Kaspersky Endpoint Security für Windows (im Folgenden auch „Kaspersky Endpoint Security“) bietet dem Computer einen komplexen Schutz vor unterschiedlichen Bedrohungsarten, Netzwerkangriffen und betrügerischen Angriffen.
Die App ist nicht für den Einsatz in technologischen Prozessen vorgesehen, die automatisierte Steuerungssysteme beinhalten. Für den Schutz von Geräten in solchen Systemen wird die App Kaspersky Industrial CyberSecurity for Nodes empfohlen.
Die Update-Funktion (inklusive der Bereitstellung von Antiviren-Signatur- und Codebase-updates) sowie die KSN-Funktion werden in der Software im US-Territorium ab 10. September 2024, 00:00 Uhr (EDT), gemäß den einschränkenden Maßnahmen nicht mehr verfügbar sein.
Technologien zum Erkennen von Bedrohungen
Machine Learning Kaspersky Endpoint Security verwendet ein Modell, das auf Machine Learning basiert. Das Modell wird von Kaspersky entwickelt. Anschließend werden kontinuierlich Bedrohungsdaten aus KSN in das Modell eingespeist (Modelltraining). Cloud- Analyse Kaspersky Endpoint Security erhält von Kaspersky Security Network Daten über Bedrohungen. Kaspersky Security Network (KSN) ist eine Infrastruktur von Cloud-Diensten, die Zugriff auf eine ständig aktualisierte Kaspersky-Wissensdatenbank bietet. Diese Datenbank enthält Informationen zur Reputation von Dateien, Internet-Ressourcen und Programmen. Experten-Analyse Kaspersky Endpoint Security verwendet Bedrohungsdaten, die von den Virenanalysten von Kaspersky hinzugefügt werden. Die Virenanalysten bewerten Objekte, deren Reputation nicht automatisch ermittelt werden kann. |
Verhaltensanalyse Kaspersky Endpoint Security analysiert die Aktivität von Objekten in Echtzeit. Automatische Analyse Kaspersky Endpoint Security erhält Daten vom System für automatische Objektanalyse. Das System verarbeitet alle Objekte, die an Kaspersky gesendet werden. Dann ermittelt das System die Reputation des Objekts und fügt die Daten den Antiviren-Datenbanken hinzu. Wenn das System die Reputation des Objekts nicht ermitteln kann, stellt das System Anfragen an die Kaspersky-Virenanalysten. Kaspersky Sandbox Kaspersky Endpoint Security verarbeitet das Objekt auf einer virtuellen Maschine. „Kaspersky Sandbox“ analysiert das Verhalten des Objekts und entscheidet über seine Reputation. Diese Technologie ist nur verfügbar, wenn Sie die Lösung „Kaspersky Sandbox“ verwenden. Cloud Sandbox Kaspersky Endpoint Security untersucht Objekte in einer isolierten Umgebung, die von Kaspersky bereitgestellt wird. Die Technologie „Cloud Sandbox“ ist ständig aktiviert und steht allen Benutzern von Kaspersky Security Network zur Verfügung, unabhängig vom Typ der genutzten Lizenz. Wenn Sie "Endpoint Detection and Response Optimum" schon bereitgestellt haben, können Sie einen separaten Indikator für durch "Cloud Sandbox" erkannte Bedrohungen aktivieren. |
Auswahlstruktur
Jeder Bedrohungstyp wird von einer bestimmten Programmkomponente verarbeitet. Die Komponenten können unabhängig voneinander aktiviert und deaktiviert sowie über ihre Einstellungen angepasst werden.
