Legen Sie Kriterien der funktionalen Analyse bei der Konfiguration der funktionalen Analyse fest. Dies ermöglicht es Ihnen, den besten Schutz zu gewährleisten.
Im Bereich Kriterien der funktionalen Analyse finden Sie Kriterien, die Sie zum Schutz des Profils verwenden können. Wählen Sie eine Kategorie je nach Ihrem System und dem gewünschten Sicherheitsniveau aus.
Kategorien der Kriterien der funktionalen Analyse
1.Ausführen von Anwendungen:
▫Ausführen von Anwendungen verhindern, die mit Zertifikaten signiert sind, die Doctor Web als Zertifikate für Adware einstuft.
Sperrt Anwendungen, die Werbung verbreiten.
▫Ausführen von Anwendungen verhindern, die mit Zertifikaten signiert sind, die Doctor Web als illegal ausgestellt einstuft.
Sperrt Anwendungen, die mit illegal ausgestellten Zertifikaten signiert sind. Solche Zertifikate werden oft zum Signieren (potenziell) gefährlicher Anwendungen verwendet.
▫Ausführen von Anwendungen verhindern, die mit Zertifikaten signiert sind, die Doctor Web als Zertifikate für Hacking-Tools einstuft.
Sperrt Anwendungen, die mit Zertifikaten signiert sind, die für Hacking-Tools verwendet werden. Die Verwendung dieses Kriteriums ist empfehlenswert.
▫Ausführen von Anwendungen verhindern, die mit gefälschten/beschädigten Zertifikaten signiert sind.
Sperrt bösartige Anwendungen, die mit ungültigen Zertifikaten signiert sind. Die Verwendung dieses Kriteriums ist empfehlenswert.
▫Ausführen von Anwendungen verhindern, die mit Zertifikaten signiert sind, die Doctor Web als Zertifikate für Schadsoftware einstuft.
Sperrt Anwendungen, die mit kompromittierten Zertifikaten signiert sind. Die Verwendung dieses Kriteriums ist empfehlenswert.
▫Ausführen von Anwendungen verhindern, die mit entzogenen Zertifikaten signiert sind.
Sperrt Anwendungen, die mit gestohlenen oder kompromittierten Zertifikaten signiert sind. Die Verwendung dieses Kriteriums ist empfohlen, weil es die Ausführung potenziell bösartiger Anwendungen verhindert.
▫Ausführen von Anwendungen verhindern, die mit selbstsignierten Zertifikaten signiert sind.
Sperrt nicht lizenzierte Software, die bösartig sein kann.
▫Ausführen von nicht signierten Anwendungen verhindern.
Sperrt potenziell bösartige und nicht vertrauenswürdige Anwendungen, deren Herkunft nicht bekannt ist.
▫Ausführen von Sysinternals-Hilfsprogrammen verhindern.
Schützt das System vor Kompromittierung durch Sysinternals-Hilfsprogramme.
|
Wenn das Kontrollkästchen Ausführen von Systemanwendungen und Microsoft-Anwendungen zulassen auf der Registerkarte Erlaubnisse aktiviert ist, können Sysinternals-Hilfsprogramme auch bei aktiviertem Ausführungsverbot gestartet werden. |
▫Ausführen von Anwendungen aus alternativen NTFS-Datenströmen (ADS) verhindern.
Anwendungen aus alternativen NTFS-Datenströmen (ADS) sind oft bösartig, daher ist dieses Kriterium obligatorisch.
▫Ausführen von Anwendungen aus dem Netz und freigegebenen Ressourcen verhindern.
Die Ausführung von Anwendungen aus dem Netz und freigegebenen Ressourcen gehört nicht zu typischen Szenarien und kann das Sicherheitssystem beeinträchtigen. Die Verwendung dieses Kriteriums ist empfehlenswert.
▫Ausführen von Anwendungen von Wechselmedien verhindern.
Die Ausführung von Anwendungen auf Wechselmedien gehört nicht zu typischen Szenarien und kann das Sicherheitssystem beeinträchtigen. Die Verwendung dieses Kriteriums ist empfehlenswert.
▫Ausführen von Anwendungen aus temporären Verzeichnissen verhindern.
Sperrt die Ausführung von Anwendungen aus temporären Verzeichnissen.
▫Ausführen von Windows/Microsoft Store-Anwendungen verhindern (nur für Windows 8 und neuer).
Sperrt Anwendungen, die über den Windows/Microsoft Store heruntergeladen wurden.
▫Ausführen von Anwendungen mit doppelter/nicht-regulärer Erweiterung verhindern.
Sperrt die Ausführung verdächtiger Dateien mit ungewöhnlichen Dateiendungen (z. B. *.jpg.exe).
▫Ausführen von Bash-Shells und WSL-Anwendungen verhindern (nur für Windows 10 und neuer).
Sperrt die Ausführung von Bash-Shells und WSL-Anwendungen.
2.Laden und Ausführen von Modulen. Für die Kriterien gibt es zwei Modi:
▫Alle Module werden geladen.
Dieser Modus ist ressourcenintensiv und wird nur dann empfohlen, wenn eine verstärkte Kontrolle notwendig ist.
