Ansichten:
Die Ereignisüberwachung bietet einen generischeren Ansatz zum Schutz vor nicht autorisierter Software und Malware-Angriffen. Sie überwacht Systembereiche auf bestimmte Ereignisse. Dies gibt Administratoren die Möglichkeit, Programme zu regulieren, die derartige Ereignisse auslösen. Verwenden Sie die Systemüberwachung, wenn Sie über den durch Sperrung bei Malware-Verhalten gebotenen Schutz hinaus spezielle Schutzanforderungen für das System benötigen.

Überwachte Systemereignisse

Ereignisse
Beschreibung
Duplizierte Systemdatei
Viele bösartige Programme erstellen Kopien von sich selbst oder anderen bösartigen Programmen unter Verwendung von Dateinamen, die von Windows Systemdateien verwendet werden. Dies geschieht in der Regel, um Systemdateien zu überschreiben oder zu ersetzen, sich zu verbergen oder zu verhindern, dass Benutzer die bösartigen Dateien löschen.
Änderung der Hosts-Datei
Die Hosts-Datei ordnet Domain-Namen IP-Adressen zu. Zahlreiche bösartige Programme verändern die Hosts-Datei so, dass der Webbrowser zu infizierten, nicht existierenden oder falschen Websites umgeleitet wird.
Verdächtiges Verhalten
Verdächtiges Verhalten kann sich in einer bestimmten Aktion oder einer Reihe von Aktionen zeigen, die normalerweise nicht von rechtmäßigen Programmen durchgeführt werden. Programme, die verdächtiges Verhalten aufweisen, sollten mit Vorsicht verwendet werden.
Neues Plug-in für den Internet Explorer
Spyware-/Grayware-Programme installieren oft unerwünschte Plug-ins für den Internet Explorer, wie z. B. Symbolleisten und Browser Helper Objects.
Änderungen an Einstellungen des Internet Explorers
Malware-Programme können die Einstellungen im Internet Explorer ändern, einschließlich Startseite, vertrauenswürdiger Websites, Proxy-Servereinstellungen und Menüerweiterungen.
Änderungen der Sicherheitsrichtlinien
Durch Änderungen der Sicherheitsrichtlinien können unerwünschte Anwendungen ausgeführt und Systemeinstellungen verändert werden.
Injektion einer Programmbibliothek
Viele bösartige Programme konfigurieren Windows so, dass alle Anwendungen automatisch eine Programmbibliothek (DLL) laden. Dadurch können bösartige Routinen in der DLL bei jedem Start einer Anwendung ausgeführt werden.
Shell-Änderungen
Viele bösartige Programme verändern die Einstellungen der Windows Shell, um sich selbst mit bestimmten Dateitypen zu verknüpfen. Durch diese Routine können bösartige Programme automatisch gestartet werden, wenn Benutzer die verknüpften Dateien im Windows Explorer öffnen. Durch Änderungen in der Windows Shell können bösartige Programme außerdem die verwendeten Programme nachverfolgen und wie rechtmäßige Programme gestartet werden.
Neuer Dienst
Windows Dienste sind Prozesse mit speziellen Funktionen. Sie werden in der Regel dauerhaft und mit vollständigen Administratorberechtigungen im Hintergrund ausgeführt. Bösartige Programme installieren sich in manchen Fällen als versteckte Dienste selbst.
Änderung von Systemdateien
Bestimmte Windows Systemdateien legen das Systemverhalten, einschließlich der Autostart-Programme und der Bildschirmschonereinstellungen, fest. Viele bösartige Programme verändern Systemdateien so, dass sie beim Start automatisch ausgeführt werden und das Systemverhalten steuern.
Änderungen der Firewall-Richtlinien
Die Windows Firewall-Richtlinie legt die Anwendungen fest, die auf das Netzwerk zugreifen können, die Ports, die für die Kommunikation geöffnet sind und die IP-Adressen, die mit dem Computer kommunizieren können. Viele bösartige Programme verändern die Richtlinie, um sich den Zugriff auf das Netzwerk und das Internet zu ermöglichen.
Änderungen an Systemprozessen
Viele bösartige Programme führen verschiedene Aktionen an integrierten Windows Prozessen durch. So beenden oder ändern sie beispielsweise aktive Prozesse.
Neues Autostart-Programm
Bösartige Anwendungen fügen der Windows-Registrierung gewöhnlich Autostart-Einträge hinzu oder ändern diese, so dass sie bei jedem Hochfahren des Computers automatisch gestartet werden.
Die folgende Tabelle enthält eine Liste der überwachten Systemereignisse.
Wenn von der Ereignisüberwachung ein überwachtes Systemereignis erkannt wird, wird die für dieses Ereignis konfigurierte Aktion ausgeführt.
Die folgende Tabelle enthält eine Liste der möglichen Aktionen, die Administratoren bei überwachten Systemereignissen ergreifen können.

Aktionen bei überwachten Systemereignissen

Aktion
Beschreibung
Immer zulassen
Der Security Agent lässt die Ausführungen von Programmen, die einem Ereignis zugeordnet sind, immer zu.
Bei Bedarf nachfragen
Der Security Agent fordert Benutzer auf, die Ausführung von Programmen, die einem Ereignis zugeordnet sind, zuzulassen oder abzulehnen und fügt die Programme in der Ausnahmeliste hinzu.
Wenn der Benutzer nicht innerhalb eines bestimmten Zeitraums reagiert, lässt der Security Agent die Ausführung des Programms automatisch zu. Der Standardzeitraum beträgt 30 Sekunden.
Hinweis
Hinweis
Diese Option wird für das Ereignis 'Einschleusung in Programmbibliothek' (DLL-Injektion) auf 64-Bit-Systemen nicht unterstützt.
Immer verweigern
Der Security Agent sperrt stets die Ausführung von Programmen, die einem Ereignis zugeordnet sind, und protokolliert das Ereignis.
Wenn ein Programm gesperrt wird und Alarmmeldungen aktiviert sind, zeigt Worry-Free Services auf dem Worry-Free Services-Computer eine Alarmmeldung an.