Ich habe versucht deutlich zu machen, dass das HIPS lokal wirkt und eben nicht Bestandteil der Firewall ist, wohl aber Netzfiltertreiber nutzt, die im Webschutz bei ESET enthalten sind.
Host Intrusion Prevention System (HIPS)
Das Host Intrusion Prevention System (HIPS) schützt Ihr System vor Schadsoftware und unerwünschten Programmaktivitäten, die negative Auswirkungen auf Ihren Computer haben könnten. Um solche Aktivitäten zu blockieren und zu verhindern, analysiert HIPS das Verhalten von Programmen genau und nutzt Netzwerkfilter zur Überwachung von laufenden Prozessen, Dateien und Registrierungsschlüsseln.
Die HIPS-Einstellungen finden Sie im Fenster Erweiterte Einstellungen (F5). Klicken Sie dazu auf Computer > HIPS. Der Status von HIPS (aktiviert/deaktiviert) wird im Hauptfenster von ESET Smart Security angezeigt, im Bereich Einstellungen rechts vom Bereich Computer.
Warnung: Nur ein erfahrener Benutzer sollte die Einstellungen von HIPS ändern.
ESET Smart Security bietet einen integrierten Selbstschutz, der Beschädigungen oder eine Deaktivierung Ihres Viren- und Spyware-Schutzes durch Schadsoftware verhindert. So ist Ihr System nie ungeschützt. Änderungen an den Optionen HIPS aktivieren und Selbstschutz aktivieren werden nach einem Neustart des Windows-Betriebssystems wirksam. Auch das Abschalten von HIPS erfordert einen Computer-Neustart. Folgende vier Modi stehen für das Filtern zur Verfügung:
Automatischer Modus mit Regeln - Vorgänge werden ausgeführt, mit Ausnahme vorab definierter Regeln zum Schutz Ihres Systems.
Interaktiver Modus - Der Benutzer wird zur Bestätigung von Vorgängen aufgefordert.
Regelbasierter Modus - Vorgänge werden blockiert.
Trainingsmodus - Vorgänge werden ausgeführt, nach jedem Vorgang wird eine Regel erstellt. Die in diesem Modus erstellten Regeln können im Regel-Editor angezeigt werden, doch sie haben geringere Priorität als manuell erstellte Regeln oder Regeln, die im automatischen Modus erstellt wurden. Wenn Sie die Option Trainingsmodus aktivieren, wird die Option Benachrichtigung über Auslaufen des Trainingsmodus in X Tagen wählbar. Nach Ablauf dieser Zeitspanne wird der Trainingsmodus wieder deaktiviert. Dieser Modus kann maximal 14 Tage andauern. Danach wird ein Fenster angezeigt, in dem Sie die Regeln bearbeiten und eine andere Filtermethode wählen können.
HIPS überwacht Ereignisse auf Betriebssystemebene und führt Aktionen gemäß Regeln aus, die den Regeln für die Personal Firewall ähneln.
Klicken Sie auf Regeln konfigurieren, um den Regelmanager von HIPS zu öffnen. Dieses Fenster enthält alle Regeln. Sie können hier Regeln auswählen, bearbeiten und löschen oder neue Regeln erstellen.
Wenn Fragen als standardmäßige Aktion festgelegt ist, wird jedes Mal ein Dialogfenster angezeigt. In diesem Fenster können Sie festlegen, ob HIPS einen Vorgang blockieren oder zulassen soll. Legt der Benutzer innerhalb des vorgegebenen Zeitrahmens keine Aktion fest, wird gemäß den Regeln eine neue Aktion ausgewählt.
In dem Dialogfenster können Sie eine Regel erstellen, die für die auslösende Aktion und die dazugehörigen Bedingungen gilt. Die genauen Parameter können Sie festlegen, wenn Sie auf Optionen anzeigen klicken. Regeln, die auf diese Weise erstellt wurden, und manuell erstellte Regeln sind gleichrangig, daher können erstere allgemeiner sein als die Regel, die das Dialogfenster ausgelöst hat. Derselbe Vorgang kann also erneut die Anzeige desselben Fenster auslösen, nachdem eine solche Regel erstellt wurde.
Mit der Option Diese Aktion für Prozess vorübergehend anwenden wird eine Aktion (Zulassen/Blockieren) für einen bestimmten Prozess gespeichert und jedes Mal angewendet, wenn der betreffende Vorgang ein Dialogfenster auslöst. Diese Einstellungen sind nur vorübergehend. Sie werden gelöscht, sobald die Regeln oder die Filtermethode geändert werden oder ein Update von HIPS bzw. ein Systemneustart durchgeführt wird.
