Anti-Virus- und HIPS-Anleitung für Einstellungen zu On-Access-Scans
Es empfiehlt sich, die Standard-Scan-Einstellungen in Ihren Antiviren- und HIPS-Richtlinien anzuwenden, da sie das beste Verhältnis zwischen dem Schutz Ihres Netzwerks vor Bedrohungen und der gesamten Systemleistung bieten. Sollte die Systemleistung für Sie von geringer Bedeutung sein, aktivieren Sie alle Einstellungen, um den besten Schutz zu gewährleisten. Die Standardeinstellungen können auch aus anderen Gründen geändert werden.
Bevor Sie die Standardeinstellungen ändern, lesen Sie folgende Anleitung, um die Auswirkungen auf die Systemleistung und den Schutz vor Bedrohungen durch solche Änderungen zu verstehen.
Betrifft die folgenden Sophos Produkte/Versionen:
Sophos Endpoint Security and Control 9.7
On-Access-Einstellungen in diesem Artikel:
Registerkarte "Scans" | Registerkarte "Erweiterungen" | Registerkarten "Windows-/Mac-/Linux-Ausschlüsse" | Registerkarte "Bereinigung" | HIPS-Laufzeitverhaltenseinstellungen | Benachrichtigungseinstellungen | Web-Scanning-Einstellungen
Einstellungen für geplante Scans finden Sie unter Antivirus- und HIPS-Einstellungen: Anleitung zu geplanten Scans.
Diese Einstellungen werden in Enterprise Console in der Antivirus- und HIPS-Richtlinie konfiguriert.
On-Access-Scan-Einstellungen
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Aktivieren der On-Access-Scans | Aktiviert | Es empfiehlt sich, immer die On-Access-Scans anzuwenden. Wie nachfolgend in den On-Access-Scan-Einstellungen beschrieben, ist diese Funktion ausschlaggebend bei der Identifikation und Eliminierung der meisten modernen Bedrohungen, noch bevor sie in Ihrem System ausgeführt werden können. |
Schaltfläche "On-Access-Scanning"
Registerkarte "Scanning"
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| In Archiven scannen (nicht empfohlen) | Deaktiviert | Wenn diese Einstellung aktiviert ist, werden die allgemeinen Archivdateiformate zur Liste der Erweiterungen hinzugefügt, die vom On-Access-Scanner gescannt werden. Diese Einstellung wurde deaktiviert, da es meist nicht notwendig ist, Archive bei Zugriff zu scannen. Bei Anwendung der Standard-On-Access-Scan-Einstellungen werden alle Dateien im Archiv beim Öffnen oder Ausführen gescannt. Das Scannen von Archiven ist ein speicherintensiver Prozess. Es kann vorausgesetzt werden, dass die meisten Archive in einem Unternehmen frei von Malware sind (diese sollte am Gateway von einem Produkt wie z.B. der Sophos Web and Control Appliance herausgefiltert werden). Darum muss der Endbenutzer die Verzögerungen, die durch die benötigte Prozessorzeit zum Scannen von Archiven entstehen, nicht in Kauf nehmen. Sollten jedoch viele Benutzer ihre eigenen USB-Flashdrives und andere Wechselmedien mit dem Netzwerk verbinden oder das Unternehmen verlangt es, sollte diese Einstellung für eine Untergruppe von Benutzern aktiviert werden. Als Alternativlösung zum On-Access-Scannen, kann auch Folgendes in Betracht gezogen werden:
Archive und komprimierte Dateien werden an folgenden Standorten heruntergeladen, an denen der On-Access-Scanner von Sophos Anti-Virus ihren Inhalt überprüft: In Windows lautet der Speicherort wie folgt:
In UNIX handelt es sich um die "/tmp"-Datei. Der Standort kann mit Hilfe des "SAV_TMP"-Parameters geändert werden: z.B. Exportieren von "SAV_TMP" in ein anderes Verzeichnis. |
| Scannen auf Macintosh-Viren | Deaktiviert | Wenn Sie Macs in Ihrem Netzwerk haben oder regelmäßig Dateien austauschen, die in einer Mac-Umgebung geöffnet und bearbeitet werden können, sollte diese Einstellung aktiviert werden. |
| Scannen des Systemspeichers | Aktiviert | Wenn die Option zum Scannen des Systemspeichers aktiviert wird, überprüft der On-Access-Scanner stündlich den Systemspeicher im Hintergrund. Die Funktion dient der Erkennung von im Systemspeicher (Kernel-Speicher) versteckter Malware. Beim Systemspeicher-Scan werden Speicherbereiche als Reaktion auf Anfragen der Virus Engine gelesen oder beschrieben. Da die SophosLabs der Meinung sind, dass die Funktion für x64-Betriebssysteme nicht erforderlich ist, wird sie auf solchen Betriebssystemen nicht durchgeführt. |
