Konfigurieren und Verwenden von Vorgängen mit hohem Risiko, geringem Risiko und Standardvorgängen
Technische Artikel ID:
KB55139
Zuletzt geändert am: 21.12.2013
Zuletzt geändert am: 21.12.2013
Umgebung
McAfee VirusScan Enterprise 8.x
{GENWIN.DE_DE}
{GENWIN.DE_DE}
Zusammenfassung
Wenn nicht anders konfiguriert, verwendet VirusScan Enterprise die Richtlinien bei Zugriff für Standardvorgänge. Die Scan-Konfiguration für diese Richtlinie gilt für alle Vorgänge, einschließlich Dateiaktivitäten von diesen Vorgängen.
Durch das Implementieren von Richtlinien für Vorgänge mit hohem Risiko und geringem Risiko können der On-Access-Scanner alternativ konfiguriert und die Computerleistung optimiert werden.
Die nachfolgenden Szenarios sollen vermitteln, was unter Richtlinien für Vorgänge mit hohem Risiko und für Vorgänge mit geringem Risiko zu verstehen ist.
Die nachfolgenden Szenarios sollen vermitteln, was unter Richtlinien für Vorgänge mit hohem Risiko und für Vorgänge mit geringem Risiko zu verstehen ist.
Video-Tutorial
{TUTAA.DE_DE}TU30285
Lösung 1
Szenario 1 - Bei der Richtlinie für Vorgänge mit geringem Risiko ist die Option Beim Lesen scannen deaktiviert. Backup.exe wird als Beispielvorgang verwendet.
Nur mit verwendeter Richtlinie für Standardvorgänge :
Wenn Backup.exe zur Richtlinie für die Vorgänge mit geringem Risiko hinzugefügt wird:
Welche Risiken birgt dieses Szenario?
Risiko 1 – Angenommen, es gibt einen Virus/Trojaner mir einer ausführbaren Datei namens Backup.exe.
Risiko 2 – Eine infizierte Datei wurde auf dem Laufwerk gespeichert.
Dies bedeutet, dass der Vorgang Backup.exe eine infizierte Datei erfolgreich liest und sichert, weil Backup.exe ein Vorgang mit geringem Risiko ist. Die dazu passende Scan-Richtlinie führt Beim Lesen scannen nicht aus.
Es gibt verschiedene Möglichkeiten, das Risiko zu mindern, beispielsweise das Ausführen eines On-Demand-Scans vor einer Sicherung:
Nur mit verwendeter Richtlinie für Standardvorgänge :
- Starten Sie Backup.exe.
- McAfee VirusScan scannt die Datei Backup.exe.
- Backup.exe wird jetzt ausgeführt und startet den Sicherungsvorgang, bei dem alle Dateien auf dem Laufwerk GELESEN werden.
- McAfee VirusScan scannt dann jede Datei, die von Backup.exe GELESEN wird.
Wenn Backup.exe zur Richtlinie für die Vorgänge mit geringem Risiko hinzugefügt wird:
- Fügen Sie Backup.exe zu einem Profil für geringe Risiken hinzu, wobei die Option Beim Lesen scannen deaktiviert ist.
- Starten Sie Backup.exe.
- McAfee VirusScan scannt Backup.exe.
- Backup.exe wird jetzt ausgeführt und startet den Sicherungsvorgang, bei dem alle Dateien auf dem Laufwerk GELESEN werden.
- VirusScan erkennt, dass Backup.exe ein Vorgang mit geringem Risiko ist. Da dieses Profil nicht für Beim Lesen scannen konfiguriert ist, wird nicht gescannt, wenn Backup.exe Dateien zur Sicherung liest.
Welche Risiken birgt dieses Szenario?
Risiko 1 – Angenommen, es gibt einen Virus/Trojaner mir einer ausführbaren Datei namens Backup.exe.
- Zuerst müsste der Virus/Trojaner auf das Laufwerk geschrieben werden.
- VirusScan erkennt dies, wenn die DAT-Dateien eine passende Signatur für die Bedrohung enthalten.
- VirusScan verhindert das Erstellen der Datei, wenn die zum Erstellen dieser Datei verwendete Methode gegen eine Zugriffsschutzregel verstößt.
- Die Datei müsste ausgeführt (oder gelesen) werden, damit sich der Virus verbreiten und seinen Inhalt weitergeben kann.
- VirusScan erkennt dies, wenn die DAT-Dateien eine passende Signatur für die Bedrohung enthalten.
- VirusScan verhindert das Ausführen der Datei, wenn die zum Starten dieser Datei verwendete Methode gegen eine Zugriffsschutzregel verstößt.
