent verschlüsselt Dateien in Quarantäne, die an dieses Verzeichnis gesendet wurden. Mit dem VSEncrypt-Tool können Sie beliebige Dateien in der Quarantäne wiederherstellen.
Säubern	Die infizierte Datei wird gesäubert, bevor der vollständige Zugriff möglich ist. Lässt sich die Datei nicht säubern, führt der Security Agent zusätzlich eine der folgenden Aktionen aus: Quarantäne, Löschen, Umbenennen und Übergehen. Diese Aktion kann auf alle Arten von Malware angewendet werden, außer wahrscheinliche Viren/Malware. Anmerkung: Einige Dateien lassen sich nicht säubern. Weitere Informationen finden Sie unter Dateien, die nicht gesäubert werden können.
Umbenennen	Die Erweiterung der infizierten Datei wird in 'vir' geändert. Der Benutzer kann die umbenannte Datei erst öffnen, wenn sie mit einer bestimmten Anwendung verknüpft wird. Beim Öffnen der umbenannten, infizierten Datei wird der Virus/die Malware möglicherweise ausgeführt.
Übergehen	Nur bei manueller und zeitgesteuerter Suche. Der Security Agent kann diese Suchaktion während der Echtzeitsuche nicht verwenden. Beim Versuch, eine infizierte Datei zu öffnen oder auszuführen, könnte der Virus oder die Malware ausgeführt werden, wenn keine Suchaktion durchgeführt wird. Alle anderen Suchaktionen können bei der Echtzeitsuche verwendet werden.
Zugriff verweigern	Nur bei Echtzeitsuche. Beim Versuch, eine infizierte Datei zu öffnen oder auszuführen, wird dieser Vorgang durch den Security Agent sofort unterbunden. Die infizierte Datei kann manuell gelöscht werden.

Die vom Security Agent durchgeführte Suchaktion hängt vom Suchtyp ab, der die Spyware/Grayware entdeckt. Während bestimmte Aktionen für jeden Viren-/Malware-Typ konfiguriert werden können, kann für alle Typen von Spyware/Grayware nur eine Aktion konfiguriert werden. Sobald der Security Agent beispielsweise bei der manuellen Suche (Suchtyp) Spyware/Grayware entdeckt, werden die betroffenen Systemressourcen gesäubert (Aktion).

Der Security Agent kann gegen Spyware/Grayware folgende Aktionen durchführen:

Tabelle 2. Spyware-/Grayware-Suchaktionen
Aktion	Beschreibung
Säubern	Es werden Prozesse beendet oder Registrierungseinträge, Dateien, Cookies und Verknüpfungen gelöscht.
Übergehen	Der Fund von Spyware/Grayware wird in den Protokollen gespeichert, aber keine Aktion durchgeführt. Diese Aktion kann nur bei manueller und zeitgesteuerter Suche durchgeführt werden. Während der Echtzeitsuche wird die Aktion „Zugriff verweigern“ ausgeführt. Der Security Agent führt keine Aktion aus, wenn sich die erkannte Spyware/Grayware auf der Liste der zulässigen Software befindet.
Zugriff verweigern	Verweigert den Zugriff (Kopieren, Öffnen) auf die entdeckten Spyware-/Grayware-Komponenten. Diese Aktion kann nur bei der Echtzeitsuche durchgeführt werden. Während der manuellen Suche und der zeitgesteuerten Suche wird die Aktion Übergehen ausgeführt.

ActiveAction

Unterschiedliche Viren-/Malware-Typen erfordern unterschiedliche Suchaktionen. Unterschiedliche Suchaktionen benutzerdefiniert festzulegen, setzt jedoch grundlegendes Wissen über Viren/Malware voraus und kann äußerst zeitaufwendig sein. Der Security Agent verwendet ActiveAction, um diesen Problemen entgegenzuwirken.

In ActiveAction sind mehrere bereits vorkonfigurierte Aktionen für die Suche nach Viren/Malware zusammengefasst. ActiveAction sollten Sie verwenden, wenn Sie mit der Konfiguration von Suchaktionen nicht vertraut sind oder nicht genau wissen, welche Suchaktion sich für einen bestimmten Viren-/Malware-Typ am besten eignet.

Welche Vorteile bietet die Verwendung von ActiveAction?

ActiveAction verwendet von Trend Micro empfohlene Suchaktionen. Der zeitliche Aufwand für die Konfiguration der Suchaktionen entfällt dadurch.
Die Angriffsstrategien der Viren/Malware gegen Endpunkte ändern sich permanent. Die ActiveAction Einstellungen werden aktualisiert, um vor den neuesten Bedrohungen und Methoden von Viren-/Malware-Angriffen zu schützen.

Die folgende Tabelle zeigt, wie ActiveAction mit den jeweiligen Viren-/Malware-Arten verfährt:

Tabelle 3. Von Trend Micro empfohlene Suchaktionen gegen Viren und Malware
Viren-/Malware-Typ	Echtzeitsuche		Manuelle Suche/Zeitgesteuerte Suche
Viren-/Malware-Typ	Erste Aktion	Zweite Aktion	Erste Aktion	Zweite Aktion
Scherzprogramm	Quarantäne	Löschen	Quarantäne	Löschen
Trojaner/Würmer	Quarantäne	Löschen	Quarantäne	Löschen
Packer	Quarantäne	n. v.	Quarantäne	n. v.
Wahrscheinlich Virus/Malware	Übergehen	n. v.	Übergehen oder vom Benutzer konfigurierte Aktion	n. v.
Virus	Säubern	Quarantäne	Säubern	Quarantäne
Testviren	Zugriff verweigern	n. v.	n. v.	n. v.
Andere Malware	Säubern	Quarantäne	Säubern	Quarantäne

Anmerkung:

Einige Dateien lassen sich nicht säubern. Weitere Informationen finden Sie unter Dateien, die nicht gesäubert werden können.
ActiveAction ist nicht für die Suche nach Spyware/Grayware verfügbar.
Die Standardwerte für diese Einstellungen können sich ändern, wenn neue Pattern-Dateien verfügbar werden.

Erweiterte Einstellungen

Suchtyp	Optionen
Echtzeitsuche, zeitgesteuerte Suche	Warnung bei Viren-/Spyware-Fund auf Desktop oder Server anzeigen
Echtzeitsuche, zeitgesteuerte Suche	Warnung auf dem Desktop oder Server anzeigen, wenn ein mutmaßlicher Virus bzw. mutmaßliche Spyware erkannt wird
Manuelle Suche, Echtzeitsuche, zeitgesteuerte Suche	Cleanup bei Viren-/Malwareverdacht durchführen: Nur verfügbar, wenn Sie ActiveAction wählen und die Aktion für Viren-/Malwareverdacht anpassen.