Ich lese ja auch fleissig hier im Board mit und hätte da mal eine Frage hauptsächlich an Tommi dem Eset Supporter hier. Tommi, seit Version 5 besitzt ja nun Eset sowohl für NOD32 als auch für die Smart Security ein sog. HIPS. Die Frage nun: HIPS kene ich bislang nur bei Firewalls und Security Suites weil die auch eine Firewall integriert haben. Bei AV's hingegen hörte ich bislang nur von BehaviorGuards(Mamutu, ThreatFire usw.)ist in NOD32 nun wirlich ein HIPS drin oder doch nur ein BehaviorGuard? wenn es sich wirklich um ein HIPS handelt, wie konnte Eset das auch in NOD32 implentieren oder anders gefragt: warum setzen andere Hersteller bei AV's "nur" auf BehaviorGuards und nicht auf HIPS'e?
Frage Zum Eset HIPS
-
-
Die Frage ist nicht ganz einfach zu beantworten. Fakt ist, dass die ESET Smart Security schon länger IDS (Intrusion Detection System) Funktionen beinhaltet hat. Dies funktioniert allerdings nur bei Angriffen von außen.
Sollte eine Malware jedoch Zugang zum Rechner haben, z.B. per USB-Stick oder E-Mail o.ä. dann ist die Firewall i.d.R ziemlich machtlos.ESET hat auch schon vorher z.B. durch Emulation gewisser Aktionen, wie z.B. der Autorun Infos bei USB-Sticks, quasi "rudimentär" Verhaltensanalysen durchgeführt. Das HIPS (Host Intrusion Prevention System) kann darüber hinaus nun einzelne Vorgänge im System, wie Registryzugriffe oder Arbeitsspeicherzugriffe, überwachen und außerdem gibt es dem Anwender die Möglichkeit, gezielt für Quellanwendungen oder auch Zielanwendungen das erlaubte Verhalten zuzuweisen oder zu verbieten.
Wie bei vielem in der IT-Security Branche gibt es leider keine klare Definition der "Grenze" zwischen Behavior Blocking und HIPS bzw. der Definition der beiden Systeme, da die verschiedenen Hersteller unterschiedliche Ansätze verfolgen, aber das gleiche Ergebnis, nämlich den Anwenderschutz verfolgen. Behavior Blocking und HIPS sind also mehr "Überbegriffe" verschiedener Detailfunktionen um wenigstens annähernd eine Vergleichbarkeit der Funktionalitäten herzustellen.
In der Vergangeheit war es zum Beispiel so, dass Hersteller eine gleiche Überprüfung der Autorun Informationen gemacht haben wie ESET zu dieser Zeit, es aber als HIPS vermarktet haben, was aber nun heutzutage wiederum nicht mit dem HIPS wieder anderer Hersteller gleichzusetzen ist. Von daher ist es eben nicht einfach, eine genauere und vor allem 100% technisch klare Aussage zu treffen, da die Technologien allesamt nicht zu 100% gleich sind, oder wenigstens bei den meisten der Hersteller.
Gleiches gilt übrigens auch für den Begriff der Heuristik.
Ich hoffe jedoch, wenigstens annähernd Deine Frage beantwortet zu haben, wenn Du weitere hast oder Dich unbeantwortet fühlst, dann lass es mich wissen.
Tommi
P.S.: Allerdings kann ich heute und morgen schlecht antworten, da wir morgen erst einmal unser "Trippel-Jubiläum" feiern wollen - 10 Jahre ESET in Deutschland, 20 Jahre ESET und 25 Jahre NOD
-
Ich würde gern mal zum Jubiläum von Eset Bilder der ersten Nod32 Version sehen.
Bei mir würde ich lieber in Eset auf das HIPS verzichten und eine Art Community Watch einbauen.
Oftmals nutzt auch meine Tochter meinen Rechner. Sie würde von den Meldungen vom HIPS überfordert reagieren und auch mal was falschen anklicken. Kann man das HIPS auf einen Computer für gewisse Benutzergruppen ausschalten ? -
Danke estmal Tommi, aber wirklich neues entnehme ich deiner Antwort nicht. Die eigentliche Frage ist doch die(für mich): Sieht Eset seinen VS als lupenreines HIPS an wie es zum Beispiel bei OA der Fall ist, oder ist es doch eher eine Synergie/Verschmelzung aus HIPS und BehaviorGuard? Das müsste Eset bzw du doch wissen :wink: Und wenn Est sagt ja es ist ein lupenreines HIPS, wie war es dann den Entwicklern bei Eset möglich ein HIPS in NOD32 zu impletieren?
[quote user="Steffen" post="53309"]Ich würde gern mal zum Jubiläum von Eset Bilder der ersten Nod32 Version sehen.
