Symantec Client Security Client-Handbuch

Transkript

1 Symantec Client Security Client-Handbuch

2 Symantec Client Security Client-Handbuch Die in diesem Handbuch beschriebene Software wird im Rahmen einer Lizenzvereinbarung zur Verfügung gestellt und darf nur im Einklang mit den Bestimmungen dieser Vereinbarung verwendet werden. Dokumentationsversion 3.0 Copyright Copyright 2005 Symantec Corporation. Alle Rechte vorbehalten. Jegliche technische Dokumentation, die von Symantec Corporation zur Verfügung gestellt wird, ist Eigentum der Symantec Corporation und von dieser urheberrechtlich geschützt. KEINE GEWÄHRLEISTUNG. Die technische Dokumentation wird OHNE MÄNGEL- GEWÄHR geliefert. Die Symantec Corporation übernimmt keinerlei Garantie für die Genauigkeit oder Verwendbarkeit der Dokumentation. Die Verwendung der technischen Dokumentation und der darin enthaltenen Informationen erfolgt auf Risiko des Benutzers. Die Dokumentation kann Ungenauigkeiten technischer oder anderer Art sowie typografische Fehler enthalten. Symantec behält sich das Recht vor, Änderungen ohne vorherige Ankündigung vorzunehmen. Kein Teil dieser Veröffentlichung darf ohne ausdrückliche schriftliche Genehmigung der Symantec Corporation, Stevens Creek Blvd., Cupertino, CA 95014, USA, kopiert werden. Marken Symantec, das Symantec-Logo, LiveUpdate, Norton AntiVirus und Norton SystemWorks sind in den USA eingetragene Marken der Symantec Corporation. Norton Internet Security, Norton Personal Firewall, Symantec AntiVirus, Symantec Client Firewall, Symantec Client Security, Symantec Desktop Firewall, Symantec Enterprise Security Architecture, Symantec Packager, Symantec Security Response und Symantec System Center sind Marken der Symantec Corporation. Andere in diesem Handbuch erwähnte Marken- und Produktnamen sind Marken der jeweiligen Rechtsinhaber und werden hiermit anerkannt.

3 Inhalt Abschnitt 1 Symantec AntiVirus Kapitel 1 Kapitel 2 Einführung in Symantec AntiVirus Allgemeines zu Symantec AntiVirus Allgemeines zur Aktualisierung von Einzelplatz-Computern Allgemeines zu Remote-Computern, die mit einem Unternehmensnetzwerk verbunden sind Was sind Viren? Wie sich Viren verbreiten Virusarten Allgemeines zum Master-Boot-Sektor Allgemeines zu Sicherheitsrisiken Reaktion von Symantec AntiVirus auf Viren und Sicherheitsrisiken Wie Symantec AntiVirus Ihren Computer schützt Wie wird in Symantec AntiVirus der Schutz aktuell gehalten? Allgemeines zur Rolle von Symantec Security Response Schutz vor Viren und Sicherheitsrisiken aktualisieren Grundlagen von Symantec AntiVirus Allgemeines zur Content-Lizenzierung Eine Content-Lizenz auf einem nicht verwalteten Client installieren Öffnen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus Kategorien von Symantec AntiVirus anzeigen Aktivieren und Deaktivieren von Auto-Protect Unterbrechung und Verzögerung von Prüfungen Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken Aktualisierungen mit LiveUpdate planen Schutz sofort mit LiveUpdate aktualisieren Virenschutz ohne LiveUpdate aktualisieren Verwenden von Symantec AntiVirus zusammen mit dem Windows-Sicherheitscenter... 39

4 4 Inhalt Weitere Informationen Auf die Online-Hilfe zugreifen Auf die Website von Symantec Security Response zugreifen Kapitel 3 Schutz des Computers vor Viren und Sicherheitsrisiken Allgemeines zur Virenschutz- und Sicherheitsrisiko-Richtlinie Was geprüft werden soll Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Verwenden von Auto-Protect Allgemeines zu Auto-Protect und Sicherheitsrisiken Auto-Protect und -Prüfung Prüfung für SSL-Verbindungen deaktivieren Anzeigen der Auto-Protect-Prüfungsstatistik Auto-Protect ändern und SmartScan verwenden Prüfung auf Sicherheitsrisiken in Auto-Protect deaktivieren und aktivieren Verwenden des Manipulationsschutzes Manipulationsschutz aktivieren, deaktivieren und konfigurieren Meldungen für den Manipulationsschutz erstellen Prüfung auf Viren und andere Sicherheitsrisiken Erkennung von Viren und Sicherheitsrisiken durch Symantec AntiVirus Was passiert bei einer Prüfung Allgemeines zu Definitionsdateien Prüfung von komprimierten und kodierten Dateien Manuelle Prüfungen starten Konfigurieren der Prüfung Geplante Prüfungen erstellen Startprüfungen erstellen Benutzerdefinierte Prüfungen erstellen Startprüfungen, benutzerdefinierte Prüfungen und geplante Prüfungen bearbeiten und löschen Aktionen für Viren und Sicherheitsrisiken konfigurieren Benachrichtigungen für Viren und Sicherheitsrisiken konfigurieren Interpretieren von Prüfergebnissen Ausschluss von Dateien von der Prüfung... 79

5 Inhalt 5 Kapitel 4 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Aktionen zur Behandlung infizierter Dateien Durch Viren verursachte Schäden Allgemeines zum Quarantänebereich Vireninfizierte Dateien in den Quarantänebereich verschieben Durch Sicherheitsrisiken infizierte Dateien im Quarantänebereich belassen Vireninfizierte Dateien im Quarantänebereich löschen Durch Sicherheitsrisiken infizierte Dateien aus dem Quarantänebereich löschen Umgang mit isolierten Dokumenten Dateien und Dateiinformationen im Quarantänebereich anzeigen Dateien im Quarantänebereich erneut auf Viren prüfen Wiederherstellen von Dateien ist am ursprünglichen Ablageort nicht möglich Backup-Elemente löschen Dateien aus dem Quarantänebereich löschen Dateien im Quarantänebereich, im Ordner "Backup-Elemente" und im Ordner "Reparierte Elemente" automatisch löschen Potenziell infizierte Dateien an Symantec Security Response senden Anzeigen des Ereignisprotokolls Ereignisse im Ereignisprotokoll filtern Elemente aus dem Ereignisprotokoll löschen Datenexport in.csv-dateien Abschnitt 2 Symantec Client Firewall Kapitel 5 Kapitel 6 Einführung in Symantec Client Firewall Neue Funktionen in Symantec Client Firewall Allgemeines zu Symantec Client Firewall Symantec Client Firewall und Symantec Client Security Funktionen von Symantec Client Firewall Grundlagen von Symantec Client Firewall Zugriff auf Symantec Client Firewall Das Taskleistenmenü von Symantec Client Firewall anzeigen Die Verwendung von Symantec Client Firewall Berechtigungen in Symantec Client Firewall...105

6 6 Inhalt Einstellungen für Schutzfunktionen von Symantec Client Firewall ändern Auf Warnmeldungen von Symantec Client Firewall reagieren Internet-Kommunikation mit der Funktion "Datenverkehr blockieren" beenden Anpassen von Symantec Client Firewall Allgemeine Optionen Firewall-Optionen Optionen von Secure Port Optionen für die Protokollfilterung Einstellungs-Manager Exportieren und Importieren von Richtliniendateien Vorübergehendes Deaktivieren von Symantec Client Firewall Mit LiveUpdate immer aktuell sein Informationen zu Programm-Updates Allgemeines zu Schutz-Updates Wann sollten Sie ein Update durchführen LiveUpdate in einem internen Netzwerk ausführen Updates von der Symantec-Website herunterladen Updates mit LiveUpdate herunterladen Informationsquellen für Symantec Client Firewall Hilfe aufrufen Auf die PDF-Datei des Client-Handbuchs zugreifen Die Symantec-Website über das Hauptfenster von Symantec Client Firewall öffnen Kapitel 7 Kapitel 8 Location Awareness und Zonen Arbeiten mit Location Awareness Location Awareness aktivieren und deaktivieren Zu implementierende Standorte auswählen Netzwerkverbindungsdaten löschen Standorte hinzufügen Standorteinstellungen anpassen Standorte löschen Hinzufügen von Computern zu vertrauenswürdigen und eingeschränkten Zonen Schutz vor unbefugten Zugriffsversuchen Allgemeines zu unbefugten Zugriffsversuchen Wie Symantec Client Firewall vor Netzwerkangriffen schützt Überwachung der Kommunikation mithilfe von Symantec Client Firewall...132

7 Inhalt 7 Analyse des Datenverkehrs durch Intrusion Prevention Anpassen des Firewall-Schutzes Position des Schiebereglers ändern Einzelne Sicherheitseinstellungen ändern Sicherheitseinstellungen auf Standardwerte zurücksetzen Anpassen der Firewall-Regeln Neue Firewall-Regeln erstellen Firewall-Regeln manuell erstellen Stateful-Inspection-Technologie Prioritäten für die Verarbeitung von Firewall-Regeln Firewall-Regeln hinzufügen Vorhandene Firewall-Regeln ändern Verwendung von Secure Port Secure Port aktivieren und deaktivieren Benutzerdefinierte Ports hinzufügen und entfernen Verwenden der Protokollfilterung Erweiterte Protokolle zulassen und blockieren Anpassen von Intrusion Prevention Intrusion-Prevention-Warnmeldungen anzeigen Intrusion-Prevention-Warnungen ausschließen Netzwerkaktivitäten von der Überwachung ausschließen Angriffssignaturen aufnehmen AutoBlock aktivieren oder deaktivieren Computer freigeben, die zurzeit durch AutoBlock blockiert werden Computer von AutoBlock ausschließen Blockierten Computer zur eingeschränkten Zone hinzufügen Kapitel 9 Sicheres Surfen im Internet Allgemeines zum Datenschutz Ports auswählen, die vom Datenschutz überwacht werden Vertrauliche Daten, die geschützt werden sollen Datenschutzeinstellungen anpassen Blockieren von Werbung Funktionsweise des Werbeblockers Werbeblocker aktivieren und deaktivieren Blockieren von Popup-Fenstern aktivieren und deaktivieren Verwendung von erweiterten Einstellungen für Web-Inhalte Globale Einstellungen konfigurieren Benutzereinstellungen konfigurieren Einstellungen für Werbeblocker konfigurieren Sites hinzufügen und löschen...187