▫Laden und Ausführen von Modulen in Host-Anwendungen kontrollieren.
Dieser Modus ist weniger ressourcenintensiv. Module werden nur in Prozessen überwacht, die ausgenutzt werden können, um das System zu kompromittieren oder Malware unter dem Deckmantel einer Systemdatei oder einer vertrauenswürdigen Datei in das System zu integrieren. Falls keine verstärkte Kontrolle notwendig ist, empfehlen wir diesen Modus.
Für die Verwendung der Kriterien Laden und Ausführen von Modulen gelten dieselben Empfehlungen wie für die Verwendung der Kriterien für das Ausführen von Anwendungen.
3.Ausführen von Skriptinterpretern:
▫Ausführen von CMD/BAT-Skripten verhindern.
Sperrt die Ausführung von cmd- und bat-Dateien.
▫Ausführen von HTA-Skripten verhindern.
Sperrt die Ausführung von HTA-Skripten. Solche Skripte können bösartige Skripte bearbeiten und ausführbare Dateien herunterladen, die das System beschädigen können.
▫Ausführen von VBScript/JavaScript verhindern.
Sperrt Anwendungen, die in den Skriptsprachen VBScript und JavaScript geschrieben sind. Solche Anwendungen können bösartige Skripte bearbeiten und ausführbare Dateien herunterladen, die das System beschädigen können.
▫Ausführen von PowerShell-Skripten verhindern.
Sperrt die Ausführung von Skripten, die in der Skriptsprache PowerShell geschrieben sind. Solche Skripte können bösartige Skripte bearbeiten und ausführbare Dateien herunterladen, die das System beschädigen können.
▫Ausführen von REG-Skripten verhindern.
Sperrt die Ausführung von reg-Skripten (reg-Dateien). Mit solchen Dateien können Werte in der Registry geändert oder neue Werte zur Registry hinzugefügt werden.
▫Ausführen von Skripten aus alternativen NTFS-Datenströmen (ADS) verhindern.
Sperrt die Ausführung von Skripten aus alternativen NTFS-Datenströmen (ADS). Solche Skripte sind oft bösartig, daher ist die Verwendung dieses Kriteriums empfehlenswert.
▫Ausführen von Skripten aus dem Netz und freigegebenen Ressourcen verhindern.
Die Ausführung von Skripten aus dem Netz und freigegebenen Ressourcen gehört nicht zu typischen Szenarien und kann das Sicherheitssystem beeinträchtigen. Die Verwendung dieses Kriteriums ist empfehlenswert.
▫Ausführen von Skripten von Wechselmedien verhindern.
Die Ausführung von Skripten auf Wechselmedien gehört nicht zu typischen Szenarien und kann das Sicherheitssystem beeinträchtigen. Die Verwendung dieses Kriteriums ist empfehlenswert.
▫Ausführen von Skripten aus temporären Verzeichnissen verhindern.
Die Ausführung von Skripten aus temporären Verzeichnissen gehört nicht zu typischen Szenarien und kann das Sicherheitssystem beeinträchtigen. Die Verwendung dieses Kriteriums ist empfehlenswert.
4.Laden von Treibern
▫Laden von nicht signierten Treibern verhindern.
Sperrt das Laden von Rootkits und Bootkits. Verhindert die Ausnutzung von Schwachstellen in Software und im Betriebssystem.
Dieser Modus ist für 64-Bit-Versionen des Betriebssystems empfohlen. Der Modus kann auch auf Rechnern mit 32-Bit-Versionen des Betriebssystems verwendet werden – vorausgesetzt, es gibt keine unsignierten Treiber im System.
▫Laden von anfälligen Treiberversionen gängiger Software verhindern.
Sperrt das Laden unsicherer Versionen von Treibern gängiger Software.
|
Das Verbot des Ladens anfälliger Treiberversionen gängiger Software kann nicht mithilfe von Ausnahmen umgangen werden. |
Im Übrigen gelten dieselben Empfehlungen für die Verwendung der Kriterien Laden von Treibern wie für die Verwendung der Kriterien für das Ausführen von Anwendungen.
5.Installation von MSI-Paketen.
Für die Verwendung der Kriterien Installation von MSI-Paketen gelten dieselben Empfehlungen wie für die Verwendung der Kriterien für das Ausführen von Anwendungen.
6.Integrität von ausführbaren Dateien
▫Erstellen von neuen ausführbaren Dateien verhindern.
Sperrt Versuche, neue ausführbare Dateien zu erstellen.
▫Ändern von ausführbaren Dateien verhindern.
Sperrt Versuche, ausführbare Dateien zu ändern.
Die Kriterien Integrität von ausführbaren Dateien werden nur in Systemen verwendet, die in einer vertrauenswürdigen Umgebung arbeiten. In solchen Systemen werden alle Prozesse vom Administrator gesteuert (z. B. Geldautomaten etc.).
Das Verhalten der Kriterien Integrität von ausführbaren Dateien in anderen Systemen ist unberechenbar. Ihre Verwendung kann sogar zum Ausfall der Workstation führen.
|
Die Kriterien Integrität von ausführbaren Dateien können nicht mithilfe von Regeln umgangen werden. |