Auswahlstruktur
Abschnitt |
Komponente |
---|---|
Basisschutz |
Schutz vor bedrohlichen Dateien Die Komponente „Schutz vor bedrohlichen Dateien“ schützt das Dateisystem des Computers vor einer Infektion. Die Komponente „Schutz vor bedrohlichen Dateien“ befindet sich standardmäßig permanent im Arbeitsspeicher des Computers. Die Komponente untersucht die Dateien auf allen Laufwerken des Computers sowie auf verbundenen Datenträgern. Die Komponente schützt den Computer mithilfe der Antiviren-Datenbanken, des Cloud-Dienstes Kaspersky Security Network und der heuristischen Analyse. Schutz vor Web-Bedrohungen Die Komponente „Schutz vor Web-Bedrohungen“ verhindert den Download schädlicher Dateien aus dem Internet und blockiert schädliche Websites und Phishing-Websites. Die Komponente schützt den Computer mithilfe der Antiviren-Datenbanken, des Cloud-Dienstes Kaspersky Security Network und der heuristischen Analyse. Schutz vor E-Mail-Bedrohungen Die Komponente „Schutz vor E-Mail-Bedrohungen“ untersucht, ob in den Anlagen der ein- und ausgehenden E-Mail-Nachrichten Viren und andere bedrohliche Programme enthalten sind. Die Komponente „Schutz vor E-Mail-Bedrohungen“ befindet sich standardmäßig permanent im Arbeitsspeicher des Computers und untersucht alle Nachrichten, die mit den Protokollen POP3, SMTP, IMAP und NNTP oder im Mail-Client Microsoft Office Outlook (MAPI) empfangen oder gesendet werden. Die Komponente schützt den Computer mithilfe der Antiviren-Datenbanken, des Cloud-Dienstes Kaspersky Security Network und der heuristischen Analyse. Schutz vor Netzwerkbedrohungen Die Komponente „Schutz vor Netzwerkbedrohungen“ (IDS, Intrusion Detection System) überwacht den eingehenden Netzwerkverkehr auf Aktivität, die für Netzwerkangriffe typisch ist. Wenn Kaspersky Endpoint Security einen Netzwerkangriff auf den Computer erkennt, sperrt das Programm die Netzwerkverbindung mit dem angreifenden Computer. Beschreibungen der derzeit bekannten Arten von Netzwerkangriffen und entsprechende Abwehrmethoden sind in den Datenbanken von Kaspersky Endpoint Security enthalten. Die Liste der Netzwerkangriffe, die von der Komponente „Schutz vor Netzwerkbedrohungen“ erkannt werden, wird beim Update der Datenbanken und Programm-Module aktualisiert. Firewall Die „Firewall“ blockiert nicht autorisierte Verbindungen mit dem Computer, wenn das Internet oder ein lokales Netzwerk verwendet wird. Die „Firewall“ kontrolliert auch die Netzwerkaktivität der Programme auf dem Computer. Dadurch wird das lokales Unternehmensnetzwerk vor dem Diebstahl persönlicher Daten und anderen Angriffen geschützt. Die Komponente schützt den Computer mithilfe der Antiviren-Datenbanken, des Cloud-Dienstes Kaspersky Security Network und der vordefinierten Netzwerkregeln. Schutz vor modifizierten USB-Geräten Die Komponente „Schutz vor modifizierten USB-Geräten“ verhindert, dass modifizierte USB-Geräte, die eine Tastatur simulieren, mit dem PC verbunden werden. AMSI-Schutz Die AMSI-Schutz-Komponente ist für die Unterstützung der Microsoft-Schnittstelle für „Antimalware Scan Interface“ vorgesehen. Mithilfe Schnittstelle für Antimalware Scan Interface (AMSI) können Dritthersteller-Anwendungen, die AMSI unterstützen, Objekte (z. B. PowerShell-Skripte) für eine zusätzliche Untersuchung an Kaspersky Endpoint Security senden und Untersuchungsergebnisse für diese Objekte erhalten. |
Erweiterter Schutz |
Kaspersky Security Network Kaspersky Security Network (KSN) ist eine Infrastruktur von Cloud-Diensten, die Zugriff auf eine ständig aktualisierte Kaspersky-Wissensdatenbank bietet. Diese Datenbank enthält Informationen zur Reputation von Dateien, Internet-Ressourcen und Programmen. Durch die Nutzung von Daten aus Kaspersky Security Network wird die Reaktion von Kaspersky Endpoint Security auf unbekannte Bedrohungen beschleunigt und die Leistungsfähigkeit bestimmter Schutzkomponenten erhöht. Außerdem reduziert sich das Risiko von Fehlalarmen. Wenn Sie an Kaspersky Security Network teilnehmen, erhält das Programm Kaspersky Endpoint Security von den KSN-Diensten Informationen über die Kategorie und die Reputation untersuchter Dateien, sowie Informationen über die Reputation untersuchter Webadressen. Verhaltensanalyse Die Komponente „Verhaltensanalyse“ empfängt Daten über die Aktionen der Programme auf Ihrem Computer und versorgt andere Schutzkomponenten mit diesen Informationen, um deren Effektivität zu erhöhen. Die Komponente „Verhaltensanalyse“ verwendet