| Scannen auf Adware/PUA | Deaktiviert | Potenziell unerwünschte Anwendungen (PUA) sind Anwendungen wie PC-Überwachungssoftware und Scherzanwendungen. SophosLabs schließen die Erkennung bekannter PUA in die Threat-Erkennungsdaten ein, die in den Updates für Endpoint Security and Control enthalten sind. Diese Einstellung ist standardmäßig deaktiviert, da zuerst legitime Anwendungen, wie Verwaltungstools, autorisiert werden sollten. Führen Sie dazu einen geplanten Scan Ihres Netzwerks durch, um die legitimen Anwendungen zu identifizieren und autorisieren Sie diese. Aktivieren Sie dann den On-Access-Scan, um nicht zugelassene Anwendungen künftig zu sperren. Weitere Details finden Sie in der Einführungsanleitung zum Schutz vor potenziell unerwünschten Anwendungen (PUA) für Administratoren. Sollte diese Einstellung aktiviert werden, bevor Ausnahmen eingerichtet wurden, kann das Netzwerk mit PUA-Benachrichtigungen überflutet werden. Sie können die erstellten Benachrichtigungen abarbeiten und in Enterprise Console Ausschlüsse einrichten, um sie zu entfernen. Dieser Vorgang kann jedoch einige Zeit in Anspruch nehmen. Beachten Sie, dass ein geplanter Scan durchgeführt werden muss, um alle gefundenen PUA zu bereinigen. Die SophosLabs überprüfen regelmäßig ihre PUA-Definitionen, um sicherzustellen, dass neue Programme mit schädlichen oder unmoralischen Hintergründen vom Netzwerk gesperrt werden können. Neue PUA können hier vorgeschlagen werden: https://secure.sophos.de/support/samples/. |
| Scannen auf verdächtige Dateien (HIPS) | Deaktiviert | Verdächtige Dateien sind Dateien, die Code enthalten, der meist in Malware zu finden ist. Da Antiviren-Scanner unmöglich die Zusammenhänge in einer Datei erkennen können (z.B. dass eine von einem Ihrer Softwareentwickler geschriebene Datei ungefährlich ist), meldet Sophos alle möglichen verdächtigen Dateien. Dies kann zu einigen unerwünschten Erkennungen führen. Sophos bevorzugt jedoch alle potenziell gefährlichen Dateien hervorzuheben, um den Inhalt von einer Person prüfen zu lassen. Diese Einstellung ist standardmäßig deaktiviert. Es empfiehlt sich, zuerst legitime Dateien zu autorisieren, wie z.B. von Mitarbeitern geschriebene. Führen Sie dazu einen geplanten Scan Ihres Netzwerks durch, identifizieren Sie die legitimen Dateien und autorisieren Sie sie in Enterprise Console. Aktivieren Sie danach On-Access-Scans, um künftig verdächtige Dateien zu erkennen. Für weitere Informationen zu HIPS lesen Sie bitte folgenden Knowledgebase-Artikel: http://www.sophos.de/support/knowledgebase/article/48765.html |
| On-Access-Scans: Beim Lesen | Aktiviert | Es empfiehlt sich, immer diese Einstellung zu verwenden, wenn On-Access-Scans aktiviert sind. Scans beim Lesen sorgen dafür, dass alle Dateien, auf die zugegriffen wird, vor dem Öffnen überprüft werden. |
| On-Access-Scans: Beim Schreiben | Deaktiviert | Diese Einstellung ist standardmäßig deaktiviert, da sie sich auf die Systemleistung auswirken kann. Die Einstellung ist besonders bei Dateiservern von Nutzen, da bei ihnen mehr Lese- als Schreibzugriff stattfindet. Es wird empfohlen, diese Einstellung nach Möglichkeit zu aktivieren, um mehr Schutz als durch Scannen beim Lesen zu gewährleisten. |
