Kaspersky Embedded Systems Security 2.0 verwendet die folgenden Schutztechnologien:

• Echtzeitschutz (realisiert in der Aufgabe „Echtzeitschutz für Dateien“). Das Programm untersucht die Dateien und die alternativen Ströme der Dateisysteme (NTFS-streams), wenn der geschützte Computer darauf zugreift. Das Programm sperrt den Zugriff des geschützten Computers auf infizierte und andere gefundene Objekte.
• Untersuchung auf Befehl für den angegebenen Bereich (realisiert in den Aufgaben „Untersuchung auf Befehl“). Einmalige Untersuchung des angegebenen Bereichs auf Viren und andere Bedrohungen der Computersicherheit. Das Programm untersucht die Dateien, die Autostart-Objekte und den Arbeitsspeicher des geschützten Geräts.
• Integration mit der Infrastruktur der Cloud-Diensten von Kaspersky Security Network (realisiert in der Aufgabe „Verwendung von KSN“). Durch die Nutzung der KSN-Daten reagiert Kaspersky Embedded Systems Security schneller auf neue Bedrohungen.
• Während der Ausführung der Aufgabe „Verwendung von KSN“ kann das Programm mit Zustimmung des Benutzers die Prüfsummen (MD5) der analysierten Dateien verwenden. Die Aufgabe „Verwendung von KSN“ erhält bei der Ausführung folgender Aufgaben Anfragen zur Untersuchung von Dateien: „Echtzeitschutz für Dateien“, „Untersuchung auf Befehl“ und „Kontrolle des Programmstarts“.
• Kontrolle der ausgeführten Apps (realisiert in der Aufgabe „Kontrolle des Programmstarts“). Kaspersky Embedded Systems Security erlaubt oder verbietet den Start von ausführbaren Dateien, Skripts und MSI-Paketen, sowie den Download von DLL-Modulen auf Grundlage der festgelegten Regeln, des Prinzips der standardmäßigen Blockierung und der Informationen aus KSN.
• Die Regeln für die Kontrolle des Programmstarts werden manuell mithilfe der Aufgabe „Automatisches Erstellen von Erlaubnisregeln“ sowie auf Grundlage des Berichtes der Aufgabe „Kontrolle des Programmstarts“ in der Konsole von Kaspersky Embedded Systems Security oder des Berichts über blockierte Programme im Kaspersky Security Center erstellt.
• Kontrolle der über USB angeschlossenen Massenspeicher (realisiert in der Aufgabe „Gerätekontrolle“). Kaspersky Embedded Systems Security erlaubt oder verbietet die Nutzung von über USB angeschlossenen Massenspeichern auf Grundlage der festgelegten Erlaubnisregeln für die Gerätekontrolle und des Prinzips der standardmäßigen Blockierung.
• Die Regeln für die Gerätekontrolle werden automatisch auf Grundlage der Systemdaten über die angeschlossenen Geräte oder mithilfe der Aufgabe „Erstellen von Regeln für die Gerätekontrolle“ erstellt.
• Kontrolle der Windows-Firewall (realisiert in der Aufgabe „Firewall-Verwaltung“). Kaspersky Embedded Systems Security bietet eine sichere und ergonomische Lösung für den Schutz von Netzwerkverbindungen mithilfe der Überwachung der Verwaltung von Einstellungen der Betriebssystem-Firewall. 
• Diagnose der Integrität des geschützten Systems (wird umgesetzt in den Aufgaben „Überwachung der Datei-Integrität“ und „Protokollanalyse“). Kaspersky Embedded Systems Security überwacht die Integrität der geschützten Umgebung anhand der Daten zu Dateioperationen in kritischen Bereichen sowie anhand der Ergebnisse der Analyse der Windows-Ereignisprotokolle. 
• Das Programm informiert den Administrator, wenn Anzeichen für atypisches Verhalten im System gefunden werden; solche Anzeichen können auf Versuche von Angriffen auf den Computer hindeuten.
• Schutz des Prozess-Speichers vor der░Ausnutzung von Schwachstellen (wird umgesetzt in der Komponente „Exploit-Prävention“). Kaspersky Embedded Systems Security überwacht die Integrität der geschützten Prozesse und führt die angegebenen Aktionen aus, um die potenziellen negativen Folgen einer Ausnutzung von Schwachstellen zu reduzieren. 

