Die Untersuchung ist ein wichtiger Faktor für die Gewährleistung der Computersicherheit. Schadsoftware-Untersuchungen sollten regelmäßig durchgeführt werden, um eine mögliche Ausbreitung von schädlichen Programmen auszuschließen, die von den Schutzkomponenten beispielsweise aufgrund einer zu niedrigen Schutzstufe nicht erkannt wurden. Die Komponente schützt den Computer mithilfe der Antiviren-Datenbanken, des Cloud-Dienstes Kaspersky Security Network und der heuristischen Analyse.
In Kaspersky Endpoint Security gibt es die folgenden vordefinierten Standardaufgaben: Vollständige Untersuchung, Untersuchung wichtiger Bereiche, Benutzerdefinierte Untersuchung. Wenn in Ihrem Unternehmen das Administrationssystem von Kaspersky Security Center bereitgestellt wurde, können Sie eine Schadsoftware-Untersuchung erstellen und die Untersuchung anpassen. Die Aufgabe Untersuchung im Hintergrund ist auch in Kaspersky Security Center verfügbar. Die Untersuchung im Hintergrund kann nicht angepasst werden.
So führen Sie eine Untersuchungsaufgabe in der Verwaltungskonsole (MMC) aus
So führen Sie eine Untersuchungsaufgabe in „Web Console“ und „Cloud Console“ aus
So führen Sie eine Untersuchungsaufgabe in der Programmoberfläche aus
Als Ergebnis untersucht Kaspersky Endpoint Security den Computer und führt bei Erkennung einer Bedrohung die in den App-Einstellungen festgelegte Aktion aus. Normalerweise versucht die App, infizierte Dateien zu desinfizieren. Infizierte Dateien können dabei die folgenden Status erhalten:
Untersuchungseinstellungen
Einstellung |
Beschreibung |
---|---|
Sicherheitsstufe |
Kaspersky Endpoint Security kann verschiedene Gruppen von Einstellungen für die Ausführung einer Untersuchung verwenden. Diese Einstellungsgruppen, die im Programm gespeichert sind, werden Sicherheitsstufen genannt:
Sie können eine der vordefinierten Sicherheitsstufen wählen oder die Einstellungen einer Sicherheitsstufe anpassen. Nachdem Sie die Einstellungen einer Sicherheitsstufe geändert haben, können Sie die empfohlenen Einstellungen der Sicherheitsstufe jederzeit wiederherstellen. |
Aktion beim Fund einer Bedrohung |
Desinfizieren, löschen, wenn Desinfektion fehlschlägt. Bei Auswahl dieser Option versucht das Programm automatisch, alle gefundenen infizierten Dateien zu desinfizieren. Wenn die Desinfektion nicht möglich ist, werden die Dateien vom Programm gelöscht. Desinfizieren, blockieren, wenn Desinfektion fehlschlägt. Bei Auswahl dieser Option versucht Kaspersky Endpoint Security automatisch, alle gefundenen infizierten Dateien zu desinfizieren. Ist eine Desinfektion nicht möglich, so fügt Kaspersky Endpoint Security Informationen über die gefundenen infizierten Dateien zur Liste der aktiven Bedrohungen hinzu. Informieren. Wenn diese Variante ausgewählt ist, fügt Kaspersky Endpoint Security beim Fund von infizierten Dateien Informationen über diese Dateien zur Liste der aktiven Bedrohungen hinzu. Bevor versucht wird, eine infizierte Datei zu desinfizieren oder zu löschen, erstellt das Programm eine Sicherungskopie der Datei für den Fall, dass Sie die Datei wiederherstellen müssen oder wenn sie in Zukunft desinfiziert werden kann. Beim Fund infizierter Dateien, die Teile einer App aus dem Windows Store sind, versucht Kaspersky Endpoint Security, die Datei zu löschen. |
Aktive Desinfektion sofort ausführen (nur in der Konsole von Kaspersky Security Center verfügbar) |
