Defence
Mit Defence können Sie einen fortschrittlichen Viren- und Malwareschutz auf allen Ihren Windows-Servern und Clients ausrollen.
Defence steht bisher nur Windows zu Verfügung.
Defence kombiniert einen Echtzeitschutz und regelmäßige Untersuchungen der Dateien. Den Echtzeitschutz konfigurieren Sie in den Einstellungen des Hosts oder im Policy Manager. Um sämtliche oder kritische Dateien des Hosts auf Infektionen zu scannen, legen Sie einen Untersuchungsplan an.
Mit der Integration von G DATA in die Enginsight-Plattform sind alle wichtigen Antivirus-Funktionen direkt aus der Oberfläche heraus abrufbar. Im Folgenden finden Sie die Übersicht der aktuellen Funktionalitäten:
- alle Tray-Icon-Funktionen, außer den Schaltflächen "Info" und "manuelles Signaturupdate", sind auf dem Endgerät deaktiviert
- die Einstellungen und Aufgaben werden minütlich abgerufen
Signatur-Updates
- diese sind über die Enginsight-Plattform einstellbar.
- Automatische Signatur-Updates: Liegt das letzte Signatur-Update über eine Woche zurück, dann wird temporär ein nächstmögliches Signaturupdate innerhalb von einer Stunde forciert.
Proxy
Ein Proxy lässt sich über die Benutzeroberfläche einstellen.
Der G DATA Echtzeitschutz prüft Computer fortlaufend auf Viren, er untersucht Schreib- und Lesevorgänge und sobald ein Programm Schadfunktionen ausführen oder schädliche Dateien verbreiten möchte, wird dies vom Wächter verhindert.
- Signaturbasiert: über die Benutzeroberfläche einstellbar.
BEAST
Die BEAST-Technologie von G DATA ist eine verhaltensbasierte Virenerkennung. Sie analysiert verdächtige Prozesse und kann damit komplexe Cyberangriffe erkennen. Die Bezeichnung steht für BEhAviour Storage, also einem verhaltensbasierten Speicher.
Nachfolgende Funktionen sind in Enginsight verfügbar:
- über die Plattform an-/ausschaltbar (tbd)
- Nutzerbenachrichtigung bei einem Fund
- Das infizierte Programm wird bei einem Fund beendet und in Quarantäne verschoben
- Whitelisting ist derzeit nicht möglich
Exploit Protection
- über die Plattform an-/ausschaltbar (tbd)
- Nutzer werden über Fund benachrichtigt
- bei einem Fund wird die Ausführung des infizierten Programms blockiert
- Whitelisting derzeit nicht möglich
Keyboard Guard: deaktiviert, nicht nutzbar
Anti-Ransomware
- über die Plattform an-/ausschaltbar (tbd)
- Nutzer werden über Fund benachrichtigt
- Fund wird in Quarantäne verschoben
- Whitelisting derzeit nicht möglich
AMSI (Anti Malware Scan Interface):
- generische Schnittstelle für Software, um mit Virenscanner zu interagieren
- die Funktion ist immer aktiv geschalten
- Nutzer werden über Funde benachrichtigt
Idle-Scans
Der Leerlauf-Scan, engl. Idle-Scan, ist eine TCP-Port-Scan-Methode, bei der gefälschte Pakete an einen Computer gesendet werden, um herauszufinden, welche Dienste verfügbar sind. Dies wird erreicht, indem man sich als ein anderer Computer ausgibt, dessen Netzwerkverkehr sehr langsam oder gar nicht vorhanden ist (d. h. keine Informationen sendet oder empfängt).
- Idle-Scans sind über die Benutzeroberfläche einstellbar
- Pfade werden bei geringer Auslastung des Rechners periodisch gescannt
E-Mail-Protection: Der Schutz ist über die UI einstellbar.
Die nachfolgenden Funktionen der G DATA Suite sind in Enginsight aktuell deaktiviert. Sie werden in den kommenden Releases umgesetzt.
AntiSpam: deaktiviert, nicht nutzbar.
Application Control: Die Anwendungskontrolle schränkt ausführbare Anwendungen. Deaktiviert, nicht nutzbar.
Device Control: Die Gerätekontrolle schränkt nutzbare Geräte ein. Deaktiviert, nicht nutzbar.
