Anpassen der Einstellungen für die Kontrolle der Netzwerkaktivität der virtuellen Maschinen

Die Funktion zum Schutz vor verdächtiger Netzwerkaktivität ist nur verfügbar, wenn Sie das Programm gemäß der erweiterten Lizenz verwenden.

Um die Einstellungen der Kontrolle der Netzwerkaktivität geschützter virtueller Maschinen anzupassen, gehen Sie wie folgt vor:

1. Öffnen Sie in der Kaspersky Security Center Verwaltungskonsole die Eigenschaften der Richtlinie in deren Gültigkeitsbereich sich die gewünschten virtuellen Maschinen befinden:
   1. Wählen Sie in der Konsolenstruktur den Ordner oder die Administrationsgruppe, in der die Richtlinie erstellt wurde.
   2. Wählen Sie im Arbeitsbereich die Registerkarte Richtlinien.
   3. Wählen Sie in der Richtlinienliste eine Richtlinie und öffnen Sie durch Doppelklick auf die Richtlinie das Fenster Eigenschaften: <Name der Richtlinie>.
2. Im Eigenschaftenfenster der Richtlinie im Abschnitt Schutz vor Netzwerkbedrohungen wählen Sie den Unterabschnitt Intrusion Prevention aus.
3. Aktivieren Sie das Kontrollkästchen Netzwerkaktivität von virtuellen Maschinen kontrollieren, falls die Kontrolle der Netzwerkaktivität von virtuellen Maschinen deaktiviert ist.
4. Klicken Sie auf die Schaltfläche Einstellungen.

   Das Fenster Einstellungen der Kontrolle der Netzwerkaktivität wird geöffnet.

5. Geben Sie die Kategorien der Programme an, die Merkmale deren Netzwerkaktivität Kaspersky Security erkennen soll:
   • Adware

     Aktivieren bzw. Deaktivieren des Entdeckens von Netzwerkaktivität, die charakteristisch für Adware ist.

     Adware dient dazu, dem Benutzer Werbeinformationen und auf Werbewebsites umgeleitete Suchanfragen zu zeigen sowie ihrem Absender Werbeinformationen über den Benutzer zu übermitteln. Im Gegensatz zu Trojaner-Spyware leiten Adware-Programme diese Informationen mit der Erlaubnis des Benutzers weiter.

     Wenn das Kontrollkästchen aktiviert ist, erkennt Kaspersky Security im Datenverkehr der geschützten virtuellen Maschinen Aktivitäten, die für Adware typisch sind.

     Wenn das Kontrollkästchen deaktiviert ist, ist die Erkennung von für die Adware typischer Aktivitäten deaktiviert.

     Das Kontrollkästchen ist standardmäßig deaktiviert.

   • Andere Programme

     Aktiviert bzw. deaktiviert das Erkennen von Netzwerkaktivität, die charakteristisch für legale Programme ist, die von Angreifern zur Schädigung der virtuellen Maschine oder der Benutzerdaten verwendet werden können.

     Dazu zählen Download-Manager für Dateien, Fernverwaltungsprogramme, Programme zur Überwachung von Benutzeraktionen, Kennwort-Manager. Diese Programme werden zu legalen Zwecken verwendet. Wenn jedoch ein Angreifer Zugriff auf diese Programme erhält, kann er ihre Funktionen dazu nutzen, um die virtuelle Maschine oder die Benutzerdaten zu beschädigen.

     Wenn das Kontrollkästchen aktiviert ist, erkennt Kaspersky Security im Datenverkehr der geschützten virtuellen Maschinen Aktivität, die charakteristisch für legale Programme ist, die von Angreifern zur Beschädigung der virtuellen Maschine oder der Daten des Benutzers verwendet werden können.

     Ist das Kontrollkästchen deaktiviert, ist das Entdecken von Aktivität, die charakteristisch für solche Programme ist, deaktiviert.

     Das Kontrollkästchen ist standardmäßig deaktiviert.

   Kaspersky Security erkennt im Datenverkehr der geschützten virtuellen Maschinen die Netzwerkaktivität, die für diese Schadsoftware, wie Viren, Würmer und Trojaner typisch ist.

6. Wenn Kaspersky Security Netzwerkaktivität erkennt, die Ihrer Meinung nach kein Merkmal für ein Eindringen in die geschützte Infrastruktur ist, können Sie eine Regel zur Ausnahmeliste hinzufügen, gemäß der diese Netzwerkaktivität erkannt wurde. Kaspersky Security wendet die in der Liste aufgeführten Regeln nicht zum Aufspüren von verdächtiger Netzwerkaktivität im Datenverkehr der geschützten virtuellen Maschinen an.