Wenn auf dem Computer eine Untersuchungsaufgabe ausgeführt wird, erfolgt nur dann eine aktive Desinfektion, wenn in den Eigenschaften der Richtlinie, die für diesen Computer gilt, die Aktive Desinfektion aktiviert ist. Wenn das Kontrollkästchen aktiviert ist, desinfiziert Kaspersky Endpoint Security die aktive Infektion sofort, nachdem diese während einer Untersuchungsaufgabe erkannt wurde. Nachdem die aktive Infektion desinfiziert wurde, startet Kaspersky Endpoint Security den Computer neu, ohne den Benutzer zuvor zu benachrichtigen. Wenn das Kontrollkästchen deaktiviert ist, desinfiziert Kaspersky Endpoint Security die aktive Infektion nicht sofort, nachdem diese während einer Untersuchungsaufgabe erkannt wurde. Kaspersky Endpoint Security generiert Ereignisse über aktive Infektionen in lokalen Programmberichten und in Kaspersky Security Center. In diesem Fall kann die aktive Infektion desinfiziert werden, wenn die Untersuchungsaufgabe erneut ausgeführt wird und dabei die Funktion „Aktive Desinfektion“ aktiviert ist. Auf diese Weise kann der Systemadministrator einen geeigneten Zeitpunkt für die „Aktive Desinfektion“ und den anschließenden automatischen Neustart des Computers wählen. |
Untersuchungsbereich |
Liste der Objekte, die im Rahmen einer Untersuchungsaufgabe von Kaspersky Endpoint Security untersucht werden. Zu den Objekten innerhalb des Untersuchungsbereichs können der Kernel-Speicher, laufende Prozesse, Bootsektoren, System-Backup-Speicher, Mail-Datenbanken, Festplatte, Wechseldatenträger oder Netzlaufwerk, Ordner oder Datei gehören. |
Untersuchungszeitplan |
Manuell. Ein Ausführungsmodus, bei dem die Untersuchung manuell zu einem für Sie geeigneten Zeitpunkt gestartet werden kann. Nach Zeitplan. In diesem Startmodus für die Untersuchungsaufgabe führt das Programm die Untersuchungsaufgabe nach dem von Ihnen erstellten Zeitplan aus. Bei Auswahl dieses Startmodus für die Untersuchungsaufgabe können Sie die Untersuchungsaufgabe auch manuell starten. |
Ausführung nach Programmstart aufschieben für n Minuten |
Der Start der Untersuchungsaufgabe wird nach dem Programmstart aufgeschoben. Da beim Start des Betriebssystems viele Prozesse ausgeführt werden, ist es vorteilhaft, die Untersuchungsaufgabe aufzuschieben, anstatt sie sofort nach dem Start von Kaspersky Endpoint Security auszuführen. |
Übersprungene Aufgaben ausführen |
Ist das Kontrollkästchen aktiviert, startet Kaspersky Endpoint Security eine übersprungene Untersuchungsaufgabe, sobald dies möglich ist. Die Untersuchungsaufgabe kann z. B. übersprungen werden, wenn der Computer zur geplanten Startzeit der Untersuchungsaufgabe ausgeschaltet war. Wenn dieses Kontrollkästchen deaktiviert ist, startet Kaspersky Endpoint Security übersprungene Aufgaben nicht. Stattdessen führt es die nächste Untersuchungsaufgabe gemäß dem aktuellen Zeitplan aus. |
Nur ausführen, wenn der Computer inaktiv ist |
Verschiebt den Start der Untersuchungsaufgabe, wenn die Computerressourcen ausgelastet sind. Kaspersky Endpoint Security startet die Untersuchungsaufgabe, wenn der Computer gesperrt oder der Bildschirmschoner eingeschaltet ist. Wenn Sie die Aufgabenausführung unterbrochen haben (z. B. den Computer entsperrt haben), führt Kaspersky Endpoint Security die Aufgabe automatisch aus und setzt sie an der Stelle fort, an der sie unterbrochen wurde. |
Untersuchung ausführen als |
Standardmäßig wird die Untersuchungsaufgabe im Namen des Benutzers ausgeführt, mit dessen Rechten Sie im Betriebssystem registriert sind. Der Schutzbereich kann Netzlaufwerke und andere Objekte enthalten, die besondere Zugriffsrechte erfordern. Sie können in den Programmeinstellungen einen Benutzer angeben, der über die erforderlichen Rechte verfügt, und die Untersuchungsaufgabe unter dem Konto dieses Benutzers ausführen. |
Dateitypen |