Bei mir würde ich lieber in Eset auf das HIPS verzichten und eine Art Community Watch einbauen.[/quote]
Tja Steffen, dann würde aber auch der Eset Selbstschutz mit deaktiviert werden :mrgreen: warum aber das HIPS mit dem Selbstschutz verknüpft sein muss ist mir auch ein Rätsel. -
[quote user="uweli1967" post="53311"]
Tja Steffen, dann würde aber auch der Eset Selbstschutz mit deaktiviert werden :mrgreen: warum aber das HIPS mit dem Selbstschutz verknüpft sein muss ist mir auch ein Rätsel.[/quote]
Das würde ich auch brennend gerne verstehen. :roll: -
Warten wir mal ab was der Supporter Tommi uns zu berichten und zu erklären hat. Nach wie vor hege ich auch Zweifel daran dass das sog. Eset HIPS wirklich ein solches ist und denke es ist eher eine "Verschmelzung" aus HIPS und BehaviorGuard(kommt ja bei einigen Herstellern in Mode)weil ich nicht glaube bzw verstehe, wie Eset es schaffen würde ein richtiges HIPS in NOD32 zu implentieren.
-
[quote user="uweli1967" post="53321"]Warten wir mal ab was der Supporter Tommi uns zu berichten und zu erklären hat. Nach wie vor hege ich auch Zweifel daran dass das sog. Eset HIPS wirklich ein solches ist und denke es ist eher eine "Verschmelzung" aus HIPS und BehaviorGuard(kommt ja bei einigen Herstellern in Mode)weil ich nicht glaube bzw verstehe, wie Eset es schaffen würde ein richtiges HIPS in NOD32 zu implentieren.[/quote]
i sec. that!
eset, egal ob deutsch oder international muss endlich eine EINDEUTIGE stellung zu der als HIPS beworbenen lösung beziehen. das ist es dem seit september wartenden kunden schuldig!
-
[quote user="BluesBrother" post="53336"]
eset, egal ob deutsch oder international muss endlich eine EINDEUTIGE stellung zu der als HIPS beworbenen lösung beziehen. das ist es dem seit september wartenden kunden schuldig![/quote]
Also ich persönlich glaube ja, eher friert die Hölle zu. :wink:
-
Die Frage wäre (siehe meine erste Antwort) einfacher zu beantworten, wenn Ihr mir eine Definition von HIPS und VS irgendwo verlinkt geben würded, und ich mich auf diese dort dargestellte Version beziehen könnte, da es zig Definitionen in diesem Bereich leider nun einmal gibt.
Die Verknüpfung von HIPS und Selbstschutz war zumindest für die Entwickler erst einmal logisch, allerdings sind wir auch etwas unglücklich, und es gibt Überlegungen diese beiden Module wieder zu entkoppeln, allerdings ist da eine endgültige Entscheidung noch nicht getroffen.
(Und bei den Temperature gerade draußen, kann es in der Hölle aktuell auch nicht viel wärmer sein )
-
So wie auf o.g. Frage immer wieder (und das seit Monaten) rumgeieert wird, könnte man meinen das weiß man im Hause Eset selber nicht so ganz genau.
-
Poulsen, ich habe es mehrfach erwähnt, es gibt keine allgemeingültige Definition von HIPS und noch weniger eine Abgrenzung dessen von Verhaltensblockern, Behaviour Guards, und was sich sonst noch schlaue Marketingleute haben einfallen lassen!
Würde man die Frage mit Motoren vergleichen - hat ESET einen Motor? Ja, ESET hat einen Motor.
Ist das der gleiche wie der bei XY? Nein, aber vielleicht kannst Du mir sagen, worauf es Dir ankommt (Verbrennungsart, verwendeter Kraftstoff, Zylinderart, Zylinderform...)? -
Zitat
Poulsen, ich habe es mehrfach erwähnt, es gibt keine allgemeingültige Definition von HIPS und noch weniger eine Abgrenzung dessen von Verhaltensblockern, Behaviour Guards, und was sich sonst noch schlaue Marketingleute haben einfallen lassen!
