Anti-Virus- und HIPS-Einstellungen Anleitung für Einstellungen zu geplanten Scans
Es empfiehlt sich, die Standard-Scan-Einstellungen in Ihren Antiviren- und HIPS-Richtlinien anzuwenden, da sie das beste Verhältnis zwischen dem Schutz Ihres Netzwerks vor Bedrohungen und der gesamten Systemleistung bieten. Sollte die Systemleistung für Sie von geringer Bedeutung sein, aktivieren Sie alle Einstellungen, um den besten Schutz zu gewährleisten. Die Standardeinstellungen können auch aus anderen Gründen geändert werden.
Bevor Sie die Standardeinstellungen ändern, lesen Sie folgende Anleitung, um die Auswirkungen auf die Systemleistung und den Schutz vor Bedrohungen durch solche Änderungen zu verstehen.
In diesem Artikel ist Folgendes enthalten: Einstellungen geplanter Scans | Konfigurieren der Scan-Funktion und Bereinigungseinstellungen | Erweiterungen und Ausschlüsse
Einstellungen für On-Access-Scans finden Sie unter Antivirus- und HIPS-Einstellungen (On-Access-Scans).
Einstellungen für geplante Scans
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Lokale Festplatten | Aktiviert | Es empfiehlt sich, die lokale Festplatte mindestens ein Mal pro Woche zu scannen. |
| Diskettenlaufwerke und Wechsellaufwerke | Deaktiviert | Wenn ein Wechsellaufwerk regelmäßig an Ihrem Computer angeschlossen ist, können Sie es in den Scan einschließen. Sollte das Wechsellaufwerk jedoch häufig entfernt werden, sollten Sie dafür entweder einen On-Access-Scan verwenden oder auf das Laufwerk in Windows rechtsklicken, um es zu scannen, wenn es wieder mit dem Computer verbunden wird. |
| CD-Laufwerke | Deaktiviert | Wenn Sie regelmäßig eine CD oder DVD in Ihrem Laufwerk haben, können Sie sie in den Scan einschließen. Wenn Sie jedoch häufig CDs/DVDs wechseln, sollten Sie entweder einen On-Access-Scan verwenden oder das Laufwerk scannen, wenn Sie die CD/DVD einlegen. |
| Tage, an denen der Scan ausgeführt wird |
M, D, M, D, F Aktiviert |
Zur Erleichterung wurde ein Standardplan für Wochentage eingerichtet. Diese Einstellung kann nach Bedarf geändert werden. Sie können die Einstellung nach Bedarf ändern. |
| Tage, an denen der Scan ausgeführt wird |
Sa, So Deaktiviert |
Für Fileserver soll vielleicht ein Scan zu Zeiten geringerer Aktivität eingerichtet werden, wie z.B. am Wochenende. |
| Zeitpunkt des Scans | 21.00 Uhr | Es empfiehlt sich, diesen Scan zu einer Tageszeit zu planen, wenn der Computer zwar eingeschaltet ist, aber keine Störungen verursacht werden.
Hier wird die 24-Stundeneinstellung verwendet. |
Konfigurieren von...
Registerkarte "Scanning"
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Scannen von Archivdateien | Deaktiviert |
Wenn diese Einstellung aktiviert ist, werden die allgemeinen Archivdateiformate zur Liste der Erweiterungen hinzugefügt, die vom On-Access-Scanner gescannt werden. Das Scannen in Archivdateien während der wöchentlichen Scans wird nicht empfohlen, da der Scan bedeutend länger dauert. Stattdessen wird zu On-Access-Scans (beim Lesen und beim Schreiben) geraten, um Ihr Netzwerk zu schützen (ohne in Archivdateien zu scannen). Alle Komponenten eines entpackten Archivs, die Malware sein könnten, werden durch den Scanner beim Lesen oder Schreiben gesperrt, wenn darauf zugegriffen wird. Wenn Sie auf einigen wenigen Computern alle Archive durch einen geplanten Scan überprüfen wollen, wird empfohlen, einen separaten Scan einzurichten und nur die Archiv-Erweiterungen zur Liste der zu scannenden Dateierweiterungen hinzuzufügen (Scannen aller Dateien muss ausgeschaltet sein). Damit können die Archivdateien so schnell wie möglich gescannt werden. Richten Sie außerdem einen regelmäßigen geplanten Scan für die Computer ein, der die ausführbaren und infizierbaren Dateierweiterungen scannt. |
|
Scannen auf Macintosh-Viren |