Vorlagen für gefährliches Programmverhalten. Stimmt die Aktivität eines Programms mit einer der Aktivitäten aus den Vorlagen für gefährliches Verhalten überein, so führt Kaspersky Endpoint Security die ausgewählte Reaktion aus. Diese Funktionalität von Kaspersky Endpoint Security, die auf Vorlagen für gefährliches Verhalten beruht, bietet einen proaktiven Computerschutz. Exploit-Prävention Die Komponente „Exploit-Prävention“ überwacht Programmcode, der mithilfe eines Exploits Schwachstellen eines Computers ausnutzt, um dadurch Administratorrechte zu erhalten oder schädliche Aktionen auszuführen. Exploits können beispielsweise einen Angriff mit Überlauf der Zwischenablage verwenden. Dazu sendet der Exploit große Datenvolumen an ein verwundbares Programm. Bei der Verarbeitung dieser Daten führt das verwundbare Programm schädlichen Code aus. Aufgrund dieses Angriffs kann der Exploit eine nicht autorisierte Installation von Schadsoftware starten. Wenn der Startversuch einer ausführbaren Datei aus einem verwundbaren Programm nicht vom Benutzer ausgeführt wurde, blockiert Kaspersky Endpoint Security den Start dieser Datei oder informiert den Benutzer. Programm-Überwachung Die Komponente „Programm-Überwachung“ (HIPS, Host Intrusion Prevention System) hindert Programme daran, systemgefährdende Aktionen auszuführen, und kontrolliert den Zugriff auf Betriebssystemressourcen und persönliche Daten. Die Komponente schützt den Computer mithilfe der Antiviren-Datenbanken und des Cloud-Dienstes Kaspersky Security Network Rollback von schädlichen Aktionen Mithilfe der Komponente „Rollback von schädlichen Aktionen“ kann Kaspersky Endpoint Security Aktionen rückgängig machen, die von schädlichen Programmen im Betriebssystem ausgeführt wurden. |
Sicherheitskontrolle |
Programmkontrolle Die „Programmkontrolle“ verwaltet den Start von Programmen auf den Benutzercomputern. Dadurch wird ermöglicht, die Sicherheitsrichtlinie des Unternehmens bei der Verwendung von Programmen zu erfüllen. Außerdem reduziert die „Programmkontrolle“ das Risiko einer Infektion des Computers. Dazu wird der Zugriff auf Programme beschränkt. Gerätekontrolle Die „Gerätekontrolle“ verwaltet den Zugriff von Benutzern auf die Geräte, die installiert oder mit dem Computer verbunden sind (z. B. auf Festplatten, Kamera oder WLAN-Modul). Bei einer Verbindung mit diesen Geräten kann der Computer so vor einer Infektion geschützt werden, und Datenverlust oder Datendiebstahl lassen sich verhindern. Web-Kontrolle Die „Web-Kontrolle“ verwaltet den Zugriff durch Benutzer auf Webressourcen. Dadurch lässt sich Datenverkehr einsparen und die zweckentfremdete Nutzung der Arbeitszeit reduzieren. Wenn ein Benutzer versucht, eine durch die „Web-Kontrolle“ beschränkte Website zu öffnen, blockiert Kaspersky Endpoint Security den Zugriff und zeigt eine Warnung an. Adaptive Kontrolle von Anomalien Die Komponente „Adaptive Kontrolle von Anomalien“ überwacht und blockiert Aktionen, die für Computer des Unternehmensnetzwerks untypisch sind. Zur Überwachung von untypischen Aktionen verwendet die „Adaptive Kontrolle von Anomalien“ eine Auswahl von Regeln (z. B. die Regel Start von Windows PowerShell aus einem Office-Programm). Die Regeln wurden von den Kaspersky-Spezialisten auf Basis typischer Szenarien für schädliche Aktivitäten erstellt. Sie können ein Verhalten der „Adaptiven Kontrolle von Anomalien“ für jede einzelne Regeln auswählen und beispielsweise den Start von PowerShell-Skripten erlauben, um die Lösung von Unternehmensaufgaben zu automatisieren. Kaspersky Endpoint Security aktualisiert den Regelsatz aus den Programm-Datenbanken. Protokollanalyse Die Protokollanalyse überwacht die Integrität der geschützten Umgebung basierend auf den Ergebnissen der Windows-Ereignisprotokollanalyse. When the application detects signs of atypical behavior in the system, it informs the administrator, as this behavior may indicate an attempted cyber attack. Überwachung der Datei-Integrität Die Überwachung der Datei-Integrität erkennt Änderungen an Objekten (Dateien und Ordnern) in einem bestimmten Überwachungsbereich. Diese Änderungen können auf eine Verletzung der Computersicherheit hinweisen. Wenn Objektänderungen erkannt werden, informiert das Programm den Administrator. |
Aufgaben |