8 8 Inhalt Kapitel 10 Überwachung von Symantec Client Firewall Allgemeines zur Überwachung von Symantec Client Firewall Anzeigen des Statistikfensters Im Statistikfenster angezeigte Informationen zurücksetzen Anzeigen des Symantec Client Firewall-Statistikfensters Statistikzähler zurücksetzen Ausgewählte Statistikwerte anzeigen Symantec Client Firewall-Statistikfenster immer anzeigen Arbeiten mit der Protokollanzeige Allgemeine Informationen zur Protokollierungsstufe Protokollierungsstufe einrichten Protokolle anzeigen Protokolle aktualisieren Protokolle löschen Größe der Protokollanzeige ändern Spaltenbreiten in der Protokollanzeige anpassen Protokollierung deaktivieren Drucken und Speichern von Protokollen und Statistikdaten Index Lösungen für Service und Unterstützung

9 Abschnitt 1 Symantec AntiVirus Einführung in Symantec AntiVirus Grundlagen von Symantec AntiVirus Schutz des Computers vor Viren und Sicherheitsrisiken Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken

10

11 Kapitel 1 Einführung in Symantec AntiVirus Dieses Kapitel enthält folgende Themen: Allgemeines zu Symantec AntiVirus Was sind Viren? Allgemeines zu Sicherheitsrisiken Reaktion von Symantec AntiVirus auf Viren und Sicherheitsrisiken Wie Symantec AntiVirus Ihren Computer schützt Wie wird in Symantec AntiVirus der Schutz aktuell gehalten? Allgemeines zu Symantec AntiVirus Bei Ihrer Version von Symantec AntiVirus handelt es sich entweder um eine Einzelplatzinstallation oder um eine zentral verwaltete Installation. Bei Einzelplatzversionen wird die Symantec AntiVirus-Software nicht von einem Netzwerkadministrator verwaltet. Wenn Sie Ihren eigenen Computer verwalten, muss es sich um einen der folgenden Typen handeln: Ein Einzelplatz-Computer, der nicht mit einem Netzwerk verbunden ist, z. B. ein Privat-Computer oder ein eigenständiger Laptop mit einer Symantec AntiVirus-Installation, die entweder die Standardeinstellungen oder die vom Administrator festgelegten Einstellungen verwendet Ein mit Ihrem Unternehmensnetzwerk verbundener Remote-Computer, der vor dem Herstellen der Verbindungen Sicherheitsanforderungen erfüllen muss

12 12 Einführung in Symantec AntiVirus Allgemeines zu Symantec AntiVirus Die Standardeinstellungen für Symantec AntiVirus bieten umfassenden Schutz vor Viren und Sicherheitsrisiken für Ihren Computer. Sie können die Einstellungen jedoch ändern, um sie an Ihre Unternehmensanforderungen anzupassen, um die Systemleistung zu optimieren oder um Optionen zu deaktivieren, die Sie nicht verwenden möchten. Wenn Ihre Installation von einem Administrator verwaltet wird, sind einige Optionen möglicherweise gesperrt bzw. nicht verfügbar oder sie werden gar nicht angezeigt, je nach der vom Administrator festgelegten Sicherheitsrichtlinie. Der Administrator kann Prüfungen auf Ihrem Computer durchführen und geplante Prüfungen einrichten. Ihr Administrator kann Ihnen mitteilen, welche Schritte Sie mit Symantec AntiVirus ausführen sollen. Hinweis: Optionen, die mit einem Vorhängeschlosssymbol angezeigt werden, sind nicht verfügbar, weil sie vom Administrator gesperrt worden sind. Sie können diese Optionen nur ändern, wenn der Administrator die Sperre aufhebt. Allgemeines zur Aktualisierung von Einzelplatz-Computern Einzelplatz-Computer können mit dem Internet verbunden werden. In der Dokumentation zu Symantec AntiVirus hat der Begriff "Einzelplatz" eine weitere Bedeutung. Einzelplatz-Computer sind nicht mit einem Server verbunden. Sie erhalten folglich weder aktualisierte Definitionsdateien für Viren und Sicherheitsrisiken noch aktualisierte Programmdateien vom Server und können nicht mithilfe des Administratorprogramms von Symantec System Center verwaltet werden. Wenn Sie Symantec AntiVirus auf einem Einzelplatz-Computer installieren, müssen Sie die Aktualisierung der Definitionsdateien für Viren und Sicherheitsrisiken selbst durchführen. Neue Definitionsdateien sind mehrmals im Monat bei Symantec erhältlich. Wenn die Definitionsdateien ersetzt werden müssen, werden Sie benachrichtigt. Sie können die Definitionsdateien für Viren und Sicherheitsrisiken mit LiveUpdate aktualisieren. LiveUpdate lädt automatisch die neuen Virendefinitionsdateien von der Symantec-Website herunter und ersetzt die veralteten Virendefinitionsdateien im Symantec AntiVirus-Ordner. Hierzu ist eine Modemoder Internet-Verbindung erforderlich. Siehe "Schutz sofort mit LiveUpdate aktualisieren" auf Seite 38.

13 Einführung in Symantec AntiVirus Was sind Viren? 13 Allgemeines zu Remote-Computern, die mit einem Unternehmensnetzwerk verbunden sind Was sind Viren? Remote-Computer sind mit einem Unternehmensnetzwerk verbunden. Sie erhalten folglich sowohl aktualisierte Definitionsdateien für Viren und Sicherheitsrisiken als auch Programmdateien-Updates vom Server und können mithilfe des Administratorprogramms von Symantec System Center verwaltet werden. Systemadministratoren können festlegen, dass Remote-Computer, die eine Verbindung zu einem Unternehmensnetzwerk herstellen, einige Sicherheitsanforderungen erfüllen, beispielsweise, dass auf dem Computer Symantec AntiVirus mit den aktuellsten Definitionsdateien für Viren und Sicherheitsrisiken ausgeführt wird, bevor dieser eine Verbindung zum Netzwerk herstellen kann. Solange der Computer die Sicherheitsanforderungen nicht erfüllt, kann ihm der Zugriff auf das Netzwerk verweigert werden. Ein Virus ist ein Computerprogramm, das sich bei seiner Ausführung als Kopie an ein anderes Computerprogramm oder Dokument anhängt. Immer wenn ein solches infiziertes Programm ausgeführt bzw. ein Dokument mit einem Makrovirus geöffnet wird, wird das angehängte Virenprogramm aktiviert und an weitere Programme und Dokumente angehängt. Viren haben üblicherweise eine schädliche Wirkung, z. B. können sie an einem bestimmten Tag eine Nachricht anzeigen. Einige Viren sind speziell dafür programmiert, Daten durch Zerstörung von Programmen, Löschen von Dateien oder Neuformatierung von Datenträgern zu beschädigen. Ein Wurm ist ein spezieller Typ von Virus, der sich selbst von einem Computer auf einen anderen repliziert und Speicher in Anspruch nimmt. Würmer existieren in der Regel innerhalb anderer Dateien, z. B. in Microsoft Word- oder Excel- Dokumenten. Ein Wurm kann ein Dokument in Umlauf bringen, das das Wurm- Makro bereits enthält. Bei komplexen Sicherheitsbedrohungen handelt es sich um Bedrohungen, die die Merkmale von Viren, Würmern, Trojanischen Pferden und bösartigem Code mit Server- und Internet-Anfälligkeiten kombinieren, um einen Angriff zu initiieren, zu übertragen und zu verbreiten. Komplexe Angriffsformen verwenden mehrere Methoden und Techniken, um sich schnell auszubreiten und anzugreifen, und verursachen umfangreiche Schäden innerhalb eines Netzwerks. Im Kontext von Symantec AntiVirus wird der Begriff "Virus" für jede Form von bösartigem Code verwendet. Symantec AntiVirus kann Viren erkennen, löschen und isolieren und deren Nebeneffekte reparieren.