HINWEIS: Auch bei der Verwendung von Richtlinien für Vorgänge mit niedrigem Risiko gibt es mehrere Schutzebenen gegen möglicherweise infizierte Dateien.
- Die Datei Backup.exe mit dem Virus/Trojaner wird jetzt ausgeführt und versucht, Dateien zu ändern:
- VirusScan würde dies erkennen, wenn die DAT-Dateien eine Signatur für diese Bedrohung enthalten, da das Ändern von Dateien ein Schreibvorgang ist, und in diesem Szenario nur die Option Beim Lesen scannen für Vorgänge mit geringem Risiko deaktiviert ist.
- VirusScan würde das Ändern der Datei verweigern, falls es eine Zugriffsschutzregel gäbe, die dieses Verhalten verhindern würde.
HINWEIS: Obwohl das Virus bzw. der Trojaner gestartet wurde und möglicherweise im Speicher ausgeführt wird, können seine Aktivitäten immer noch durch Aktualisierung der DAT-Dateien oder durch Implementierung einer neuen Zugriffsschutzregel unterbrochen werden. Wenn die DATs aktualisiert wurden und das Virus bzw. der Trojaner entdeckt wird, wird dieser bei der Bereinigung aus dem Speicher entfernt.
Risiko 2 – Eine infizierte Datei wurde auf dem Laufwerk gespeichert.
Dies bedeutet, dass der Vorgang Backup.exe eine infizierte Datei erfolgreich liest und sichert, weil Backup.exe ein Vorgang mit geringem Risiko ist. Die dazu passende Scan-Richtlinie führt Beim Lesen scannen nicht aus.
Es gibt verschiedene Möglichkeiten, das Risiko zu mindern, beispielsweise das Ausführen eines On-Demand-Scans vor einer Sicherung:
- Führen Sie einmal einen vollständigen On-Demand-Scan durch, um eine Baseline festzulegen, bei der alle Dateien sauber sind.
-
Konfigurieren Sie danach den Scan-Vorgang, um Dateien nach Alter auszuschließen, die seit der letzten Sicherung geändert wurden. Dies stellt sicher, dass die Scan-Vorgänge kurz sind, da sie nur auf die relevanten Dateien zugreifen. Die Ausführung dieses Tasks vor einer Sicherung verringert die Wahrscheinlichkeit, dass eine infizierte Datei gesichert wird.
Lösung 2
Scenario 2 – Verwenden der Richtlinie für die Vorgänge mit geringem Risiko zum Implementieren eines Ausschlusses. Agent.exe dient als Beispielvorgang, der auf Client-Computern in dem häufig verwendeten Ordner C:\Temp eine große Anzahl an Datei-E/A-Schreibvorgängen durchführt.
Nur mit verwendeter Richtlinie für Standardvorgänge :
WICHTIG: Das Verwenden der Richtlinien für Vorgänge mit hohem/geringem Risiko birgt einige Risiken. Im Allgemeinen ist das Risiko minimal, und Sie sollten es von Fall zu Fall bewerten. Seien Sie bei der Bestimmung des Risikos vorsichtig, damit die gewünschte Produktleistung erbracht werden kann.
Nur mit verwendeter Richtlinie für Standardvorgänge :
- Agent.exe speichert eine Datei im Ordner C:\Temp.
- VirusScan scannt die Datei.
- Agent.exe schreibt weitere Daten in dieselbe Datei unter C:\Temp.
- VirusScan scannt die Datei erneut.
- VirusScan scannt eine Datei bei jedem Schreibvorgang, da die Datei neu ist oder geändert wurde. Dies ist bei jeder Änderung an der Originaldatei sowie bei allen neu erstellten Dateien der Fall.
- Die von diesem Vorgang erzeugte Aktivität kann dazu führen, dass der Scanner aufgrund der Anzahl der Scan-Vorgänge, die für jede Datei erforderlich sind, große Mengen an Systemressourcen verbraucht.
Wenn Agent.exe zur Richtlinie für die Vorgänge mit geringem Risiko hinzugefügt wird:
Agent.exe kann zu den Vorgängen mit geringem Risiko hinzugefügt werden, um das Leistungsproblem zu verringern. Es gibt mehrere mögliche Methoden:
- Schließen Sie C:\Temp von Schreibvorgängen aus.
- Schließen Sie C:\Temp\**.TMP von Schreibvorgängen aus.
- Schließen Sie .TMP-Dateien aus.
Die Lösung mit dem geringsten Risiko ist b. Schließen Sie .TMP-Dateien aus dem Ordner C:\Temp nur dann vom Scannen aus, wenn sie von Agent.exe auf die Festplatte geschrieben werden.
Welche Risiken birgt dieses Szenario?