Wie bitte? dann bemüh mal die Google Suche, da gibt es sehr wohl Info die beschreibt was ein HIPS macht und wie BehaviorGuards/verhaltensblocker agieren. Ganz einfach definiert(mit meinen Woprten als einfacher User): ein HIPS ist eine erweiterte Verhaltensüberwachung wie man diese von Desktop-Firewalls kennt und meldet dementsprechend dem User jede neue Anwendung die gestartet werden will und der User muss entscheiden ob er der Anwendung vertraut und diese zulässt. Ist das der Fall wird die Anwendung auf zulassen beim HIPS abgespeichert und wird beim nächsten Mal nicht mehr erfragt. Bei den sog. BeahaviorGuards/Verhaltensblockern ist es so das die Hersteller wie TF, Mamutu usw. anhand von Listen schon Anwendungen für das Programm(TF, Mamutu usw.)als sicher einstufen und neue als unbedenklich erkannte Anwendungen und deren Verhalten nicht gemeldet wird. Der User muss anders als beim HIPS keine Entscheidung treffen. Will jetzt aber eine neue Anwendung starten deren Verhalten zumindest verdächtig oder als gefährlich eingestuft wird, so meldet der Verhaltensblocker diese Anwendung samt Verhalten zumeist mit einer Empfehlung und der User muss entscheiden vertraue ich der Anwendung und lasse sie zu oder lasse ich diese nicht zu und lasse sie vom verhaltensblocker blocken. -
Dann ist der Verhaltensblocker sowohl Teil des HIPS, als auch Teil der anderen Erkennungsmethoden in ESET NOD32 Antivirus 5 und ESET Smart Security 5. Das ESET HIPS arbeitet darüber hinaus je nach Einstellung in verschiedenen Modi - im interaktiven Modus wird der User jedes mal gefragt und er hat die Möglichkeit, eine Regel zu erstellen, also dauerhaft zulassen oder blockieren. Der Trainingsmodus übernimmt aufgrund der Liste von vertrauenswürdigen Anwendungen (intern, wie auch in Abgleich mit ESET Live Grid) das Erstellen der Regeln. Der regelbasierte Modus arbeitet nur auf Grundlage der entweder komplett händisch erstellten Regeln, der im interaktiven Modus erstellten Regeln und/oder der im Trainingsmodus erstellten Regeln.
Der automatische Modus mit Regeln lässt Standardanwendungen weitere per regelmäßigem Update eingepflegte, und deren Verhalten zu und blockiert verdächtiges Verhalten.
Eventuelle Regeln gelten vor dem Zulassen.In allen Modi lässt sich einstellen, ob der User darüber informiert werden soll und/oder ein Eintrag ins Log geschrieben werden soll.
Eine Verhaltensanalyse erfolgt z.B. aber auch schon in älteren Versionen durch die Advanced Heuristik, die z.B. das Verhalten der Autorun Informationen beim Anstecken von USB-Sticks per Emulation prüft und so ohne direkt scannen zu müssen, z.B. eine Infektion/Maniuplation z.B. von einem Conficker erkennen und blockieren kann.
Die Firewall der ESET Smart Security verfügt über ein IDS, das verdächtige Vorgänge "von außen" erkennt und blockiert, unabhängig vom Firewall Regelwerk.
Alles das wird u.a. auch in der Produkthilfe (F1 im jeweilgen Fenster öffnet den entsprechenden Artikel) ausführlich erklärt.
-
Tommi, du als Eset Supporter konntest mir/uns aber immer noch nicht erklären ob Eset nun ein HIPS, BehaviorGuard oder eine Synergie/Verschmelzung aus beiden bei der version 5 einsetzt. Ausserdem: wie hätte Eset ein HIPS das Bestandteil bzw eine Ergänzung ener Desktop Fiewall ist, bei NOD32 implentieren können? Darauf gab es bislang noch keine Antwort und ich vermute mal ganz stark: Eset setzt einen Verhaltenschutz ein(nennt den HIPS)der eigentlich ein BehaviorGuard ist, der aber erweiterte Funktionen hat die denen eines HIPS nahe kommen. Diese Möglichkeit bietet zum Beispiel in den erweiterten Einstellungen ThreatFire, aber bei der Standardkonfiguration sind diese dem HIPS nahe kommenden Einstellungen nicht aktiviert. Das muss man erst slbst machen wenn man das will.
-
Ich habe versucht deutlich zu machen, dass das HIPS lokal wirkt und eben nicht Bestandteil der Firewall ist, wohl aber Netzfiltertreiber nutzt, die im Webschutz bei ESET enthalten sind.
Host Intrusion Prevention System (HIPS)
Das Host Intrusion Prevention System (HIPS) schützt Ihr System vor Schadsoftware und unerwünschten Programmaktivitäten, die negative Auswirkungen auf Ihren Computer haben könnten. Um solche Aktivitäten zu blockieren und zu verhindern, analysiert HIPS das Verhalten von Programmen genau und nutzt Netzwerkfilter zur Überwachung von laufenden Prozessen, Dateien und Registrierungsschlüsseln.Die HIPS-Einstellungen finden Sie im Fenster Erweiterte Einstellungen (F5). Klicken Sie dazu auf Computer > HIPS. Der Status von HIPS (aktiviert/deaktiviert) wird im Hauptfenster von ESET Smart Security angezeigt, im Bereich Einstellungen rechts vom Bereich Computer.
Warnung: Nur ein erfahrener Benutzer sollte die Einstellungen von HIPS ändern.