14 14 Einführung in Symantec AntiVirus Was sind Viren? Wie sich Viren verbreiten Ein Sicherheitsrisiko ist ein bekanntes Programm, das einer Kategorie wie Adware oder Spyware angehört und ein Risiko für die Sicherheit Ihres Computers darstellen könnte. Symantec AntiVirus kann die Nebeneffekte der Sicherheitsrisiken der folgenden Kategorien erkennen, isolieren und reparieren. Siehe "Allgemeines zu Sicherheitsrisiken" auf Seite 16. Viren können sich über jedes Netzwerk, Modem oder magnetische Speichermedium verbreiten. Die meisten Boot-Sektor-Viren können sich nur über Disketten ausbreiten. Besonders schwer zu verfolgen sind hybride Viren. Sie können sich in Form von Dateiviren verbreiten, Boot-Sektoren infizieren und durch Disketten übertragen werden. Die rasante Entwicklung im Bereich der Firmennetzwerke, des Internets und des Mediums hat dazu geführt, dass Viren sich erheblich schneller als bisher ausbreiten können. Ein räumlich begrenzter Virenbefall kann sich schnell auf andere Firmenbereiche oder in andere Regionen der Erde ausbreiten, wenn infizierte Dateien per versandt werden. Die größte Infektionsgefahr erwächst aus Dateien, die im Netzwerk freigegeben, dann geöffnet und von vielen Benutzern verwendet werden. Virusarten Viren werden anhand ihrer bevorzugten Infektionsziele und der Mechanismen klassifiziert, die sie zur Tarnung einsetzen. Die allgemeinen Virustypen werden durch den Bereich des Computers definiert, den sie infizieren, z. B. Boot-, Dateiund Makroviren. Auch so genannte Würmer und Trojanische Pferde gelten als destruktiver Code. Im Gegensatz zu Viren können sich diese destruktiven Codeformen jedoch nicht selbst reproduzieren. Boot-Sektor-Viren Boot-Sektor-Viren schreiben Anweisungen in die Boot-Sektoren von Disketten oder in den Boot-Sektor bzw. Partitionssektor (Master-Boot-Sektor, MBR) einer Festplatte. Boot-Sektor-Viren gehören zu den effizientesten Viren.

15 Einführung in Symantec AntiVirus Was sind Viren? 15 Wenn der Computer von einer infizierten Diskette gestartet wird, infiziert der Virus die Festplatte und lädt seinen Code in den Arbeitsspeicher. Die Diskette muss keine Startdiskette sein, damit der Virus sich verbreiten kann. Der Virus bleibt speicherresident und infiziert alle Disketten, auf die im weiteren Verlauf zugegriffen wird. Eine Diskette oder Festplatte, deren Boot-Sektor infiziert ist, überträgt den Virus nur dann auf Dateien, wenn es sich um einen Hybridvirus handelt. Ein echter Boot-Sektor-Virus kann im Netzwerk keine Server infizieren. Siehe "Allgemeines zum Master-Boot-Sektor" auf Seite 16. Dateiviren Dateiviren infizieren ausführbare Dateien (z. B. vom Typ.COM,.EXE oder.dll), indem sie Anweisungen in die Ausführungssequenz der Datei schreiben. Beim Ausführen der infizierten Datei führen die eingefügten Anweisungen den Viruscode aus. Nach Ausführung des Viruscodes wird die Ausführungssequenz der Datei normal fortgesetzt. Dies alles passiert so schnell, dass der Benutzer die Ausführung des Virus nicht bemerkt. Es gibt drei Unterklassifizierungen für Dateiviren: Speicherresident: Viren dieses Typs bleiben nach Ausführung des Viruscodes als speicherresidentes Programm (TSR-Programm) aktiv und infizieren normalerweise alle ausgeführten Dateien. Direkte Aktion: Viren dieses Typs führen lediglich ihren Code aus, infizieren andere Dateien und entladen sich anschließend. Begleitviren: Viren dieses Typs hängen sich an Programmdateien an, ohne diese zu ändern. Ein solcher Virus kann beispielsweise eine Begleitdatei mit dem Namen WORD.COM für die Datei WORD.EXE erzeugen. Beim Start von Word wird zunächst die infizierte Datei WORD.COM mit den Virusaktivitäten und anschließend die Datei WORD.EXE ausgeführt. Die von Dateiviren verursachten Schäden reichen von Meldungen bis hin zur Datenzerstörung. Makroviren Im Gegensatz zu anderen Viren infizieren Makroviren keine Programme, sondern Dokumente. Viele Makroviren infizieren Dokumente, die mit Textverarbeitungsprogrammen (z.b. Microsoft Word, Lotus AmiPro ) oder mit Tabellenkalkulationsprogrammen (z.b. Microsoft Excel) erstellt wurden. In Word dienen Makros beispielsweise zum Formatieren von Text oder zum Öffnen und Schließen von Dokumenten. Makroviren können in Word erstellte Makros so verändern, dass sie schädlich werden und z.b. Standardeinstellungen in Word überschreiben oder umdefinieren.

16 16 Einführung in Symantec AntiVirus Allgemeines zu Sicherheitsrisiken Die von Makroviren verursachten Schäden reichen von willkürlich in Dokumente eingefügten Text bis hin zu schwerwiegenden Störungen des Computers. In Word infizieren Makroviren gewöhnlich die mit der Dokumentvorlage NORMAL.DOT verbundenen Makros. Da diese Dokumentvorlage global verwendet wird, können alle in Word geöffneten Dateien infiziert werden. Allgemeines zum Master-Boot-Sektor Der Master-Boot-Sektor befindet sich im ersten Sektor der Festplatte. Beim Starten eines Computers wird hier unter anderem die Kontrolle über das System an die Festplatte abgegeben. Zudem befindet sich ein Programm im ersten Sektor der Festplatte, mit dessen Hilfe das Betriebssystem in den Arbeitsspeicher (RAM) geladen wird. Boot-Sektor-Viren können den Master-Boot-Sektor beschädigen, indem sie ihn verschieben, überschreiben oder löschen. So verschiebt beispielsweise der Virus "Monkey" den Master-Boot-Sektor in den dritten Sektor der Festplatte und schreibt seinen eigenen Code in den ersten Sektor. Wenn der Master-Boot-Sektor verschoben wird, kann der Computer nicht mehr von der Festplatte gestartet werden. Siehe "Boot-Sektor-Viren" auf Seite 14. Allgemeines zu Sicherheitsrisiken Sicherheitsrisiken werden durch das Verhalten, das sie aufweisen, und durch den Zweck, für den sie entwickelt wurden, klassifiziert. Im Gegensatz zu Viren und Würmern können sich Sicherheitsrisiken nicht selbst replizieren. Symantec AntiVirus kann die Nebeneffekte von Sicherheitsrisiken der folgenden Kategorien erkennen, isolieren, löschen und reparieren: Spyware: Unabhängige Programme, die die Systemaktivität unerkannt überwachen und Kennwörter sowie andere vertrauliche Informationen erkennen und an einen anderen Computer übertragen. Spyware wird meist unbemerkt von Websites (üblicherweise in Shareware oder Freeware), mit -Nachrichten und über Instant-Messenger- Programme heruntergeladen. Häufig laden Benutzer Spyware unwissentlich herunter, indem sie eine Endbenutzer-Lizenzvereinbarung für ein Programm akzeptieren. Adware: Unabhängige oder angehängte Programme, die unbemerkt persönliche Daten über das Internet sammeln und an einen anderen Computer übertragen können. Adware kann beispielsweise Surf-Gewohnheiten für Werbezwecke protokollieren. Adware kann außerdem Werbematerial auf Ihren Rechner übertragen.

17 Einführung in Symantec AntiVirus Allgemeines zu Sicherheitsrisiken 17 Adware wird meist unbemerkt von Websites (üblicherweise in Shareware oder Freeware), mit -Nachrichten und über Instant-Messenger- Programme heruntergeladen. Häufig laden Benutzer Adware unwissentlich herunter, indem sie eine Endbenutzer-Lizenzvereinbarung für ein Programm akzeptieren. Dialer: Programme, die einen Computer ohne die Einwilligung oder das Wissen des Benutzers nutzen, um sich über eine 0190er-Nummer in das Internet oder eine FTP-Site einzuwählen, was in der Regel mit hohen Gebühren verbunden ist. Hacker-Tools: Diese Programme werden von Hackern verwendet, um nicht autorisierten Zugriff auf den Computer eines Benutzers zu erlangen. So gibt es beispielsweise ein Hacker-Tool, das einzelne Tastaturanschläge erkennt und aufzeichnet, um die Daten anschließend zurück an den Hacker zu senden. Der Hacker kann anschließend Port-Scans ausführen oder nach Schwachstellen suchen. Mit Hacker-Tools können außerdem Viren erstellt werden. Joke-Programme: Programme, die den Betrieb des Computers auf eine Art und Weise ändern oder unterbrechen, die lustig sein oder Angst machen soll. Ein Programm kann zum Beispiel von Websites (in der Regel Shareware oder Freeware) mit -Nachrichten oder über Instant-Messenger-Programme heruntergeladen werden. Anschließend bewegt sich beispielsweise der Papierkorb immer von der Maus weg, wenn der Benutzer versucht, das Programm zu löschen, oder es vertauscht die Maustasten. Andere: Sicherheitsrisiken, die keiner der angegebenen Kategorien von Sicherheitsrisiken entsprechen, aber dennoch ein Risiko für Ihren Computer und seine Daten darstellen. Remote-Zugriff: Programme, die den Zugriff auf einen Computer über das Internet ermöglichen, um Daten zu sammeln oder den Computer des Benutzers anzugreifen bzw. zu verändern. Solch ein Programm kann unwissentlich durch den Benutzer oder als Teil eines anderen Vorgangs installiert werden. Derartige Programme können für bösartige Zwecke mit oder ohne Änderung des ursprünglichen Remote-Zugriffsprogramms verwendet werden. Trackware: Eigenständige oder angehängte Anwendungen, die den "Weg" eines Benutzers durch das Internet verfolgen und diese Informationen an ein Zielsystem senden. Eine solche Anwendung kann beispielsweise von einer Website, per oder per Instant-Messenger-Programm heruntergeladen werden. Anschließend sammelt sie möglicherweise vertrauliche Informationen über das Verhalten des Benutzers.

