Kaspersky Endpoint Security für Windows

Kaspersky Endpoint Security für Windows (im Folgenden auch „Kaspersky Endpoint Security“) bietet dem Computer einen komplexen Schutz vor unterschiedlichen Bedrohungsarten, Netzwerkangriffen und betrügerischen Angriffen.

Die App ist nicht für den Einsatz in technologischen Prozessen vorgesehen, die automatisierte Steuerungssysteme beinhalten. Für den Schutz von Geräten in solchen Systemen wird die App Kaspersky Industrial CyberSecurity for Nodes empfohlen.

Die Update-Funktion (inklusive der Bereitstellung von Antiviren-Signatur- und Codebase-updates) sowie die KSN-Funktion werden in der Software im US-Territorium ab 10. September 2024, 00:00 Uhr (EDT), gemäß den einschränkenden Maßnahmen nicht mehr verfügbar sein.

Technologien zum Erkennen von Bedrohungen

Machine Learning

Kaspersky Endpoint Security verwendet ein Modell, das auf Machine Learning basiert. Das Modell wird von Kaspersky entwickelt. Anschließend werden kontinuierlich Bedrohungsdaten aus KSN in das Modell eingespeist (Modelltraining).

Cloud- Analyse

Kaspersky Endpoint Security erhält von Kaspersky Security Network Daten über Bedrohungen. Kaspersky Security Network (KSN) ist eine Infrastruktur von Cloud-Diensten, die Zugriff auf eine ständig aktualisierte Kaspersky-Wissensdatenbank bietet. Diese Datenbank enthält Informationen zur Reputation von Dateien, Internet-Ressourcen und Programmen.

Experten-Analyse

Kaspersky Endpoint Security verwendet Bedrohungsdaten, die von den Virenanalysten von Kaspersky hinzugefügt werden. Die Virenanalysten bewerten Objekte, deren Reputation nicht automatisch ermittelt werden kann.

Verhaltensanalyse

Kaspersky Endpoint Security analysiert die Aktivität von Objekten in Echtzeit.

Automatische Analyse

Kaspersky Endpoint Security erhält Daten vom System für automatische Objektanalyse. Das System verarbeitet alle Objekte, die an Kaspersky gesendet werden. Dann ermittelt das System die Reputation des Objekts und fügt die Daten den Antiviren-Datenbanken hinzu. Wenn das System die Reputation des Objekts nicht ermitteln kann, stellt das System Anfragen an die Kaspersky-Virenanalysten.

Kaspersky Sandbox

Kaspersky Endpoint Security verarbeitet das Objekt auf einer virtuellen Maschine. „Kaspersky Sandbox“ analysiert das Verhalten des Objekts und entscheidet über seine Reputation. Diese Technologie ist nur verfügbar, wenn Sie die Lösung „Kaspersky Sandbox“ verwenden.

Cloud Sandbox

Kaspersky Endpoint Security untersucht Objekte in einer isolierten Umgebung, die von Kaspersky bereitgestellt wird. Die Technologie „Cloud Sandbox“ ist ständig aktiviert und steht allen Benutzern von Kaspersky Security Network zur Verfügung, unabhängig vom Typ der genutzten Lizenz. Wenn Sie die Lösung Endpoint Detection and Response schon bereitgestellt haben, können Sie einen separaten Indikator für durch Cloud Sandbox erkannte Bedrohungen aktivieren.

Auswahlstruktur

Jeder Bedrohungstyp wird von einer bestimmten Programmkomponente verarbeitet. Die Komponenten können unabhängig voneinander aktiviert und deaktiviert sowie über ihre Einstellungen angepasst werden.

Auswahlstruktur

Abschnitt

Komponente

Basisschutz

Schutz vor bedrohlichen Dateien

Die Komponente „Schutz vor bedrohlichen Dateien“ schützt das Dateisystem des Computers vor einer Infektion. Die Komponente „Schutz vor bedrohlichen Dateien“ befindet sich standardmäßig permanent im Arbeitsspeicher des Computers. Die Komponente untersucht die Dateien auf allen Laufwerken des Computers sowie auf verbundenen Datenträgern. Die Komponente schützt den Computer mithilfe der Antiviren-Datenbanken, des Cloud-Dienstes Kaspersky Security Network und der heuristischen Analyse.