Dateien ohne Erweiterung werden von Kaspersky Endpoint Security als ausführbar betrachtet. Ausführbare Dateien werden vom Programm immer untersucht, unabhängig davon, welchen Dateityp Sie für die Untersuchung ausgewählt haben. Alle Dateien. Bei Auswahl dieser Option untersucht Kaspersky Endpoint Security ausnahmslos alle Dateien (unabhängig von Format und Erweiterung). Dateien nach Format untersuchen. Bei Auswahl dieser Option untersucht das Programm nur potenziell infizierbare Dateien. Bevor eine Datei auf Schadcode untersucht wird, wird die interne Kopfzeile im Hinblick auf das Dateiformat analysiert (z. B. txt, doc, exe). Während der Untersuchung werden auch Dateien mit bestimmtem Dateierweiterungen gesucht. Dateien nach Erweiterung untersuchen. Bei Auswahl dieser Option untersucht das Programm nur potenziell infizierbare Dateien. Das Dateiformat wird auf Basis der Dateierweiterung ermittelt. Kaspersky Endpoint Security untersucht Dateien standardmäßig aufgrund ihres Formats. Eine Untersuchung von Dateien nach deren Erweiterung ist weniger sicher, denn eine bösartige Datei kann auch eine Erweiterung haben, die nicht als potenziell infizierbar gelistet ist (z. B. |
Nur neue und veränderte Dateien untersuchen |
Untersucht nur neue Dateien und jene Dateien, die seit ihrer letzten Untersuchung verändert wurden. Dadurch lässt sich die Untersuchungsdauer reduzieren. Dieser Untersuchungsmodus erstreckt sich auf gewöhnliche und zusammengesetzte Dateien. |
Objekte überspringen, deren Untersuchung länger dauert als n Sekunde(n) |
Dadurch wird ein Zeitlimit für die Untersuchung eines einzelnen Objekts festgelegt. Nach Ablauf des festgelegten Zeitraums bricht das Programm die Dateiuntersuchung ab. Dadurch lässt sich die Untersuchungsdauer reduzieren. |
Nicht mehrere Untersuchungsaufgaben gleichzeitig ausführen |
Aufgeschobener Start von Untersuchungsaufgaben, wenn bereits eine Untersuchungsaufgabe ausgeführt wird. Kaspersky Endpoint Security reiht neue Untersuchungsaufgaben in die Warteschlange ein, wenn die laufende Untersuchung fortgesetzt wird. Dadurch wird die Auslastung des Computers optimiert. Beispiel: Das Programm hat nach Zeitplan eine vollständige Untersuchungsaufgabe gestartet. Wenn ein Benutzer versucht, eine schnelle Untersuchung über die Programmoberfläche zu starten, stellt Kaspersky Endpoint Security diese Aufgabe zur schnellen Untersuchung in die Warteschlange und startet diese Aufgabe automatisch, nachdem die vollständige Untersuchungsaufgabe abgeschlossen wurde. Eine Untersuchungsaufgabe wird aber sofort gestartet, auch wenn eine der folgenden Untersuchungsaufgaben bereits ausgeführt wird:
Wenn dieses Kontrollkästchen deaktiviert ist, erlaubt Kaspersky Endpoint Security den gleichzeitigen Start mehrere Untersuchungsaufgaben. Die Ausführung mehrere Untersuchungsaufgaben erfordert mehr Computerressourcen. |
Archive untersuchen |
Untersuchung von ZIP, GZIP, BZIP, RAR, TAR, ARJ, CAB, LHA, JAR, ICE und anderen Archiven. Das Programm untersucht Archive nicht nur nach Erweiterungen, sondern auch nach Format. Bei der Untersuchung von Archiven führt die App das Entpacken rekursiv durch. Dadurch können Bedrohungen in mehrstufigen Archiven erkannt werden (Archive innerhalb eines Archivs). |
Programmpakete untersuchen |
Dieses Kontrollkästchen aktiviert / deaktiviert die Untersuchung der Programmpakete von Drittherstellern. |
Dateien in Microsoft Office-Formaten untersuchen |
Untersucht Microsoft Office-Dateien (DOC, DOCX, XLS, PPT und andere Microsoft-Erweiterungen). Office-Format-Dateien enthalten auch OLE-Objekte. Dateien im Office-Format, die kleiner als 1 MB sind, werden unabhängig vom Status dieses Kontrollkästchens durch Kaspersky Endpoint Security untersucht. |
E-Mail-Formate untersuchen |
Untersuchung von Dateien E-Mail-Formaten und E-Mail-Datenbanken. Die App untersucht PST- und OST-Dateien, die von den Mail-Clients MS Outlook und Windows Mail verwendet werden, sowie auch EML-Dateien. Kaspersky Endpoint Security unterstützt die 64-Bit-Version des E-Mail-Clients MS Outlook nicht. Das bedeutet: Kaspersky Endpoint Security untersucht MS Outlook-Dateien (PST- und OST-Dateien) nicht, wenn eine 64-Bit-Version von MS Outlook auf dem Computer installiert ist. Dies gilt auch, wenn E-Mails zum Untersuchungsbereich gehören. Ist dieses Kontrollkästchen aktiviert, zerlegt Kaspersky Endpoint Security die Mailformat-Datei und untersucht die einzelnen Komponenten (Kopfzeile, Text, Anhänge) auf Bedrohungen. Ist dieses Kontrollkästchen deaktiviert, untersucht Kaspersky Endpoint Security die Mailformat-Datei wie eine einzelne Datei. |
