Firewall
Die „Firewall“ blockiert nicht autorisierte Verbindungen mit dem Computer, wenn das Internet oder ein lokales Netzwerk verwendet wird. Die „Firewall“ kontrolliert auch die Netzwerkaktivität der Programme auf dem Computer. Dadurch wird das lokales Unternehmensnetzwerk vor dem Diebstahl persönlicher Daten und anderen Angriffen geschützt. Die Komponente schützt den Computer mithilfe der Antiviren-Datenbanken, des Cloud-Dienstes Kaspersky Security Network und der vordefinierten Netzwerkregeln.
Der Administrationsagent wird für die Interaktion mit Kaspersky Security Center verwendet. Die Firewall erstellt automatisch Netzwerkregeln, die für die ordnungsgemäße Funktion des Programms und des Administrationsagenten erforderlich sind. Dadurch bedingt öffnet die Firewall bestimmte Ports auf dem Computer. Welche Ports geöffnet werden, hängt von der Rolle des Computers ab (z. B. Verteilungspunkt). Weitere Informationen zu den Ports, die auf dem Computer geöffnet werden, finden Sie in der Hilfe zu Kaspersky Security Center.
Netzwerkregeln
Sie können die Netzwerkregeln auf folgenden Ebenen anpassen:
- Regeln für Netzwerkpakete. Sie dienen zur Definition von Beschränkungen für die Netzwerkpakete, wobei das Programm keine Rolle spielt. Diese Regeln beschränken die ein- und ausgehende Netzwerkaktivität anhand bestimmter Ports für ausgewählte Datenübertragungsprotokolle. Kaspersky Endpoint Security hat vordefinierte Netzwerkregeln für Pakete mit Lösungen, die von den Kaspersky-Experten empfohlen werden.
- Netzwerkregeln für das Programm. Sie dienen zur Definition von Beschränkungen der Netzwerkaktivität eines konkreten Programms. Dabei werden nicht nur die Merkmale des Netzwerkpakets berücksichtigt, sondern auch das konkrete Programm, an das dieses Netzwerkpaket adressiert ist oder welches das Senden dieses Netzwerkpakets initiiert hat.
Die Komponente „Programm-Überwachung” kontrolliert mithilfe von Programmrechten den Zugriff auf Betriebssystemressourcen, Prozesse und persönliche Daten.
Wenn ein Programm zum ersten Mal gestartet wird, führt die „Firewall“ folgende Aktionen aus:
- Die Sicherheit des Programms wird mithilfe der geladenen Antiviren-Datenbanken untersucht.
- Die Sicherheit des Programms wird in Kaspersky Security Network untersucht.
Um die Effektivität der Komponente „Firewall“ zu erhöhen, wird die Teilnahme an Kaspersky Security Network empfohlen.
- Platziert das Programm in einer der Vertrauensgruppen: Vertrauenswürdig, Schwach beschränkt, Stark beschränkt, Nicht vertrauenswürdig.
Die Sicherheitsgruppe legt die Rechte fest, die Kaspersky Endpoint Security für die Aktivitätskontrolle für Programme verwendet. Welcher Sicherheitsgruppe Kaspersky Endpoint Security ein Programm zuweist, ist von der Gefahrenstufe abhängig, die dieses Programm für den Computer darstellen kann.
Kaspersky Endpoint Security weist das Programm einer Sicherheitsgruppe für die Komponenten „Firewall“ und „Programm-Überwachung“ zu. Es ist nicht möglich, die Sicherheitsgruppe nur für die „Firewall“ oder nur für die „Programm-Überwachung“ zu ändern.
Wenn Sie die Teilnahme an KSN abgelehnt haben oder keine Internetverbindung besteht, wählt Kaspersky Endpoint Security die Sicherheitsgruppe für das Programm anhand der Einstellungen der Komponente „Programm-Überwachung” aus. Wenn später Daten über die Reputation des Programms aus KSN empfangen werden, kann die Sicherheitsgruppe automatisch geändert werden.