ESET Smart Security bietet einen integrierten Selbstschutz, der Beschädigungen oder eine Deaktivierung Ihres Viren- und Spyware-Schutzes durch Schadsoftware verhindert. So ist Ihr System nie ungeschützt. Änderungen an den Optionen HIPS aktivieren und Selbstschutz aktivieren werden nach einem Neustart des Windows-Betriebssystems wirksam. Auch das Abschalten von HIPS erfordert einen Computer-Neustart. Folgende vier Modi stehen für das Filtern zur Verfügung:
Automatischer Modus mit Regeln - Vorgänge werden ausgeführt, mit Ausnahme vorab definierter Regeln zum Schutz Ihres Systems.
Interaktiver Modus - Der Benutzer wird zur Bestätigung von Vorgängen aufgefordert.
Regelbasierter Modus - Vorgänge werden blockiert.
Trainingsmodus - Vorgänge werden ausgeführt, nach jedem Vorgang wird eine Regel erstellt. Die in diesem Modus erstellten Regeln können im Regel-Editor angezeigt werden, doch sie haben geringere Priorität als manuell erstellte Regeln oder Regeln, die im automatischen Modus erstellt wurden. Wenn Sie die Option Trainingsmodus aktivieren, wird die Option Benachrichtigung über Auslaufen des Trainingsmodus in X Tagen wählbar. Nach Ablauf dieser Zeitspanne wird der Trainingsmodus wieder deaktiviert. Dieser Modus kann maximal 14 Tage andauern. Danach wird ein Fenster angezeigt, in dem Sie die Regeln bearbeiten und eine andere Filtermethode wählen können.
HIPS überwacht Ereignisse auf Betriebssystemebene und führt Aktionen gemäß Regeln aus, die den Regeln für die Personal Firewall ähneln.
Klicken Sie auf Regeln konfigurieren, um den Regelmanager von HIPS zu öffnen. Dieses Fenster enthält alle Regeln. Sie können hier Regeln auswählen, bearbeiten und löschen oder neue Regeln erstellen.
Wenn Fragen als standardmäßige Aktion festgelegt ist, wird jedes Mal ein Dialogfenster angezeigt. In diesem Fenster können Sie festlegen, ob HIPS einen Vorgang blockieren oder zulassen soll. Legt der Benutzer innerhalb des vorgegebenen Zeitrahmens keine Aktion fest, wird gemäß den Regeln eine neue Aktion ausgewählt.
In dem Dialogfenster können Sie eine Regel erstellen, die für die auslösende Aktion und die dazugehörigen Bedingungen gilt. Die genauen Parameter können Sie festlegen, wenn Sie auf Optionen anzeigen klicken. Regeln, die auf diese Weise erstellt wurden, und manuell erstellte Regeln sind gleichrangig, daher können erstere allgemeiner sein als die Regel, die das Dialogfenster ausgelöst hat. Derselbe Vorgang kann also erneut die Anzeige desselben Fenster auslösen, nachdem eine solche Regel erstellt wurde.
Mit der Option Diese Aktion für Prozess vorübergehend anwenden wird eine Aktion (Zulassen/Blockieren) für einen bestimmten Prozess gespeichert und jedes Mal angewendet, wenn der betreffende Vorgang ein Dialogfenster auslöst. Diese Einstellungen sind nur vorübergehend. Sie werden gelöscht, sobald die Regeln oder die Filtermethode geändert werden oder ein Update von HIPS bzw. ein Systemneustart durchgeführt wird.
Weitere Informationen zur Erstellung von Regeln und zu HIPS-Vorgängen finden Sie im Kapitel Regel bearbeiten.
----->
Regel bearbeiten
Name - Benutzerdefinierter oder automatisch ausgewählter Regelname.
Aktion - Mit der Regel wird eine Aktion festgelegt: Zulassen, Blockieren oder Fragen. Diese Aktion wird bei Eintreten der Bedingungen ausgeführt.
Regel aktiviert - Aktivieren Sie diese Option, wenn die Regel in der Liste verbleiben, aber nicht verwendet werden soll.
In Log schreiben - Wenn Sie diese Option aktivieren, werden Informationen zu dieser Regel im HIPS-Log gespeichert.
Benutzer informieren - In der rechten unteren Ecke wird ein kleines Fenster angezeigt, wenn ein Ereignis eintritt.
Die Regel besteht aus drei Teilen, mit denen die Bedingungen beschrieben werden, die die Anwendung dieser Regel auslösen.
· Quellanwendungen - Die Regel wird nur angewendet, wenn das Ereignis von diesen Anwendungen ausgelöst wird. Klicken Sie auf Hinzufügen zum Hinzufügen neuer Dateien oder Ordner.