Schadsoftware-Untersuchung Kaspersky Endpoint Security untersucht den Computer auf Viren und andere Bedrohungen. Die „Schadsoftware-Untersuchung“ hilft, eine Ausbreitung von Schadsoftware auszuschließen, die nicht von den Schutzkomponenten erkannt wurde, beispielsweise aufgrund einer niedrigen Sicherheitsstufe. Update Kaspersky Endpoint Security lädt aktualisierte Datenbanken und Programm-Module. Dadurch befindet sich der Schutz des Computers vor Viren und anderen Schadprogrammen stets auf dem neuesten Stand. Standardmäßig wird das Programm automatisch aktualisiert. Bei Bedarf können Datenbanken und Programm-Module jedoch jederzeit manuell aktualisiert werden. Rollback des letzten Updates Kaspersky Endpoint Security macht das letzte Update der Datenbanken und Programm-Module rückgängig. Dadurch besteht die Möglichkeit, bei Bedarf zur Verwendung der vorherigen Datenbanken und Programm-Module zurückzukehren. Dies ist beispielsweise nützlich, wenn die neue Datenbankversion eine fehlerhafte Signatur enthält, welche dazu führt, dass Kaspersky Endpoint Security ein harmloses Programm blockiert. Integritätsprüfung Kaspersky Endpoint Security überprüft, ob die Programm-Module, die sich im Installationsordner des Programms befinden, Beschädigungen oder Änderungen aufweisen. Besitzt ein Programm-Modul eine inkorrekte digitale Signatur, so gilt das Modul als beschädigt. |
Datenverschlüsselung |
Dateien verschlüsseln Mit dieser Komponente können Regeln zur Dateiverschlüsselung erstellt werden. Sie können vordefinierte Ordner für die Verschlüsselung auswählen, einen Ordner manuell auswählen oder bestimmte Dateien nach Erweiterung auswählen. Vollständige Festplattenverschlüsselung Mit dieser Komponente kann die Festplatte mithilfe der Kaspersky-Festplattenverschlüsselung oder BitLocker-Laufwerkverschlüsselung verschlüsselt werden. Verschlüsselung von Wechseldatenträgern Mit dieser Komponente können Daten auf Wechseldatenträgern geschützt werden. Sie können die „Vollständige Festplattenverschlüsselung“ (FDE) oder die „Verschlüsselung von Dateien“ (FLE) verwenden. |
Detection and Response |
Endpoint Detection and Response Optimum Integrierter Agent für die Lösung „Kaspersky Endpoint Detection and Response Optimum“ (im Folgenden auch „EDR Optimum“ genannt). Die Lösung Kaspersky Endpoint Detection and Response schützt die IT-Infrastruktur eines Unternehmens vor komplexen Cyberbedrohungen. Diese Lösung kombiniert die automatische Erkennung von Bedrohungen mit der Fähigkeit, auf diese Bedrohungen zu reagieren. Dadurch lassen sich komplexe Angriffen wie neue Exploits, Ransomware, dateilose Angriffe und Methoden mit legitimen Systemtools abwehren. Weitere Informationen zu dieser Lösung finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum. Endpoint Detection and Response Expert Integrierter Agent für die Lösung „Kaspersky Endpoint Detection and Response Expert“ (im Folgenden auch „EDR Expert“ genannt). Im Vergleich zu „EDR Optimum“ bietet „EDR Expert“ eine erweiterte Funktionalität zur Überwachung von und zur Reaktion auf Bedrohungen. Weitere Informationen zu dieser Lösung finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Expert. Kaspersky Sandbox Integrierter Agent für die Lösung „Kaspersky Sandbox“. Die „Kaspersky Sandbox“-Lösung erkennt und blockiert automatisch komplexe Bedrohungen auf Computern. „Kaspersky Sandbox“ analysiert das Verhalten von Objekten, um schädliche Aktivitäten zu erkennen sowie Aktivitäten, die für gezielte Angriffe auf die IT-Infrastruktur eines Unternehmens charakteristisch sind. „Kaspersky Sandbox“ analysiert und untersucht Objekte auf speziellen Servern, auf denen virtuelle Abbilder von Microsoft Windows-Betriebssystemen bereitstehen („Kaspersky Sandbox“-Server). Einzelheiten zu dieser Lösung finden Sie in der Hilfe zu „Kaspersky Sandbox“. Managed Detection and Response Integrierter Agent zur Unterstützung der Lösung „Kaspersky Managed Detection and Response“. Die Lösung Kaspersky Managed Detection and Response (MDR) erkennt und analysiert automatisch Sicherheitsvorfälle in Ihrer Infrastruktur. Zu diesem Zweck verwendet MDR von Endpunkten bereitgestellte Telemetriedaten sowie maschinelles Lernen. MDR sendet Vorfalldaten an die Kaspersky-Experten. Die Experten können den Vorfall dann bearbeiten und beispielsweise einen neuen Eintrag zu den Antiviren-Datenbanken hinzufügen. Alternativ können die Experten Tipps zum Umgang mit dem Vorfall geben und beispielsweise vorschlagen, bestimmte Computer vom Netzwerk zu isolieren. Ausführliche Informationen zur Funktionsweise der Lösung finden Sie in der Hilfe zu „Kaspersky Managed Detection and Response“. |