Firewall: Deaktiviert, nicht nutzbar. (Wird mit dem Shield-Modul von Enginsight umgesetzt -> Shield)
Internet Usage Time Control: Die Funktion schränkt die Internet-Nutzungszeiten ein („Kindersicherung“). Deaktiviert, nicht nutzbar.
Web Content Control: Sperrt Zugang zu bestimmten Internetseiten nach Domain oder Kategorie. Deaktiviert, nicht nutzbar.
Damit Sie Defence auf Ihren Windwos Servern und Clients nutzen können, müssen Sie zunächst den Enginsight Pulsar-Agent installieren.
Wenn Sie bereits eine Anti-Virus-Software im Einsatz haben (z.B. Kaspersky oder Bitdefender) müssen Sie auf allen Hosts einige Vorbereitungen treffen, damit der Umstieg reibungslos funktioniert. Sonst kommt es zu Problemen mit den Windows-Sicherheitseinstellungen. Nutzen Sie bisher den in Windows integrierten Anti-Viren-Schutz, können Sie diese Schritte überspringen und Defence direkt aktivieren.
1. Deinstallieren Sie die bisherige Anti-Virus-Software.
2. Führen Sie den folgenden Powershell-Befehl aus, um die alte Software als Anti-Virus-Master zu deaktivieren.
Get-WmiObject -Namespace root\SecurityCenter2 -Class AntiVirusProduct | ForEach-Object{$_.Delete()}
3. Starten Sie den Host neu.
Damit Defence installiert und die notwendigen Updates durchführen kann, müssen folgenden Domains erreichbar sein:
- gdataupdate-a.akamaihd.net
- gdatasecurity.com
- gdata.de
- gdatasecurity.de
- dedicated.hosteurope.de
- ctmail.com
- gdatasoftware.com
- candclist.gdcloud.de
- candclist.gdatasecurity.de
Stellen Sie sicher, dass Ihre Firewall-Regeln entsprechend konfiguriert sind.
Um Defence zu aktivieren, haben Sie zwei Möglichkeiten. Entweder Sie gehen jeweils in die Einstellungen der einzelnen Hosts oder Sie nutzen Tags und legen anschließend eine Policy über die globalen Defence Einstellungen an. Folgen sie jeweils den folgenden Schritten:
1. Wählen Sie die "Defence aktivieren". Dadurch installieren Sie den Anti-Viren-Client und aktivieren die Datenübertragung.
2. Wollen Sie die Echtzeitüberwachung durchführen, wählen Sie die entsprechende Checkbox.
3. Legen Sie die Standardaktion fest. Das heißt, Sie definieren, welche Aktion automatisch ausgelöst werden soll, wenn Defence eine schädliche Datei findet.
Sie haben die Wahl zwischen vier Aktionen:
- Nur loggen: Sie finden einen Eintrag unter Unbehandelt. So lange Sie nicht manuell aktiv werden, kann die Datei weiterhin Schaden anrichten.
- Quarantäne: Die Datei wird isoliert, sodass sie keinen Schaden anrichten kann, aber nicht gelöscht. Sie können die Datei unter Quarantäne wiederherstellen.
- Desinfizieren und Quarantäne: Die Datei wird nicht nur isoliert, sondern darüber hinaus wird versucht, den Schadcode in der Datei unschädlich zu machen.
- Löschen: Die Datei wird direkt gelöscht. Sie kann nicht mehr wiederhergestellt werden.
4. Aktivieren Sie, wenn gewünscht, die Analyse mittels Heuristiken. Dabei wird neben der Viren-Signaturen auch das Verhalten und der Inhalt der Dateien überprüft.
5. Definieren Sie, ob auch Archive geprüft werden sollen. Um die Performance zu optmieren, können Sie dies deaktivieren oder eine maximale Archivgröße festlegen, die gescannt werden soll.
6. Legen Sie die Frequenz der Signatur- und Clientupdates fest.
7. Starten Sie den Host neu.
8. Wollen Sie in regelmäßigen Abständen sämtliche oder kritische Dateien des Hosts auf Infektionen scannen, erstellen Sie einen Untersuchungsplan.
Mit dem Alarm „Neue Infektion“ können Sie die verantwortlichen Mitarbeiter informieren, sobald es zu Virus-Detektionen kommt.