| On-Access-Scans: Beim Umbenennen | Deaktiviert | Das Scannen beim Umbenennen ist in mindestens zwei (seltenen) Situationen nützlich. Die erste Situation tritt beim beim Erkennen schädlicher Dateien auf. Wenn eine schädliche Datei auf dem Computer installiert wird, kann sie eine nicht existierende Dateierweiterung haben, wie z.B. .abc. Wenn sie zur Ausführung bereit ist, kann die Datei in .exe umbenannt werden. Malware kann außerdem eine Datei in einen Speicherort schreiben und dann an einer anderen Stelle mit einem neuen Namen speichern. Dieser Vorgang ist eine "Umbenennung" und wird von den Scans beim Lesen oder Schreiben nicht erfasst. Die zweite Situation tritt beim Scannen heruntergeladener Dateien auf. Einige Browser laden eine Datei mit temporärem Namen herunter, deren Dateierweiterung sich nicht in der Standardliste befindet und nach Abschluss des Downloads auf den korrekten Namen umbenannt wird. Auf diese Weise kann die heruntergeladene .exe dem Scan entgehen, selbst wenn Scannen beim Schreiben aktiviert ist. Sollten Sie also eine Malwareinfektion in Ihrem Netzwerk vermuten, empfiehlt es sich, diese Einstellung in Ihren Richtlinien vorübergehend zu aktivieren. |
| Zugriff auf Laufwerke mit infiziertem Bootsektor ermöglichen | Deaktiviert | Mit dieser Einstellung kann der Zugriff auf infizierte, bootfähige Wechselmedien oder -datenträger wie z.B. bootfähige Disketten, USB-Flashdrives usw. gestattet werden. Diese Einstellung sollte nur unter Rücksprache mit dem technischen Support von Sophos aktiviert werden. |
Registerkarte "Erweiterungen"
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Scannen aller Dateien | Deaktiviert | Da die anderen On-Access-Scan-Einstellungen Infektionen durch Dateien verhindern, die bekannterweise zum Infizieren von Computern genutzt werden (einschließlich selbstdefinierte Dateitypen), empfiehlt es sich, die Standardeinstellung (deaktiviert) in den meisten Fällen beizubehalten. On-Access-Scannen nicht infizierter Dateien auf dem Computer kann die Systemleistung deutlich abbremsen. Viele Anwendungen benutzen beispielsweise ihre eigenen Dateiformate für temporäre Dateien. Jede dieser Dateien wird bei Zugriff gescannt. So würde ein speicherintensives Programm, wie z.B. ein Fotobearbeitungsprogramm oder Finanzsoftware, noch länger dauern, da der On-Access-Scanner jede der vom Programm benutzten temporären Dateien gescannt. Selbst bei normalen Netzwerk- und Computeraktivitäten sind die Auswirkungen auf die Systemleistung hoch und die Wahrscheinlichkeit minimal, dass eine Datei erkannt wird, die nicht auf der Liste ausführbarer Dateien steht, die standardmäßig gescannt werden. Während (oder direkt nach) einer Malwareinfektion sollten Sie jedoch sicherstellen, dass alle Komponenten eines Virus nach der Desinfektion entfernt wurden. Dieser Vorgang sollte möglichst unter Anleitung des technischen Supports von Sophos erfolgen. Sollten Sie vorziehen, dass Ihr Virenscanner alle Dateien überprüft, empfiehlt es sich, stattdessen einen wöchentlichen Scan aller Dateien zu planen. Führen Sie diesen Scan jedoch zu einem Zeitpunkt durch, wenn Ihr System selten benutzt wird (wie z.B. an einem Sonntag Nachmittag). |
| Scannen von ausführbaren und infizierbaren Dateien | Aktiviert | Diese Einstellung sollte immer aktiviert sein. Wenn aktiviert, überprüft dieser Scan alle Dateien mit ausführbaren Dateierweiterungen (z.B. ".EXE", ".BAT", ".PIF") oder Dateien, die infiziert sein könnten (z.B. '.DOC', '.CHM', '.PDF'). Außerdem wird schnell die Struktur aller Dateien überprüft und die mit ausführbarem Dateiformat werden gescannt. Um weitere Dateitypen zu scannen, können deren Dateierweiterungen zur Liste zu scannender Dateitypen (Schaltfläche "Hinzufügen) hinzugefügt werden. |
| Scannen von Dateien ohne Erweiterung | Aktiviert | Da sich hinter Dateien ohne Erweiterung Malware verbergen kann, sollte die On-Access-Erkennung immer aktiviert sein. |
Registerkarte "Windows-Ausschlüsse"
Es empfiehlt sich, keine Ausschlüsse festzulegen, da viele Dateien für Malware-Infektionen anfällig sind. Es gibt jedoch Anwendungen, die in Verbindung mit dem On-Access-Scanner unerwartetes Verhalten zeigen, wie z.B. Microsoft Exchange/Citrix-Server. Bei Problemen mit einer Anwendung bei Verwendung des On-Access-Scanners in Endpoint Security and Control, wenden Sie sich an den Softwarehersteller für weitere Informationen zu den Dateien, die vom Scannen ausgeschlossen werden können.