Schutz vor Web-Bedrohungen

Die Komponente „Schutz vor Web-Bedrohungen“ verhindert den Download schädlicher Dateien aus dem Internet und blockiert schädliche Websites und Phishing-Websites. Die Komponente schützt den Computer mithilfe der Antiviren-Datenbanken, des Cloud-Dienstes Kaspersky Security Network und der heuristischen Analyse.

Schutz vor E-Mail-Bedrohungen

Die Komponente „Schutz vor E-Mail-Bedrohungen“ untersucht, ob in den Anlagen der ein- und ausgehenden E-Mail-Nachrichten Viren und andere bedrohliche Programme enthalten sind. Die Komponente schützt den Computer mithilfe der Antiviren-Datenbanken, des Cloud-Dienstes Kaspersky Security Network und der heuristischen Analyse.

Der „Schutz vor E-Mail-Bedrohungen“ kann sowohl eingehende als auch ausgehende Nachrichten untersuchen. Die Anwendung unterstützt POP3, SMTP, IMAP und NNTP in den folgenden E-Mail-Clients:

  • Microsoft Office Outlook
  • Mozilla Thunderbird
  • Windows Mail

Der „Schutz vor E-Mail-Bedrohungen“ unterstützt keine anderen Protokolle und E-Mail-Clients.

Der „Schutz vor E-Mail-Bedrohungen“ kann möglicherweise nicht immer auf Protokollebene auf Nachrichten zugreifen (z. B. bei Verwendung der Microsoft Exchange-Lösung). Aus diesem Grund bietet der „Schutz vor E-Mail-Bedrohungen“ eine Erweiterung für Microsoft Office Outlook. Mit dieser Erweiterung können Nachrichten auf der Ebene des E-Mail-Clients untersucht werden. Die „Schutz vor E-Mail-Bedrohungen“-Erweiterung unterstützt Vorgänge mit Outlook 2010, 2013, 2016 und 2019.

Schutz vor Netzwerkbedrohungen

Die Komponente „Schutzes vor Netzwerkbedrohungen“ (auch „Intrusion Detection System“ genannt) überwacht den eingehenden Netzwerkverkehr auf Aktivitäten, die für Netzwerkangriffe charakteristisch sind. Wenn Kaspersky Endpoint Security einen Netzwerkangriff auf den Computer erkennt, sperrt das Programm die Netzwerkverbindung mit dem angreifenden Computer. Beschreibungen der derzeit bekannten Arten von Netzwerkangriffen und entsprechende Abwehrmethoden sind in den Datenbanken von Kaspersky Endpoint Security enthalten. Die Liste der Netzwerkangriffe, die von der Komponente „Schutz vor Netzwerkbedrohungen“ erkannt werden, wird beim Update der Datenbanken und Programm-Module aktualisiert.

Firewall

Die „Firewall“ blockiert nicht autorisierte Verbindungen mit dem Computer, wenn das Internet oder ein lokales Netzwerk verwendet wird. Die „Firewall“ kontrolliert auch die Netzwerkaktivität der Programme auf dem Computer. Dadurch wird das lokales Unternehmensnetzwerk vor dem Diebstahl persönlicher Daten und anderen Angriffen geschützt. Die Komponente schützt den Computer mithilfe der Antiviren-Datenbanken, des Cloud-Dienstes Kaspersky Security Network und der vordefinierten Netzwerkregeln.

Schutz vor modifizierten USB-Geräten

Die Komponente „Schutz vor modifizierten USB-Geräten“ verhindert, dass modifizierte USB-Geräte, die eine Tastatur simulieren, mit dem PC verbunden werden.

AMSI-Schutz

Die AMSI-Schutz-Komponente ist für die Unterstützung der Microsoft-Schnittstelle für „Antimalware Scan Interface“ vorgesehen. Mithilfe Schnittstelle für Antimalware Scan Interface (AMSI) können Dritthersteller-Anwendungen, die AMSI unterstützen, Objekte (z. B. PowerShell-Skripte) für eine zusätzliche Untersuchung an Kaspersky Endpoint Security senden und Untersuchungsergebnisse für diese Objekte erhalten.

Erweiterter Schutz

Kaspersky Security Network

Kaspersky Security Network (KSN) ist eine Infrastruktur von Cloud-Diensten, die Zugriff auf eine ständig aktualisierte Kaspersky-Wissensdatenbank bietet. Diese Datenbank enthält Informationen zur Reputation von Dateien, Internet-Ressourcen und Programmen. Durch die Nutzung von Daten aus Kaspersky Security Network wird die Reaktion von Kaspersky Endpoint Security auf unbekannte Bedrohungen beschleunigt und die Leistungsfähigkeit bestimmter Schutzkomponenten erhöht. Außerdem reduziert sich das Risiko von Fehlalarmen. Wenn Sie an Kaspersky Security Network teilnehmen, erhält das Programm Kaspersky Endpoint Security von den KSN-Diensten Informationen über die Kategorie und die Reputation untersuchter Dateien, sowie Informationen über die Reputation untersuchter Webadressen.

Verhaltensanalyse

Die Komponente „Verhaltensanalyse“ empfängt Daten über die Aktionen der Programme auf Ihrem Computer und versorgt andere Schutzkomponenten mit diesen Informationen, um deren Effektivität zu erhöhen. Die Komponente „Verhaltensanalyse“ verwendet Vorlagen für gefährliches Programmverhalten. Stimmt die Aktivität eines Programms mit einer der Aktivitäten aus den Vorlagen für gefährliches Verhalten überein, so führt Kaspersky Endpoint Security die ausgewählte Reaktion aus. Diese Funktionalität von Kaspersky Endpoint Security, die auf Vorlagen für gefährliches Verhalten beruht, bietet einen proaktiven Computerschutz.

Exploit-Prävention

Die Komponente „Exploit-Prävention“ überwacht Programmcode, der mithilfe eines Exploits Schwachstellen eines Computers ausnutzt, um dadurch Administratorrechte zu erhalten oder schädliche Aktionen auszuführen. Exploits können beispielsweise einen Angriff mit Überlauf der Zwischenablage verwenden. Dazu sendet der Exploit große Datenvolumen an ein verwundbares Programm. Bei der Verarbeitung dieser Daten führt das verwundbare Programm schädlichen Code aus. Aufgrund dieses Angriffs kann der Exploit eine nicht autorisierte Installation von Schadsoftware starten. Wenn der Startversuch einer ausführbaren Datei aus einem verwundbaren Programm nicht vom Benutzer ausgeführt wurde, blockiert Kaspersky Endpoint Security den Start dieser Datei oder informiert den Benutzer.

Programm-Überwachung

Die Komponente „Programm-Überwachung“ (HIPS, Host Intrusion Prevention System) hindert Programme daran, systemgefährdende Aktionen auszuführen, und kontrolliert den Zugriff auf Betriebssystemressourcen und persönliche Daten. Die Komponente schützt den Computer mithilfe der Antiviren-Datenbanken und des Cloud-Dienstes Kaspersky Security Network

Rollback von schädlichen Aktionen

Mithilfe der Komponente „Rollback von schädlichen Aktionen“ kann Kaspersky Endpoint Security Aktionen rückgängig machen, die von schädlichen Programmen im Betriebssystem ausgeführt wurden.

Sicherheitskontrolle

Programmkontrolle

Die „Programmkontrolle“ verwaltet den Start von Programmen auf den Benutzercomputern. Dadurch wird ermöglicht, die Sicherheitsrichtlinie des Unternehmens bei der Verwendung von Programmen zu erfüllen. Außerdem reduziert die „Programmkontrolle“ das Risiko einer Infektion des Computers. Dazu wird der Zugriff auf Programme beschränkt.

Gerätekontrolle

Die „Gerätekontrolle“ verwaltet den Zugriff von Benutzern auf die Geräte, die installiert oder mit dem Computer verbunden sind (z. B. auf Festplatten, Kamera oder WLAN-Modul). Bei einer Verbindung mit diesen Geräten kann der Computer so vor einer Infektion geschützt werden, und Datenverlust oder Datendiebstahl lassen sich verhindern.

Web-Kontrolle

Die „Web-Kontrolle“ verwaltet den Zugriff durch Benutzer auf Webressourcen. Dadurch lässt sich Datenverkehr einsparen und die zweckentfremdete Nutzung der Arbeitszeit reduzieren. Wenn ein Benutzer versucht, eine durch die „Web-Kontrolle“ beschränkte Website zu öffnen, blockiert Kaspersky Endpoint Security den Zugriff und zeigt eine Warnung an.

Adaptive Kontrolle von Anomalien

Die Komponente „Adaptive Kontrolle von Anomalien“ überwacht und blockiert Aktionen, die für Computer des Unternehmensnetzwerks untypisch sind. Zur Überwachung von untypischen Aktionen verwendet die „Adaptive Kontrolle von Anomalien“ eine Auswahl von Regeln (z. B. die Regel Start von Windows PowerShell aus einem Office-Programm). Die Regeln wurden von den Kaspersky-Spezialisten auf Basis typischer Szenarien für schädliche Aktivitäten erstellt. Sie können ein Verhalten der „Adaptiven Kontrolle von Anomalien“ für jede einzelne Regeln auswählen und beispielsweise den Start von PowerShell-Skripten erlauben, um die Lösung von Unternehmensaufgaben zu automatisieren. Kaspersky Endpoint Security aktualisiert den Regelsatz aus den Programm-Datenbanken.

Protokollanalyse

Die „Protokollanalyse“ überwacht die Integrität der geschützten Umgebung basierend auf der Windows-Ereignisprotokollanalyse. When the application detects signs of atypical behavior in the system, it informs the administrator, as this behavior may indicate an attempted cyber attack.

Überwachung der Datei-Integrität

Die Überwachung der Datei-Integrität erkennt Änderungen an Objekten (Dateien und Ordnern) in einem bestimmten Überwachungsbereich. Diese Änderungen können auf eine Verletzung der Computersicherheit hinweisen. Wenn Objektänderungen erkannt werden, informiert das Programm den Administrator.

Aufgaben

Schadsoftware-Untersuchung

Kaspersky Endpoint Security untersucht den Computer auf Viren und andere Bedrohungen. Die „Schadsoftware-Untersuchung“ hilft, eine Ausbreitung von Schadsoftware auszuschließen, die nicht von den Schutzkomponenten erkannt wurde, beispielsweise aufgrund einer niedrigen Sicherheitsstufe.

Update

Kaspersky Endpoint Security lädt aktualisierte Datenbanken und Programm-Module. Dadurch befindet sich der Schutz des Computers vor Viren und anderen Schadprogrammen stets auf dem neuesten Stand. Standardmäßig wird das Programm automatisch aktualisiert. Bei Bedarf können Datenbanken und Programm-Module jedoch jederzeit manuell aktualisiert werden.

Rollback des letzten Updates

Kaspersky Endpoint Security macht das letzte Update der Datenbanken und Programm-Module rückgängig. Dadurch besteht die Möglichkeit, bei Bedarf zur Verwendung der vorherigen Datenbanken und Programm-Module zurückzukehren. Dies ist beispielsweise nützlich, wenn die neue Datenbankversion eine fehlerhafte Signatur enthält, welche dazu führt, dass Kaspersky Endpoint Security ein harmloses Programm blockiert.

Integritätsprüfung

Kaspersky Endpoint Security überprüft, ob die Programm-Module, die sich im Installationsordner des Programms befinden, Beschädigungen oder Änderungen aufweisen. Besitzt ein Programm-Modul eine inkorrekte digitale Signatur, so gilt das Modul als beschädigt.

Datenverschlüsselung

Verschlüsselung auf Dateiebene

Mit dieser Komponente können Regeln zur Dateiverschlüsselung erstellt werden. Sie können vordefinierte Ordner für die Verschlüsselung auswählen, einen Ordner manuell auswählen oder bestimmte Dateien nach Erweiterung auswählen.

Vollständige Festplattenverschlüsselung

Mit dieser Komponente kann die Festplatte mithilfe der Kaspersky-Festplattenverschlüsselung oder BitLocker-Laufwerkverschlüsselung verschlüsselt werden.

Verschlüsselung von Wechseldatenträgern

Mit dieser Komponente können Daten auf Wechseldatenträgern geschützt werden. Sie können die „Vollständige Festplattenverschlüsselung“ (FDE) oder die „Verschlüsselung von Dateien“ (FLE) verwenden.

Detection and Response

Endpoint Detection and Response Optimum

Integrierter Agent für die Lösung „Kaspersky Endpoint Detection and Response Optimum“ (im Folgenden auch „EDR Optimum“ genannt). Die Lösung Kaspersky Endpoint Detection and Response schützt die IT-Infrastruktur eines Unternehmens vor komplexen Cyberbedrohungen. Diese Lösung kombiniert die automatische Erkennung von Bedrohungen mit der Fähigkeit, auf diese Bedrohungen zu reagieren. Dadurch lassen sich komplexe Angriffen wie neue Exploits, Ransomware, dateilose Angriffe und Methoden mit legitimen Systemtools abwehren. Weitere Informationen zu dieser Lösung finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.

Endpoint Detection and Response Expert

Integrierter Agent für die Lösung „Kaspersky Endpoint Detection and Response Expert“ (im Folgenden auch „EDR Expert“ genannt). Im Vergleich zu „EDR Optimum“ bietet „EDR Expert“ eine erweiterte Funktionalität zur Überwachung von und zur Reaktion auf Bedrohungen. Weitere Informationen zu dieser Lösung finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Expert.

Endpoint Detection and Response (KATA)

Integrierter Agent zur Verwaltung der Komponente Endpoint Detection and Response, die Teil der Lösung Kaspersky Anti Targeted Attack Platform (KATA EDR) ist. Die Lösung Kaspersky Anti Targeted Attack Platform dient der rechtzeitigen Erkennung komplexer Bedrohungen. Dazu zählen beispielsweise gezielte Angriffe, hoch entwickelte hartnäckige Bedrohungen (APT, Advanced Persistent Threat) und Zero-Day-Angriffe. Kaspersky Anti Targeted Attack Platform umfasst zwei funktionale Blöcke: Kaspersky Anti Targeted Attack (im Folgenden „KATA“ genannt) und Kaspersky Endpoint Detection and Response (im Folgenden „EDR (KATA)“ genannt). Sie können EDR (KATA) separat erwerben. Einzelheiten über diese Lösung finden Sie in der Hilfe zu „Kaspersky Anti Targeted Attack Platform“.

Kaspersky Sandbox

Integrierter Agent für die Lösung „Kaspersky Sandbox“. Die „Kaspersky Sandbox“-Lösung erkennt und blockiert automatisch komplexe Bedrohungen auf Computern. „Kaspersky Sandbox“ analysiert das Verhalten von Objekten, um schädliche Aktivitäten zu erkennen sowie Aktivitäten, die für gezielte Angriffe auf die IT-Infrastruktur eines Unternehmens charakteristisch sind. „Kaspersky Sandbox“ analysiert und untersucht Objekte auf speziellen Servern, auf denen virtuelle Abbilder von Microsoft Windows-Betriebssystemen bereitstehen („Kaspersky Sandbox“-Server). Einzelheiten zu dieser Lösung finden Sie in der Hilfe zu „Kaspersky Sandbox“.

Managed Detection and Response

Integrierter Agent zur Unterstützung der Lösung „Kaspersky Managed Detection and Response“. Die Lösung Kaspersky Managed Detection and Response (MDR) erkennt und analysiert automatisch Sicherheitsvorfälle in Ihrer Infrastruktur. Zu diesem Zweck verwendet MDR von Endpunkten bereitgestellte Telemetriedaten sowie maschinelles Lernen. MDR sendet Vorfalldaten an die Kaspersky-Experten. Die Experten können den Vorfall dann bearbeiten und beispielsweise einen neuen Eintrag zu den Antiviren-Datenbanken hinzufügen. Alternativ können die Experten Tipps zum Umgang mit dem Vorfall geben und beispielsweise vorschlagen, bestimmte Computer vom Netzwerk zu isolieren. Ausführliche Informationen zur Funktionsweise der Lösung finden Sie in der Hilfe zu „Kaspersky Managed Detection and Response“.

In diesem Hilfeabschnitt

Lieferumfang

Hard- und Softwarevoraussetzungen

Vergleich der Programmfunktionen im Hinblick auf den Typ des Betriebssystems

Vergleich der Programmfunktionen in Abhängigkeit der Verwaltungs-Tools

Kompatibilität mit anderen Programmen

Nach oben