Sophos Anti-Virus für Windows 2000+: Übersicht über das Host Intrusion Prevention System (HIPS)

  • Artikel-ID: 25044
  • Aktualisiert: 27 Jan 2012

Host Intrusion Prevention System (HIPS) ist ein Sicherheitsverfahren zum Schutz von Computern vor unbekannten Viren und verdächtigen Verhaltensmustern.

HIPS umfasst sowohl die Analyse vor der Ausführung als auch in der Laufzeit.

Betrifft die folgenden Sophos Produkte/Versionen:

Sophos Endpoint Security and Control 9.7
Sophos Endpoint Security and Control 10.0

Laufzeitverhaltensanalyse

Sophos Anti-Virus kann das Verhalten von Programmen analysieren, die auf dem System installiert sind. Die Laufzeitverhaltensanalyse besteht aus folgenden Komponenten:

Erkennung verdächtigen Verhaltens
Dynamische Analyse des Verhaltens aller auf einem System laufenden Programme zur Erkennung und Blockierung scheinbar schädlicher Aktivitäten. Darunter fallen Änderungen an der Registrierung, die zur automatischen Freisetzung eines Virus nach dem Neustart des Computers führen können.

Erkennung von Pufferüberläufen
Dynamische Analyse aller auf einem System laufenden Programme zur Erkennung von Pufferüberlauf-Attacken.

HINWEIS: Die Erkennung von Pufferüberläufen wurde von Sophos Endpoint Security and Control 9.7 nicht für Windows Vista und 64 -Bit-Versionen von Windows nicht unterstützt, da die Betriebssysteme von der "Data Execution Prevention" von Microsoft vor Pufferüberläufen geschützt werden.  In Sophos Endpoint Security and Control 10.x steht BOPS auch für die genannten Betriebssysteme zur Verfügung.

Analyse vor der Ausführung

Behavioral Genotype Protection

Überwachung von Code auf einem Computer und Blockieren von Schadcode. Im Gegensatz zu anderen Laufzeit-HIPS-Systemen, bei denen laufender Code überwacht wird und die dann eingreifen, wenn verdächtiges Verhalten vermutet wird, identifiziert die Behavioral Genotype Protection von Sophos schädliche Programme schon vor der Ausführung.

Erkennung verdächtiger Dateien

Sophos Anti-Virus kann ein System nach verdächtigen Dateien durchsuchen. Darunter sind solche Dateien zu verstehen, die für Malware typische Eigenschaften aufweisen, jedoch nicht als neuartige Malware erkannt wurden. Eine Datei, die für Malware typischen dynamischen Dekomprimierungscode enthält, kann beispielsweise als verdächtig eingestuft werden. Wenn On-Access-Scans aktiviert sind, wird eine verdächtige Datei gescannt, wenn ein Benutzer darauf klickt, um sie zu öffnen. Wenn das Scannen verdächtiger Dateien bei geplanten Scans aktiviert ist, erkennt Sophos Anti-Virus die Dateien noch bevor Benutzer versuchen, sie zu öffnen.

HIPS und Sophos Anti-Virus

  • Der Standardmodus der Verhaltenserkennung in Sophos Endpoint Security and Control 9.7 lautet Nur Alerts. Wenn Sie die Funktion nutzen möchten, müssen Sie sie zunächst konfigurieren.
  • Die HIPS-Einstellungen unter "Antivirus und HIPS" gelten nur für die On-Access-Scans.

Nach der Erstinstallation von Sophos Anti-Virus 9.7 werden Benachrichtigungen über verdächtiges Verhaltens angezeigt und an Enterprise Console gesendet. Die als verdächtig erkannten Programme werden jedoch nicht gesperrt.

Näheres zur Verwaltung von Alerts erfahren Sie unter Sophos Anti-Virus für Windows 2000+: Verwaltung der Erkennung von verdächtigen Dateien und verdächtigem Verhalten.

Siehe auch

HIPS-Praxistipps

Software-Hilfe
Konfigurieren von On-Access-Scans
Umgang mit Alerts oder verdächtigem Verhalten
Zulassen oder Sperren von Programmen
Zulassen verdächtiger Objekte

Dokumentation

Näheres zur Installation erfahren Sie in der Sophos Endpoint Security Netzwerk-Startup-Anleitung und der Sophos Endpoint Security Netzwerk-Upgrade-Anleitung.

Näheres zur Verwaltung erfahren Sie unter Sophos Anti-Virus für Windows 2000+: Verwaltung der Erkennung von verdächtigen Dateien und verdächtigem Verhalten.

 
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.

Artikel bewerten

Ungenügend Hervorragend

Anmerkungen