Datei-Anti-Virus. Schutz von virtuellen Maschinen
25. März 2022
ID 57662
Der Begriff SVM bedeutet in diesem Abschnitt eine SVM mit der installierten Komponente „Datei-Anti-Virus“.
Eine SVM mit der installierten Komponente „Datei-Anti-Virus“ gewährleistet den Schutz von virtuellen Maschinen auf einem VMware ESXi Hypervisor. Kaspersky Security beginnt erst damit, virtuelle Maschinen zu schützen, nachdem Sie den Schutz mithilfe einer Richtlinie aktiviert haben.
Wenn das Programm auf der SVM nicht aktiviert ist oder die Programm-Datenbanken fehlen, schützt Kaspersky Security die virtuellen Maschinen nicht.
Kaspersky Security schützt nur aktivierte virtuelle Maschinen, für die alle Bedingungen für den Schutz virtueller Maschinen eingehalten werden, vor Netzwerkbedrohungen.
Wenn ein Benutzer oder ein Programm auf eine Datei der virtuellen Maschine zugreift, wird diese Datei von Kaspersky Security untersucht.
- Werden in der Datei keine Viren oder andere Schadsoftware gefunden, so erlaubt Kaspersky Security den Zugriff auf diese Datei.
- Werden in einer Datei Viren oder andere Schadsoftware gefunden, so weist Kaspersky Security der Datei den Status Infiziert zu. Wenn sich aufgrund der Untersuchung nicht eindeutig feststellen lässt, ob eine Datei infiziert ist oder nicht, weist Kaspersky Security der Datei ebenfalls den Status Infiziert zu (Dies kann der Fall sein, wenn eine Datei eine Codefolge enthält, die für Viren oder andere Schadsoftware typisch ist, oder den modifizierten Code eines bekannten Virus).
Anschließend führt Kaspersky Security mit der Datei jene Aktion aus, die im Schutzprofil dieser virtuellen Maschine festgelegt ist (beispielsweise Löschen oder Blockieren).
Wenn auf einer virtuellen Maschine ein Programm installiert ist, das Informationen sammelt und zur anschließenden Verarbeitung versendet, kann Kaspersky Security dieses Programm als schädlich einstufen. Um dies zu vermeiden, können Sie das Programm vom Schutz ausschließen. Die Ausnahmeliste wird in den Einstellungen der Schutzprofile angepasst.
Beim Schutz der virtuellen Maschinen werden die Signaturanalyse und die heuristische Analyse verwendet. Bei der Signaturanalyse werden die Datenbanken von Kaspersky Security verwendet, die Informationen über bekannte Bedrohungen und entsprechende Desinfektionsmethoden enthalten. Der Schutz unter Verwendung der Signaturanalyse gewährleistet die minimal erforderliche Sicherheitsstufe. Gemäß den Empfehlungen der Kaspersky-Lab-Experten ist diese Analysemethode immer aktiviert.
Mit der heuristischen Analyse können Bedrohungen erkannt werden, die mithilfe der Programm-Datenbanken von Kaspersky Lab nicht gefunden werden können. Die heuristische Analyse ermöglicht das Erkennen von Dateien, die eine noch nicht in den Datenbanken verzeichnete Schadsoftware oder die neue Modifikation eines bekannten Virus enthalten können. Dateien, in denen bei der heuristischen Analyse eine Bedrohung erkannt wurde, erhalten den Status Infiziert.
Die Ebene der heuristischen Analyse ist von der ausgewählten Sicherheitsstufe abhängig.
- Auf der Sicherheitsstufe Niedrig erfolgt eine oberflächliche heuristische Analyse. Wenn ausführbare Dateien auf schädlichen Code untersucht werden, führt die heuristische Analyse nicht alle Befehle der ausführbaren Dateien aus. Auf dieser Ebene der heuristischen Analyse ist die Wahrscheinlichkeit für den Fund einer Bedrohung niedriger als auf der mittleren Ebene der heuristischen Analyse. Die Untersuchung beansprucht weniger SVM-Ressourcen und verläuft schneller.
- Auf der Sicherheitsstufe Empfohlen, Hoch oder Benutzerdefiniert erfolgt die heuristische Analyse auf der mittleren Ebene. Wenn Dateien auf schädlichen Code untersucht werden, führt die heuristische Analyse in den ausführbaren Dateien die von den Kaspersky-Lab-Experten empfohlene Anzahl von Befehlen aus.
Alle Ereignisse, die beim Schutz der virtuellen Maschinen auftreten, werden in einem Bericht gespeichert.
Es wird empfohlen, die Liste der Dateien, die infolge des Schutzes der virtuellen Maschinen blockiert wurden, regelmäßig zu überprüfen und diese Dateien entsprechend zu behandeln. Sie können beispielsweise an einem Ort, auf den der Benutzer der virtuellen Maschine nicht zugreifen kann, Backup-Kopien der Dateien anlegen oder die Dateien löschen. Informationen über blockierte Dateien finden Sie im Bedrohungsbericht. Außerdem können Sie die Ereignisse mit dem Wert Datei wurde blockiert filtern (s. Dokumentation zu Kaspersky Security Center).
Um Zugriff auf Dateien zu erhalten, die infolge des Schutzes der virtuellen Maschinen blockiert wurden, müssen diese Dateien in den Einstellungen des Profils, das den virtuellen Maschinen zugewiesen ist, vom Schutz ausgeschlossen werden, oder der Schutz muss für diese virtuellen Maschinen vorübergehend deaktiviert werden.