· Vorgänge - Die Regel wird nur bei dieser Art Vorgang und für das ausgewählte Ziel angewendet. Aktivieren Sie die Kontrollkästchen der entsprechenden Vorgänge, oder aktivieren Sie die Option Für alle Vorgänge verwenden .
· Zieldateien/Zielanwendungen/Zielregistrierungseinträge - Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht.
HINWEIS: Bestimmte, von HIPS vordefinierte Regeln und die aus ihnen resultierenden Vorgänge können nicht blockiert werden, da sie standardmäßig zugelassen sind. Hinzu kommt, dass nicht alle Systemvorgänge von HIPS überwacht werden. HIPS überwacht Vorgänge, die als unsicher eingestuft werden könnten.
Das folgende Beispiel zeigt, wie unerwünschtes Verhalten von Anwendungen beschränkt wird:
1. Geben Sie der Regel einen Namen und wählen Sie Blockieren im Dropdown-Menü Aktion .
2. Öffnen Sie die Registerkarte Zielanwendungen . Lassen Sie die Registerkarte Quellanwendungen leer, um Ihre neue Regel auf alle Anwendungen zu beziehen, die versuchen, einen der in der Liste Vorgänge ausgewählten Vorgänge bei Anwendungen durchzuführen, die auf der Liste Über folgende Anwendungen stehen.
3. Wählen Sie Zustand anderer Anwendung ändern (alle Vorgänge werden nachstehend genauer beschrieben).
4. Fügen Sie eine oder mehrere Anwendungen hinzu, die Sie schützen möchten.
5. Wenn Sie die Option Benutzer informieren aktivieren, wird bei jeder Anwendung der Regel ein Benutzerhinweis angezeigt.
6. Klicken Sie auf OK, um die neue Regel zu speichern.
Beschreibungen der wichtigsten Vorgänge:
Zieldateien
· Datei löschen - Anwendung versucht, die Zieldatei zu löschen.
· In Datei schreiben - Anwendung versucht, in die Zieldatei zu schreiben.
· Direkter Zugriff auf Datenträger - Die Anwendung versucht, einen Datenträger auf nicht standardmäßige Art auszulesen oder zu beschreiben (die üblichen Windows-Verfahren werden umgangen). So könnten Dateien verändert werden, ohne dass die entsprechenden Regeln in Kraft treten. Verursacher dieses Vorgangs könnte Malware sein, die versucht, ihre Erkennung zu verhindern. Es könnte sich aber auch um Backup-Software handeln, die versucht, die genaue Kopie eines Datenträgers herzustellen, oder eine Partitionsverwaltung beim Versuch, Festplattenvolumes zu reorganisieren.
· Globalen Hook installieren - Aufruf der Funktion SetWindowsHookEx aus der MSDN-Bibliothek.
· Treiber laden - Lädt und installiert Treiber im System.
Zielanwendungen
· Debugging für andere Anwendung starten - Verknüpfen eines Debuggers mit dem Prozess. Beim Debuggen einer Anwendung können Informationen zu deren Verhalten angezeigt und verändert werden. Ebenso ist der Zugriff auf die Daten der Anwendung möglich.
· Ereignisse von anderer Anwendung abfangen - Die Quellanwendung versucht, für die Zielanwendung bestimmte Ereignisse abzufangen (Beispiel: ein Keylogger versucht, Ereignisse im Browser aufzuzeichnen).
· Andere Anwendung beenden/unterbrechen - Unterbricht einen Prozess bzw. setzt ihn fort oder beendet ihn (direkter Zugriff aus dem Process Explorer oder im Bereich „Prozesse“ möglich).
· Neue Anwendung starten - Starten neuer Anwendungen oder neuer Prozesse.
· Zustand anderer Anwendung ändern - Die Quellanwendung versucht, in den Speicher der Zielanwendung zu schreiben oder in ihrem Namen bestimmten Code auszuführen. Diese Funktion ist geeignet, um wichtige Anwendungen zu schützen, indem sie für eine Regel zum Blockieren des Vorgangs als Zielanwendungen konfiguriert werden.
Zielregistrierungseinträge
· Starteinstellungen ändern - Alle Veränderungen an Einstellungen, mit denen die Anwendungen festgelegt werden, die beim Windows-Start ausgeführt werden. Diese werden beispielsweise aufgeführt, wenn Sie den Schlüssel Run in der Windows-Registrierung aufrufen.
· Registrierungsinhalte löschen - Registrierungsschlüssel oder seinen Wert löschen.
· Registrierungsschlüssel umbenennen - Registrierungsschlüssel umbenennen.
· Registrierungsdatenbank ändern - Neue Werte für Registrierungsschlüssel erstellen, vorhandene Werte ändern, Daten im Verzeichnisbaum der Datenbank verschieben oder Benutzer- bzw. Gruppenrechte für Registrierungsschlüssel einrichten.