Weitere Informationen zur Erstellung von Regeln und zu HIPS-Vorgängen finden Sie im Kapitel Regel bearbeiten.
----->
Regel bearbeiten
Name - Benutzerdefinierter oder automatisch ausgewählter Regelname.
Aktion - Mit der Regel wird eine Aktion festgelegt: Zulassen, Blockieren oder Fragen. Diese Aktion wird bei Eintreten der Bedingungen ausgeführt.
Regel aktiviert - Aktivieren Sie diese Option, wenn die Regel in der Liste verbleiben, aber nicht verwendet werden soll.
In Log schreiben - Wenn Sie diese Option aktivieren, werden Informationen zu dieser Regel im HIPS-Log gespeichert.
Benutzer informieren - In der rechten unteren Ecke wird ein kleines Fenster angezeigt, wenn ein Ereignis eintritt.
Die Regel besteht aus drei Teilen, mit denen die Bedingungen beschrieben werden, die die Anwendung dieser Regel auslösen.
· Quellanwendungen - Die Regel wird nur angewendet, wenn das Ereignis von diesen Anwendungen ausgelöst wird. Klicken Sie auf Hinzufügen zum Hinzufügen neuer Dateien oder Ordner.
· Vorgänge - Die Regel wird nur bei dieser Art Vorgang und für das ausgewählte Ziel angewendet. Aktivieren Sie die Kontrollkästchen der entsprechenden Vorgänge, oder aktivieren Sie die Option Für alle Vorgänge verwenden .
· Zieldateien/Zielanwendungen/Zielregistrierungseinträge - Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht.
HINWEIS: Bestimmte, von HIPS vordefinierte Regeln und die aus ihnen resultierenden Vorgänge können nicht blockiert werden, da sie standardmäßig zugelassen sind. Hinzu kommt, dass nicht alle Systemvorgänge von HIPS überwacht werden. HIPS überwacht Vorgänge, die als unsicher eingestuft werden könnten.
Das folgende Beispiel zeigt, wie unerwünschtes Verhalten von Anwendungen beschränkt wird:
1. Geben Sie der Regel einen Namen und wählen Sie Blockieren im Dropdown-Menü Aktion .
2. Öffnen Sie die Registerkarte Zielanwendungen . Lassen Sie die Registerkarte Quellanwendungen leer, um Ihre neue Regel auf alle Anwendungen zu beziehen, die versuchen, einen der in der Liste Vorgänge ausgewählten Vorgänge bei Anwendungen durchzuführen, die auf der Liste Über folgende Anwendungen stehen.
3. Wählen Sie Zustand anderer Anwendung ändern (alle Vorgänge werden nachstehend genauer beschrieben).
4. Fügen Sie eine oder mehrere Anwendungen hinzu, die Sie schützen möchten.
5. Wenn Sie die Option Benutzer informieren aktivieren, wird bei jeder Anwendung der Regel ein Benutzerhinweis angezeigt.
6. Klicken Sie auf OK, um die neue Regel zu speichern.
Beschreibungen der wichtigsten Vorgänge:
Zieldateien
· Datei löschen - Anwendung versucht, die Zieldatei zu löschen.
· In Datei schreiben - Anwendung versucht, in die Zieldatei zu schreiben.
· Direkter Zugriff auf Datenträger - Die Anwendung versucht, einen Datenträger auf nicht standardmäßige Art auszulesen oder zu beschreiben (die üblichen Windows-Verfahren werden umgangen). So könnten Dateien verändert werden, ohne dass die entsprechenden Regeln in Kraft treten. Verursacher dieses Vorgangs könnte Malware sein, die versucht, ihre Erkennung zu verhindern. Es könnte sich aber auch um Backup-Software handeln, die versucht, die genaue Kopie eines Datenträgers herzustellen, oder eine Partitionsverwaltung beim Versuch, Festplattenvolumes zu reorganisieren.
· Globalen Hook installieren - Aufruf der Funktion SetWindowsHookEx aus der MSDN-Bibliothek.
· Treiber laden - Lädt und installiert Treiber im System.