Kaspersky Embedded Systems Security 2.0 bietet folgende neue Möglichkeiten:

• Die Komponente „Exploit-Prävention“ wurde hinzugefügt. Jetzt können Sie die Einstellungen zum Schutz des Prozess-Speichers vor der Ausnutzung von Schwachstellen anhand von etablierten Verfahren zur Reduzierung von Risiken anpassen.
• Die Komponente „Überwachung der Datei-Integrität“ wurde hinzugefügt. Jetzt können Sie Objekte angeben, deren Integrität Sie überwachen möchten.
• Die Komponente „Protokollanalyse“ wurde hinzugefügt. Jetzt können Sie Regeln für die Analyse von Windows-Ereignisprotokollen erstellen und die Verwendung der heuristischen Analyse bei der Analyse der Windows-Ereignisprotokolle konfigurieren.
• Die Funktion zur Integration in externe SIEM-Systeme wurde hinzugefügt. Jetzt können Sie die Einstellungen für den Export von Programmberichten in Drittanbietersysteme für Ereignis-Management über das Protokoll syslog anpassen.
• Die Funktionalität zur Überwachung von Anschlüssen an das geschützte Gerät über USB wurde hinzugefügt. Jetzt können Sie die Einstellungen für die Benachrichtigung über den Anschluss verschiedener Gerätetypen an den geschützten Computer über USB anpassen.
• Der Bericht für Sicherheitsverletzungen wurde implementiert. Jetzt können Sie alle Ereignisse, die von den Programmkomponenten registriert werden und auf eine potenzielle Gefährdung des geschützten Systems hinweist, in einem einzigen Bericht abrufen.

In Kaspersky Embedded Systems Security 2.0 wurden folgende Optionen verbessert:

• Die Komponente „Kontrolle des Programmstarts“ wurde ausgearbeitet: Der Algorithmus zur Bestimmung des Typs von ausgeführten Dateien wurde optimiert. Jetzt verwendet das Programm den Wert des Dateiheaders für eine genauere Auswahl des Regeltyps („Ausführbar“ oder „Skript“) für die Verarbeitung des Starts einer solchen Datei. Darüber hinaus wurden vorkonfigurierte Regeln für die Kontrolle des Programmstarts zur Regelliste hinzugefügt, um die Verwendung der Komponente zu vereinfachen.
• Die Komponente „Gerätekontrolle“ wurde ausgearbeitet: Jetzt können Sie die Massenspeicher in die Liste der vertrauenswürdigen Geräte auf Grundlage von Daten über die Geräte hinzufügen, die derzeit an den geschützten Computer angeschlossen sind.
• Das Verfahren zum Hinzufügen vertrauenswürdiger Prozesse wurde verbessert: Jetzt können Sie die Auslösekriterien für die vertrauenswürdige Zone flexibel anpassen. Als Kriterien für die Vertrauenswürdigkeit eines Prozesses können Sie nur den vollständigen Pfad, nur die Prüfsumme, oder sowohl Pfad als auch Prüfsumme angeben.
• Es gibt nun die Möglichkeit, einen übergeordneten Container zu löschen, wenn darin eine Bedrohung gefunden wurde: Jetzt können Sie die Einstellungen der Verarbeitung von übergeordneten Containerdateien beim Fund von eingebetteten Bedrohungen anpassen: Das Programm kann den übergeordneten Container vollständig löschen, wenn er nicht bearbeitet werden kann.
• Das Programm ist mit Windows 10 Redstone 2 kompatibel.

