Geräterichtlinie: Einstellungen für den Malware-Schutz

Die Einstellungen für den Malware-Schutz legen fest, wie der Agent eine Datei behandelt, wenn er eine Bedrohung erkennt, die er als unsicher oder abnormal betrachtet. Fügen Sie der Liste der sicheren Richtlinien Dateien hinzu, die der Agent als sicher betrachten soll.

Einstellung

Beschreibung

Unsichere ausführbare Dateien mit Ausführungssteuerung automatisch unter Quarantäne stellen

Wenn diese Option aktiviert ist, wird Aurora Protect Desktop unsichere Dateien automatisch unter Quarantäne stellen, wenn sie auf einem Gerät ausgeführt werden. Nach der Aktivierung können Sie auch wählen, ob anormale ausführbare Dateien automatisch unter Quarantäne gestellt werden sollen, wenn sie ausgeführt werden sollen (automatische Quarantäne von anormal ausführbaren Dateien mit Ausführungssteuerung).

Unsichere Dateien enthalten deutlich mehr Malware-Attribute und die Wahrscheinlichkeit, dass es sich um Malware handelt, ist größer als bei anormalen Dateien.

Wenn eine Datei in Quarantäne verschoben wird, wird sie mit der Erweiterung „.quarantine“ umbenannt und in das Quarantäneverzeichnis verschoben:
  • Windows: C:\ProgramData\Cylance\Desktop\q
  • macOS: /Library/Application Support/Cylance/Desktop/q
  • Linux: /opt/cylance/desktop/q

Die Zugriffssteuerungsliste (ACL) für die Datei wird geändert, um die Interaktion des Benutzers mit der Datei zu verhindern.

Einige Malware-Programme sind darauf ausgelegt, Dateien in anderen Verzeichnissen zu erstellen und dies so lange zu tun, bis sie erfolgreich sind. Anstatt die Dateien zu entfernen, modifiziert Aurora Protect Desktop sie so, dass die Malware nicht erneut versucht, sie zu erstellen, und dass sie nicht ausgeführt werden können.

Stoppen von unsicheren laufenden Prozessen und deren Unterprozessen

Wenn diese Option aktiviert ist, stoppt der Aurora Protect Desktop-Agent alle unsicheren laufenden Prozesse und untergeordneten Prozesse, wenn er eine .exe- oder .dll-Bedrohung erkennt. Dies bietet ein hohes Maß an Kontrolle über schädliche Prozesse, die möglicherweise auf einem Gerät ausgeführt werden.

Die Datei muss mithilfe der globalen Quarantäneliste automatisch oder manuell unter Quarantäne gestellt werden. Diese Funktion muss aktiviert werden, bevor die Datei unter Quarantäne gestellt wird. Wenn diese Funktion aktiviert ist, die Datei jedoch weder manuell noch automatisch unter Quarantäne gestellt wurde, werden die Prozesse weiterhin ausgeführt.

Beispiel: Eine Datei darf ausgeführt werden, und Sie beschließen, die Datei unter Quarantäne zu stellen. Wenn diese Einstellung aktiviert ist, wird die Datei in Quarantäne verschoben, und der Prozess wird zusammen mit allen untergeordneten Prozessen beendet. Wenn diese Einstellung deaktiviert ist, wird die Datei unter Quarantäne gestellt. Da die Ausführung der Datei jedoch zugelassen wurde, konnten alle Prozesse, die von der Datei gestartet worden sind, weiterhin ausgeführt werden.

Automatisches Hochladen von .exe-Dateien

Wenn diese Funktion aktiviert ist, lädt Aurora Protect Desktop automatisch unbekannte ausführbare Dateien, die es erkennt, zu den Aurora Protect Cloud-Diensten hoch, um eine tiefere Analyse der Datei durchzuführen und zusätzliche Daten zur Erkennung bereitzustellen, die bei der manuellen Analyse und Triage helfen.

Aurora Protect Desktop lädt nur unbekannte Dateien hoch und analysiert sie, wie z. B. Dateien im Format „Portable Executable“ (PE), „Executable and Linkable Format“ (ELF) und „Mach Object File Format“ (Mach-O). Wenn dieselbe unbekannte Datei auf mehreren Geräten erkannt wird, lädt Aurora Protect Desktop nur eine Datei von einem einzelnen Gerät zur Analyse hoch, nicht eine Datei pro Gerät.

Dateiproben kopieren (Malware)

Wenn diese Funktion aktiviert ist, geben Sie eine voll qualifizierte Netzwerkfreigabe (\\server_name\shared_folder) an, um Kopien von Dateimustern zu speichern, die von den Funktionen „Bedrohungserkennung im Hintergrund“, „Auf neue Dateien überwachen“ und „Automatische Quarantäne mit Ausführungssteuerung“ erkannt werden. Auf diese Weise können Sie eigene Analysen von Dateien durchführen, die von Aurora Protect Desktop als unsicher oder anormal angesehen werden.