Es ist möglich, dass eine unbekannte Bedrohung mit einem Prozess namens Agent.exe .TMP-Dateien in den Ordner C:\Temp schreibt bzw. dort ändert und verhindert, dass sie gescannt werden.
Risiko 1: Angenommen, es gibt zudem einen Virus/Trojaner mit einer ausführbaren Datei namens Agent.exe.
- Zuerst müsste der Virus/Trojaner auf die Festplatte geschrieben werden.
- VirusScan erkennt dies, wenn die DAT-Dateien eine passende Signatur für die Bedrohung enthalten.
- VirusScan verhindert das Erstellen der Datei, wenn die zum Erstellen dieser Datei verwendete Methode gegen eine Zugriffsschutzregel verstößt.
- Die Datei müsste ausgeführt (oder gelesen) werden, damit sich der Virus verbreiten und seinen Inhalt weitergeben kann.
- VirusScan würde dies erkennen, wenn die DAT-Dateien eine passende Signatur für die Bedrohung enthalten.
- VirusScan würde das Ausführen der Datei verhindern, wenn die zum Starten dieser Datei verwendete Methode gegen eine Zugriffsschutzregel verstößt.
HINWEIS: Auch bei der Verwendung von Richtlinien für Vorgänge mit niedrigem Risiko gibt es mehrere Schutzebenen gegen möglicherweise infizierte Dateien.
- Der Virus/Trojaner Agent.exe wird jetzt ausgeführt. Er versucht, JPG- und DOC-Dateien im Ordner C:\Temp zu speichern.
- VirusScan würde dies erkennen, wenn die DAT-Dateien eine passende Signatur für die Bedrohung enthalten, da der Ausschluss nur .TMP-Dateien betrifft, die in den Ordner geschrieben werden.
- VirusScan würde das Schreiben der Datei verweigern, falls es eine Zugriffsschutzregel gäbe, die dieses Verhalten verhindern würde.
HINWEIS: Obwohl das Virus bzw. der Trojaner gestartet wurde und möglicherweise im Speicher ausgeführt wird, können seine Aktivitäten immer noch durch Aktualisierung der DAT-Dateien oder durch Implementierung einer neuen Zugriffsschutzregel unterbrochen werden. Wenn die DATs aktualisiert wurden und das Virus bzw. der Trojaner gefunden wird, wird es bzw. er sbei der Bereinigung aus dem Speicher entfernt.
Risiko 2: Es wird ein Lesevorgang zum Ausführen der infizierten Datei durchgeführt.
- VirusScan erkennt dies, wenn die DAT-Dateien eine passende Signatur für die Bedrohung enthalten. Lesevorgänge werden nicht ausgeschlossen.
- VirusScan würde das Lesen der Datei verweigern, falls es eine Zugriffsschutzregel gäbe, die dieses Verhalten verhindern würde.
WICHTIG: Das Verwenden der Richtlinien für Vorgänge mit hohem/geringem Risiko birgt einige Risiken. Im Allgemeinen ist das Risiko minimal, und Sie sollten es von Fall zu Fall bewerten. Seien Sie bei der Bestimmung des Risikos vorsichtig, damit die gewünschte Produktleistung erbracht werden kann.
Themenbezogene Informationen
Drittanbieter-Anwendungen, bei denen Leistungsprobleme auftreten, wenn sie gleichzeitig mit VirusScan Enterprise ausgeführt werden, zeigen möglicherweise eine bessere Leistung, wenn die anwendungsspezifischen Vorgänge zur Richtlinie für die Vorgänge mit geringem Risiko hinzugefügt werden.
Durch das Hinzufügen einer Anwendung zur Liste der Vorgänge mit geringem Risiko ändert sich die Funktionsweise des On-Access-Scanners nicht. Für Vorgänge mit geringem Risiko müssen eine oder mehrere der verschiedenen Optionen geändert werden, damit sich Auswirkungen auf die Leistung ergeben.
Verwandte Artikel:
- Wenn bei einer Sicherung die Leistung nachlässt, finden Sie weitere Informationen hierzu unter KB72334.
- Informationen zu erforderlichen Ausschlüssen für Symantec Backup Exec finden Sie unter KB68701.
Siehe auch:
- Informationen zum Erstellen von Ausschlüssen für Vorgänge mit geringem und hohem Risiko für VirusScan Enterprise 8.x finden Sie unter KB67544.
- Informationen zu dem Problem, bei dem Vorgänge mit hohem und geringem Risiko nicht in der VirusScan-Konsole sichtbar sind, finden Sie unter KB70116.
- Einen informativen Artikel zum Thema Erläuterung von VirusScan Enterprise-Ausschlüssen finden Sie unter KB55898.
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
Betroffene Produkte
Sprachen:
Dieser Artikel ist in folgenden Sprachen verfügbar:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified
