Anpassen der Einstellungen für die Kontrolle der Netzwerkaktivität der virtuellen Maschinen

Die Funktion zum Schutz vor verdächtiger Netzwerkaktivität ist nur verfügbar, wenn Sie das Programm gemäß der erweiterten kommerziellen Lizenz verwenden.

Um die Einstellungen der Kontrolle der Netzwerkaktivität geschützter virtueller Maschinen anzupassen, gehen Sie wie folgt vor:

1. Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
2. Führen Sie in der Konsolenstruktur eine der folgenden Aktionen aus:
   • Wenn Sie die Einstellungen für die SVMs eines KSC-Cluster anpassen möchten, wählen Sie im Ordner Verwaltete Geräte der Konsolenstruktur die Administrationsgruppe aus, die diesen KSC-Cluster enthält.
   • Wenn Sie die Einstellungen für die SVMs aller KSC-Cluster anpassen wollen, wählen Sie den Ordner Verwaltete Geräte aus.
3. Wählen Sie im Arbeitsbereich die Registerkarte Richtlinien.
4. Wählen Sie in der Richtlinienliste eine Richtlinie und öffnen Sie durch Doppelklick auf die Richtlinie das Fenster Eigenschaften: <Name der Richtlinie>.
5. Wählen Sie im Eigenschaftenfenster der Richtlinie den Abschnitt Intrusion Prevention und klicken Sie auf Einstellungen.

   Das Fenster Einstellungen der Kontrolle der Netzwerkaktivität wird geöffnet.

6. Geben Sie die Kategorien der Programme an, die Merkmale deren Netzwerkaktivität Kaspersky Security erkennen soll:
   • Adware
     

     Aktivieren / Deaktivieren der Erkennung der Netzwerkaktivität, die für die Adware typisch ist.

     Adware soll dem Nutzer Werbeinformationen zeigen, Suchanfragen an Werbeseiten umleiten und Marketinginformationen über den Benutzer an den eigenen Entwickler übermitteln. Im Gegensatz zu trojanischer Spyware leitet Adware solche Informationen mit der Erlaubnis des Benutzers weiter.

     Wenn das Kontrollkästchen aktiviert ist, findet Kaspersky Security im Datenverkehr der geschützten virtuellen Maschinen Aktivitäten, die für die Adware typisch sind.

     Wenn das Kontrollkästchen deaktiviert ist, ist die Erkennung für die Adware typischer Aktivitäten deaktiviert.

     Das Kontrollkästchen ist standardmäßig deaktiviert.

   • Andere Programme
     

     Aktivieren/Deaktivieren der Erkennung verdächtiger Netzwerkaktivität, die für legale Programme typisch ist, mit denen Angreifer die virtuelle Maschine oder die Benutzerdaten beschädigen können.

     Dazu zählen Download-Manager für Dateien, Fernverwaltungsprogramme sowie Programme zur Überwachung von Benutzeraktionen. Diese Programme werden zu legalen Zwecken verwendet. Wenn allerdings ein Angreifer Zugriff auf solche Programme erhält, kann er ihre Funktionen dazu nutzen, um die virtuelle Maschine oder die Benutzerdaten zu beschädigen.

     Wenn das Kontrollkästchen aktiviert ist, erkennt Kaspersky Security im Datenverkehr der geschützten virtuellen Maschinen die für die legalen Programme typischen Aktivitäten, die Angreifer verwenden können, um die virtuelle Maschine oder die Benutzerdaten zu beschädigen.

     Wenn das Kontrollkästchen deaktiviert ist, ist die Erkennung typischer Aktivitäten dieser Programme deaktiviert.

     Das Kontrollkästchen ist standardmäßig deaktiviert.

   Kaspersky Security erkennt im Datenverkehr der geschützten virtuellen Maschinen die Netzwerkaktivität, die für diese Schadsoftware, wie Viren, Würmer und Trojaner typisch ist.

7. Wenn Kaspersky Security eine Netzwerkaktivität erkennt, die Ihrer Meinung nach kein Merkmal für das Eindringen in die geschützte Infrastruktur ist, können Sie die Liste mit den Regeln anpassen, die Kaspersky Security nicht für die Erkennung verdächtiger Netzwerkaktivität im Datenverkehr geschützter virtueller Maschinen verwenden soll.

   Um zur Liste eine Regel hinzuzufügen, mit deren Hilfe die Netzwerkaktivität erkennen lässt, klicken Sie auf die Schaltfläche Hinzufügen über der Liste ist, und geben Sie in der Listenzeile die ID der Regel im folgenden Format ein: <Zahl>: <Zahl>: <Zahl>.