Untersuchung auf Befehl, Echtzeitschutz für Dateien und Schutz des Prozess-Speichers

• Der Scan von MTP-Geräten bei ihrem Anschluss ist nicht verfügbar.
• Die Untersuchung von archivierten Objekten ohne Untersuchung von SFX-Archiven ist nicht verfügbar. Wenn in den Sicherheitseinstellungen für Kaspersky Embedded Systems Security der Modus zur Untersuchung von Archiven verwendet wird, untersucht das Programm automatisch sowohl die Objekte in den Archiven, als auch die Objekte in den SFX-Archiven. Eine Untersuchung von SFX-Archiven ohne Untersuchung von Archiven ist möglich.
• Die Funktion zum Schutz des Prozess-Speichers vor Exploits ist nicht verfügbar, wenn die Bibliothek apphelp.dll in der aktuellen Umgebungskonfiguration nicht geladen ist. 
• Die Komponente „Exploit-Prävention“ ist nicht mit der Lösung EMET (Microsoft) auf Computern mit Betriebssystemen Windows 10 kompatibel. Kaspersky Embedded Systems Security blockiert die Ausführung der Anwendung EMET, wenn die Installation oder Deinstallation der Komponente „Exploit-Prävention“ auf einem Computer ausgeführt wird, auf dem die Anwendung EMET installiert ist.

Computer-Kontrolle und Diagnose

• Der Geltungsbereich der Aufgabe „Gerätekontrolle“ erstreckt sich auf die über MTP-angeschlossenen Massenspeicher, wenn der geschützte Computer unter den Betriebssystemen Microsoft Windows 7 und höher läuft. Die Kontrolle der über MTP angeschlossenen Massenspeicher auf den Computern unter Windows XP ist verfügbar, wenn der verwendete Treiber für die externen Geräte einen GUID-Wert der Installationsklasse verwendet, der identisch mit dem Wert des Windows-Standardtreibers ist.
• Ausnahmen anhand der IP-Adresse für die heuristische Analyse in der Aufgabe „Protokollanalyse“ sind auf Computern mit Betriebssystemen Windows XP nicht verfügbar. Diese Einschränkung gilt nicht für die Betriebssysteme Windows Vista und Windows-Betriebssysteme für Server.
• Die Aufgabe „Protokollanalyse“ findet auf Computern mit Betriebssystemen Windows XP das Ereignis ID602 des Windows-Protokolls nicht. Diese Einschränkung gilt nicht für die Betriebssysteme Windows Vista und höher sowie für Windows-Betriebssysteme für Server.
• Die Aufgabe „Protokollanalyse“ findet eine vollständige Leerung des Windows-Protokolls nur auf Computern mit den Betriebssystemen Windows Vista und höher.
• Die Aufgabe „Protokollanalyse“ findet potenzielle Muster des Kerberos-Angriffs (MS14-068) nur auf Computern mit den Betriebssystemen Windows Server 2008 und höher in der Rolle des Domain Controller mit installierten Updates.