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Ausschließen von Remotedateien | Deaktiviert | Da die Anzahl von Netzwerkspeicherwürmern steigt, empfiehlt es sich, diese Option immer deaktiviert zu lassen (d.h. Remotedateien werden bei Zugriff gescannt), um Ihr Netzwerk zu schützen. |
Registerkarten "Mac-Ausschlüsse" und "Linux-Ausschlüsse"
Diese Ausschlüsse treffen auf Netzwerke zu, die eine Mischung aus Betriebssystemen enthalten.
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Automatische Bereinigung von Objekten, die mit Viren/Spyware infiziert sind | Deaktiviert | Sie können hier stattdessen auch eine automatische Bereinigung aller erkannten Malware einstellen. Möglicherweise haben Sie Ihre eigenen Verfahren zur Bereinigung von Malware, darum wird hier kein automatischer Vorgang ausgeführt. Eventuell ziehen Sie vor, erkannte Objekte in Quarantänte zu lassen, bis Sie sich darum kümmern können. Wenn der On-Access-Scanner automatisch Objekte bereinigt, die Viren oder Spyware enthalten, werden alle Objekte gelöscht, die reine Malware sind und er versucht, alle infizierten Objekte zu bereinigen. Da der Virenscanner die Inhalte infizierter Dateien vor der Beschädigung nicht kennt und lediglich den vom Virus injizierten Code entfernt, sollten die Dateien als permanent beschädigt angesehen werden. |
| Option, wenn Bereinigung nicht möglich ist | Zugriff verweigern | Der Standard "Zugriff verweigern" bedeutet, dass der Virenscanner fragt, was geschehen soll, bevor er fortfährt. Alle gefundenen Objekte sind gesperrt, bis Sie dem Virenscanner eine Anweisung geben. Die beiden Optionen "Löschen" und "Zugriff verweigern und verschieben" können unter besonderen Umständen verwendet werden (z.B. wenn der technische Support von Sophos Sie auffordert, diese Option auszuwählen). Es empfiehlt sich, dem Virenscanner nicht zu erlauben, infizierte Dateien automatisch zu löschen, da dadurch manchmal legitime Dateien gelöscht werden können. Wenn diese Einstellung aktiviert wird, sollten die Protokolle regelmäßig überprüft werden, um sicherzustellen, dass keine wichtigen Dateien gelöscht wurden. |
| Standardverhalten bei verdächtigen Dateien | Zugriff verweigern | Der Standard "Zugriff verweigern" bedeutet, dass der Virenscanner fragt, was geschehen soll, bevor er fortfährt. Alle erkannten Objekte werden gesperrt, bis Sie dem Virenscanner eine Anweisung geben. |
Einstellungen zum HIPS-Laufzeitverhalten
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Erkennung verdächtigen Verhaltens | Aktiviert | Diese Einstellung erkennt Dateivorgänge während sie ausgeführt werden. Wenn der Scanner annimmt, dass die parallelen oder Gruppen von Vorgängen, die zurzeit aktiv sind, eine Bedrohung darstellen, werden Sie entweder benachrichtigt (wenn "Nur Alerts" ausgewählt wurde) oder er sperrt den Vorgang (wenn "Nur Alerts" deaktiviert wurde) . Es empfiehlt sich, die Einstellung zunächst im Modus "Nur Alerts" zu betreiben und Anwendungen zuzulassen, die unerwünschte Erkennungen auslösen. Wenn Sie sich mit den Anwendungen vertraut gemacht haben, die Alerts auslösen und sich sicher sind, dass nur gewünschte Anwendungen zugelassen werden, können Sie den Modus "Nur Alerts" wieder verlassen. |