Zielanwendungen
· Debugging für andere Anwendung starten - Verknüpfen eines Debuggers mit dem Prozess. Beim Debuggen einer Anwendung können Informationen zu deren Verhalten angezeigt und verändert werden. Ebenso ist der Zugriff auf die Daten der Anwendung möglich.
· Ereignisse von anderer Anwendung abfangen - Die Quellanwendung versucht, für die Zielanwendung bestimmte Ereignisse abzufangen (Beispiel: ein Keylogger versucht, Ereignisse im Browser aufzuzeichnen).
· Andere Anwendung beenden/unterbrechen - Unterbricht einen Prozess bzw. setzt ihn fort oder beendet ihn (direkter Zugriff aus dem Process Explorer oder im Bereich „Prozesse“ möglich).
· Neue Anwendung starten - Starten neuer Anwendungen oder neuer Prozesse.
· Zustand anderer Anwendung ändern - Die Quellanwendung versucht, in den Speicher der Zielanwendung zu schreiben oder in ihrem Namen bestimmten Code auszuführen. Diese Funktion ist geeignet, um wichtige Anwendungen zu schützen, indem sie für eine Regel zum Blockieren des Vorgangs als Zielanwendungen konfiguriert werden.
Zielregistrierungseinträge
· Starteinstellungen ändern - Alle Veränderungen an Einstellungen, mit denen die Anwendungen festgelegt werden, die beim Windows-Start ausgeführt werden. Diese werden beispielsweise aufgeführt, wenn Sie den Schlüssel Run in der Windows-Registrierung aufrufen.
· Registrierungsinhalte löschen - Registrierungsschlüssel oder seinen Wert löschen.
· Registrierungsschlüssel umbenennen - Registrierungsschlüssel umbenennen.
· Registrierungsdatenbank ändern - Neue Werte für Registrierungsschlüssel erstellen, vorhandene Werte ändern, Daten im Verzeichnisbaum der Datenbank verschieben oder Benutzer- bzw. Gruppenrechte für Registrierungsschlüssel einrichten.
Wenn Teile der Informationen zur Quelle oder zum Ziel nicht angegeben werden, wird die Regel automatisch „für alle“ angewendet (für alle Quellanwendungen, für alle Vorgänge usw.).
Hinweis: Sie können eingeschränkt Platzhalter bei der Eingabe des Ziels verwenden. Anstatt eines bestimmten Schlüssels können Sie das Sonderzeichen * (Sternchen) im Registrierungspfad eingeben. HKEY_USERS\*\software kann zum Beispiel HKEY_USERS\.default\software bedeuten, jedoch nicht HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* ist kein gültiger Pfad für einen Registrierungsschlüssel. Enthält ein Registrierungspfad „\*“, bedeutet dies „dieser Pfad oder jeder untergeordnete Pfad nach diesem Symbol“. Nur auf diese Weise können Platzhalter für Zieldateien verwendet werden. Erst wird der angegebene Teil des Pfades überprüft, dann der Pfad nach dem Platzhalter (*).
---------------------------------
Erkennen von Eindringversuchen (IDS) und erweiterte Einstellungen (nur ESET Smart Security / Firewall)
In diesem Bereich können Sie erweiterte Filtereinstellungen festlegen, mit denen verschiedene Angriffsstrategien auf Ihren Computer erkannt werden können.
Zugelassene Dienste
· Datei- und Druckerfreigabe in der vertrauenswürdigen Zone zulassen - Remotecomputern in der vertrauenswürdigen Zone Zugriff auf Ihre freigegebenen Dateien und Drucker gewähren.
· UPNP in der vertrauenswürdigen Zone zulassen - Netzwerkgeräten automatische Konfiguration mit UPnP (Universal Plug and Play) erlauben.
· Eingehende RPC-Anfragen in vertrauenswürdiger Zone zulassen - Verbindungen über das RPC-DCOM-System von Microsoft in der vertrauenswürdigen Zone zulassen.
· Remotedesktopverbindungen in der vertrauenswürdigen Zone zulassen - Remotecomputern in der vertrauenswürdigen Zone das Herstellen von Remotedesktopverbindungen zu Ihrem Computer erlauben (bei Verwendung des Programms „Remotedesktopverbindung“ von Microsoft).
· Eingehende IGMP-Streams aus dem Internet zulassen - Erlaubt (zum Beispiel) Video-Streaming, das von Programmen generiert wird, die das IGMP-Protokoll verwenden.