Es werden CIFS/SMB-Netzwerkfreigaben unterstützt. Alle Dateien, die die unsicheren oder anormalen Kriterien erfüllen, werden kopiert. Es wird keine Eindeutigkeitsprüfung durchgeführt. Die Dateien sind komprimiert und kennwortgeschützt. Das Kennwort lautet „infected“.

Liste der sicheren Richtlinien

Fügen Sie Dateien, die Ihr Unternehmen für sicher hält, der Liste der sichern Richtlinien hinzu, damit sie auf Geräten ausgeführt werden können. Die Richtlinie „Sichere Liste“ hat Vorrang vor der globalen Quarantäneliste oder der globalen Sicherheitsliste.

Weitere Informationen zur Liste der sicheren Richtlinien finden Sie unter Ausschlüsse und wann sie verwendet werden sollten.

Bedrohungserkennung im Hintergrund

Wenn diese Option aktiviert ist, führt der Aurora Protect Desktop-Agent einen vollständigen Datenträger-Scan in einem bestimmten Intervall durch, um ruhende Bedrohungen zu erkennen und zu analysieren.

Der Datenträgerscan ist so konzipiert, dass die Auswirkungen auf den Gerätebenutzer durch den Einsatz relativ weniger Systemressourcen minimiert werden. Der Scan der Bedrohungserkennung im Hintergrund kann bis zu einer Woche dauern, je nachdem, wie stark das System ausgelastet ist und wie viele Dateien im System analysiert werden müssen. Das Datum und die Uhrzeit des letzten abgeschlossenen Scans werden in der Verwaltungskonsole aufgezeichnet.

Sie können angeben, ob der Scan nur einmal nach der Installation des Agenten oder in einem von Ihnen festgelegten Wiederholungsintervall (standardmäßig alle 10 Tage) durchgeführt werden soll. Eine Erhöhung der Scanfrequenz kann die Geräteleistung beeinträchtigen. Ein bedeutendes Update des Erkennungsmodells des Agenten (z. B. das Hinzufügen von Unterstützung für ein neues Betriebssystem) kann eine vollständige Überprüfung der Festplatte auslösen.

Es empfiehlt sich, die Erkennung von Bedrohungen im Hintergrund so einzustellen, dass sie einmal ausgeführt wird und die Überwachung neuer Dateien aktiviert ist. Regelmäßige Scans der gesamten Festplatte sind nicht erforderlich, können aber zu Compliance-Zwecken (z. B. zur PCI-Konformität) implementiert werden.

Wenn Scans zur Bedrohungserkennung im Hintergrund auf mehreren VM-Geräten ausgeführt werden, die gleichzeitig vom selben VM-Host stammen, wird die Geräteleistung beeinträchtigt. Ziehen Sie in Betracht, diese Funktion für VM-Geräte schrittweise zu aktivieren, um die Anzahl der gleichzeitig stattfindenden Scans zu begrenzen.

Verwenden Sie einen der folgenden Befehle, um einen Scan zur Erkennung von Hintergrundbedrohungen auf einem Gerät manuell zu starten:
  • Windows:
    CODE 
    C:\Program Files\Cylance\Desktop\CylanceSvc.exe /backgroundscan
  • macOS:
    CODE 
    /Applications/Cylance/CylanceUI.app/Contents/MacOS/CylanceUI -background-scan
  • Linux:
    CODE 
    /opt/cylance/desktop/Cylance -b
/opt/cylance/desktop/Cylance --start-bg-scan

Auf neue Dateien überwachen

Wenn diese Option aktiviert ist, scannt und analysiert der Aurora Protect Desktop-Agent alle neuen oder geänderten Dateien auf inaktive Bedrohungen. Wenn eine Bedrohung erkannt wird, kann die Datei (gemäß der Einstellung „Auto-Quarantäne“) in Quarantäne verschoben werden, selbst wenn kein Versuch unternommen wurde, sie auszuführen. Es wird empfohlen, diese Einstellung zusammen mit der Erkennung von Hintergrundbedrohungen zu aktivieren (einmalige Ausführung).

Die automatische Quarantäne mit Ausführungskontrolle blockiert unsichere oder anormale Dateien, wenn sie versuchen, ausgeführt zu werden, während die Überwachung auf neue Dateien unsichere oder anormale Dateien unter Quarantäne stellen kann, wenn sie entdeckt werden. Daher ist es nicht erforderlich, „Auf neue Dateien überwachen“ zu aktivieren, wenn der automatische Quarantänemodus ebenfalls aktiviert ist, es sei denn, Sie ziehen es vor, eine schädliche Datei in Quarantäne zu stellen, sobald der Agent die Bedrohung während eines Scans erkennt.

