HIPS-Features

12/2010

HIPS-Features im Vergleich

Eine Übersicht über die Funktionen und Regeln der HIPS-Komponenten von sechs Programmen unter Windows 7 64-Bit dargestellt.

Diese Funktionen werden allgemein nach ihrer Art auf drei Bereiche aufgeteilt:

  • Der Programmschutz dient zur Überwachung der laufenden Programme bzw. der Prozesse.
  • Der Dateischutz dient zur Überwachung der Dateien.
  • Der Registrierungsschutz dient zur Überwachung der Systemregistrierung.

Idealerweise sollten die Funktionen eines HIPS für den Benutzer möglichst transparent sein und die ihnen zugrunde liegenden Regeln möglichst genau einstellbar und frei konfigurierbar sein.

  • Transparente Regeln – Sind die Regeln und Funktionen eines HIPS für den Benutzer nicht durchschaubar, dann kann er auch nicht wissen, wogegen das Programm wirklich schützen soll.
  • Erweiterte Regeln – Diese betreffen primär den Programmschutz und damit sind Regeln gemeint, bei denen man genau einstellen kann, welche Prozesse beispielsweise von einem Programm erstellt werden dürfen. Bei ungenauen Regeln kann dies hingegen nur allgemein gültig eingestellt werden, also das Starten von anderen Prozessen kann für ein Programm nur global erlaubt oder verboten werden.
  • Konfigurierbare Regeln – Wenn der Benutzer keine Regeln erstellen kann, kann er auch auf neue Bedrohungen nicht mit angepassten Regeln reagieren oder sein System und seine Daten optimal schützen.

Die Programme

Comodo Firewall 5.0.163652.1142
Kaspersky Internet Security 2011 11.0.1.400
Online Armor Premium 4.5.1.431
Outpost Pro 7.0.4 (3409.520.1244)
Privatefirewall 7.0.22.5
Spyware Terminator 2.8.2.192

Zur Übersicht

Comodo Firewall

Bei den Defense+-Einstellungen sind die globalen Einstellungen für die Überwachung.
Die Einstellungen bei Objekte, die auf Veränderungen überwacht werden betreffen den Dateischutz, den Registrierungsschutz und geschützte COM(Component Object Model)-Schnittstellen, die übrigen Einstellungen betreffen den Programmschutz.

Unter Computer-Sicherheitsrichtlinie kann man bei den Defense+-Regeln die Richtlinie für ein Programm und bei Vordefinierte Richtlinien die Richtlinie für eine Programmgruppe einsehen oder ändern.

Hier lassen sich Zugriffsrechte für ein Programm (oder eine Programmgruppe) anpassen und man kann über Ändern auch die zugelassenen oder blockierten Aktionen für die jeweiligen Zugriffe einsehen und ändern, wie z.B. welches Programm von dem Programm gestartet wurde oder welcher Treiber von dem Programm geladen wurde.

Hier kann man die Schutz-Einstellungen für ein Programm oder eine Programmgruppe anpassen.

Bei Geschützte Dateien und Ordner sind die Regeln für den Dateischutz aufgelistet und man kann eigene Regeln erstellen.

Bei Geschützte Registry-Schlüssel sind die Regeln für den Registrierungsschutz aufgelistet und man kann ebenfalls eigene Regeln erstellen.

Auch bei Geschützte COM-Schnittstellen lassen sich die vorhandenen Regeln einsehen und verändern.

Fazit zur Comodo Firewall:

  • Sie bietet ein HIPS mit transparenten Regeln.
  • Der Programmschutz ermöglicht erweiterte Regeln.
  • Der Dateischutz und der Registrierungsschutz bieten konfigurierbare Regeln.

Kaspersky Internet Security 2011

Unter Programme… können bei den Einstellungen für die Programmkontrolle Regeln für Programmgruppen oder einzelne Programme festgelegt werden.
Unter Rechte finden sich überwachte Aktionen, die den Programmschutz betreffen.

Bei Dateien, Systemregistrierung sind die Einstellungen für den Dateischutz und den Registrierungsschutz.

Unter Ressourcen… bei den Einstellungen für die Programmkontrolle finden sich die Regeln für den Dateischutz und den Registrierungsschutz.

Hier sind die Regeln für Persönlich Daten, die man einsehen und verändern kann.

Daneben sind die Regeln für das Betriebssystem, die man ebenfalls einsehen und verändern kann.

Fazit zur Kaspersky Internet Security:

  • Das HIPS bietet transparente Regeln.
  • Es ist ein sehr umfangreicher Programmschutz vorhanden.
  • Der Dateischutz und der Registrierungsschutz bieten konfigurierbare Regeln.
  • Es gibt allerdings keine erweiterten Regeln beim Programmschutz. Eine exakte Überwachung der Aktionen ist also nicht möglich, da in den betreffenden Bereichen nur allgemein gültige Regeln erstellt werden können.