Wenn Teile der Informationen zur Quelle oder zum Ziel nicht angegeben werden, wird die Regel automatisch „für alle“ angewendet (für alle Quellanwendungen, für alle Vorgänge usw.).
Hinweis: Sie können eingeschränkt Platzhalter bei der Eingabe des Ziels verwenden. Anstatt eines bestimmten Schlüssels können Sie das Sonderzeichen * (Sternchen) im Registrierungspfad eingeben. HKEY_USERS\*\software kann zum Beispiel HKEY_USERS\.default\software bedeuten, jedoch nicht HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* ist kein gültiger Pfad für einen Registrierungsschlüssel. Enthält ein Registrierungspfad „\*“, bedeutet dies „dieser Pfad oder jeder untergeordnete Pfad nach diesem Symbol“. Nur auf diese Weise können Platzhalter für Zieldateien verwendet werden. Erst wird der angegebene Teil des Pfades überprüft, dann der Pfad nach dem Platzhalter (*).
---------------------------------Erkennen von Eindringversuchen (IDS) und erweiterte Einstellungen (nur ESET Smart Security / Firewall)
In diesem Bereich können Sie erweiterte Filtereinstellungen festlegen, mit denen verschiedene Angriffsstrategien auf Ihren Computer erkannt werden können.Zugelassene Dienste
· Datei- und Druckerfreigabe in der vertrauenswürdigen Zone zulassen - Remotecomputern in der vertrauenswürdigen Zone Zugriff auf Ihre freigegebenen Dateien und Drucker gewähren.
· UPNP in der vertrauenswürdigen Zone zulassen - Netzwerkgeräten automatische Konfiguration mit UPnP (Universal Plug and Play) erlauben.
· Eingehende RPC-Anfragen in vertrauenswürdiger Zone zulassen - Verbindungen über das RPC-DCOM-System von Microsoft in der vertrauenswürdigen Zone zulassen.
· Remotedesktopverbindungen in der vertrauenswürdigen Zone zulassen - Remotecomputern in der vertrauenswürdigen Zone das Herstellen von Remotedesktopverbindungen zu Ihrem Computer erlauben (bei Verwendung des Programms „Remotedesktopverbindung“ von Microsoft).
· Eingehende IGMP-Streams aus dem Internet zulassen - Erlaubt (zum Beispiel) Video-Streaming, das von Programmen generiert wird, die das IGMP-Protokoll verwenden.
· Inaktive TCP-Verbindungen aufrechterhalten - Zur ordnungsgemäßen Funktion einiger Anwendungen ist es erforderlich, dass die hergestellte TCP-Verbindung auch dann aufrechterhalten bleibt, wenn sie möglicherweise inaktiv ist. Aktivieren Sie diese Option, um zu vermeiden, dass inaktive TCP-Verbindungen beendet werden.
· Kommunikation für „bridged“ Verbindungen zulassen - Aktivieren Sie diese Option, um zu vermeiden, dass „bridged“ Verbindungen beendet werden.
· Antwort auf ARP-Anforderungen von außerhalb der vertrauenswürdigen Zone zulassen - Aktivieren Sie diese Option, um Systemantworten auf Adressauflösungsanfragen (ARP-Protokoll) zuzulassen. Diese Funktion ist wichtig für den Betrieb in einem lokalen Netzwerk und für die Weiterleitung von Internet-Datenverkehr über Gateways (Router) nach dem Next-Hop-Routingverfahren.
Vista/Windows 7-Dienste
· IPv6 Adressen des lokalen Netzwerks zur vertrauenswürdigen Zone hinzufügen - Alle Computer, die innerhalb eines LAN-Segments mit dem IPv6-Protokoll eine Verbindung herstellen, werden als vertrauenswürdige Zone eingestuft.
· Entdeckung von Web-Services-Anfragen (WSD) in der vertrauenswürdigen Zone zulassen - Lässt ein bestimmtes Internet-Verzeichnis bzw. einen bestimmten Link durch die Firewall. Ein Internet-Verzeichnis ist eine nach bestimmten Kriterien geordnete Liste von Links zu Websites.
· Multicast-Adressauflösung (LLMNR) in der vertrauenswürdigen Zone zulassen - LLMNR ist ein auf dem DNS-Paketformat basierendes Protokoll, mit dem sowohl IPv4- als auch IPv6-Hostcomputer Namensauflösungen für Rechner auf demselben lokalen Link durchführen können, ohne einen DNS-Server oder eine Konfiguration als DNS-Client zu benötigen. Mit dieser Option kann dieses Protokoll für den Datenverkehr durch die Firewall verwendet werden.
