Die Ereignisüberwachung bietet einen generischeren Ansatz zum Schutz vor nicht autorisierter
Software und Malware-Angriffen. Sie überwacht Systembereiche auf bestimmte Ereignisse.
Dies gibt Administratoren die Möglichkeit, Programme zu regulieren, die derartige
Ereignisse auslösen. Verwenden Sie die Systemüberwachung, wenn Sie über den durch
Sperrung bei Malware-Verhalten gebotenen Schutz hinaus spezielle Schutzanforderungen
für das System benötigen.
Überwachte Systemereignisse
|
Ereignisse
|
Beschreibung
|
|
Duplizierte Systemdatei
|
Viele bösartige Programme erstellen Kopien von sich selbst oder anderen bösartigen
Programmen unter Verwendung von Dateinamen, die von Windows Systemdateien verwendet
werden. Dies geschieht in der Regel, um Systemdateien zu überschreiben oder zu ersetzen,
sich zu verbergen oder zu verhindern, dass Benutzer die bösartigen Dateien löschen.
|
|
Änderung der Hosts-Datei
|
Die Hosts-Datei ordnet Domain-Namen IP-Adressen zu. Zahlreiche bösartige Programme
verändern die Hosts-Datei so, dass der Webbrowser zu infizierten, nicht existierenden
oder falschen Websites umgeleitet wird.
|
|
Verdächtiges Verhalten
|
Verdächtiges Verhalten kann sich in einer bestimmten Aktion oder einer Reihe von Aktionen
zeigen, die normalerweise nicht von rechtmäßigen Programmen durchgeführt werden. Programme,
die verdächtiges Verhalten aufweisen, sollten mit Vorsicht verwendet werden.
|
|
Neues Plug-in für den Internet Explorer
|
Spyware-/Grayware-Programme installieren oft unerwünschte Plug-ins für den Internet
Explorer, wie z. B. Symbolleisten und Browser Helper Objects.
|
|
Änderungen an Einstellungen des Internet Explorers
|
Malware-Programme können die Einstellungen im Internet Explorer ändern, einschließlich
Startseite, vertrauenswürdiger Websites, Proxy-Servereinstellungen und Menüerweiterungen.
|
|
Änderungen der Sicherheitsrichtlinien
|
Durch Änderungen der Sicherheitsrichtlinien können unerwünschte Anwendungen ausgeführt
und Systemeinstellungen verändert werden.
|
|
Injektion einer Programmbibliothek
|
Viele bösartige Programme konfigurieren Windows so, dass alle Anwendungen automatisch
eine Programmbibliothek (DLL) laden. Dadurch können bösartige Routinen in der DLL
bei jedem Start einer Anwendung ausgeführt werden.
|
|
Shell-Änderungen
|
Viele bösartige Programme verändern die Einstellungen der Windows Shell, um sich selbst
mit bestimmten Dateitypen zu verknüpfen. Durch diese Routine können bösartige Programme
automatisch gestartet werden, wenn Benutzer die verknüpften Dateien im Windows Explorer
öffnen. Durch Änderungen in der Windows Shell können bösartige Programme außerdem
die verwendeten Programme nachverfolgen und wie rechtmäßige Programme gestartet werden.
|
|
Neuer Dienst
|
Windows Dienste sind Prozesse mit speziellen Funktionen. Sie werden in der Regel dauerhaft
und mit vollständigen Administratorberechtigungen im Hintergrund ausgeführt. Bösartige
Programme installieren sich in manchen Fällen als versteckte Dienste selbst.
|
|
Änderung von Systemdateien
|
Bestimmte Windows Systemdateien legen das Systemverhalten, einschließlich der Autostart-Programme
und der Bildschirmschonereinstellungen, fest. Viele bösartige Programme verändern
Systemdateien so, dass sie beim Start automatisch ausgeführt werden und das Systemverhalten
steuern.
|
|
Änderungen der Firewall-Richtlinien
|
Die Windows Firewall-Richtlinie legt die Anwendungen fest, die auf das Netzwerk zugreifen
können, die Ports, die für die Kommunikation geöffnet sind und die IP-Adressen, die
mit dem Computer kommunizieren können. Viele bösartige Programme verändern die Richtlinie,
um sich den Zugriff auf das Netzwerk und das Internet zu ermöglichen.
|
|
Änderungen an Systemprozessen
|
Viele bösartige Programme führen verschiedene Aktionen an integrierten Windows Prozessen
durch. So beenden oder ändern sie beispielsweise aktive Prozesse.
|
|
Neues Autostart-Programm
|
Bösartige Anwendungen fügen der Windows-Registrierung gewöhnlich Autostart-Einträge
hinzu oder ändern diese, so dass sie bei jedem Hochfahren des Computers automatisch
gestartet werden.
|
Die folgende Tabelle enthält eine Liste der überwachten Systemereignisse.
Wenn von der Ereignisüberwachung ein überwachtes Systemereignis erkannt wird, wird
die für dieses Ereignis konfigurierte Aktion ausgeführt.
Die folgende Tabelle enthält eine Liste der möglichen Aktionen, die Administratoren
bei überwachten Systemereignissen ergreifen können.
Aktionen bei überwachten Systemereignissen
|
Aktion
|
Beschreibung
|
||
|
Immer zulassen
|
Der Security Agent lässt die Ausführungen von Programmen, die einem Ereignis zugeordnet sind, immer
zu.
|
||
|
Bei Bedarf nachfragen
|
Der Security Agent fordert Benutzer auf, die Ausführung von Programmen, die einem Ereignis zugeordnet
sind, zuzulassen oder abzulehnen und fügt die Programme in der Ausnahmeliste hinzu.
Wenn der Benutzer nicht innerhalb eines bestimmten Zeitraums reagiert, lässt der Security Agent die Ausführung des Programms automatisch zu. Der Standardzeitraum beträgt 30 Sekunden.
|
||
|
Immer verweigern
|
Der Security Agent sperrt stets die Ausführung von Programmen, die einem Ereignis zugeordnet sind, und
protokolliert das Ereignis.
Wenn ein Programm gesperrt wird und Alarmmeldungen aktiviert sind, zeigt Worry-Free Services auf dem Worry-Free Services-Computer eine Alarmmeldung an.
|