18 18 Einführung in Symantec AntiVirus Allgemeines zu Sicherheitsrisiken Bei allen Symantec AntiVirus-Prüfungen, einschließlich Auto-Protect-Prüfungen, wird Ihr Computer standardmäßig auf Viren, Trojanische Pferde, Würmer und alle Kategorien von Sicherheitsrisiken geprüft. Siehe "Verwenden von Auto-Protect" auf Seite 47. Siehe "Manuelle Prüfungen starten" auf Seite 58. Auf der Website von Symantec Security Response finden Sie die aktuellsten Informationen zu Bedrohungen und Sicherheitsrisiken. Darüber hinaus enthält sie ausführliche Referenzinformationen, z. B. White Papers und detaillierte Informationen zu Viren und Sicherheitsrisiken. Abbildung 1-1 zeigt Informationen zu einem Hacker-Tool und die Vorgehensweise, die Symantec Security Response vorschlägt, um diese Bedrohung zu beseitigen. Abbildung 1-1 Symantec Security Response Sicherheitsrisiko-Beschreibung Siehe "Auf die Website von Symantec Security Response zugreifen" auf Seite 42.

19 Einführung in Symantec AntiVirus Reaktion von Symantec AntiVirus auf Viren und Sicherheitsrisiken 19 Reaktion von Symantec AntiVirus auf Viren und Sicherheitsrisiken Symantec AntiVirus schützt Computer vor Viren und Sicherheitsrisiken, unabhängig von der Quelle der Infektion. Computer werden vor Viren und Sicherheitsrisiken geschützt, die sich über Festplatten, Disketten und über Netzwerke ausbreiten. Computer werden auch vor Viren und Sicherheitsrisiken geschützt, die sich über -Anhänge oder anderweitig ausbreiten. Sicherheitsrisiken können sich beispielsweise ohne Ihr Wissen selbst auf Ihrem Computer installieren, wenn Sie auf das Internet zugreifen. Dateien in komprimierten Dateiarchiven werden auf Viren und Sicherheitsrisiken geprüft und Probleme werden behoben. Für aus dem Internet stammende Viren sind weder separate Programme noch Änderungen der Optionen erforderlich. Auto-Protect prüft unkomprimierte Programm- und Dokumentdateien automatisch, wenn diese heruntergeladen werden. Symantec AntiVirus führt bei infizierten Dateien Aktionen und Ersatzaktionen aus. Wird während einer Prüfung ein Virus gefunden, versucht Symantec AntiVirus automatisch, die infizierte Datei vom Virus zu säubern und die Nebeneffekte des Virus zu reparieren. Wenn der Virus erfolgreich und vollständig aus der Datei entfernt worden ist, ist die Datei gesäubert. Gelingt dies nicht, führt Symantec AntiVirus eine Ersatzaktion durch: Symantec AntiVirus verschiebt die infizierte Datei in den Quarantänebereich, damit sich der Virus nicht verbreiten kann. Nach Aktualisierung des Virenschutzes prüft Symantec AntiVirus automatisch, ob sich Dateien im Quarantänebereich befinden, und fragt Sie, ob die Dateien anhand der neuen Vireninformationen geprüft werden sollen. Hinweis: Der Administrator kann festlegen, dass die Dateien im Quarantänebereich automatisch geprüft werden. Bei Sicherheitsrisiken verschiebt Symantec AntiVirus standardmäßig alle infizierten Dateien in den Quarantänebereich und stellt den ursprünglichen Status der Systemdaten wieder her. Einige Sicherheitsrisiken können nicht vollständig gelöscht werden, ohne dass andere Programme auf Ihrem Computer, z. B. ein Web-Browser, beschädigt werden. Wenn Symantec AntiVirus für die automatische Handhabung des Risikos nicht konfiguriert ist, werden Sie aufgefordert, dass Stoppen oder Neustarten eines Prozesses auf dem Computer zu bestätigen. Alternativ können Sie Symantec AntiVirus auch so konfigurieren, dass bei Sicherheitsrisiken die Aktion "Nur protokollieren" ausgeführt wird.

20 20 Einführung in Symantec AntiVirus Wie Symantec AntiVirus Ihren Computer schützt Wenn Symantec AntiVirus Sicherheitsrisiken erkennt, stellt es im Prüffenster einen Link zu Symantec Security Response bereit, wo Sie weitere Informationen über das Sicherheitsrisiko erhalten. Zudem kann Ihnen Ihr Systemadministrator in einer Nachricht mitteilen, wie Sie reagieren sollen. Wie Symantec AntiVirus Ihren Computer schützt Vireninfektionen lassen sich vermeiden. Wenn der Virus schnell erkannt und entfernt wird, kann er sich nicht mehr auf andere Dateien übertragen und Schaden anrichten. Die Auswirkungen von Viren und Sicherheitsrisiken können behoben werden. Wird ein Virus oder ein Sicherheitsrisiko entdeckt, teilt Ihnen Symantec AntiVirus mit, dass eine oder mehrere Dateien infiziert sind. Wenn Sie nicht benachrichtigt werden möchten, können Sie oder Ihr Administrator Symantec AntiVirus für die automatische Handhabung von Sicherheitsrisiken konfigurieren. Symantec AntiVirus bietet folgende Schutzmechanismen: Auto-Protect: Hierbei werden die Aktivitäten auf Ihrem Computer fortlaufend beobachtet, und beim Ausführen oder Öffnen von Dateien wird nach Viren und Sicherheitsrisiken gesucht. Dies gilt auch für Dateien, die beispielsweise umbenannt, gespeichert, kopiert oder verschoben werden. Signaturbasierte Prüfung: Hier wird nach Virussignaturen in infizierten Dateien und nach Signaturen von Sicherheitsrisiken in infizierten Dateien und Systemdaten gesucht. Diese Form der Suche wird als Prüfung bezeichnet. Je nachdem, wie Ihr Computer verwaltet wird, führen Sie oder der Administrator signaturbasierte oder musterbasierte Prüfungen durch, um die Dateien auf Ihrem Computer auf Viren und andere Sicherheitsrisiken, z. B. Adware oder Spyware, zu untersuchen. Prüfungen können auf Anforderung, geplant und unbeaufsichtigt oder beim Systemstart automatisch ausgeführt werden. Erweiterte Heuristik: Prüft die Programmstruktur, das Verhalten und andere Attribute auf virenähnliche Merkmale. Dadurch können Sie sich in vielen Fällen gegen Bedrohungen schützen z. B. Würmer und Makroviren in Massen-Mails, die auftreten, bevor Sie die Möglichkeit haben, die Virendefinitionen zu aktualisieren. Die erweiterte Heuristik sucht nach Skriptbasierten Bedrohungen in HTML-, VBScript- und JavaScript-Dateien.

21 Einführung in Symantec AntiVirus Wie wird in Symantec AntiVirus der Schutz aktuell gehalten? 21 Wie wird in Symantec AntiVirus der Schutz aktuell gehalten? Die Experten von Symantec halten sich bezüglich des Auftretens von Computerviren immer auf dem aktuellsten Stand, um neue Viren identifizieren zu können. Außerdem machen sie neue Sicherheitsrisiken, z. B. Adware und Spyware, ausfindig. Sobald ein neuer Virus oder ein Sicherheitsrisiko entdeckt wird, speichern sie eine Signatur (Informationen über den Virus oder das Sicherheitsrisiko) in einer Definitionsdatei, die auch sämtliche Informationen enthält, die zur Erkennung und Beseitigung des Virus oder der Auswirkungen des Sicherheitsrisikos dienen. Bei der Prüfung auf Viren und Sicherheitsrisiken sucht Symantec AntiVirus nach diesen Signaturen. Symantec stellt regelmäßig aktualisierte Definitionen bereit. Die Definitionen auf der Website von Symantec Security Response werden täglich aktualisiert. Für LiveUpdate werden mindestens einmal wöchentlich und beim Auftreten neuer bösartiger Viren neue Definitionen bereitgestellt. Wenn neue Viren und Sicherheitsrisiken so komplex sind, dass die Bereitstellung neuer Definitionsdateien alleine nicht ausreicht, aktualisieren die technischen Mitarbeiter von Symantec die AntiVirus-Engine mit den neuesten Komponenten zur Erkennung und Reparatur. Bei Bedarf wird die aktualisierte AntiVirus- Engine zu den Definitionsdateien hinzugefügt. Allgemeines zur Rolle von Symantec Security Response Hinter Symantec AntiVirus stehen die Spezialisten von Symantec Security Response. Bedingt durch die ständige Zunahme der Computerviren und Sicherheitsrisiken sind große Anstrengungen erforderlich, um die neuen Viren und Sicherheitsrisiken zu erfassen, zu identifizieren und zu analysieren sowie Schutztechnologien zu entwickeln. Symantec Security Response disassembliert die gefundenen Viren und Sicherheitsrisiken, um deren individuelle Eigenschaften und Verhaltensweisen zu ermitteln. Basierend auf diesen Informationen werden Definitionen entwickelt, die von den Symantec-Produkten zur Entdeckung und Beseitigung neuer Viren und Sicherheitsrisiken verwendet werden. Angesichts der hohen Geschwindigkeit, mit der sich neue Viren insbesondere über das Internet ausbreiten, hat Symantec Security Response automatisierte Software-Analyse-Tools entwickelt. Da infizierte Dateien von der Zentralquarantäne über das Internet direkt an Symantec Security Response gesendet werden können, verkürzt sich die Zeit von der Entdeckung eines Virus bis zur Analyse und Reparatur von einigen Tagen auf Stunden und in naher Zukunft auf Minuten.