Sollten Sie einen Proxy einsetzen, der eine zusätzliche Authentifizierung benötigt, müssen Sie die Proxy-Einstellungen hinterlegen, damit die Installation möglich ist und Signatur- sowie Clientupdates von G Data bezogen werden können.
Gehen Sie dazu auf den Host -> Defence-Einstellungen -> Proxy verwenden und tragen Sie hier Ihre Proxy Konfiguration ein.
Defence Proxy Konfiguration
Nachdem Sie die Konfiguration gespeichert haben, dauert es bis zu 2 Minuten bis die Proxy Konfiguration greift.
In der Übersicht erhalten Sie eine grafische Aufbereitung der wichtigsten Kennzahlen und den Status.
- Verfügbarkeit: Ist es möglich, Defence zu nutzen, das heißt, ob eine Lizenz für Defence erworben und einspielt wurde.
- Coverage: Wie hoch ist der Anteil der Hosts mit dem Status "geschützt" unter allen Hosts, auf denen Defence verwendet werden kann (Windows).
- Unbehandeltete Infektionen: Detektierte Infektionen, die bisher nur geloggt wurden, aber keine Aktion ausgeführt wurde.
- Virensignaturen: Sind die Virensignaturen auf allen Hosts aktuell oder zum Teil veraltet?
Darüber hinaus erhalten Sie Kennzahlen zu Infektionen und Aktionen sowie zwei Diagramme mit dem zeitlichem Verlauf detektierter Infektionen und Aktionen.
Sobald Defence Infektionen gefunden und ggf. gelöst hat, können die einzelnen Events in den Logs nachvollzogen werden. Wird eine Datei bei mehreren Untersuchungen detektiert, findet sie sich auch entsprechend häufig in den Logs.
Zu jedem Event erhalten Sie die folgenden Informationen.
- Unbehandelt/Behandelt: Wenn die Infektion nur geloggt wurde, wird sie als unbehandelt angesehen. Ist sie in Quarantäne verschoben oder gelöscht worden, als behandelt.
- Name: Die Bezeichnung der Infektion folgt dem Format Platform.Type.Family.Variant.
- Host: Host, auf dem die Infektion gefunden wurde und Pfad zur betroffenen Datei.
- Quelle: Echtzeitschutz oder Untersuchung. Klicken Sie eine Untersuchung an, um zu den Ergebnissen der Untersuchung zu gelangen.
- Aktion: Die ausgeführte Aktion.
Mit dem Alarm „Neue Infektion“ können Sie die verantwortlichen Mitarbeiter informieren, sobald es zu Virus-Detektionen kommt.
Hier erhalten Sie eine Übersicht, auf welchen Hosts Defence aktiviert wurde, welche Standardaktionen definiert ist, ob die Virensignaturen aktuell sind und ob aktuell Bedrohungen vorliegen.
Nutzen Sie diese Liste, um einen schnellen Überblick zu erhalten, ob Defence auf allen Ihren Hosts wie gewünscht konfiguriert ist und läuft.
Mit Hilfe der Globalen Einstellungen können Sie anhand von Tags festlegen, welche Defence Einstellungen für welche Gruppe von Hosts gelten sollen.
Globale Defence Einstellungen
Im Abschnitt Infektionen können Sie manuelle Maßnahmen für die gefundenen Infektionen ergreifen.
Detektiert Defence eine Infektion und als Standardaktion ist „Nur Loggen“ definiert, sind die noch unbehandelten Infektionen hier gelistet.
Prüfen Sie die Infektionen und löschen Sie schädliche Dateien als Gegenmaßnahme.
Um detektierte Infektionen unschädlich zu machen, verschiebt Defence die Dateien in Quarantäne und listet sie hier auf.
Prüfen Sie die Infektionen und stellen Sie Dateien, die fälschlicherweise in die Quarantäne geschoben wurden, wieder her.
Unter Gegenmaßnahmen erhalten Sie eine Übersicht aller manuellen Gegenmaßnahmen, z.B. gelöschte oder wiederhergestellte Dateien.
Zu jeder Gegenmaßnahme erhalten Sie den Status:
- Passed: Die gewünschte Gegenmaßnahme konnte durchgeführt werden.
- Failed: Die gewünschte Gegenmaßnahme konnte nicht durchgeführt werden.