Firewall-Verwaltung

• Die Verwendung von IP-Adressen im Format IPv6 beim Festlegen eines Gültigkeitsbereichs der Regeln, der aus nur einer Adresse besteht, ist nicht verfügbar.
• Beim Start der Aufgabe „Firewall-Verwaltung“ in den Einstellungen der Betriebssystem-Firewall werden festgelegte Regeln der folgenden Typen automatisch gelöscht:
  • verbietende Regeln
  • Regeln zur Kontrolle des ausgehenden Datenverkehrs
• Das Programm erhält keine Ereignisse der Windows-Firewall für das Protokoll der Aufgabe „Firewall-Verwaltung“ auf einem Computer unter Microsoft Windows XP. Um das Anlegen einer Statistik für die Aufgabe zu aktivieren, muss die Verfolgung von Prozessen in den Sicherheitseinstellungen der lokalen Microsoft Windows-Richtlinie aktiviert werden.
• Die voreingestellten Regeln der Richtlinie der Firewall-Verwaltung ermöglichen die Ausführung grundlegender Szenarien der Interaktion lokaler Computer mit dem Administrationsserver. Um die Funktionalität des Kaspersky Security Center vollständig nutzen zu können, müssen manuell Regeln zum Öffnen von Ports angegeben werden. Informationen zu Portnummern, Protokollen und deren Funktionen finden Sie in der Wissensdatenbank für das Kaspersky Security Center.
• Das Programm überwacht Änderungen der Regeln und Regelgruppen der Windows-Firewall während der minutenweisen Abfrage der Aufgabe zur Firewall-Verwaltung nicht, wenn diese Regeln und Gruppen den Aufgabeneinstellungen bei der Programminstallation hinzugefügt wurden. Um den Status und das Vorhandensein solcher Regeln zu aktualisieren, muss die Aufgabe zur Firewall-Verwaltung neu gestartet werden.
• Für Microsoft Windows Vista und höher: Vor der Installation der Komponente „Firewall-Verwaltung“ muss die Windows-Firewall gestartet werden (standardmäßig aktiviert).

Installation

• Während der Installation des Programms wird eine Warnung über einen zu langen Pfad angezeigt, wenn der vollständige Pfad des Installationsordners von Kaspersky Embedded Systems Security mehr als 150 Zeichen enthält. Die Warnung beeinflusst den Installationsvorgang nicht: Die Installation von Kaspersky Embedded Systems Security und die weitere Programmfunktion werden erfolgreich ausgeführt.
• Zur Installation der Komponente „Unterstützung des SNMP-Protokolls“ muss der SNMP-Dienst, sofern er gestartet wurde, neu gestartet werden.
• Für die Installation und die Ausführung von Kaspersky Embedded Systems Security auf einem Gerät unter dem Betriebssystem Microsoft Windows XP Service Pack 2 muss Microsoft Windows Installer 3.1 vorhanden sein. Die erforderliche Komponente ist nicht Teil des Standardpakets des Betriebssystems. Sie können Windows Installer 3.1 manuell herunterladen und installieren.
• Für die Installation und die Ausführung von Kaspersky Embedded Systems Security auf einem Gerät mit eingebetteten Betriebssystemen muss die Komponente „File Manager“ vorhanden sein.
• Die Installation der Administrations-Tools für Kaspersky Embedded Systems Security durch die Gruppenrichtlinien für Microsoft Active Directory ist nicht möglich.
• Bei der Installation des Programms auf Computern mit veralteten Betriebssystemen, die keine regelmäßigen Updates erhalten können, muss das Vorhandensein der folgenden Root-Zertifikate überprüft werden: DigiCert Assured ID Root CA, DigiCert_High_Assurance_EV_Root_CA, DigiCertAssuredIDRootCA. Wenn diese Zertifikate fehlen, wird das Programm möglicherweise nicht ordnungsgemäß ausgeführt. Es wird empfohlen, die angegebenen Zertifikate auf beliebige verfügbare Weise zu installieren.

Lizenzverwaltung

Das Programm kann nicht mithilfe eines Schlüssels aktiviert werden, wenn sich die Schlüsseldatei auf einem Laufwerk befindet, das mithilfe des Befehls SUBST erstellt wurde, oder wenn für die Schlüsseldatei ein Netzwerkpfad angegeben wurde.

Updates

Nach der Installation von wichtigen Updates der Module von Kaspersky Embedded Systems Security wird das Symbol von Kaspersky Embedded Systems Security standardmäßig ausgeblendet.