· Inaktive TCP-Verbindungen aufrechterhalten - Zur ordnungsgemäßen Funktion einiger Anwendungen ist es erforderlich, dass die hergestellte TCP-Verbindung auch dann aufrechterhalten bleibt, wenn sie möglicherweise inaktiv ist. Aktivieren Sie diese Option, um zu vermeiden, dass inaktive TCP-Verbindungen beendet werden.
· Kommunikation für „bridged“ Verbindungen zulassen - Aktivieren Sie diese Option, um zu vermeiden, dass „bridged“ Verbindungen beendet werden.
· Antwort auf ARP-Anforderungen von außerhalb der vertrauenswürdigen Zone zulassen - Aktivieren Sie diese Option, um Systemantworten auf Adressauflösungsanfragen (ARP-Protokoll) zuzulassen. Diese Funktion ist wichtig für den Betrieb in einem lokalen Netzwerk und für die Weiterleitung von Internet-Datenverkehr über Gateways (Router) nach dem Next-Hop-Routingverfahren.
Vista/Windows 7-Dienste
· IPv6 Adressen des lokalen Netzwerks zur vertrauenswürdigen Zone hinzufügen - Alle Computer, die innerhalb eines LAN-Segments mit dem IPv6-Protokoll eine Verbindung herstellen, werden als vertrauenswürdige Zone eingestuft.
· Entdeckung von Web-Services-Anfragen (WSD) in der vertrauenswürdigen Zone zulassen - Lässt ein bestimmtes Internet-Verzeichnis bzw. einen bestimmten Link durch die Firewall. Ein Internet-Verzeichnis ist eine nach bestimmten Kriterien geordnete Liste von Links zu Websites.
· Multicast-Adressauflösung (LLMNR) in der vertrauenswürdigen Zone zulassen - LLMNR ist ein auf dem DNS-Paketformat basierendes Protokoll, mit dem sowohl IPv4- als auch IPv6-Hostcomputer Namensauflösungen für Rechner auf demselben lokalen Link durchführen können, ohne einen DNS-Server oder eine Konfiguration als DNS-Client zu benötigen. Mit dieser Option kann dieses Protokoll für den Datenverkehr durch die Firewall verwendet werden.
· Unterstützung für Windows 7 Heimnetzgruppe - Unterstützung für Windows-7-Heimnetzgruppe aktivieren. In einer Heimnetzgruppe können Dateien und Drucker in einem Heimnetzwerk freigegeben werden. Um die Heimnetzgruppe einzurichten, klicken Sie auf Start > Systemsteuerung > Netzwerk und Internet > Heimnetzgruppe.
Eindringversuche erkennen
· CodeRed-Wurm erkennen - Erkennung des CodeRed-Wurms aktivieren. Dieser Wurm nutzt eine Pufferüberlauf-Schwachstelle (Buffer Overflow), um sich zu verbreiten. Der Wurm nutzte eine Schwäche im Modul „Index Server“ aus, das über IIS (Internet Information Services) bereitgestellt wird.
· SqlSlammer-Wurm erkennen - Erkennung von Angriffen des SqlSlammer-Wurms aktivieren. Dieser Wurm führt DoS-Angriffe auf einige Internet-Hosts aus und verlangsamt allgemein den Datenverkehr über das Internet.
· RPC/DCOM-Angriff erkennen - Ist diese Option aktiviert, werden Angriffe auf die Microsoft-RPC-DCOM-Sicherheitslücke abgewehrt.
· Sasser-Wurm erkennen - Erkennung des Sasser-Wurms aktivieren. Dabei handelt es sich um einen weiteren Wurm, der Pufferuberläufe ausnutzt. Er befällt Computer mit angreifbaren Version von Windows XP/2000 und dringt über einen Windows LSASS-Port in das System ein.
· Conficker-Wurm erkennen - Erkennung des Conficker-Wurms aktivieren. Conficker greift Windows-Betriebssysteme über Schwachstellen in der Software an bzw. führt einen Wörterbuchangriff oder einen Brute-Force-Angriff auf Administratorpasswörter aus.
· ARP Poisoning-Angriffe erkennen - Der Angreifer sendet falsche Informationen an ein mit dem Netzwerk verbundenes Gerät. Im Anschluss daran kann der Angreifer jede beliebige IP-Adresse mit einer MAC-Adresse in Verbindung bringen und das Netzwerk mit mehreren Angriffsvektoren schädigen.
