Ansichten:
  1. Navigieren Sie zu Sicherheitseinstellungen.
  2. Wählen Sie eine Desktop- oder Servergruppe aus.
  3. Klicken Sie auf Einstellungen konfigurieren.
  4. Klicken Sie auf Verhaltensüberwachung.
  5. Aktualisieren Sie auf Anforderung folgende Einstellungen:

    • Verhaltensüberwachung aktivieren

      Anmerkung:

      Wenn Benutzer ihre eigenen Einstellungen der Verhaltensüberwachung anpassen können sollen, navigieren Sie zu Sicherheitseinstellungen > {Gruppe} > Konfigurieren > Client-Berechtigungen > Verhaltensüberwachung, und wählen Sie Benutzern erlauben, die Einstellungen der Verhaltensüberwachung zu ändern.

    • Sperren des Malware-Verhaltens für bekannte und mögliche Bedrohungen aktivieren: Sperrung bei Malware-Verhalten wird unter Verwendung mehrerer interner Regeln ausgeführt, die in den Pattern-Dateien definiert sind. Mithilfe dieser Regeln wird bekanntes und verdächtiges Bedrohungsverhalten identifiziert, das häufig bei Malware vorkommt. Zu den Beispielen für solches verdächtiges Verhalten gehören unter anderem das plötzliche und unerklärliche Ausführen neuer Dienste, Änderungen an der Firewall oder Änderungen von Systemdateien.

      • Bekannte Bedrohungen: Hiermit wird mit bekannten Bedrohungen verbundenes Verhalten blockiert

      • Bekannte und mögliche Bedrohungen: Hiermit wird mit bekannten Bedrohungen verbundenes Verhalten blockiert und es werden entsprechende Maßnahmen gegen potenziell bösartiges Verhalten ergriffen

    • Benutzer fragen, bevor neu erkannte Programme ausgeführt werden, die über HTTP (Server-Plattformen ausgenommen) heruntergeladen wurden: Die Verhaltensüberwachung wird zusammen mit Web Reputation verwendet, um die Verbreitung von Dateien sicherzustellen, die über HTTP oder E-Mail-Anwendungen heruntergeladen wurden. Nach der Erkennung einer "neu entdeckten" Datei können Administratoren festlegen, dass Benutzer vor der Ausführung der Datei informiert werden. Trend Micro stuft ein Programm auf der Grundlage der Anzahl der Dateierkennungen oder des historischen Alters der Datei als neu gefunden ein, so wie dies durch das Smart Protection Network definiert ist.

      Anmerkung:

      Bei HTTP-Kanälen werden ausführbare Dateien (.exe) durchsucht. Bei E-Mail-Anwendungen (nur Outlook und Windows Live Mail) werden ausführbare Dateien (.exe) in nicht kennwortgeschützten archivierten Dateien (zip/rar) durchsucht.

    • Intuit QuickBooks-Schutz aktivieren: Schützt alle Intuit QuickBooks-Dateien und -Ordner vor unbefugten Änderungen durch andere Programme. Die Aktivierung dieser Funktion beeinträchtigt die durch Intuit QuickBooks-Programme vorgenommenen Änderungen nicht, sondern verhindert nur, dass andere unbefugte Anwendungen Dateien ändern.

      Folgende Produkte werden unterstützt:

      • QuickBooks Simple Start

      • QuickBooks Pro

      • QuickBooks Premier

      • QuickBooks Online

      Anmerkung:

      Da alle ausführbaren Intuit-Dateien über eine digitale Signatur verfügen, werden Updates dieser Dateien nicht gesperrt. Falls andere Programme versuchen, die binäre Intuit-Datei zu ändern, zeigt der Agent eine Nachricht mit dem Namen des Programms an, das versucht, die binären Dateien zu aktualisieren. Sie können andere Programme berechtigen, die Intuit-Dateien zu aktualisieren. Fügen Sie dazu das gewünschte Programm zur Ausnahmeliste der Verhaltensüberwachung auf dem Agent hinzu. Vergessen Sie nicht, das Programm nach dem Update aus der Ausnahmeliste zu entfernen.

    • Aktualisieren Sie unter Schutz vor Ransomware folgende Einstellungen:

      Anmerkung:

      Schutz vor Ransomware verhindert die nicht autorisierte Änderung oder Verschlüsselung von Dateien auf Computern durch Bedrohungen von "Ransomware". Ransomware ist eine Art von Malware, die den Zugriff auf Dateien beschränkt und verlangt, dass Sie für die Wiederherstellung der betroffenen Dateien bezahlen.

      • Dokumentschutz vor unbefugter Verschlüsselung oder Änderung aktivieren: Schützt Dokumente vor unbefugten Änderungen.

        • Automatische Sicherungsdateien wurden durch verdächtige Programme geändert: Sichert automatisch durch verdächtige Programme geänderte Dateien, wenn der Dokumentschutz aktiviert ist.

      • Das Sperren von Vorgängen aktivieren, die häufig mit Ransomware verbunden sind: Schützt Endpunkte vor Ransomware-Angriffen, indem Prozesse gesperrt werden, die gewöhnlich mit Hijack-Versuchen verknüpft sind.

      Anmerkung:

      Um die Wahrscheinlichkeit zu verringern, dass WFBS einen sicheren Prozess als bösartig erkennt, müssen Sie sicherstellen, dass der Computer auf das Internet zugreifen kann, um weitere Überprüfungsprozesse mit Hilfe von Trend Micro-Servern auszuführen.

    • Ausnahmen: Ausnahmen beinhalten eine Liste der zulässigen Programme und eine Liste der gesperrten Programme. Programme in der Liste der zulässigen Programme können auch dann ausgeführt werden, wenn dies gegen eine überwachte Änderung verstößt, während Programme in der Liste der gesperrten Programme nie ausgeführt werden können.

      • Vollständigen Programmpfad eingeben: Geben Sie den vollständigen Windows oder UNC-Pfad des Programms ein. Trennen Sie mehrere Einträge mit einem Strichpunkt. Klicken Sie auf Zur Liste der zulässigen Programme hinzufügen oder Zur Liste der gesperrten Programme hinzufügen. Verwenden Sie bei Bedarf Umgebungsvariablen, um den Pfad anzugeben.

        Umgebungsvariable

        Verweist auf den...

        $windir$

        Windows Ordner

        $rootdir$

        Root-Ordner

        $tempdir$

        Windows Temp-Ordner

        $programdir$

        Programme-Ordner

      • Liste der zulässigen Programme: Programme (maximal 100) in dieser Liste können ausgeführt werden. Klicken Sie auf das entsprechende Symbol, um einen Eintrag zu löschen.

      • Liste der gesperrten Programme: Programme (maximal 100) in dieser Liste können nie ausgeführt werden. Klicken Sie auf das entsprechende Symbol, um einen Eintrag zu löschen.

  6. Klicken Sie auf Speichern.
Übergeordnetes Thema: Verhaltensüberwachung