Diese Einstellung kann sich auf die Geräteleistung auswirken. Sie sollten daher die Datenträger- oder Nachrichtenverarbeitungsleistung prüfen, um festzustellen, ob sie sich geändert hat. Das Ausschließen von Ordnern kann die Leistung verbessern und sicherstellen, dass bestimmte Ordner und Dateien nicht vom Agenten gescannt oder analysiert werden.

Archive scannen: Max. Archivgröße

Diese Einstellung ist verfügbar, wenn die Erkennung von Hintergrundbedrohungen oder die Option Auf neue Dateien überwachen aktiviert ist.

Sie können die maximale Größe einer Archivdatei in MB angeben, die der Aurora Protect Desktop-Agent scannen kann („Bedrohungserkennung im Hintergrund“ und „Auf neue Dateien überwachen“). Wenn die Dateigröße auf 0 MB (Standardwert) eingestellt ist, werden Archivdateien nicht gescannt.

Ordner ausschließen: Ausschluss hinzufügen

Diese Einstellung ist verfügbar, wenn die Erkennung von Hintergrundbedrohungen oder die Option Auf neue Dateien überwachen aktiviert ist.

Sie können Ordner- und Unterordnerpfade festlegen, die vom Scannen ausgeschlossen werden sollen („Bedrohungserkennung im Hintergrund“ und „Auf neue Dateien überwachen“):
  • Verwenden Sie für Windows einen absoluten Pfad mit Laufwerksbuchstabe. Beispiel: C:\Test.
  • Verwenden Sie für macOS einen absoluten Pfad aus dem Stammverzeichnis ohne Laufwerksbuchstabe. Beispiel: /Applications/SampleApplication.app.
  • Verwenden Sie für Linux einen absoluten Pfad aus dem Stammverzeichnis ohne Laufwerksbuchstabe. Beispiel: /opt/application.

Sie können die Einstellung „Ausführung zulassen“ aktivieren, wenn Sie die angegebenen Ordnerpfade aus der automatischen Quarantäne mit Ausführungssteuerung ausschließen möchten. Hinweis: Dateien und Bedrohungen, die in diesen Ordnern abgelegt werden, können ausgeführt werden und Ihr Gerät und Ihr Unternehmen gefährden. Treffen Sie daher die geeigneten Vorkehrungen, um sicherzustellen, dass bösartige Dateien nicht zu ausgeschlossenen Ordnern hinzugefügt werden können.

Ausschlüsse werden nicht rückwirkend angewendet. Das Hinzufügen eines Ausschlusses nach der ersten Erkennung oder dem ersten Befund der Gefährlichkeit schließt die Dateien nicht rückwirkend aus. Alle Dateien, die zuvor erkannt oder als für gefährlich befunden wurden, bleiben in diesem Zustand, bis sie lokal ignoriert oder der globalen Sicherheitsliste hinzugefügt werden.

Weitere Informationen zur Verwendung von Platzhaltern für Ordnerausschlüsse finden Sie unten.

Verwendung von Platzhaltern für Ordnerausschlüsse

Sie können das Sternchen (*) als Platzhalter für alle Betriebssysteme verwenden, wenn Sie Ordnerausschlüsse angeben. Verwenden Sie das Sternchen zum Ausschließen von Ordnern und zur Darstellung eines Präfix oder Suffix für einen Ordnernamen.
  • Das Sternchen entspricht einem oder mehr Zeichen, mit Ausnahme des plattformspezifischen Pfadtrennzeichens (\).
  • In einem Ausschlusspfad sind mehrere Platzhalter zulässig.
  • „*“-Escaping wird nicht unterstützt. Sie können beispielsweise keinen Ordner ausschließen, der im Ordnernamen ein Sternchen „*“ enthält.
  • Die vorherige Ordnerausschlussfunktion gilt weiterhin, sodass die Ausschlüsse auch für alle untergeordneten Ordner gelten.
  • Im Dateinamen einer ausführbaren Datei kann kein Platzhalter verwendet werden. Verwenden Sie Platzhalter nur für Ordner- oder Verzeichnisnamen.
  • Doppelte Sternchen (**) werden in Ordnerausschlüssen nicht unterstützt.
  • C:\* wird nicht empfohlen, da dann alle Verzeichnisse und untergeordneten Verzeichnisse im gesamten Laufwerk C: ausgeschlossen werden.
Beispiele für Platzhalter:
  • Übergeordneter Ordner: C:\Application\*\MyApp\
  • Präfix: C:\Application\*Folder1\MyApp\
  • Suffix: C:\Application\TestFolder*\MyApp\
  • Präfix und Suffix: C:\Application\*Folder*\MyApp\
  • Ordner mit allen Unterordnern: C:\Application\MyApp\*