- Blockiert abhängig von der Sicherheitsgruppe die Netzwerkaktivität des Programms. Für Programme aus der Sicherheitsgruppe „Stark beschränkt“ sind beispielsweise alle Netzwerkverbindungen verboten.
Beim nächsten Programmstart untersucht Kaspersky Endpoint Security die Programmintegrität. Wurde das Programm nicht verändert, so wendet die Komponente die aktuellen Netzwerkregeln darauf an. Wurde das Programm verändert, so untersucht Kaspersky Endpoint Security das Programm erneut wie beim ersten Start.
Prioritäten der Netzwerkregeln
Jede Regel besitzt eine Priorität. Je weiter oben eine Regel auf der Liste steht, desto höher ist ihre Priorität. Wenn eine Netzwerkaktivität in mehreren Regeln vorkommt, reguliert die „Firewall“ die Netzwerkaktivität nach der Regel mit der höchsten Priorität.
Netzwerkregeln für Pakete besitzen eine höhere Priorität als Netzwerkregeln für Programme. Sind für eine Art der Netzwerkaktivität gleichzeitig Netzwerkregeln für Pakete und Netzwerkregeln für Programme vorhanden, wird diese Netzwerkaktivität nach den Netzwerkregeln für Pakete verarbeitet.
Netzwerkregeln für Programme funktionieren auf besondere Weise. Die Netzwerkregel für Programme enthält Zugriffsregeln basierend auf dem Netzwerkstatus: Öffentliches Netzwerk, Lokales Netzwerk, Vertrauenswürdiges Netzwerk. Zum Beispiel ist für die Sicherheitsgruppe „Stark beschränkt“ standardmäßig jede Netzwerkaktivität eines Programms in Netzwerken mit beliebigem Status verboten. Wenn für ein bestimmtes Programm (übergeordnetes Programm) eine Netzwerkregel vorliegt, werden die untergeordneten Prozesse anderer Programme gemäß der Netzwerkregel des übergeordneten Programms ausgeführt. Gibt es keine Netzwerkregel für ein Programm, so werden die untergeordneten Prozesse gemäß der Regel für den Zugriff auf Netzwerke der Sicherheitsgruppe des Programms ausgeführt.
Beispiel: Sie haben jede Netzwerkaktivität aller Programme für Netzwerke mit beliebigem Status verboten, unter Ausnahme von Browser X. Wenn Browser X (übergeordnetes Programm) die Installation von Browser Y startet (untergeordneter Prozess), erhält Browser Y Zugriff auf das Netzwerk und lädt die erforderlichen Dateien herunter. Nach der Installation sind für Browser Y alle Netzwerkverbindungen verboten, wobei die Einstellungen der Firewall gelten. Um dem Installationsprogramm von Browser Y die Netzwerkaktivität als untergeordneter Prozess zu verbieten, muss eine Netzwerkregel für das Installationsprogramm von Browser Y hinzugefügt werden.
Statusvarianten der Netzwerkverbindungen
Bei der Kontrolle der Netzwerkaktivität kann die „Firewall“ den Status einer Netzwerkverbindung berücksichtigen. Den Status der Netzwerkverbindung erhält Kaspersky Endpoint Security vom Betriebssystem des Computers. Den Status einer Netzwerkverbindung im Betriebssystem legt der Benutzer beim Einrichten der Verbindung fest. Sie können den Status der Netzwerkverbindung in den Einstellungen von Kaspersky Endpoint Security ändern. Dann kontrolliert die „Firewall“ die Netzwerkaktivität anhand des Netzwerkstatus aus den Einstellungen von Kaspersky Endpoint Security, nicht anhand des Status aus dem Betriebssystem.
