Die aktuelle Version des Hyper-V-Scans unterstützt Scanvorgänge von virtuellen Systemen in Hyper-V im Online- oder Offlinezustand. Die unterstützten Scantypen hängen vom gehosteten Hyper-V-System und vom Zustand des virtuellen Systems ab:
Virtuelle
Online-VM Keine Prüfung Schreibgeschützt Schreibgeschützt Schreibgeschützt Schreibgeschützt Offline-VM Schreibgeschützt/säubern Schreibgeschützt/säubern Schreibgeschützt/säubern Schreibgeschützt/säubern Schreibgeschützt/säubern
• Der Scan wird immer für die aktuelle VM ausgeführt. Checkpoints und Snapshots sind nicht betroffen.
• Hyper-V auf Hosts in einem Cluster wird momentan von ESET Security for Microsoft SharePoint nicht unterstützt.
• Virtuelle Computer auf Hyper-V-Hosts unter Windows Server 2008 R2 SP1 können nur im schreibgeschützten Modus geprüft werden (keine Säuberung), unabhängig von der in den ThreatSense-Parametern ausgewählten Säuberungsstufe.
HINWEIS
Die ESET-Sicherheitsprodukte unterstützen zwar Prüfungen des MBR für virtuelle Datenträger, allerdings können diese Prüfungen für diese Ziele nur im schreibgeschützten Modus durchgeführt werden. Sie finden diese Einstellung unter Erweiterte Einstellungen (F5) > Computer >
Hyper-V-Scan > ThreatSense-Parameter > Bootsektoren.
Zu prüfender virtueller Computer ist offline - (ausgeschaltet)
ESET Security for Microsoft SharePoint verwendet den Hyper-V-Manager, um virtuelle Datenträger zu erkennen und zu verbinden. Auf diese Weise hat ESET Security for Microsoft SharePoint denselben Zugriff auf den Inhalt der virtuellen Laufwerke wie beim Zugriff auf Daten und Dateien auf
herkömmlichen Laufwerken.
Zu prüfender virtueller Computer ist online - (in Betrieb, angehalten, gespeichert)
ESET Security for Microsoft SharePoint verwendet den Hyper-V-Manager, um virtuelle Datenträger zu erkennen. Eine Verbindung zu diesen Datenträgern ist nicht möglich. Daher erstellt ESET Security for Microsoft SharePoint einen Checkpoint/Snapshot der virtuellen Maschine und verbindet sich
anschließend mit diesem Checkpoint/Snapshot. Nach Abschluss der Prüfung wird der
Checkpoint/Snapshot gelöscht. In diesem Fall wird also eine schreibgeschützte Prüfung durchgeführt, da die laufenden virtuellen Maschinen nicht von der Prüfung betroffen sind.
Warten Sie ca. eine Minute, bis ESET Security for Microsoft SharePoint beim Scannen einen Snapshot bzw. Checkpoint erstellt hat. Berücksichtigen Sie dies, wenn Sie Hyper-V-Scans für eine große Anzahl virtueller Computer planen.
Namenskonvention
Das Modul für die Hyper-V-Scan verwendet die folgende Namenskonvention:
VirtualMachineName\DiskX\VolumeY
Wobei X die Nummer des Laufwerks und Y die Nummer des Volumes ist. Beispiel:
Computer\Disk0\Volume1
Die Zahlen werden in der Reihenfolge der Erkennung angefügt. Diese Reihenfolge stimmt mit der Reihenfolge im Manager für virtuelle Datenträger überein. Die Namenskonvention wird in der Baumstruktur der Prüfziele, in der Fortschrittsleiste und in den Log-Dateien verwendet.
Ausführung einer Prüfung
• On-Demand - Klicken Sie auf Hyper-V-Prüfung, um eine Liste der für die Prüfung
verfügbaren virtuellen Computer und Laufwerke anzuzeigen. Wählen Sie die gewünschten VMs,
Laufwerke oder Volumes für den Scanvorgang aus und klicken Sie auf Scannen.
• So erstellen Sie einen Taskplaner-Task.
• Über ESET Security Management Center in Form eines Clienttasks mit dem Namen Serverprüfung .
• Sie können Hyper-V-Scans in eShell verwalten und starten.
Sie können mehrere Hyper-V-Scans parallel ausführen. Nach Abschluss der Scans wird eine Benachrichtigung mit einem Link zu den Log-Dateien angezeigt.
Mögliche Probleme
• Beim Scannen eines aktiven virtuellen Computers wird ein Checkpoint/Snapshot des
jeweiligen virtuellen Computers erstellt. Während der Erstellung von Checkpoint/Snapshot sind möglicherweise einige allgemeine Aktionen des virtuellen Computers eingeschränkt oder deaktiviert.
• Inaktive virtuelle Computer können nicht eingeschaltet werden, solange eine Prüfung ausgeführt wird.
• Im Hyper-V Manager können Sie zwei virtuelle Computer mit identischem Namen anlegen.
Dies kann zu Problemen bei der Unterscheidung der Computer in den Prüf-Logs führen.