Online Armor Premium

Im unteren Bild sieht man die Einstellungen, die den Programmschutz betreffen.
Unter Programmrechte befinden sich die Überwachungsfunktionen und unter Programmschutz die Schutzfunktionen für ein Programm. Eine globale Einstellungsmöglichkeit, die für alle Programme gelten würde, fehlt jedoch.

Wo bei Programmrechte (Mehr) steht, können (im Expertenmodus) die Rechte für die Funktionen auf andere Programme oder Objekte bezogen eingestellt werden.
Unten sieht man beispielsweise den Status für Ausführbare Dateien erstellen für das jeweilige Objekt und man kann hier auch eine Standardaktion für dieses Programmrecht festlegen.

Weitere Überwachungsfunktionen betreffen den Programmschutz (Keylogger), den Registrierungsschutz (Autostart, IE Add-Ons) und den Dateischutz (Hosts).

Fazit zu Online Armor Premium:

  • Es gibt beim Programmschutz transparente und erweiterte Regeln.
  • Beim Dateischutz und Registrierungsschutz sind keine transparenten oder konfigurierbaren Regeln vorhanden. Es ist hier unklar, nach welchen Regeln die Überwachung genau funktioniert bzw. welchen Funktionsumfang diese Module haben.
  • Es können auch keine angepassten Einstellungen gemacht werden, die für alle Programme gelten würden.

Outpost Pro

Der Programmschutz besteht aus der Anti-Leak-Kontrolle, der Komponenten-Kontrolle und dem Programm-Wächter.

Bei der Anti-Leak-Kontrolle können bei den Anwendungsregeln für die jeweilige Anwendung Regeln eingestellt werden und bei den Optionen globale Regeln, die für alle Anwendungen gelten.

Bei der Komponenten-Kontrolle ist der Umgang mit Programmen und deren Komponenten einstellbar.

Der Schutz von Programmen kann mit dem Programm-Wächter erfolgen.

Der Dateischutz und Registrierungsschutz ist beim System-Wächter zu finden.
Hier gibt es Regeln für die verschiedenen Systembereiche und es können eigene Regeln erstellt werden.
Der System-Wächter findet sich auch in den einzelnen Anwendungsregeln wieder.

Zum Dateischutz gehört auch die Dateien- und Ordner-Sperre, mit der man Dateien und Ordner schützen kann.

Fazit zu Outpost Pro:

  • Das HIPS bietet transparente Regeln.
  • Es ist ein umfangreicher Programmschutz vorhanden.
  • Der Dateischutz und der Registrierungsschutz besitzen konfigurierbare Regeln.
  • Es gibt allerdings keine erweiterten Regeln, eine exakte Überwachung der Aktionen ist beim Programmschutz nicht möglich, da in den betreffenden Bereichen nur allgemein gültige Regeln erstellt werden können.

Privatefirewall

Alle HIPS-Funktionen sind beim Fenster Process Monitor Rules für das jeweilige Programm zusammengefasst.
Diese Regeln betreffen hauptsächlich den Programmschutz, Write protected registry area steht für den Registrierungsschutz und Manipulate protected file objects für den Dateischutz.

Fazit zur Privatefirewall:

  • Beim Programmschutz sind transparente Regeln vorhanden.
  • Beim Dateischutz und Registrierungsschutz sind keine transparenten oder konfigurierbaren Regeln vorhanden. Die Programmoberfläche liefert keine Hinweise zum Regelwerk, man findet lediglich in der Programmhilfe Informationen dazu.
  • Es gibt bei keine erweiterten Regeln, eine exakte Überwachung der Aktionen ist beim Programmschutz nicht möglich.
  • Es können auch keine angepassten Einstellungen gemacht werden, die für alle Programme gelten würden.

Spyware Terminator

Alle Überwachungsbereiche des HIPS sind unter Schutzschilde zusammengefasst.

Diese geben relativ wenig Aufschluss über die genauen HIPS-Funktionen.
Die erstellten Regeln werden in der Positivliste und in der Negativliste aufgelistet und können nur von einer Liste zur anderen Liste verschoben oder entfernt werden.

Bei den Einstellungen der Schutzschilde kann lediglich der Zugang nach Programmeinstufung geregelt werden. Nach welchen Regeln der Autostartschutz oder die anderen Schilde funktionieren bleibt unbekannt.

Fazit zum Spyware Terminator

  • Das Programm bietet keine erweiterten Regeln und es sind auch keine transparenten oder konfigurierbaren Regeln vorhanden.

Übersicht

Anmerkung
Bei diesem Vergleich von HIPS-Features sind natürlich nur jene Funktionen oder Regeln zu sehen, die bei den Benutzeroberflächen der Programme vorhanden sind.
Versteckte Funktionen oder Regeln, die bei manchen Programmen zweifellos vorhanden sind, finden sich in dieser Übersicht selbstverständlich nicht.

Advertisements