· Unterstützung für Windows 7 Heimnetzgruppe - Unterstützung für Windows-7-Heimnetzgruppe aktivieren. In einer Heimnetzgruppe können Dateien und Drucker in einem Heimnetzwerk freigegeben werden. Um die Heimnetzgruppe einzurichten, klicken Sie auf Start > Systemsteuerung > Netzwerk und Internet > Heimnetzgruppe.
Eindringversuche erkennen
· CodeRed-Wurm erkennen - Erkennung des CodeRed-Wurms aktivieren. Dieser Wurm nutzt eine Pufferüberlauf-Schwachstelle (Buffer Overflow), um sich zu verbreiten. Der Wurm nutzte eine Schwäche im Modul „Index Server“ aus, das über IIS (Internet Information Services) bereitgestellt wird.
· SqlSlammer-Wurm erkennen - Erkennung von Angriffen des SqlSlammer-Wurms aktivieren. Dieser Wurm führt DoS-Angriffe auf einige Internet-Hosts aus und verlangsamt allgemein den Datenverkehr über das Internet.
· RPC/DCOM-Angriff erkennen - Ist diese Option aktiviert, werden Angriffe auf die Microsoft-RPC-DCOM-Sicherheitslücke abgewehrt.
· Sasser-Wurm erkennen - Erkennung des Sasser-Wurms aktivieren. Dabei handelt es sich um einen weiteren Wurm, der Pufferuberläufe ausnutzt. Er befällt Computer mit angreifbaren Version von Windows XP/2000 und dringt über einen Windows LSASS-Port in das System ein.
· Conficker-Wurm erkennen - Erkennung des Conficker-Wurms aktivieren. Conficker greift Windows-Betriebssysteme über Schwachstellen in der Software an bzw. führt einen Wörterbuchangriff oder einen Brute-Force-Angriff auf Administratorpasswörter aus.
· ARP Poisoning-Angriffe erkennen - Der Angreifer sendet falsche Informationen an ein mit dem Netzwerk verbundenes Gerät. Im Anschluss daran kann der Angreifer jede beliebige IP-Adresse mit einer MAC-Adresse in Verbindung bringen und das Netzwerk mit mehreren Angriffsvektoren schädigen.
· DNS Poisoning-Angriffe erkennen - Mit der Technik „DNS Poisoning“ können Hacker DNS-Server beliebiger Computer über die Echtheit eingeschleuster Daten täuschen. Weitere Informationen zu diesem Angriffstyp finden Sie im Glossar.
· TCP Portscan-Angriffe erkennen - Beim Port Scanning wird ein Netzwerkhost auf offene Computerports untersucht, die ausgenutzt werden könnten. Weitere Informationen zu diesem Angriffstyp finden Sie im Glossar.
· UDP Portscan-Angriffe erkennen - Beim Port Scanning wird ein Netzwerkhost auf offene Computerports untersucht, die ausgenutzt werden könnten.
· SMB Relay-Angriffe erkennen - Bei diesem Angriffstyp können Angreifer die Datenkommunikation zwischen zwei Computern manipulieren. Weitere Informationen zu diesem Angriffstyp finden Sie im Glossar.
· Unsichere Adresse nach erkanntem Angriff blockieren - Beendet die Verbindung zu IP-Adressen, die als Angriffsquellen identifiziert wurden.
· Hinweis bei erkanntem Angriff anzeigen - Aktiviert die Hinweise im Infobereich der Taskleiste rechts unten auf dem Bildschirm.
Paketprüfung
· TCP-Verbindungsstatus prüfen - Überprüft, ob alle TCP-Pakete zu einer vorhandenen Verbindung gehören. Wenn ein Paket zu keiner Verbindung gehört, wird es verworfen.
· Denial of Service-Angriff auf TCP-Ebene erkennen - Diese Methode basiert darauf, den Computer/Server mehreren Anfragen auszusetzen - siehe auch Abschnitt DoS (Denial of Service-Angriffe).
· Eingehende TCP-/UDP-Pakete prüfen (Prüfsumme validieren) - Aktivieren Sie diese Option nur für Testzwecke. Diese Funktion überprüft die Prüfsumme eingehender TCP-/UDP-Pakete.
· Ausgehende TCP-/UDP-Pakete prüfen (Prüfsumme validieren) - Überprüft die Prüfsumme ausgehender TCP-/UDP-Pakete.
· ICMP-Nachrichten prüfen - Bei diesem Angriffstyp werden Schwachstellen des ICMP-Protokolls ausgenutzt. Weitere Informationen zu diesem Angriffstyp finden Sie im Glossar.
· Im ICMP-Protokoll verborgene Daten (covert channel) entdecken - Prüft, ob über ICMP Daten übermittelt werden. Es gibt viele Methoden, wie Daten maskiert und per IMCP an der Personal Firewall vorbeigeschleust werden können.