Benutzeroberfläche

• In der Konsole von Kaspersky Embedded Systems Security ist bei Verwendung eines Filters in den Knoten Quarantäne, Backup, Systemaudit-Bericht und Berichte über Aufgabenausführung auf die Groß- und Kleinschreibung zu achten.
• Eine Remote-Verbindung zur Konsole für Kaspersky Embedded Systems Security ist nicht verfügbar, wenn Kaspersky Embedded Systems Security auf einem Computer unter Microsoft Windows XP Service Pack 2 mit der Standardkonfiguration des Netzwerkzugriffs installiert ist, der nicht mit der Domain verbunden ist: Standardmäßig ist für die Sicherheitseinstellungen lokaler Benutzerkonten von Windows XP Service Pack 2 der Wert „Nur Gäste“ festgelegt. 
• Sie können die Möglichkeit zur Remote-Nutzung der Konsole selbständig aktivieren. Legen Sie dazu in den Sicherheitseinstellungen für die lokalen Benutzerkonten des Betriebssystems auf dem Computer mit dem installierten Programm Kaspersky Embedded Systems Security manuell den Wert Klassisch fest.
• Wenn der Schutzbereich und der Untersuchungsbereich über die Konsole von Kaspersky Embedded Systems Security angepasst werden, darf nur eine einzige Maske und nur am Ende des Pfades verwendet werden. Beispiele für die korrekte Verwendung der Maske: „C:\Temp\Temp*“ oder „C:\Temp\Temp???.doc“ oder „C:\Temp\Temp*.doc“ Die Beschränkung erstreckt sich nicht auf die Einstellungen der vertrauenswürdigen Zone.

Sicherheit

• Bei aktivierter Benutzerkontensteuerung (User Account Control) in den Betriebssystemeinstellungen, muss zum Öffnen der Konsole von Kaspersky Embedded Systems Security per Doppelklick auf das Symbol des Programms im Infobereich der Taskleiste das Benutzerkonto in der Gruppe ESS Administrators angemeldet sein. Andernfalls öffnet sich das Fenster Über das Programm.
• Die Deinstallation des Programms über das Microsoft Windows-Fenster Programme hinzufügen oder entfernen ist bei aktivierter Kontrolle der Benutzerkonten (User Account Control) nicht verfügbar.

• Der Administrationsserver prüft die Richtigkeit der Datenbanken-Updates des Programms bei ihrem Erhalt und vor ihrer Verteilung auf die Computer im Netzwerk. Auf der Seite des Administrationsservers wird keine Überprüfung der Richtigkeit der erhaltenen Updates der Programm-Module ausgeführt.
• Bei der Arbeit mit Komponenten, die mithilfe von Netzwerklisten Daten, die sich dynamisch ändern, ans Kaspersky Security Center übermitteln (Quarantäne, Backup), müssen Sie sicherstellen, dass in den Einstellungen der Interaktion mit dem Administrationsserver die entsprechenden Kontrollkästchen aktiviert sind.

• Bei Verwendung des Befehlszeilen-Tools ist die Anzeige von Sonderzeichen verfügbar, wenn die regionalen Einstellungen des Betriebssystems mit der verwendeten Lokalisierung von Kaspersky Embedded Systems Security übereinstimmen.
• Bei der Nutzung der Basisanmeldung auf dem Proxyserver kann es zu Anmeldefehlern kommen, wenn Benutzername oder Kennwort in Multibyte-Kodierung angegeben sind.
• Wenn eine Datei aus der Quarantäne oder aus dem Backup wiederhergestellt wird, wird der Wert „Encrypted“ als Dateiattribut nicht wiederhergestellt.
• Die Verwendung eines Spiegelservers bei der Verbindung mit dem syslog-Server über das UDP-Protokoll ist nicht verfügbar.
• Der Gerätetyp wird bei der Erstellung eines Ereignisses zur Verbindung über USB möglicherweise nicht erkannt. In diesem Fall enthält das Ereignis nur die GUID des Geräts.
• Die Werte von „Device Instance Path“ werden für die Komponente „Gerätekontrolle“ und die Funktion zur Überwachung der Verbindungen über USB in verschiedenen Formaten angegeben.