Ab Version 11.7.0 enthält Kaspersky Endpoint Security für Windows einen integrierten Agenten zur Integration mit der Lösung Kaspersky Sandbox. Die „Kaspersky Sandbox“-Lösung erkennt und blockiert automatisch komplexe Bedrohungen auf Computern. „Kaspersky Sandbox“ analysiert das Verhalten von Objekten, um schädliche Aktivitäten zu erkennen sowie Aktivitäten, die für gezielte Angriffe auf die IT-Infrastruktur eines Unternehmens charakteristisch sind. „Kaspersky Sandbox“ analysiert und untersucht Objekte auf speziellen Servern, auf denen virtuelle Abbilder von Microsoft Windows-Betriebssystemen bereitstehen („Kaspersky Sandbox“-Server). Einzelheiten zu dieser Lösung finden Sie in der Hilfe zu „Kaspersky Sandbox“.
Die Komponente kann nur über die „Kaspersky Security Center Web Console“ verwaltet werden. Sie können diese Komponente nicht mit der Verwaltungskonsole (MMC) verwalten.
Einstellungen der Komponente „Kaspersky Sandbox“
Einstellung |
Beschreibung |
---|---|
TLS-Serverzertifikat |
Um eine vertrauenswürdige Verbindung mit „Kaspersky Sandbox“-Servern zu konfigurieren, müssen Sie ein TLS-Zertifikat vorbereiten. Anschließend müssen Sie das Zertifikat den „Kaspersky Sandbox“-Servern und der Richtlinie für Kaspersky Endpoint Security hinzufügen. Genaue Informationen darüber, wie Sie das Zertifikat vorbereiten und den Servern hinzufügen können, finden Sie in der Hilfe zur Kaspersky Sandbox. |
Timeout |
Zeitlimit für Verbindungen mit einem „Kaspersky Sandbox“-Server. Nach Ablauf des festgelegten Timeouts sendet Kaspersky Endpoint Security eine Anfrage an den nächsten Server. Sie können das Verbindungstimeout für „Kaspersky Sandbox“ erhöhen, wenn Ihre Verbindungsgeschwindigkeit niedrig ist oder die Verbindung instabil ist. Das empfohlene Anforderungstimeout ist 0,5 Sekunden oder weniger. |
„Kaspersky Sandbox“-Anforderungswarteschlange |
Größe des Ordners der Anforderungswarteschlange. Wenn auf dem Computer auf ein Objekt zugegriffen wird (eine ausführbare Datei ausgeführt oder z. B. ein Dokument im DOCX- oder PDF-Format geöffnet wird), kann Kaspersky Endpoint Security das Objekt auch zur Untersuchung an „Kaspersky Sandbox“ senden. Bei mehreren Anfragen erstellt Kaspersky Endpoint Security eine Anforderungswarteschlange. Die Größe des Ordners der Anforderungswarteschlange ist standardmäßig auf 100 MB begrenzt. Wenn die maximale Größe erreicht wird, fügt „Kaspersky Sandbox“ keine neuen Anforderungen zur Warteschlange hinzu und sendet ein entsprechendes Ereignis an Kaspersky Security Center. Abhängig von Ihrer Serverkonfiguration können Sie die Größe des Ordners der Anforderungswarteschlange anpassen. |
Server von Kaspersky Sandbox |
Verbindungseinstellungen für die „Kaspersky Sandbox“-Server. Die Server verwenden bereitgestellte virtuelle Abbilder von Microsoft Windows-Betriebssystemen, um die zu untersuchenden Objekte auszuführen. Sie können eine IP-Adresse (IPv4 oder IPv6) oder einen vollständig qualifizierten Domänennamen angeben. |
Aktion beim Fund einer Bedrohung |
Kopie in die Quarantäne verschieben und Objekt löschen. Wenn diese Option ausgewählt ist, löscht Kaspersky Endpoint Security das auf dem Computer gefundene schädliche Objekt. Bevor das Objekts gelöscht wird, erstellt Kaspersky Endpoint Security eine Sicherungskopie für den Fall, dass das Objekt später wiederhergestellt werden muss. Kaspersky Endpoint Security verschiebt die Sicherungskopie in die Quarantäne. Untersuchung wichtiger Bereiche ausführen. Wenn diese Option ausgewählt ist, führt Kaspersky Endpoint Security die Aufgabe Untersuchung wichtiger Bereiche aus. Kaspersky Endpoint Security untersucht standardmäßig den Kernel-Speicher, die laufenden Prozesse und die Bootsektoren. IOC-Untersuchungsaufgabe erstellen. Wenn diese Option ausgewählt ist, erstellt Kaspersky Endpoint Security automatisch die IOC-Untersuchungsaufgabe (eigenständige IOC-Untersuchungsaufgabe). Für diese Aufgabe können Sie den Ausführungsmodus, den Untersuchungsbereich und die Aktion bei einer IOC-Erkennung anpassen: Objekt löschen, Aufgabe Untersuchung wichtiger Bereiche ausführen. Um andere Einstellungen der Aufgabe IOC-Untersuchung zu ändern, gehen Sie zu den Aufgabeneinstellungen. |
IOC-Untersuchungsbereich |
Bereiche mit kritischen Dateien. Wenn diese Option ausgewählt ist, untersucht Kaspersky Endpoint Security nur kritische Dateibereiche des Computers auf IOCs. Dazu zählen Kernel-Speicher und Bootsektoren. Dateibereiche auf Systemlaufwerken des Computers. Wenn diese Option ausgewählt ist, untersucht Kaspersky Endpoint Security das Systemlaufwerk des Computers auf IOCs. |
IOC-Untersuchungsaufgabe ausführen |
Manuell. In diesem Modus können Sie die Aufgabe IOC-Untersuchung manuell zu einem Zeitpunkt Ihrer Wahl starten. Wenn Bedrohung erkannt wurde. In diesem Modus führt Kaspersky Endpoint Security die IOC-Untersuchung automatisch aus, wenn eine Bedrohung erkannt wird. Nur ausführen, wenn der Computer inaktiv ist. In diesem Modus führt Kaspersky Endpoint Security die Aufgabe IOC-Untersuchung aus, wenn der Bildschirmschoner aktiv oder der Bildschirm gesperrt ist. Wenn der Benutzer den Computer entsperrt, hält Kaspersky Endpoint Security die Aufgabe an. Es kann also mehrere Tage dauern, bis die Aufgabe abgeschlossen wird. |