22 22 Einführung in Symantec AntiVirus Wie wird in Symantec AntiVirus der Schutz aktuell gehalten? Symantec Security Response erforscht und produziert Technologien, die Computer vor anderen Sicherheitsrisiken, z. B. Spyware, Adware und Hacker- Tools, schützen. Symantec Security Response pflegt eine Enzyklopädie, die detaillierte Informationen zu Viren und anderen Sicherheitsrisiken enthält. In den erforderlichen Fällen werden Informationen zum Entfernen oder Deinstallieren des Sicherheitsrisikos zur Verfügung gestellt. Die Enzyklopädie befindet sich auf der Website von Symantec Security Response. Siehe "Auf die Website von Symantec Security Response zugreifen" auf Seite 42. Schutz vor Viren und Sicherheitsrisiken aktualisieren Ihr Virenschutzadministrator legt fest, wie die Definitionen für Viren und Sicherheitsrisiken aktualisiert werden. Möglicherweise müssen Sie nichts tun, um neue Definitionen zu empfangen. Die LiveUpdate-Funktion in Symantec AntiVirus kann vom Administrator so eingerichtet werden, dass Ihr Computer stets vor Viren und anderen Sicherheitsrisiken geschützt wird. Über LiveUpdate stellt Symantec AntiVirus automatisch eine Verbindung mit einer speziellen Website her, ermittelt, ob Ihre Dateien aktualisiert werden müssen, lädt die benötigten Dateien herunter und installiert sie an der richtigen Stelle. Siehe "Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken" auf Seite 35.

23 Kapitel 2 Grundlagen von Symantec AntiVirus Dieses Kapitel enthält folgende Themen: Allgemeines zur Content-Lizenzierung Öffnen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus Aktivieren und Deaktivieren von Auto-Protect Unterbrechung und Verzögerung von Prüfungen Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken Verwenden von Symantec AntiVirus zusammen mit dem Windows-Sicherheitscenter Weitere Informationen Allgemeines zur Content-Lizenzierung Eine Content-Lizenz der Symantec Corporation berechtigt Sie zur Aktualisierung von Computern, auf denen Software von Symantec installiert ist. Die Content- Lizenzierung stellt sicher, dass Symantec-Produkte über einen bestimmten Zeitraum hinweg immer die neuesten Updates erhalten. Content-Updates enthalten Definitionen zu Viren und Sicherheitsrisiken.

24 24 Grundlagen von Symantec AntiVirus Allgemeines zur Content-Lizenzierung Eine Content-Lizenz muss jedem einzelnen Computer, auf dem Symantec AntiVirus ausgeführt wird, zugeteilt oder auf diesem installiert sein. Hinweis: In manchen Unternehmen werden Content-Updates von Symantec im Rahmen einer Site-Lizenz gewährt. In diesem Fall werden Content-Lizenzen nicht angewandt und Sie können diesen Abschnitt überspringen. Symantec-Clients können ein einziges Content-Update ohne Content-Lizenz erhalten. Dadurch ist sichergestellt, dass neu installierte Software den allerneuesten Schutz bietet, während Sie in Ruhe eine Content-Lizenz von Symantec anfordern können, um Anspruch auf zukünftige Updates zu erhalten. Anschließend können nur noch Computer mit einer gültigen Content-Lizenz Content- Updates erhalten. Content-Lizenzen werden folgendermaßen installiert: Clients, die mithilfe von Symantec System Center verwaltet werden, erhalten ihre Arbeitsplatzlizenz automatisch, wenn sie sich beim übergeordneten Server anmelden. In diesem Fall müssen Sie nichts unternehmen, um eine Content-Lizenz zu installieren. Bei Clients, die mithilfe von Verteilungs-Tools von Fremdherstellern verwaltet werden, stellt Ihr Administrator sicher, dass Ihr Client automatisch eine Lizenz erhält. In diesem Fall müssen Sie nichts unternehmen, um eine Content-Lizenz zu installieren. Bei nicht verwalteten Clients, für die Symantec System Center nicht verwendet wird, müssen Sie die Content-Lizenzdatei installieren. Ihr Administrator wird Ihnen entweder eine solche Content-Lizenzdatei zur Verfügung stellen oder Sie darüber informieren, wo die Content-Lizenzdatei zur Installation bereitliegt. Eine Content-Lizenz auf einem nicht verwalteten Client installieren Ihr Administrator stellt für Sie auf eine der folgenden Arten eine Content-Lizenzdatei bereit: Sie erhalten die Content-Lizenzdatei per . Er legt die Content-Lizenzdatei auf einem Netzlaufwerk ab und teilt Ihnen den Speicherort mit. So installieren Sie eine Content-Lizenz auf einem nicht verwalteten Client 1 Klicken Sie in Symantec AntiVirus auf "Ansicht" > "Lizenz". 2 Klicken Sie im rechten Teilfenster auf "Lizenz installieren".

25 Grundlagen von Symantec AntiVirus Öffnen von Symantec AntiVirus 25 3 Klicken Sie in Schritt 1 des Lizenz-Installations-Assistenten auf "Durchsuchen", suchen Sie die Content-Lizenzdatei und klicken Sie auf "Weiter". 4 Bestätigen Sie in Schritt 2 des Lizenz-Installations-Assistenten die Lizenzinformationen und klicken Sie anschließend auf "Weiter". 5 Um den Lizenz-Installations-Assistenten zu schließen, klicken Sie auf "Fertig stellen". Öffnen von Symantec AntiVirus Sie haben mehrere Möglichkeiten, Symantec AntiVirus zu öffnen. So öffnen Sie Symantec AntiVirus Führen Sie einen der folgenden Schritte aus: Doppelklicken Sie in der Windows -Taskleiste auf das Symbol "Symantec AntiVirus". Ihr Administrator legt fest, ob das Symbol in der Taskleiste angezeigt wird. Klicken Sie in der Windows- oder Windows XP-Taskleiste auf "Start > Programme > Symantec Client Security > Symantec AntiVirus" oder "Start > Weitere Programme > Symantec Client Security > Symantec AntiVirus".

26 26 Grundlagen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus Das Symantec AntiVirus-Hauptfenster ist in zwei Teilfenster eingeteilt. Im linken Teilfenster sind Aktivitäten nach bestimmten Kategorien gruppiert. "Diskette prüfen", "Benutzerdefinierte Prüfung", "Schnellprüfung" und "Vollständige Prüfung" sind beispielsweise Aktivitäten in der Kategorie "Prüfung". Jede Kategorie im linken Teilfenster wird durch ein eigenes Symbol dargestellt. Wenn Sie auf die Kategorien und andere Elemente im linken Teilfenster klicken, werden im rechten Fenster die Informationen angezeigt, die Sie zum Ausführen einer Aufgabe benötigen. So navigieren Sie im Hauptfenster von Symantec AntiVirus Führen Sie im linken Teilfenster eine der folgenden Aktionen durch: Klicken Sie auf ein Pluszeichen, um den zugehörigen Ordner zu öffnen. Klicken Sie auf ein Minuszeichen, um den zugehörigen Ordner zu schließen. Klicken Sie auf ein Objekt, um die Informationen im rechten Teilfenster anzuzeigen.

27 Grundlagen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus 27 Kategorien von Symantec AntiVirus anzeigen Die Aktivitäten, die Sie mit Symantec AntiVirus ausführen können, sind in verschiedene Hauptkategorien unterteilt. In jeder Kategorie stehen verschiedene Optionen zur Auswahl. In den folgenden Tabellen werden nicht die einzelnen Optionen beschrieben, die Sie ändern können. Sie erhalten vielmehr einen Überblick darüber, was die Optionen bewirken und wo Sie sie finden. Detaillierte Informationen zu den einzelnen Optionen finden Sie in der Online-Hilfe. Kategorie "Ansicht" Mit der Kategorie "Ansicht" können Sie die Virenschutzaktivitäten und die Aktivitäten gegen Sicherheitsrisiken verfolgen. Tabelle 2-1 Option Auto-Protect- Prüfungsstatistik Kategorie "Ansicht" Beschreibung Statistiken zum Status der Auto-Protect-Prüfungen anzeigen, aus denen auch hervorgeht, welche Datei zuletzt geprüft wurde (auch wenn sie nicht infiziert war). Geplante Prüfungen Quarantäne Liste aller geplanten Prüfungen anzeigen, die zur Ausführung auf Ihrem Computer erstellt worden sind, einschließlich Prüfungsname, Ausführungstermin und Ersteller. Die geplanten Prüfungen können vom Administrator Ihres Unternehmens oder von Ihnen erstellt werden. Infizierte Dateien verwalten, die isoliert wurden, um eine Verbreitung der Viren oder die Nebeneffekte von Sicherheitsrisiken zu verhindern. Siehe "Dateien im Quarantänebereich erneut auf Viren prüfen" auf Seite 86.

28 28 Grundlagen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus Tabelle 2-1 Option Backup-Elemente Kategorie "Ansicht" Beschreibung Sicherungskopien infizierter Dateien löschen. Um einem Datenverlust vorzubeugen, erstellt Symantec AntiVirus vor dem Reparaturversuch eine Sicherungskopie von einem infizierten Element. Wenn Sie überprüft haben, dass Symantec AntiVirus ein infiziertes Element gesäubert hat, sollten Sie die Kopie im Ordner "Gesicherte Elemente" löschen. Symantec AntiVirus erstellt Sicherungskopien von Dateien, die Sicherheitsrisiken enthalten, wenn sie in den Quarantänebereich verschoben werden. Darüber hinaus erstellt es Sicherungskopien von Registrierungseinstellungen und Systemladepunkten, die Sicherheitsrisiken z. B. Spyware und Adware enthalten. Systemladepunkte sind Softwarebereiche, die besonders anfällig für Sicherheitsrisiken sind. Hinweis: In manchen Fällen kann das Löschen eines Sicherheitsrisikos dazu führen, dass Anwendungen ihre Funktionalität verlieren. Wenn Sie sicher sind, dass Sie eine Datei, die Sicherheitsrisiken enthält, nicht mehr benötigen, um ein Programm auszuführen, können Sie sie löschen, um Speicherplatz freizugeben. Siehe "Backup-Elemente löschen" auf Seite 89. Reparierte Elemente Elemente, die gesäubert oder repariert wurden und deren Original-Ablageort nicht mehr verfügbar ist, z. B. ein Netzwerklaufwerk. Ein infizierter Dateianhang beispielsweise kann von einer gelöst und im Quarantänebereich abgelegt worden sein. Nachdem die Datei gesäubert und in den Ordner "Reparierte Elemente" verschoben wurde, müssen Sie sie von dort aus wiederherstellen und ihren neuen Ablageort angeben. Lizenz Nur bei Content-Lizenzen; bei Verwendung einer Site-Lizenz wird die Option nicht im Menü angezeigt. Informationen zur aktuellen Lizenz anzeigen. Zu den Informationen zur aktuellen Lizenz gehören der Lizenzstatus, die Seriennummer sowie das Start- und Ablaufdatum. Sie können den Lizenz-Installations-Assistenten starten.

29 Grundlagen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus 29 Kategorie "Prüfung" Mit der Kategorie "Prüfung" können Sie Ihren Computer manuell prüfen. Tabelle 2-2 Option Diskette prüfen Kategorie "Prüfung" Beschreibung Disketten und andere austauschbare Medien prüfen. Benutzerdefinierte Prüfung Schnellprüfung Vollständige Prüfung Datei, Ordner, Laufwerk oder einen ganzen Computer zu einem beliebigen Zeitpunkt manuell prüfen. Siehe "Manuelle Prüfungen starten" auf Seite 58. Arbeitsspeicher und andere Speicherorte, an denen Viren und Sicherheitsrisiken häufig auftreten, sehr schnell prüfen. Den gesamten Computer auf Viren und Sicherheitsrisiken prüfen, einschließlich Boot-Sektoren und Arbeitsspeicher. Bei der Prüfung von Netzlaufwerken müssen Sie möglicherweise ein Kennwort eingeben. Kategorie "Konfigurieren" Mit der Kategorie "Konfigurieren" können Sie Auto-Protect einrichten, um Ihre Dateien und -Anhänge (von unterstützten -Clients) zu überwachen. Außerdem können Sie den Manipulationsschutz konfigurieren, um Symantec- Anwendungen vor Manipulationen zu schützen. Tabelle 2-3 Option Kategorie "Konfigurieren" Beschreibung Dateisystem-Auto-Protect Wenn Sie auf eine Datei zugreifen, sie kopieren, speichern, verschieben oder öffnen, wird die Datei geprüft, um sicherzustellen, dass sie nicht infiziert ist. Auto-Protect verfügt über eine SmartScan-Funktion, mit der ein Dateityp selbst dann ermittelt werden kann, wenn ein Virus die Dateierweiterung geändert hat. Siehe "Verwenden von Auto-Protect" auf Seite 47.

30 30 Grundlagen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus Tabelle 2-3 Option Kategorie "Konfigurieren" Beschreibung Internet -Auto-Protect Lotus Notes Auto-Protect Microsoft Exchange Auto- Protect Manipulationsschutz Für Groupware- -Clients (Lotus Notes und Microsoft Exchange/Microsoft Outlook ) stellt Symantec AntiVirus einen zusätzlichen Schutz für -Anhänge bereit. Bei Internet- -Clients schützt Symantec AntiVirus eingehende und ausgehende -Nachrichten, die die Kommunikationsprotokolle POP3 oder SMTP verwenden. Der Manipulationsschutz schützt Symantec-Anwendungen vor der Manipulation durch unbefugte Quellen. Kategorie "Protokolle" Mit der Kategorie "Protokolle" können Sie Informationen zu den auf Ihrem Computer durchgeführten Prüfungen, zu gefundenen Viren und Sicherheitsrisiken erfassen. Tabelle 2-4 Option Risikoprotokoll Prüfprotokolle Ereignisprotokoll Kategorie "Protokolle" Beschreibung Zeigt eine Liste der folgenden Elemente an: Viren, die Ihren Computer infiziert haben, sowie relevante Zusatzinformationen über die jeweilige Infektion. Die Sicherheitsrisiken, z. B. Adware und Spyware, die von Symantec AntiVirus erkannt und protokolliert, isoliert und repariert oder vom Computer gelöscht wurden. Das Risikoprotokoll für Sicherheitsrisiken enthält einen Link auf die Symantec Security Response- Webseite, auf der weitere Informationen zur Verfügung gestellt werden. Enthält die Ergebnisse aller auf Ihrem Computer durchgeführten Prüfungen. Die einzelnen Prüfungen werden zusammen mit allen relevanten Zusatzinformationen angezeigt. Zeigt die Ereignisse an, die auf Ihrem Computer im Zusammenhang mit Viren und Sicherheitsrisiken stattgefunden haben. Hierzu gehören Konfigurationsänderungen, Fehler und Informationen zu Virendefinitionsdateien. Manipulationsprotokoll Enthält Informationen zu Manipulationsversuchen an Symantec-Anwendungen auf Ihrem Computer, die der Manipulationsschutz vereiteln konnte.

31 Grundlagen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus 31 Kategorie "Startprüfungen" Mit der Kategorie "Startprüfungen" können Sie Prüfungen erstellen und konfigurieren, die beim Starten des Computers ausgeführt werden. Tabelle 2-5 Option Neue Startprüfung Kategorie "Startprüfungen" Beschreibung Einige Benutzer ergänzen eine geplante Prüfung durch eine automatische Prüfung bei jedem Start ihres Computers. Oft ist eine Startprüfung auf wichtige Ordner mit hohem Infektionsrisiko beschränkt, wie beispielsweise den Windows-Ordner und Ordner, die Microsoft Word- und Excel-Vorlagen enthalten. Siehe "Startprüfungen erstellen" auf Seite 63. Automatisch erstellte Schnellprüfung Bei dieser Prüfung werden jedes Mal, wenn ein Benutzer sich am Computer anmeldet, die Dateien im Arbeitsspeicher und andere gängige Infektionsorte auf dem Computer auf Viren und Sicherheitsrisiken überprüft. Sie können diese Prüfung auf dieselbe Weise wie eine manuelle Prüfung konfigurieren. Es ist jedoch nicht möglich, den Prüfvorgang der Dateien im Arbeitsspeicher und an anderen gängigen Infektionsorten zu stoppen. Hinweis: Diese Art von Prüfung ist nur auf nicht verwalteten Clients verfügbar. Kategorie "Benutzerdefinierte Prüfungen" Mit der Kategorie "Benutzerdefinierte Prüfungen" haben Sie die Möglichkeit, vorkonfigurierte Prüfungen zu erstellen, die Sie manuell ausführen können. Tabelle 2-6 Option Kategorie "Benutzerdefinierte Prüfungen" Beschreibung Neue benutzerdefinierte Prüfung Wenn Sie regelmäßig dieselben Dateien oder Ordner prüfen, können Sie eine Prüfung erstellen, in der nur diese Elemente geprüft werden. Somit können Sie jederzeit schnell prüfen, ob die betreffenden Dateien und Ordner frei von Viren und Sicherheitsrisiken sind. Siehe "Benutzerdefinierte Prüfungen erstellen" auf Seite 64.

32 32 Grundlagen von Symantec AntiVirus Aktivieren und Deaktivieren von Auto-Protect Kategorie "Geplante Prüfungen" Mit der Kategorie "Geplante Prüfungen" können Sie vorkonfigurierte Prüfungen erstellen, die zu den von Ihnen angegebenen Zeiten automatisch ausgeführt werden. Tabelle 2-7 Option Kategorie "Geplante Prüfungen" Beschreibung Neue geplante Prüfung Planen Sie eine Prüfung Ihrer Festplatten, die mindestens einmal wöchentlich ausgeführt werden sollte. Durch eine geplante Prüfung können Sie sicherstellen, dass Ihr Computer frei von Viren und Sicherheitsrisiken bleibt. Siehe "Geplante Prüfungen erstellen" auf Seite 60. Aktivieren und Deaktivieren von Auto-Protect Wenn Sie die Standardeinstellungen der Optionen nicht verändert haben, wird Auto-Protect beim Starten Ihres Computers automatisch geladen und schützt ihn vor Viren und Sicherheitsrisiken. Der Echtzeitschutz prüft Programme während der Ausführung auf Viren und Sicherheitsrisiken und überwacht Ihren Computer auf Aktivitäten, die auf einen Virus hindeuten könnten. Wenn ein Virus, eine virenähnliche Aktivität (ein Ereignis, das von einem Virus verursacht worden sein könnte) oder ein Sicherheitsrisiko erkannt wird, warnt Sie Auto-Protect. In einigen Fällen warnt Auto-Protect Sie vielleicht vor einer virusähnlichen Aktivität, von der Sie wissen, dass sie nicht durch einen Virus verursacht ist. Dies kann beispielsweise der Fall sein, wenn Sie neue Computerprogramme installieren. Wenn Sie eine solche Aktivität ausführen und keine Warnung dabei angezeigt werden soll, können Sie Auto-Protect vorübergehend deaktivieren. Denken Sie daran, Auto-Protect wieder zu aktivieren, wenn Sie Ihre Aktivität ausgeführt haben, damit Ihr Computer wieder geschützt ist. Der Administrator kann Auto-Protect sperren, so dass Sie es nicht deaktivieren können, oder festlegen, dass die Option vorübergehend deaktiviert werden kann und nach einer bestimmten Zeit automatisch wieder aktiviert wird. Den Auto-Protect-Dateisystemschutz aktivieren und deaktivieren Das Symbol von Symantec AntiVirus wird in der Taskleiste in der unteren rechten Ecke des Windows-Desktops angezeigt. Bei einigen Konfigurationen wird das Symbol nicht angezeigt.