   Informationen über die verwendete Regel können Sie im Text des Ereignisses einsehen, das in Kaspersky Security Center während des Entdeckens der verdächtigen Netzwerkaktivität erstellt wurde.

   Um eine Regel zur Liste hinzuzufügen, klicken Sie auf die Schaltfläche Hinzufügen oberhalb der Liste und geben Sie in der Listenzeile die Regel-ID im folgenden Format ein: <Zahl>:<Zahl>:<Zahl>.

7. Klicken Sie im Fenster Einstellungen der Kontrolle der Netzwerkaktivität auf OK.
8. Wählen Sie in der Dropdown-Liste Aktion beim Erkennen von verdächtiger Aktivität, wenn der Netzwerkschutz im Standardmodus ausgeführt wird eine Aktion aus.

   Die Dropdown-Liste enthält Aktionen, die Kaspersky Security ausführen kann, wenn verdächtige Netzwerkaktivität im Datenverkehr von geschützten virtuellen Maschinen erkannt wird, während der Netzwerkschutz im Standardmodus ausgeführt wird. Sie können eine der folgenden Varianten auswählen:

   • Ignorieren. Kaspersky Security führt keine Aktionen in Bezug auf virtuellen Maschinen aus, die eine verdächtige Netzwerkaktivität zeigen.
   • Verbindung unterbrechen. Kaspersky Security unterbricht die Verbindung zwischen der geschützten virtuellen Maschine, die eine verdächtige Netzwerkaktivität zeigt, und anderen virtuellen Maschinen.

     Diese Aktion ist standardmäßig gewählt.

   • Verbindung unterbrechen und Datenverkehr von der IP-Adresse des Absenders blockieren. Kaspersky Security unterbricht die Verbindung zwischen der geschützten virtuellen Maschine, die eine verdächtige Netzwerkaktivität zeigt, und anderen virtuellen Maschinen und sperrt ferner den Datenverkehr von der IP-Adresse, die Quelle der verdächtigen Netzwerkaktivität ist. Der Datenverkehr wird in dem virtuellen lokalen Netzwerk gesperrt, in dem die verdächtige Netzwerkaktivität erkannt wurde. Die Dauer der Blockierung des Datenverkehrs wird im Feld Beim Erkennen einer Bedrohung den Datenverkehr für N Minuten blockieren angepasst.

   Informationen über das Erkennen verdächtiger Netzwerkaktivität und die ausgeführten Aktionen werden an Kaspersky Security Center übermittelt.

   Die Auswahl der Aktion ist verfügbar, wenn das Kontrollkästchen Netzwerkaktivität von virtuellen Maschinen kontrollieren aktiviert ist.

   Wenn der Netzwerkschutz im Überwachungsmodus ausgeführt wird, führt Kaspersky Security beim Fund einer verdächtigen Netzwerkaktivität die Aktion Ignorieren aus.

9. Ändern Sie erforderlichenfalls den Wert der Einstellung Beim Erkennen einer Bedrohung den Datenverkehr für N Minuten blockieren.

   Dauer der Blockierung des Datenverkehrs von der IP-Adresse, die Quelle des Netzwerkangriffs oder der verdächtigen Netzwerkaktivität ist. Bei Bestimmen der Quelle des Netzwerkangriffs oder der verdächtigen Netzwerkaktivität wird die Zugehörigkeit des Datenverkehres zum virtuellen lokalen Netzwerk (VLAN) berücksichtigt. Kaspersky Security sperrt den Datenverkehr von der IP-Adresse nur in dem virtuellen lokalen Netzwerk, in dem der Netzwerkangriff oder die verdächtige Netzwerkaktivität erkannt wurde.

   Standardmäßig beträgt die Dauer des Blockierens 60 Minuten.

10. Passen Sie bei Bedarf die Regeln der Ausnahme aus dem Schutz vor Netzwerkbedrohungen an, gemäß denen Kaspersky Security den Datenverkehr von bestimmten IP-Adressen von der Untersuchung ausschließt oder bestimmte Aktionen bei der Verarbeitung dieses Datenverkehrs ausführt.
11. Klicken Sie im Fenster Eigenschaften: <Name der Richtlinie> auf OK.