Kennwortgeschützte Archive untersuchen |
Ist dieses Kontrollkästchen aktiviert, werden kennwortgeschützte Archive vom Programm untersucht. Dabei erfolgt eine Kennwortabfrage, bevor Dateien untersucht werden, die in einem Archiv enthalten sind. Ist dieses Kontrollkästchen deaktiviert, werden kennwortgeschützte Archive bei der Untersuchung vom Programm übersprungen. |
Große zusammengesetzte Dateien nicht entpacken |
Ist dieses Kontrollkästchen aktiviert, werden zusammengesetzte Dateien, welche die festgelegte Größe überschreiten, nicht untersucht. Ist dieses Kontrollkästchen deaktiviert, werden zusammengesetzte Dateien unabhängig von ihrer Größe durch das Programm untersucht. Große Dateien, die aus Archiven extrahiert werden, werden unabhängig vom Status dieses Kontrollkästchens durch das Programm untersucht. |
Machine Learning und Signaturanalyse |
Bei der Untersuchungsmethode Maschinelles Lernen und Signaturanalyse werden die Datenbanken von Kaspersky Endpoint Security verwendet, die Beschreibungen bekannter Bedrohungen und entsprechende Desinfektionsmethoden enthalten. Die Verwendung dieser Untersuchungsmethode gewährleistet die minimal zulässige Sicherheitsstufe. Aufgrund von Empfehlungen der Kaspersky-Experten ist die Untersuchungsmethode Maschinelles Lernen und Signaturanalyse immer aktiviert. |
Heuristische Analyse |
Technologie zum Erkennen von Bedrohungen, die nicht mithilfe der aktuellen Version der Datenbanken für Programme von Kaspersky festgestellt werden können. Ermöglicht die Erkennung von Dateien, die einen unbekannten Virus oder eine neue Modifikation eines bekannten Virus enthalten. Während der Untersuchung der Dateien auf bösartigen Code führt die heuristische Analyse die Anweisungen in den ausführbaren Dateien aus. Die Anzahl der Anweisungen, die von der heuristischen Analyse ausgeführt werden, sind von der für die heuristische Analyse festgelegten Ebene abhängig. Die Ebene der heuristischen Analyse regelt das Verhältnis zwischen der Ausführlichkeit der Suche nach neuen Bedrohungen, der Belastungsstufe der Betriebssystemressourcen und der Dauer der heuristischen Analyse. |
iSwift-Technologie (nur in der Verwaltungskonsole (MMC) und in der Benutzeroberfläche von Kaspersky Endpoint Security verfügbar) |
Eine Technologie, die eine Steigerung der Untersuchungsgeschwindigkeit erlaubt, indem bestimmte Dateien ausgeschlossen werden. Dateien werden nach einem speziellen Algorithmus von der Untersuchung ausgeschlossen. Dabei werden das Erscheinungsdatum der Datenbanken von Kaspersky Endpoint Security, das Datum der letzten Untersuchung einer Datei und Veränderungen der Untersuchungseinstellungen berücksichtigt. Die Technologie iSwift ist eine Weiterentwicklung der iChecker-Technologie für das NTFS-Dateisystem. |
iChecker-Technologie (nur in der Verwaltungskonsole (MMC) und in der Benutzeroberfläche von Kaspersky Endpoint Security verfügbar) |
Eine Technologie, die eine Steigerung der Untersuchungsgeschwindigkeit erlaubt, indem bestimmte Dateien ausgeschlossen werden. Dateien werden nach einem speziellen Algorithmus von der Untersuchung ausgeschlossen. Dabei werden das Erscheinungsdatum der Datenbanken von Kaspersky Endpoint Security, das Datum der letzten Untersuchung einer Datei und Veränderungen der Untersuchungseinstellungen berücksichtigt. Die Technologie iChecker besitzt folgende Einschränkungen: Sie funktioniert nicht mit umfangreichen Dateien und kann nur auf Dateien angewendet werden, deren Struktur dem Programm bekannt ist (z. B. auf Dateien der Formate EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR). |