33 Grundlagen von Symantec AntiVirus Unterbrechung und Verzögerung von Prüfungen 33 Das Symbol von Symantec AntiVirus wird als Schutzschild dargestellt. Wenn Sie mit der rechten Maustaste darauf klicken und der Auto-Protect-Dateisystemschutz aktiviert ist, wird neben "Auto-Protect aktivieren" ein Häkchen angezeigt. Wenn der Auto-Protect-Dateisystemschutz deaktiviert ist, erscheint über dem Symantec AntiVirus-Symbol ein roter Kreis mit einem Schrägstrich. So aktivieren und deaktivieren Sie den Auto-Protect-Dateisystemschutz in der Taskleiste Klicken Sie in der Taskleiste mit der rechten Maustaste auf das Symbol von Symantec AntiVirus und klicken Sie anschließend auf "Auto-Protect aktivieren". So aktivieren und deaktivieren Sie den Auto-Protect-Dateisystemschutz in Symantec AntiVirus 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Konfigurieren". 2 Klicken Sie im rechten Teilfenster auf "Dateisystem-Auto-Protect". 3 Aktivieren bzw. deaktivieren Sie "Auto-Protect aktivieren". 4 Klicken Sie auf "OK". Der aktuelle Auto-Protect-Status für das Dateisystem wird rechts neben dem Kontrollkästchen dynamisch aktualisiert. Unterbrechung und Verzögerung von Prüfungen Die Option "Unterbrechen" bietet Ihnen die Möglichkeit, einen Prüfvorgang zu einem beliebigen Zeitpunkt zu unterbrechen und die Ausführung später fortzusetzen. Sie können alle Prüfvorgänge unterbrechen, die Sie selbst gestartet haben. Der Netzwerkadministrator legt fest, ob Sie von ihm geplante Prüfungen unterbrechen können. Der Netzwerkadministrator legt außerdem fest, ob Sie die Ausführung der von ihm geplanten Prüfungen hinausschieben können. Wenn eine der Verschiebungsfunktion aktiviert ist, haben Sie die Möglichkeit, den Ausführungsbeginn um eine vorgegebene Zeitspanne zu verzögern. Bei Wiederaufnahme des Prüfvorgangs beginnt die Prüfung von vorne. Unterbrechen Sie die Prüfung, wenn Sie vorhaben, sie nach einer kurzen Pause fortzusetzen. Verwenden Sie die Verschiebungsfunktion, um die Prüfung für eine längere Zeitspanne hinauszuschieben, in der Sie nicht gestört werden möchten, beispielsweise während einer Präsentation.

34 34 Grundlagen von Symantec AntiVirus Unterbrechung und Verzögerung von Prüfungen Prüfungen unterbrechen oder verzögern Wenn Sie eine von Ihnen gestartete Prüfung unterbrechen oder eine vom Administrator geplante Prüfung verzögern möchten, folgen Sie bitte den folgenden Anweisungen. Falls die Schaltfläche "Prüfung unterbrechen" nicht verfügbar ist, hat Ihr Netzwerkadministrator die Funktion deaktiviert. Hinweis: Wenn Sie den Vorgang unterbrechen, während Symantec AntiVirus eine komprimierte Datei prüft, kann es mehrere Minuten dauern, bis das Programm reagiert. So unterbrechen Sie eine Prüfung 1 Klicken Sie während des Prüfvorgangs im Dialogfeld "Prüfung" auf das Symbol "Unterbrechen". Prüfung starten Prüfung unterbrechen Prüfung anhalten Im Dialogfeld werden dieselben Schaltflächen angezeigt, unabhängig davon, ob die Prüfung von Ihnen oder vom Administrator gestartet wurde. Wenn die Prüfung von Ihnen gestartet wurde, wird der Vorgang sofort unterbrochen, und das Dialogfeld bleibt so lange geöffnet, bis Sie den Vorgang fortsetzen. Wenn es sich um eine vom Administrator geplante Prüfung handelt, wird das Dialogfeld "Unterbrechung einer geplanten Prüfung" angezeigt.

35 Grundlagen von Symantec AntiVirus Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken 35 2 Klicken Sie im Dialogfeld "Unterbrechung einer geplanten Prüfung" auf "Unterbrechen". Der Prüfvorgang wird sofort unterbrochen und das Dialogfeld bleibt so lange geöffnet, bis Sie den Vorgang fortsetzen. 3 Klicken Sie auf die Schaltfläche "Fortfahren", um den Prüfvorgang fortzusetzen. So verzögern Sie eine vom Administrator geplante Prüfung 1 Klicken Sie während der Ausführung einer vom Administrator geplanten Prüfung im Prüfdialogfeld auf "Prüfung unterbrechen". 2 Klicken Sie im Dialogfeld "Unterbrechung einer geplanten Prüfung" auf "1 Stunde verschieben" oder "3 Stunden verschieben". Der Administrator legt fest, für wie lange Sie die Prüfung hinausschieben können. Nach Ablauf dieser Zeit beginnt die Prüfung von vorne. Der Administrator entscheidet außerdem, wie oft Sie die Prüfung verzögern können, bevor die Funktion deaktiviert wird. Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken Damit Symantec AntiVirus Viren und Sicherheitsrisiken und deren Nebeneffekte erkennen und beseitigen kann, benötigt es stets die aktuellsten Informationen. Eine der häufigsten Ursachen für Vireninfektionen oder Sicherheitsrisiken besteht darin, dass die Definitionsdateien nach der Installation nicht mehr aktualisiert werden. Die Definitionsdateien enthalten alle Erkennungs- und Reparaturinformationen, um Ihren Computer vor neu entdeckten Viren und Sicherheitsrisiken zu schützen.

36 36 Grundlagen von Symantec AntiVirus Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken Aktualisierte Definitionsdateien werden einmal wöchentlich über LiveUpdate und täglich als Intelligent Updater-Dateien auf der Website von Symantec Security Response bereitgestellt. Aktualisierungen werden auch dann zur Verfügung gestellt, wenn ein neuer riskanter Virus entdeckt wird. Gewöhnen Sie sich an, die Definitionen wenigstens einmal pro Woche zu aktualisieren. Wenn Sie die automatische Ausführung von LiveUpdate planen, werden Sie die erforderlichen Aktualisierungen nicht vergessen. Sie sollten die Aktualisierung umgehend vornehmen, wenn Sie vor der Ausbreitung eines neuen Virus gewarnt werden. Mit der LiveUpdate-Funktion stellt Symantec AntiVirus automatisch eine Verbindung zu einer Symantec-Website her und stellt fest, ob die Definitionen für Viren und Sicherheitsrisiken aktualisiert werden müssen. Ist dies der Fall, lädt es die benötigten Dateien herunter und installiert sie am richtigen Ablageort. Normalerweise müssen Sie keine Konfigurationen an LiveUpdate vornehmen. Sie benötigen lediglich eine Internet-Verbindung. Hinweis: Ihr Administrator hat möglicherweise festgelegt, wie viele Tage die letzte Aktualisierung der Definitionen für Viren und Sicherheitsrisiken maximal zurückliegen darf. Nach Ablauf dieser Zeit startet Symantec AntiVirus automatisch LiveUpdate, sobald eine Internet-Verbindung verfügbar ist. Aktualisierungen mit LiveUpdate planen LiveUpdate wird standardmäßig jeden Freitag um 20 Uhr automatisch ausgeführt. Damit die geplante Aktualisierung ausgeführt werden kann, muss Ihr Computer eingeschaltet und mit dem Internet verbunden sein. Aktualisierungen mit LiveUpdate planen Sie können das Intervall sowie Datum und Uhrzeit ändern, zu der LiveUpdate ausgeführt werden soll. Hinweis: In einem zentral verwalteten Netzwerk verteilt möglicherweise Ihr Administrator die aktualisierten Definitionen zu Viren und Sicherheitsrisiken an die einzelnen Computer. In diesem Fall müssen Sie nichts unternehmen.

37 Grundlagen von Symantec AntiVirus Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken 37 So aktivieren Sie geplante automatische Aktualisierungen 1 Klicken Sie in Symantec AntiVirus im Menü "Datei" auf "Aktualisierungen planen". 2 Aktivieren Sie im Dialogfeld "Virendefinitionsaktualisierungen planen" die Option "Geplante automatische Aktualisierungen aktivieren". Hinweis: Es werden sowohl die Virendefinitionen als auch die Definitionen für Sicherheitsrisiken aktualisiert. 3 Klicken Sie auf "OK". So stellen Sie die Zeitplanoptionen für LiveUpdate ein 1 Klicken Sie im Dialogfeld "Virendefinitionsaktualisierungen planen" auf "Planen". 2 Legen Sie im Dialogfeld "Virendefinitionsaktualisierungen planen" das Intervall sowie Datum und Uhrzeit fest, zu der LiveUpdate ausgeführt werden soll. 3 Klicken Sie mehrmals auf "OK", bis Sie zum Hauptfenster von Symantec AntiVirus zurückkehren. So stellen Sie die erweiterten Zeitplanoptionen für LiveUpdate ein 1 Klicken Sie in im Menü "Datei" auf "Aktualisierungen planen". 2 Klicken Sie im Dialogfeld "Virendefinitionsaktualisierungen planen" auf "Planen". 3 Klicken Sie im Dialogfeld "Virendefinitionsaktualisierungen planen" auf "Erweitert".