- Queued: Die Gegenmaßnahme wurde noch nicht durchgeführt. Es kann einige Momente dauern, bis der Job ausgeführt wurde. Ist ein Host nicht erreichbar, bspw. weil er ausgeschaltet ist, bleibt die Gegenmaßnahme in der Warteschlange, bis der Host wieder mit Enginsight verbunden ist.
Neben der Echtzeitüberwachung können Sie wichtige oder sämtliche Dateien mit Untersuchungen (regelmäßig) auf Schadsoftware untersuchen.
Hier erhalten Sie die Ergebnisse der Untersuchungen der Dateien des Hosts auf Infektionen. Um eine Untersuchung durchzuführen, legen Sie zunächst einen Untersuchungsplan an.
Um Details zu den gefundenen Infektionen zu erhalten, klicken Sie die Untersuchung an.
Erstellen Sie Untersuchungspläne, um sämtliche oder kritische Dateien des Hosts auf Infektionen zu scannen. Untersuchungen können wiederkehrend ausgeführt oder manuell gestartet werden.
- Name: Vergeben Sie einen eindeutigen Namen.
- Beschreibung: Fügen Sie eine aussagekräftige Bezeichnung hinzu.
- Defence Engine: Wählen Sie die zu verwendende Engine. Sie haben die Wahl zwischen der G Data Dual-Engine, welche Bitfender inkludiert hat (empfohlen) und der reinen Bitdefender Engine.
- Standardaktion: Legen Sie die Standardaktion fest. Das heißt, Sie definieren, welche Aktion automatisch ausgelöst werden soll, wenn Defence eine schädliche Datei findet.
- Nur loggen: Sie finden einen Eintrag unter Unbehandelt. So lange Sie nicht manuell aktiv werden, kann die Datei weiterhin Schaden anrichten.
- Quarantäne: Die Datei wird isoliert, sodass sie keinen Schaden anrichten kann, aber nicht gelöscht. Sie können die Datei unter Quarantäne wiederherstellen.
- Desinfizieren und Quarantäne: Die Datei wird nicht nur isoliert, sondern darüber hinaus wird versucht, den Schadcode in der Datei unschädlich zu machen.
- Löschen: Die Datei wird direkt gelöscht. Sie kann nicht mehr wiederhergestellt werden.
- CPU-Priorität: Definieren Sie, welche Priorität der Untersuchung auf dem Host zugewiesen wird. Eine hohe Priorität bedeutet, dass die Untersuchung mehr Last produziert, aber schneller fertig ist.
- Scope: Wählen Sie, welche Dateien untersucht werden sollen.
- Alle Festplatten: Sämtliche Dateien aller Laufwerke werden untersucht.
- Geladenen Programme und Autostart: Schnelle Untersuchung der wichtigsten Dateien.
- Verzeichnis: Legen Sie den Pfad der Verzeichnisse fest, die untersucht werden sollen. Klicken Sie auf "Neuer Wert", um mehrere Verzeichnisse hinzuzufügen. Achten Sie darauf, Backslashs "\" zu nutzen. Zum Beispiel:
C:\Program Files
Ordnen Sie den Untersuchungsplan den gewünschten Hosts zu. Sie können entweder Tags nutzen oder einzelne Hosts manuell wählen ("Ausschließlich"). Beachten Sie, dass lediglich Hosts, auf denen Defence aktiviert wurde, untersucht werden können.
Spezifizieren Sie ihren Untersuchungsplan, indem Sie...
- eine wiederkehrende Untersuchung definieren: Legen Sie Intervalle oder bestimmte Tage fest.
- nur kritische Dateien scannen: Ausschließlich systemkritische Dateien werden untersucht, z.B. ausführbare Dateien oder Dokumente.
- Heuristiken aktivieren: Neben der signaturbasierten Erkennung werden auch heuristische Methoden genutzt.
Definieren Sie Verzeichnisse oder Laufwerke, die von Defence komplett ignoriert werden sollen.
Achten Sie darauf, Backslashs "\" zu nutzen. Zum Beispiel:
C:\Program FilesWenn Sie Enginsight Defence ausrollen, installiert sich automatisch das Outlook Add-In. Es überprüft Datei-Anhänge auf Schadsoftware.
Last modified 7mo ago