   Informationen über die verwendete Regel werden im Text des Ereignisses, das an Kaspersky Security Center beim Entdecken der verdächtigen Netzwerkaktivität übermittelt wird, angezeigt.

8. Klicken Sie im Fenster Einstellungen der Kontrolle der Netzwerkaktivität auf OK.
9. Wählen Sie die Aktion in der Liste Aktion beim Erkennen einer verdächtigen Aktivität aus.
   

   Aktion, die Kaspersky Security beim Entdecken einer verdächtigen Netzwerkaktivität im Datenverkehr geschützter virtueller Maschinen ausführt. Sie können eine der folgenden Varianten auswählen:

   • Aktion automatisch wählen. Kaspersky Security führt die Aktion aus, die standardmäßig von den Kaspersky-Lab-Experten festgelegt wurde. Wenn der Netzwerkschutz im Standardmodus implementiert wurde, wird automatisch die Aktion Verbindung unterbrechen ausgewählt. Wenn der Netzwerkschutz im Überwachungsmodus implementiert wurde, wird automatisch die Aktion Ignorieren ausgewählt.

     Diese Variante ist standardmäßig festgelegt.

   • Ignorieren. Kaspersky Security führt keine Aktionen in Bezug auf die virtuellen Maschinen aus, die die verdächtige Netzwerkaktivität aufweisen.
   • Verbindung unterbrechen. Kaspersky Security unterbricht die Verbindung zwischen der geschützten virtuellen Maschine mit der verdächtigen Netzwerkaktivität und anderen virtuellen Maschinen.
   • Verbindung unterbrechen und Datenverkehr von der IP-Adresse des Absenders blockieren. Kaspersky Security unterbricht die Verbindung zwischen der geschützten virtuellen Maschine, die eine verdächtige Netzwerkaktivität zeigt, und anderen virtuellen Maschinen und sperrt ferner den Datenverkehr von der IP-Adresse, welche die Quelle der verdächtigen Netzwerkaktivität ist. Der Datenverkehr wird in dem virtuellen lokalen Netzwerk blockiert, in dem die verdächtige Netzwerkaktivität erkannt wurde. Die Blockierdauer des Datenverkehrs wird im Feld Beim Erkennen eines Netzwerkangriffs oder einer verdächtigen Netzwerkaktivität den Datenverkehr von der IP-Adresse blockieren für N Minuten angepasst.

   Die Informationen über den Fund verdächtiger Netzwerkaktivität und die ausgeführten Aktionen werden an Kaspersky Security Center übermittelt.

   Die Aktion kann ausgewählt werden, wenn das Kontrollkästchen Netzwerkaktivität von virtuellen Maschinen kontrollieren aktiviert ist.

   Wenn der Netzwerkschutz im Überwachungsmodus implementiert wurde, wird beim Fund verdächtiger Netzwerkaktivität unabhängig von der ausgewählten Aktion immer die Aktion Ignorieren angewendet.

10. Ändern Sie bei Bedarf den Wert der Einstellung Beim Erkennen eines Netzwerkangriffs oder einer verdächtigen Netzwerkaktivität den Datenverkehr von der IP-Adresse blockieren für N Minuten.
    

    Blockierdauer des Datenverkehrs von einer IP-Adresse, welche die Quelle eines Netzwerkangriffs oder einer verdächtigen Netzwerkaktivität ist. Bei der Bestimmung der Quelle eines Netzwerkangriffs oder einer verdächtigen Netzwerkaktivität wird die Zugehörigkeit des Datenverkehrs zum virtuellen lokalen Netzwerk (VLAN) berücksichtigt. Kaspersky Security blockiert den Datenverkehr von einer IP-Adresse nur in dem virtuellen lokalen Netzwerk, in dem der Netzwerkangriff oder die verdächtige Netzwerkaktivität erkannt wurde.

    Standardmäßig beträgt die Sperrdauer 60 Minuten.

11. Passen Sie bei Bedarf die Regeln der Ausnahme aus dem Schutz vor Netzwerkbedrohungen an, gemäß denen Kaspersky Security den Datenverkehr von bestimmten IP-Adressen von der Untersuchung ausschließt oder bestimmte Aktionen bei der Verarbeitung dieses Datenverkehrs ausführt.
12. Klicken Sie im Fenster Eigenschaften: <Name der Richtlinie> auf OK.