Werderforever

Funktion Firewall und Verhaltensanalyse

Recommended Posts

Hallo,

 

ich habe mal zwei technische Fragen:

 

1.) Bei den meisten Third-Party-Firewalls zeigt Windows in der Sektion Windows Firewall an: "Diese Einstellungen werden durch Herstelleranwendung XYZ verwaltet". In den erweiterten Einstellungen der Windows Firewall wird diese als "Ein" gekennezeichnet. Bei Verwendung von EIS ist es anders. In beiden Sektionen ist die Windows Firewall deaktiviert.

 

Was mich interessiert, inwiefern arbeitet die Firewall von Emsisoft anders als die anderer Hersteller?

 

2.) Prüft die Verhaltensanalyse von Emsisoft jede unbekannte Datei vor Ausführung oder wird erst einmal abgewartet, was diese unbekannte Datei macht und erst bei verdächtigen Aktionen, wie Keylogging oder Eingriffen in die Registry,

eingeschritten?

Ich meine, dass ich irgendwann mal im englischen Forum gelesen habe, dass die Verhaltensanalyse erst bei verdächtigen Aktionen einschreitet und nicht generell alle unbekannten Dateien überprüft. Leider finde ich den Beitrag nicht mehr...

Share this post


Link to post
Share on other sites

Hallo,

 

zu 1. Andere Hersteller verwenden eine andere Integration in das Windows Security Center so das dieser Hinweis erscheint. Mit der eigentlichen Arbeitsweise der Firewall hat das nichts zu tun. Unsere Integration beinhaltet weiterhin das Windows beim erkennen unserer Firewall die eigene Windows-Firewall ausgeschaltet wird.

 

 

In den erweiterten Einstellungen der Windows Firewall wird diese als "Ein" gekennezeichnet.

 

 

Ich weiss jetzt nicht auf welches Firewall-Produkt das bezogen ist aber normal sollte die Windows-Firewall ausgeschaltet werden so bald die Firewall eines Drittanbieters aktiv ist.

 

zu 2. Entscheidend ist das Verhalten der Datei bzw. des Prozesses. Ist dieses Verhalten verdächtig greift die Verhaltensanalyse ein. Deweiteren wird gleichzeitig die Datei/Prozess - Prüfsumme mit dem Anti-Malware Netzwerk abgeglichen und ob die Datei/Prozess mit einem gültigen und vertrauenswürdigem digitalen Zertifikat versehen ist.

Share this post


Link to post
Share on other sites

Zu 1.) Bei Kaspersky Internet Security und GDATA ist das der Fall.

 

Zu 2.) Birgt das nicht die Gefahr, dass die Verhaltensanalyse zu spät eingreift, so dass z.B. einige Dateien von Ransomware bereits verschlüsselt wurden?

Share this post


Link to post
Share on other sites

Hallo,

 

 

Birgt das nicht die Gefahr, dass die Verhaltensanalyse zu spät eingreift, so dass z.B. einige Dateien von Ransomware bereits verschlüsselt wurden?

 

Normal sollte das nicht der Fall sein da wir den Versuch zu verschlüsseln schon unterbinden.

Share this post


Link to post
Share on other sites

Hallo.

 

Ich hänge meine Frage mal mit hier an, kurze Frage zur Verhaltensanalyse (und auch dem Surfschutz):

 

Sind Verhaltensanalyse und/oder Surfschutz auch unabhängig nutzbar? Ohne oder mit welchen Einschränkungen/Nachteilen?

Sagen wir mal ich würde den Dateiwächter deaktivieren (unabhängig vom Sinn sowas zu machen), funktioniert dann weiterhin die Verhaltensanalyse und/oder der Surfschutz?

 

zB rein theoretisch, wenn ich EAM adhoc als 2. Scanner nutzen möchte, die Verhaltensanalyse und/oder der Surfschutz jedoch permanent aktiviert haben will. Die Verhaltensanalyse quasi als "altes Mamutu" nutze ...

Share this post


Link to post
Share on other sites

Hallo Yakk,

 

Dateiwächter, Surfschutz und Verhaltensanalyse können separat aktiviert bzw. deaktiviert werden.

 

Im Anhang ein Screenshot welcher die Übersicht von Emsisoft Anti-Malware zeigt - in der grünen Kachel sieht man die einzelnen Komponenten.

 

Mit einem Klick auf das kleine Häkchen kann man die jeweilige Komponente deaktivieren bzw. aktivieren.

 

Selbiges ist aber auch z.B. über einem Rechtsklick auf das Symbol von Emsisoft Anti-Malware in der Taskleiste möglich.

 

 

post-17229-0-08220000-1475310739_thumb.png
Download Image

Share this post


Link to post
Share on other sites

Hallo und Danke Thomas Ott, wie immer schnell :)

 

Ja, ich glaube ich habe mich da ein wenig falsch ausgedrückt, dass es geht und wie es geht weiss ich ja :)

 

Mit geht es mehr darum, ob die einzelnen Komponenten auch quasi autark laufen, also ohne oder mit welchen Einschränkungen/Nachteilen? Oder wird zB für eine Ransomerkennung der Verhaltensanalyse, der aktive Dateiwächter benötigt? Oder könnte man Verhaltensanalyse wirklich als "altes Mamutu" einzeln so nutzen? Dass mögliche aktivieren und deaktivieren, heisst ja noch nicht das die Funktion der einzelnen Komponenten zu 100% gegeben ist, oder ist das im Falle von EAM wirklich so, das man diese 4 Schutzkomponenten wirklich autark nutzen kann?

Share this post


Link to post
Share on other sites

Hi Yakk und vielen Dank für deine Rückmeldung.

 

Es hat sich um einen glücklichen Zufall gehandelt dass ich deine Anfrage schnell bemerkt habe  :)

 

Genau, wenn nur die Verhaltensanalyse-Komponente aktiviert ist so ist das als würde Mamutu am Rechner laufen. Der aktive Dateiwächter wird nicht benötigt um Ransomware mittels Verhaltensanalyse zu erkennen. Der Dateiwächter könnte im Vorfeld bereits Ransomware filtern wenn bereits eine Signatur für die bestimmte Datei in unserer Datenbank gespeichert ist.

 

So haben wir das auch empfohlen als Mamutu damals eingestellt wurde als all unsere Kunden mit aktiven Mamutu Lizenzschlüssel eine kostenlose Ersatz-Lizenz für Emsisoft Anti-Malware erhalten haben.

 

Bitte lass uns wissen wenn es noch weiteren Erklärungsbedarf gibt.

Share this post


Link to post
Share on other sites

Hallo,

Eine Frage hat sich in unserem Forum bei einem User ergeben.

 

Zu :Verhaltenswächter und Ausnahmen:

Früher gab es 3 Ausnahmen:
Scanner
Dateiwächter
Verhaltenswächter

 

Nun ist es "nur" noch "Vom Scan ausschließen" und "Von Überwachung ausschließen". In beiden Info Texten wird das Wort "Verhaltenswächter"
nicht mehr genannt und es stellt sich die Frage ob man vom "Verhaltenswächter" nun gar nichts mehr ausschließen kann?

Oder ob dieser nun generell gebunden/gekoppelt ist mit "Von Überwachung ausschließen".

 

mfg Dark

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.