Deaktiviert | Wenn Sie Macs in Ihrem Netzwerk haben oder regelmäßig Dateien austauschen, die in einer Mac-Umgebung geöffnet und bearbeitet werden können, sollte diese Einstellung aktiviert werden. |
|
Scannen des Systemspeichers |
Aktiviert |
Wenn die Option zum Scannen des Systemspeichers aktiviert wird, überprüft der On-Access-Scanner stündlich den Systemspeicher im Hintergrund. Die Funktion dient der Erkennung von im Systemspeicher (Kernel-Speicher) versteckter Malware. Beim Systemspeicher-Scan werden Speicherbereiche als Reaktion auf Anfragen der Virus Engine gelesen oder beschrieben. Da die SophosLabs der Meinung sind, dass die Funktion für x64-Betriebssysteme nicht erforderlich ist, wird sie auf solchen Betriebssystemen nicht durchgeführt. |
|
Scannen mit niedriger Priorität |
Deaktiviert |
Die Option wird nur ab Windows Vista SP2 unterstützt. On-Demand-Scans nehmen mit dieser Einstellung mehr Zeit in Anspruch. |
|
Scannen auf Rootkits |
Aktiviert |
Es wird automatisch auf Rootkits gescannt. |
| Scannen auf Adware/PUA | Aktiviert |
Potenziell unerwünschte Anwendungen (PUA) sind Anwendungen wie PC-Überwachungssoftware und Scherzanwendungen. SophosLabs schließen die Erkennung bekannter PUA in die Threat-Erkennungsdaten ein, die in den Updates für Endpoint Security and Control enthalten sind. Es empfiehlt sich, zuerst legitime Anwendungen zu erlauben, wie z.B. Verwaltungs-Tools, indem ein geplanter Scan Ihres Netzwerks durchgeführt wird, die legitimen Anwendungen erkannt und in Enterprise Console erlaubt werden. Danach sollten On-Access-Scans aktiviert werden, um nicht zugelassene Anwendungen in Zukunft zu sperren. Weitere Details finden Sie in der Einführungsanleitung zum Schutz vor potenziell unerwünschten Anwendungen (PUA) für Administratoren. Beachten Sie bitte, dass Sie einen geplanten Scan ausführen müssen, um vom On-Access-Scanner gefundene PUA zu bereinigen, daher sollte diese Einstellung aktiviert sein. Die SophosLabs überprüfen regelmäßig ihre PUA-Definitionen, um sicherzustellen, dass neue Programme mit schädlichen oder unmoralischen Hintergründen vom Netzwerk gesperrt werden können. |
| Scannen auf verdächtige Dateien (HIPS) | Aktiviert |
Verdächtige Dateien sind Dateien, die Code enthalten, der meist in Malware zu finden ist. Da Antiviren-Scanner unmöglich die Zusammenhänge in einer Datei erkennen können (z.B. dass eine von einem Ihrer Softwareentwickler geschriebene Datei ungefährlich ist), meldet Sophos alle möglichen verdächtigen Dateien. Dies kann zu einigen unerwünschten Erkennungen führen. Sophos bevorzugt jedoch alle potenziell gefährlichen Dateien hervorzuheben, um den Inhalt von einer Person prüfen zu lassen. Diese Einstellung ist standardmäßig aktiviert. Es ist empfehlenswert, zunächst alle legitimen Dateien zu erlauben, wie z.B. von Ihren Mitarbeitern geschriebene. Führen Sie dazu einen geplanten Scan Ihres Netzwerks durch, identifizieren Sie die legitimen Dateien und autorisieren Sie sie in Enterprise Console. Aktivieren Sie danach On-Access-Scans, um künftig verdächtige Dateien zu erkennen. Nach der Aktivierung von On-Access-Sacns können Sie diese Einstellung in den geplanten Scans ausschalten oder für maximalen Schutz anlassen. Für weitere Informationen zu HIPS lesen Sie bitte folgenden Knowledgebase-Artikel: http://www.sophos.de/support/knowledgebase/article/48765.html |
| Aktivieren von Rootkit-Scans | Deaktiviert | Für besten Schutz empfiehlt es sich, Rootkit-Scans in Ihren wöchtenlichen Scan einzuschließen. Die meisten Rootkits werden jedoch vom On-Access-Scanner erkannt, darum ist diese Einstellung standardmäßig deaktiviert. |
Registerkarte "Bereinigung"
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Automatische Bereinigung von Objekten, die mit Viren/Spyware infiziert sind | Deaktiviert |
