HIPS-Ausführungsschutz

12/2010

Der Ausführungsschutz bei HIPS-Programmen

Die Einstellungen für den Schutz gegen die Ausführung von unbekannten Programmen* werden bei sechs HIPS-Programmen unter Windows 7 64-Bit dargestellt.

Die Ausführungsverhinderung ist wohl der wichtigste Teil eines erfolgreichen Schutzes, denn Programme, die nicht starten dürfen, können auch keinen Schaden anrichten.

Auch bei einem HIPS mit sehr vielen Überwachungsfunktionen kann man sich nie ganz sicher sein, dass nach der Ausführung eines schädlichen Programms nicht doch das System kompromittiert wurde (siehe Vergleichstest Verhaltenserkennung).

Meldet ein Schutzprogramm die Ausführung unbekannter Programme, dann kann der Benutzer dies im Zweifelsfall verbieten, die Dateien scannen, in einer virtuellen Maschine ausführen oder was auch immer.

* Mit unbekannte Programme sind gewöhnlich Programme gemeint, die keine vertrauenswürdige Signatur besitzen, die sich nicht in den Whitelists der Hersteller befinden oder die einfach im Regelwerk des HIPS noch nicht vorhanden sind.

Die Programme

Comodo Firewall 5.0.163652.1142
Kaspersky Internet Security 2011 11.0.1.400
Online Armor Premium 4.5.1.431
Outpost Pro 7.0.4 (3409.520.1244)
Privatefirewall 7.0.22.5
Spyware Terminator 2.8.2.192

Zum Fazit

Comodo Firewall

Bei der Comodo Firewall kann man den Start unbekannter Programme nur melden lassen, wenn man die Konfiguration „Proactive Security“ aktiviert.

In diesem Modus meldet Comodo den Start von unbekannten Programmen.

Kaspersky Internet Security 2011

Bei Kaspersky ist eine Aktivierung des Ausführungsschutzes nur auf Umwegen möglich.
Man muss dazu den interaktiven Modus aktivieren (1), dann die unbekannten Programme einer Gruppe zuordnen (2), „Programme…“ öffnen (3) und für die zuvor gewählte Gruppe (4) mit einem Rechtsklick „Gruppenregel…“ wählen und unter Rechte „Start“ auf „Aktion erfragen“ stellen (5).

Hinweis: Wenn man die unbekannten Programme einer Gruppe zuordnet (2), sollte man die Regeln beachten, die für diese Gruppe gelten und diese eventuell bei „Regeln für die Gruppe“ (bei 5) anpassen.

Mit diesen Einstellungen erscheint eine Meldung der Programmkontrolle beim Start unbekannter Programme.

Online Armor Premium

Bei Online Armor Premium ist der Ausführungsschutz bereits in der Voreinstellung vorhanden, wie im Bild unten zu sehen ist. Es bedarf also keiner weiteren Einstellung.

Der Start von unbekannten Programmen wird bei Online Armor Premium automatisch gemeldet.

Outpost Pro

Bei Outpost Pro muss die Komponenten-Kontrolle aktiviert sein und zumindest das untere Feld „Beim Start neuer oder…“ muss aktiviert sein (Sinnvollerweise sollte man auch den Start geänderter Programme melden lassen).

Dann erschienen solche Meldungen, wenn unbekannte Programme starten.

Privatefirewall

Bei der Privatefirewall ist der Ausführungsschutz in der Voreinstellung vorhanden (siehe Bild unten), man muss hier also nach der Installation keine Änderungen vornehmen.

Beim Start von unbekannten Programmen erscheint ein kleines Fenster, dass vor dem Start eines neuen Prozesses warnt.

Spyware Terminator

Beim Spyware Terminator muss die HIPS Programmkontrolle auf dem Sicherheitslevel „Niedrig“ aktiviert sein.

Dann erscheint bei unbekannten Programmen eine Meldung, dass ein erstmaliger Prozessstart erkannt wurde.

Fazit

Bei Online Armor und der PrivateFirewall wird der Start von unbekannten Programmen schon mit den Voreinstellungen gemeldet.

Bei Outpost Pro und Spyware Terminator kann der Ausführungsschutz relativ einfach über die Einstellungen aktiviert werden.

Bei der Comodo Firewall kann der Ausführungsschutz nur durch einen Wechsel des Profils auf „Proactive Security“ aktiviert werden.

Sehr umständlich ist die Aktivierung des Ausführungsschutzes bei der Kaspersky Internet Security.

Eigentlich sollte die wichtigste Schutzfunktion eines HIPS, nämlich die Verhinderung der Ausführung von unbekannten Programmen, bei allen einfach aktivierbar sein, auch ohne dass der Benutzer Profile wechseln oder Logikrätsel lösen muss.

PS:
Falls sich jemand wegen des Namen „BitDefender“ usw. wundert…
Das ist dieser Trojaner -> VirusTotal Link , der einfach die Details einer BitDefender Datei vortäuscht.

Advertisements