· DNS Poisoning-Angriffe erkennen - Mit der Technik „DNS Poisoning“ können Hacker DNS-Server beliebiger Computer über die Echtheit eingeschleuster Daten täuschen. Weitere Informationen zu diesem Angriffstyp finden Sie im Glossar.
· TCP Portscan-Angriffe erkennen - Beim Port Scanning wird ein Netzwerkhost auf offene Computerports untersucht, die ausgenutzt werden könnten. Weitere Informationen zu diesem Angriffstyp finden Sie im Glossar.
· UDP Portscan-Angriffe erkennen - Beim Port Scanning wird ein Netzwerkhost auf offene Computerports untersucht, die ausgenutzt werden könnten.
· SMB Relay-Angriffe erkennen - Bei diesem Angriffstyp können Angreifer die Datenkommunikation zwischen zwei Computern manipulieren. Weitere Informationen zu diesem Angriffstyp finden Sie im Glossar.
· Unsichere Adresse nach erkanntem Angriff blockieren - Beendet die Verbindung zu IP-Adressen, die als Angriffsquellen identifiziert wurden.
· Hinweis bei erkanntem Angriff anzeigen - Aktiviert die Hinweise im Infobereich der Taskleiste rechts unten auf dem Bildschirm.
Paketprüfung
· TCP-Verbindungsstatus prüfen - Überprüft, ob alle TCP-Pakete zu einer vorhandenen Verbindung gehören. Wenn ein Paket zu keiner Verbindung gehört, wird es verworfen.
· Denial of Service-Angriff auf TCP-Ebene erkennen - Diese Methode basiert darauf, den Computer/Server mehreren Anfragen auszusetzen - siehe auch Abschnitt DoS (Denial of Service-Angriffe).
· Eingehende TCP-/UDP-Pakete prüfen (Prüfsumme validieren) - Aktivieren Sie diese Option nur für Testzwecke. Diese Funktion überprüft die Prüfsumme eingehender TCP-/UDP-Pakete.
· Ausgehende TCP-/UDP-Pakete prüfen (Prüfsumme validieren) - Überprüft die Prüfsumme ausgehender TCP-/UDP-Pakete.
· ICMP-Nachrichten prüfen - Bei diesem Angriffstyp werden Schwachstellen des ICMP-Protokolls ausgenutzt. Weitere Informationen zu diesem Angriffstyp finden Sie im Glossar.
· Im ICMP-Protokoll verborgene Daten (covert channel) entdecken - Prüft, ob über ICMP Daten übermittelt werden. Es gibt viele Methoden, wie Daten maskiert und per IMCP an der Personal Firewall vorbeigeschleust werden können.
· Ausgehenden Spam erkennen - Ob der Computer Spam versendet, prüft diese Funktion daran, ob die Anzahl der Verbindungen zum SMTP-Server das normale Maß übersteigt.
Fehlerbehebung
· Alle blockierten Verbindungen in Log aufnehmen - Jedes Mal, wenn eine Verbindung blockiert wird, erfolgt ein Eintrag im Log
· Blockierte eingehende Verbindungsanfragen von Wurmangriffen in Log aufnehmen - Jedes Mal, wenn eine eingehende Verbindung eines Wurms blockiert wird, erfolgt ein Eintrag im Log.
------------------------------------
Heuristik - Als heuristische Methoden werden Verfahren bezeichnet, die (bösartige) Aktivitäten von Programmen analysieren. Auf diese Weise können auch bösartige Programme erkannt werden, die noch nicht in der Signaturdatenbank verzeichnet sind. Nachteilig ist, dass es in Einzelfällen zu Fehlalarmen kommen kann.
Advanced Heuristik/DNA/Smart-Signaturen - Als Advanced Heuristik werden besondere heuristische Verfahren bezeichnet, die von ESET entwickelt wurden, um eine verbesserte Erkennung von Würmern und Trojanern zu ermöglichen und Schadprogramme zu erkennen, die in höheren Programmiersprachen geschrieben wurden. Die Gesamterkennungsleistung wird durch Advanced Heuristik erheblich verbessert. Mit Hilfe von Signaturen können Viren zuverlässig erkannt werden. Mit automatischen Updates sind Signaturen für neue Bedrohungen innerhalb weniger Stunden verfügbar. Nachteilig an Signaturen ist, dass mit ihrer Hilfe nur bekannte Viren und gering modifizierte Varianten bekannter Viren erkannt werden können.