| Erkennen von Pufferüberläufen | Aktiviert | Diese Einstellung schützt Ihren Computer vor Pufferüberläufen und sollte aktiviert sein. Sie ist ausschlaggebend beim Erkennen und Sperren neuer Malware, wenn "Nur Alerts" ausgeschaltet ist, bevor sie Ihre Systeme infizieren kann. Da Pufferüberläufe nie wünschenswert sind, sollten Sie sich an alle Softwarehersteller wenden, deren Anwendung einen Pufferüberlauf auslöst und von der Sie wissen, dass sie keine Malware ist. Lassen Sie diese Anwendungen nur zu, wenn sie für Ihr Unternehmen wichtig sind. Wenn Sie auf verdächtige Pufferüberläufe stoßen, wenden Sie sich an den technischen Support von Sophos, der Ihnen beim Identifizieren und Eliminieren von Bedrohungen behilflich ist. |
| Nur Alerts | Aktiviert | Die Erkennung verdächtigen Verhaltens sollte beim Einsatz einer neuen Antiviren-Richtlinie Vorrang haben, da die Einstellung "Nur Alerts" mit der Pufferüberlauferkennung geteilt wird, die mögliche Infektionen unmittelbar nachdem die Richtlinie zum Einsatz kommt sperrt. Sobald die legitimen Programme genehmigt wurden, die verdächtiges Verhalten in Ihrem Netzwerk zeigen, empfiehlt sich, dass Sie die Einstellung "Nur Alerts" sofort ausschalten. |
Benachrichtigungseinstellungen
Desktop-Benachrichtigungen sind standardmäßig aktiviert, jedoch keine anderen Benachrichtigungen. Es empfiehlt sich, den gewünschten Benachrichtigungstyp einzurichten, bevor Sie Ihre Antiviren- und HIPS-Richtlinien einsetzen.
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Desktop-Nachrichten | Aktiviert | Es ist Ihnen überlassen, ob der Endbenutzer Alerts am Computer erhält. Diese Einstellung zeigt eine Benachrichtigung auf dem Endpoint an und gibt Auskunft darüber, was erkannt wurde, wo und wie damit umgegangen wird. Sie können Ihre eigene Nachricht für jedes Ereignis hinzufügen, auf das der Benutzer aufmerksam gemacht werden soll. Diese Einstellung sollte aktiviert bleiben, damit sich der Endbenutzer an Ihre Helpdesk wenden kann, falls auf seinem Computer etwas erkannt wurde. Sie können auch eine angepasste Nachricht hinzufügen, um die Richtlinie Ihres Unternehmens zu übermitteln. |
Autorisierungseinstellungen
Diese Schaltfläche öffnet ein Dialogfenster, in dem Sie die Adware und PUA, verdächtigen Dateien, Anwendungen mit verdächtigem Verhalten und Pufferüberläufe autorisieren können, die mit geplanten Scans und mit HIPS-Benachrichtigungen erkannt wurden.
Es gibt keine Anwendungen oder Dateien in Ihren Antiviren- und HIPS-Richtlinien, die vorab autorisiert wurden.
Registerkarte "Web-Scanning"
Scannen von Webinhalt überprüft Webseiten auf schädliche Inhalte, bevor Ihr Browser die Seite hochlädt. Wenn auf der Hauptseite oder einer Komponente der Seite ein webbasierter Angriff erkannt wird, wird der ursprüngliche Inhalt blockiert und durch eine sichere Report-Seite ersetzt. Für alle blockierten schädlichen Inhalte wird jeweils eine Meldung auf dem Desktop angezeigt. Da die Software verhindert, dass schädlicher Code ausgeführt wird, ist keine Desinfektion erforderlich. Weitere Informationen zum Scannen von Webinhalten in Endpoint Security and Control finden Sie unter Überblick von Webinhalts-Scans in Endpoint Security and Control.
Standardmäßig hat Web-Scanning die gleiche Einstellung wie der On-Access-Scanner. Wenn On-Access-Scanning in der Richtlinie aktiviert ist, ist Webinhalts-Scanning ebenfalls aktiviert. Diese Einstellung kann immer ein- oder immer ausgeschaltet sein.
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.
- Artikel-ID: 63923
- Erstellt: 05.10.2009
- Letztes Update: 10.02.2012