Sie können hier stattdessen auch eine automatische Bereinigung aller erkannten Malware einstellen. Möglicherweise haben Sie Ihre eigenen Verfahren zur Bereinigung von Malware, darum wird hier kein automatischer Vorgang ausgeführt. Eventuell ziehen Sie vor, erkannte Objekte in Quarantänte zu lassen, bis Sie sich darum kümmern können. Wenn der Virenscanner automatisch Objekte bereinigt, die Viren oder Spyware enthalten, werden alle reinen Malware-Objekte gelöscht und er versucht, alle infizierten Objekte zu desinfizieren. Da der Virenscanner die Inhalte infizierter Dateien vor der Beschädigung nicht kennt und lediglich den vom Virus injizierten Code entfernt, sollten die Dateien als permanent beschädigt angesehen werden. |
| Option, wenn Bereinigung nicht möglich oder nicht erwünscht ist | Zugriff verweigern |
Der Standard "Zugriff verweigern" bedeutet, dass der Virenscanner fragt, was geschehen soll, bevor er fortfährt. Wenn der On-Access-Scanner aktiviert ist, werden alle in einem Scan gefundenen Objekte gesperrt, bis Sie dem Virenscanner Anweisungen gegeben haben. Die anderen Optionen "Löschen" und "Zugriff verweigern und verschieben" können unter besonderen Umständen verwendet werden, z.B. wenn der technische Support von Sophos Ihnen beim Bereinigen von Malware in Ihrem Netzwerk behilflich ist. Es empfiehlt sich, dem Virenscanner nicht zu erlauben, infizierte Dateien automatisch zu löschen, da dadurch manchmal legitime Dateien gelöscht werden können. Wenn diese Einstellung aktiviert wird, sollten die Protokolle regelmäßig überprüft werden, um sicherzustellen, dass keine wichtigen Dateien gelöscht wurden. |
| Automatische Bereinigung von Adware/PUA | Deaktiviert | Sie sollten diese Option nur aktivieren, wenn Sie sicher sind, dass alle legitimen Programme in Ihrem Netzwerk erlaubt wurden. |
| Verdächtige Dateien | Zugriff verweigern |
Der Standard "Zugriff verweigern" bedeutet, dass der Virenscanner fragt, was geschehen soll, bevor er fortfährt. Wenn der On-Access-Scanner aktiviert ist, werden alle in einem Scan gefundenen Objekte gesperrt, bis Sie dem Virenscanner Anweisungen geben. Es empfiehlt sich, die Einstellung "Nur Zugriff verweigern" zu verwenden. Auf diese Weise können Sie legitime Programme über Enterprise Console zulassen. |
Erweiterungen und Ausschlüsse
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Scannen aller Dateien | Deaktiviert |
Es empfiehlt sich, wöchentlich einen Scan aller Dateien durchzuführen. Wenn Sie diese Einstellung aktivieren, müssen die anderen Einstellungen in diesem Abschnitt nicht aktiviert werden. |
| Scannen von ausführbaren und infizierbaren Dateien | Aktiviert | Wenn mit einem geplanten Scan nicht alle Dateien auf dem Computer überprüft werden, sollten Sie diese Einstellung immer eingeschaltet lassen. Wenn die Einstellung aktiviert ist, überprüft der Scan alle Dateien mit ausführbaren Dateierweiterungen (z.B. ".EXE", ".BAT", ".PIF") oder Dateien, die möglicherweise infiziert sind (z.B. ".DOC", ".CHM", ".PDF"). Außerdem wird schnell die Struktur aller Dateien überprüft und die mit ausführbarem Dateiformat werden gescannt.
Um weitere Dateitypen zu scannen, können deren Dateierweiterungen zur Liste zu scannender Dateitypen (Schaltfläche "Hinzufügen) hinzugefügt werden. |
| Scannen von Dateien ohne Erweiterung | Aktiviert |
Da sich hinter Dateien ohne Erweiterung Malware verbergen kann, sollte die On-Access-Erkennung immer aktiviert sein. |
| Windows-/Linux-/UNIX-Ausschlüsse |
Keine Voreinstellungen in diesem Bereich. Die Ausschlüsse in diesem Bereich treffen für Dateien, Ordner und Laufwerke zu. Wenn ein vollständiger Scan durchgeführt wird, sollten nach Möglichkeit keine Ausschlüsse eingestellt sein, damit alle Dateien, Ordner und Laufwerke ein Mal pro Woche überprüft werden. |
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.
- Artikel-ID: 63985
- Erstellt: 05.10.2009
- Letztes Update: 10.05.2011