HIPS
Das Host Intrusion Prevention System (HIPS) schützt Ihr System vor Schadsoftware und
unerwünschten Programmaktivitäten, die negative Auswirkungen auf Ihren Computer haben könnten.
HIPS analysiert das Verhalten von Programmen genau und nutzt Netzwerkfilter zur Überwachung von ausgeführten Prozessen, Dateien und Registrierungsschlüsseln. HIPS stellt eine zusätzliche Funktion zum Echtzeit-Dateischutz dar und ist keine Firewall, da nur die im Betriebssystem ausgeführten Prozesse überwacht werden.
WARNUNG
Nur erfahrene Benutzer sollten die Einstellungen von HIPS ändern. Eine falsche Konfiguration der HIPS-Einstellungen kann zur Instabilität des Systems führen.
Selbstschutz aktivieren
ESET Security for Microsoft SharePoint bietet die integrierte Selbstschutz-Technologie, die
Diese Funktion bietet zusammen mit dem Exploit-Blocker einen noch besseren Schutz vor Malware, die darauf ausgelegt ist, der Erkennung durch Anti-Malware-Produkte mittels Verschleierung oder Verschlüsselung zu entgehen. Die erweiterte Speicherprüfung ist standardmäßig aktiviert. Weitere Informationen zu diesem Schutztyp finden Sie in unserem Glossar .
Exploit-Blocker aktivieren
Sichert besonders anfällige Anwendungstypen wie Webbrowser, PDF-Leseprogramme, E-Mail-Programme und MS Office-Komponenten. Der Exploit-Blocker ist standardmäßig aktiviert. Weitere Informationen zu diesem Schutztyp finden Sie in unserem Glossar .
Ransomware-Schutz aktivieren
Aktivieren Sie HIPS und ESET Live Grid, um diese Funktion zu verwenden. Weitere Informationen zu Ransomware finden Sie im Glossar .
Filtermodus
Wählen Sie einen der folgenden Filtermodi aus:
• Automatischer Modus - Vorgänge werden ausgeführt, mit Ausnahme der Vorgänge, die durch vordefinierte Regeln zum Schutz Ihres Systems blockiert wurden. Alle Vorgänge sind erlaubt, mit Ausnahme von Aktionen, die durch eine Regel blockiert werden.
• Smart-Modus - Der Benutzer wird nur über sehr verdächtige Ereignisse benachrichtigt.
• Interaktiver Modus - Der Benutzer wird zur Bestätigung von Vorgängen aufgefordert. Zugriff erlauben / verweigern, Regel erstellen, Diese Aktion vorübergehend anwenden.
• Policy-basierter Modus - Vorgänge werden blockiert. Akzeptiert nur Benutzer- oder vordefinierte Regeln.
• Trainingsmodus - Vorgänge werden ausgeführt und nach jedem Vorgang wird eine Regel erstellt. Die in diesem Modus erstellten Regeln können im Regel-Editor angezeigt werden, doch sie haben geringere Priorität als manuell erstellte Regeln oder Regeln, die im automatischen Modus erstellt wurden. Wenn Sie im Dropdownmenü für den HIPS-Filtermodus den
Trainingsmodus auswählen, wird die Einstellung Ende des Trainingsmodus verfügbar.
Wählen Sie eine Dauer für den Trainingsmodus aus. Die maximale Dauer ist 14 Tage. Wenn die festgelegte Dauer verstrichen ist, werden Sie aufgefordert, die von HIPS im Trainingsmodus erstellten Regeln zu bearbeiten. Sie können auch einen anderen Filtermodus auswählen oder die Entscheidung verschieben und den Trainingsmodus weiterverwenden.
Regeln
Regeln legen fest, welche Anwendungen auf welche Dateien, Registrierungsbereiche oder andere Anwendungen zugreifen dürfen. HIPS überwacht Ereignisse im Betriebssystem und führt Aktionen gemäß Regeln aus, die den Regeln für die Personal Firewall ähneln. Klicken Sie auf Bearbeiten, um das Fenster für die HIPS-Regelverwaltung zu öffnen. Wenn die Standardaktion zu einer Regel Nachfragen lautet, wird bei jedem Auslösen der Regel ein Dialogfeld angezeigt. Dort können Sie den Vorgang entweder Blockieren oder Zulassen. Wenn Sie innerhalb des vorgegebenen Zeitrahmens keine Aktion festlegen, wird gemäß den Regeln eine neue Aktion ausgewählt.
Im Dialogfenster können Sie eine Regel erstellen, die auf einer beliebigen neuen Aktion basiert, die
HIPS erkennt. Definieren Sie dann die Bedingungen, unter denen die Aktion zugelassen oder blockiert werden soll. Unter Details finden Sie weitere Informationen. Auf diese Weise erstellte Regeln und manuell erstellte Regeln sind gleichrangig. Daher können erstere allgemeiner sein als die Regel, die das Dialogfenster ausgelöst hat. Nach dem Erstellen einer solchen Regel kann derselbe Vorgang also dasselbe Fenster auslösen.
Jedes Mal fragen
Bei jedem Auslösen der Regel wird ein Dialogfeld angezeigt. Dort können Sie den Vorgang entweder Blockieren oder Zulassen.
Bis zum Beenden der Anwendung merken