Für eine Netzwerkverbindung sind folgende Statusvarianten vorgesehen:
- Öffentliches Netzwerk. Das Netzwerk wird durch Antiviren-Programme, Firewalls oder Filter geschützt (z. b. WLAN in einem Café). Für den Benutzer eines Computers, der mit einem solchen Netzwerk verbunden ist, blockiert die Firewall den Zugriff auf die Dateien und Drucker dieses Computers. Auch Drittnutzer erhalten über gemeinsame Ordner oder Fernzugriff keinen Zugang zu Informationen auf dem Desktop Ihres Computers. Die Firewall filtert die Netzwerkaktivität für jedes Programm nach den für dieses Programm vorhandenen Netzwerkregeln.
Das Internet erhält von der Firewall standardmäßig den Status Öffentliches Netzwerk. Der Status des Internets kann nicht geändert werden.
- Lokales Netzwerk. Netzwerk für Benutzer, für die der Zugriff auf die Dateien und Drucker dieses Computers beschränkt ist (beispielsweise ein lokales Unternehmensnetzwerk oder ein privates Netzwerk).
- Vertrauenswürdiges Netzwerk. Sicheres Netzwerk, in dem einem Computer keine Angriffe und unerlaubte Zugriffsversuche auf Daten drohen. Für Netzwerke mit diesem Status erlaubt die Firewall im Rahmen dieses Netzwerks jede beliebige Netzwerkaktivität.
Einstellungen für die Komponente „Firewall“
Einstellung
Beschreibung
Paketregeln
Tabelle der Netzwerkregeln für Pakete. Netzwerkregeln für Pakete werden verwendet, um Netzwerkpakete unabhängig von Programmen einzuschränken. Diese Regeln beschränken die ein- und ausgehende Netzwerkaktivität anhand bestimmter Ports für ausgewählte Datenübertragungsprotokolle.
Die Tabelle enthält vordefinierte Netzwerkregeln für Pakete, die von Kaspersky zum optimalen Schutz des Netzwerkverkehrs für Computer mit dem Betriebssystem Microsoft Windows empfohlen werden.
Die Firewall legt für jede Netzwerkregel für Pakete eine bestimmte Ausführungspriorität fest. Die Firewall führt die Netzwerkregeln für Pakete in der Reihenfolge aus, in der sie auf der Liste der Netzwerkregeln für Pakete stehen (von oben nach unten). Die Firewall sucht eine passende Paket-Netzwerkregel, die zu der Netzwerkverbindung passt, und führt die entsprechende Aktion aus: Die Netzwerkaktivität wird entweder erlaubt oder blockiert. Die Firewall ignoriert alle weiteren Paket-Netzwerkregeln für diese Netzwerkverbindung.
Netzwerkregeln für Pakete besitzen eine höhere Priorität als Netzwerkregeln für Programme.
Netzwerke
Diese Tabelle enthält Informationen über Netzwerkverbindungen, welche die Firewall auf dem Benutzercomputer gefunden hat.
Das Internet besitzt standardmäßig den Status Öffentliches Netzwerk. Der Status des Internets kann nicht geändert werden.
Regeln für Programme
Programm
Tabelle der Programme, die von der Komponente „Firewall“ kontrolliert werden. Die Programme sind auf Sicherheitsgruppen verteilt. Die Sicherheitsgruppe entscheidet über die Rechte, die Kaspersky Endpoint Security zur Kontrolle der Netzwerkaktivität von Programmen verwendet.
Sie können ein Programm aus einer Liste aller Programme auswählen, die auf den Computern installiert sind, für welche die Richtlinie gilt, und das Programm einer Sicherheitsgruppe zuweisen.
Netzwerkregeln
Tabelle der Netzwerkregeln für Programme, die zu einer Sicherheitsgruppe gehören. Nach diesen Regeln reguliert die „Firewall“ die Netzwerkaktivität von Programmen.
Die Tabelle enthält die vordefinierten Netzwerkregeln, die von den Kaspersky-Experten empfohlen werden. Diese Netzwerkregeln dienen dem optimalen Schutz des Netzwerkverkehrs. Die vordefinierten Netzwerkregeln können nicht gelöscht werden.