· Ausgehenden Spam erkennen - Ob der Computer Spam versendet, prüft diese Funktion daran, ob die Anzahl der Verbindungen zum SMTP-Server das normale Maß übersteigt.
Fehlerbehebung
· Alle blockierten Verbindungen in Log aufnehmen - Jedes Mal, wenn eine Verbindung blockiert wird, erfolgt ein Eintrag im Log
· Blockierte eingehende Verbindungsanfragen von Wurmangriffen in Log aufnehmen - Jedes Mal, wenn eine eingehende Verbindung eines Wurms blockiert wird, erfolgt ein Eintrag im Log.
------------------------------------
Heuristik - Als heuristische Methoden werden Verfahren bezeichnet, die (bösartige) Aktivitäten von Programmen analysieren. Auf diese Weise können auch bösartige Programme erkannt werden, die noch nicht in der Signaturdatenbank verzeichnet sind. Nachteilig ist, dass es in Einzelfällen zu Fehlalarmen kommen kann.Advanced Heuristik/DNA/Smart-Signaturen - Als Advanced Heuristik werden besondere heuristische Verfahren bezeichnet, die von ESET entwickelt wurden, um eine verbesserte Erkennung von Würmern und Trojanern zu ermöglichen und Schadprogramme zu erkennen, die in höheren Programmiersprachen geschrieben wurden. Die Gesamterkennungsleistung wird durch Advanced Heuristik erheblich verbessert. Mit Hilfe von Signaturen können Viren zuverlässig erkannt werden. Mit automatischen Updates sind Signaturen für neue Bedrohungen innerhalb weniger Stunden verfügbar. Nachteilig an Signaturen ist, dass mit ihrer Hilfe nur bekannte Viren und gering modifizierte Varianten bekannter Viren erkannt werden können.
-
Auch das Einfügen der Bedienungsanleitung beantwortet die o.g. Frage nicht.
Vielleicht kann man vom Support her mal Klartext reden, wenn's auch schwer fällt -
Wie bereits erwähnt: Eher friert wohl die Hölle zu. :twisted:
Das könnte natürlich auch eine Art Marketing sein. Wenn ESET sonst schon fast niemanden mehr interessiert und am viel zitierten Ar*** vorbei geht...So bleibt man wenigstens im Gespräch. Ein Streifzug durch andere Foren bestätigt dies sehr eindrucksvoll. Die Zeiten, als ESET "DAS" AV schlechthin war gehören leider längst der verschwommenen Vergangenheit an. So schnell gehts vom Maß aller Dinge zum absouten Mittelmaß. Aber wenn man sich damit zufrieden gibt, und das Produkt bei jeder sich bietenden Gelegenheit schön redet.....was soll dabei rumkommen?
-
Freunde, wieviel Klartext braucht Ihr denn noch, außer einer kompletten Darstellung, was das ESET HIPS tut, und wie die anderen relevanten Komponenten, die immer wieder vermischt wurden, arbeiten? :shock:
-
Ich gebs auf Tommi und bleib bei meiner Meinung: Est hat ein meiner Meinung nach sog. Verhaltenschutz Programm das weder ein reines HIPS ist noch ein richtiger BehaviorGuard ist sondern die Entwickler bei Eset haben ein Verhaltenschutz Modul entwickelt das sowohl Technologien von HIPS(wohl nicht alle)aufgreifen und verwenden kann als auch Techniken eines BehaviorGuards. Raus dabei kam weder Fisch noch Fleisch weil es eine Synergie/Verschmelzung beider Techniken ist. Blöd bzw fast schon frech von Eset finde ich nur das das HIPS genannt wird und den Käufern suggeriert es wäre ein HIPS. Passender wäre gewesen man hätte das einfach nur Verhaltenschutz genannt so wie es richtigerweise auch bei Avast genannt wird. Den deren Verhaltenschutz ist genauso eine Verschmelzung/Synergie aus BehaviorGuard und HIPS und zu 100% weder das eine noch das andere.
-
Frech finde ich ganz andere Dinge...
Egal, ich habe es dargelegt, und kann nichts freches an der Bezeichnung HIPS finden, weil es genau das tut, was der Name bzw. die Abkürzung sagt, und ich weise auch weiter darauf hin, dass es keinen allgmeingültigen Bauplan gibt, nachdem alle Hersteller die eine wahre HIPS Funktion oder das eine wahre HIPS Modul "bauen", da es ein gleicher Überbegriff wie das Wort "Haus" ist.
Wenn Ihr das anders seht, ist das ok für mich, ich muss hier niemanden bekehren, ich antworte gerne, auch wenn es manchmal nah an die Beleidigung geht - ob jemand meine Antwort gefällt, oder der Leser bereit ist, meine Antwort überhaupt verstehen zu wollen, kann ich nicht beeinflussen
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!