38 38 Grundlagen von Symantec AntiVirus Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken 4 Führen Sie im Dialogfeld "Weitere Zeitplanoptionen" einen der folgenden Schritte aus: Wenn Sie AntiVirus so einrichten möchten, dass verpasste LiveUpdate- Ereignisse zu einem späteren Zeitpunkt ausgeführt werden, aktivieren Sie "Verpasste Ereignisse verarbeiten innerhalb von" und legen Sie die gewünschte Anzahl Tage fest. Wenn Sie Symantec AntiVirus so einrichten möchten, dass geplante LiveUpdate-Ereignisse innerhalb einer angegebenen Zeitspanne und nicht zu einem bestimmten Zeitpunkt ausgeführt werden, aktivieren Sie die gewünschte Option für die variable Ausführung und geben Sie die Minuten, den Wochentag oder den Tag des Monats ein. 5 Klicken Sie mehrmals auf "OK", bis Sie zum Hauptfenster von Symantec AntiVirus zurückkehren. Schutz sofort mit LiveUpdate aktualisieren Wenn Sie vor der Ausbreitung eines neuen Virus gewarnt werden, sollten Sie nicht auf die nächste geplante Aktualisierung warten, sondern den Schutz vor Viren und Sicherheitsrisiken sofort aktualisieren. So aktualisieren Sie den Virenschutz mit LiveUpdate sofort 1 Klicken Sie im linken Teilfenster von Symantec AntiVirus auf "Symantec AntiVirus". 2 Klicken Sie im rechten Teilfenster auf "LiveUpdate".

39 Grundlagen von Symantec AntiVirus Verwenden von Symantec AntiVirus zusammen mit dem Windows-Sicherheitscenter 39 3 Klicken Sie bei Bedarf im Dialogfeld "LiveUpdate" auf "Optionen > Konfigurieren", um die Internet-Verbindung für LiveUpdate zu konfigurieren. Sie können die Verbindung zu Ihrem Internet Service Provider oder die Proxy-Server-Einstellungen für die Internet-Verbindung ändern. Weitere Informationen finden Sie in der Online-Hilfe für LiveUpdate. 4 Klicken Sie auf "Weiter", um die automatische Aktualisierung zu starten. Virenschutz ohne LiveUpdate aktualisieren Symantec bietet für den Fall, dass Sie LiveUpdate nicht einsetzen können, ein spezielles Programm namens "Intelligent Updater", mit dem Sie die Aktualisierungen von der Website von Symantec Security Response herunterladen können. Siehe "Auf die Website von Symantec Security Response zugreifen" auf Seite 42. So aktualisieren Sie ohne LiveUpdate 1 Laden Sie das Programm "Intelligent Updater" in einen beliebigen Ordner auf Ihrem Computer herunter. 2 Suchen Sie das Programm "Intelligent Updater" im Fenster "Arbeitsplatz" oder im Windows-Explorer und doppelklicken Sie darauf. 3 Befolgen Sie die Anweisungen des Programms. Intelligent Updater durchsucht Ihren Computer nach Symantec AntiVirus und installiert anschließend die neuen Definitionsdateien für Viren und Sicherheitsrisiken automatisch im richtigen Ordner. 4 Prüfen Sie Ihre Laufwerke, um nach neu entdeckten Viren und Sicherheitsrisiken zu suchen. Verwenden von Symantec AntiVirus zusammen mit dem Windows-Sicherheitscenter Wenn Sie das Windows-Sicherheitscenter (WSC) von Windows XP Service Pack 2 zum Überwachen des Sicherheitsstatus verwenden, wird der Status von Symantec AntiVirus im Windows-Sicherheitscenter angezeigt. In Tabelle 2-8 wird der im WSC angezeigte Schutzstatus beschrieben. Tabelle 2-8 Status des Schutzes im WSC Status des Symantec-Produkts Status des Schutzes Symantec AntiVirus ist nicht installiert Symantec AntiVirus ist mit vollem Schutz installiert NICHT GEFUNDEN (rot) AKTIV (grün)

40 40 Grundlagen von Symantec AntiVirus Weitere Informationen Tabelle 2-8 Status des Schutzes im WSC Status des Symantec-Produkts Status des Schutzes Symantec AntiVirus ist installiert und die Definitionen für Viren und Sicherheitsrisiken sind veraltet Symantec AntiVirus ist installiert und Dateisystem- Auto-Protect ist deaktiviert Symantec AntiVirus ist installiert, Dateisystem-Auto- Protect ist deaktiviert und die Definitionen für Viren und Sicherheitsrisiken sind veraltet Symantec AntiVirus ist installiert und RTVscan wurde manuell ausgeschaltet VERALTET (rot) INAKTIV (rot) INAKTIV (rot) INAKTIV (rot) In Tabelle 2-9 wird der im WSC angezeigte Status von Symantec Client Firewall beschrieben. Tabelle 2-9 Firewall-Status im WSC Status des Symantec-Produkts Firewall-Status Symantec Client Firewall ist nicht installiert Symantec Client Firewall ist installiert und aktiviert Symantec Client Firewall ist installiert, aber nicht aktiviert Symantec Client Firewall ist weder installiert noch aktiviert, die Firewall eines Fremdherstellers ist jedoch installiert und aktiviert NICHT GEFUNDEN (rot) AKTIV (grün) INAKTIV (rot) AKTIV (grün) Hinweis: In Symantec Client Security ist die Windows-Firewall standardmäßig deaktiviert. Falls mehrere Firewalls aktiviert sind, wird vom Windows-Sicherheitscenter eine entsprechende Meldung ausgegeben. Weitere Informationen Weitere Informationen zu Symantec AntiVirus erhalten Sie in der Online-Hilfe. Informationen über Viren und Sicherheitsrisiken finden Sie außerdem auf der Symantec-Website.

41 Grundlagen von Symantec AntiVirus Weitere Informationen 41 Auf die Online-Hilfe zugreifen Das Online-Hilfesystem von Symantec AntiVirus enthält allgemeine Informationen und detaillierte Anleitungen, die Sie dabei unterstützen, Ihren Computer frei von Viren und Sicherheitsrisiken zu halten. Hinweis: Ihr Administrator hat unter Umständen entschieden, die Hilfedateien nicht zu installieren. So verwenden Sie die Hilfe von Symantec AntiVirus Führen Sie in Symantec AntiVirus einen der folgenden Schritte aus: Klicken Sie auf "Hilfethemen" im Menü "Hilfe". Klicken Sie im rechten Teilfenster auf "Hilfe". Die kontextbezogene Hilfe steht nur in Fenstern zur Verfügung, in denen Sie Aktionen ausführen können.

42 42 Grundlagen von Symantec AntiVirus Weitere Informationen Auf die Website von Symantec Security Response zugreifen Wenn Sie mit dem Internet verbunden sind, besuchen Sie die Website von Symantec Security Response, um Folgendes anzuzeigen: Die Virenenzyklopädie, die Informationen zu allen bekannten Viren enthält Informationen zu Scherzviren (Hoaxes) White Papers zu Viren und Virenbedrohungen im Allgemeinen Allgemeine und detaillierte Informationen zu Sicherheitsrisiken So greifen Sie auf die Website von Symantec Security Response zu Geben Sie in Ihrem Internet-Browser folgende Web-Adresse ein:

43 Kapitel 3 Schutz des Computers vor Viren und Sicherheitsrisiken Dieses Kapitel enthält folgende Themen: Allgemeines zur Virenschutz- und Sicherheitsrisiko-Richtlinie Verwenden von Auto-Protect Verwenden des Manipulationsschutzes Prüfung auf Viren und andere Sicherheitsrisiken Konfigurieren der Prüfung Interpretieren von Prüfergebnissen Ausschluss von Dateien von der Prüfung Allgemeines zur Virenschutz- und Sicherheitsrisiko- Richtlinie Die in Symantec AntiVirus vordefinierten Einstellungen für Virenschutz und Sicherheitsrisiken entsprechen den Anforderungen der meisten Benutzer. Sie können die Einstellungen je nach Bedarf anpassen und eigene Richtlinien für Auto-Protect sowie für manuelle, geplante, benutzerdefinierte und Startprüfungen festlegen. Mit der Virenschutz- und Sicherheitsrisiko-Richtlinie wird Folgendes festgelegt: Was geprüft werden soll Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken

44 44 Schutz des Computers vor Viren und Sicherheitsrisiken Allgemeines zur Virenschutz- und Sicherheitsrisiko-Richtlinie Was geprüft werden soll Symantec AntiVirus Auto-Protect überprüft standardmäßig alle Dateitypen. Auch bei manuellen, geplanten, benutzerdefinierten und Startprüfungen werden alle Dateitypen untersucht. Auto-Protect beinhaltet SmartScan, ein Programm, das Dateien mit Erweiterungen überprüft, die in der Liste der Programmdateierweiterungen enthalten sind. SmartScan überprüft darüber hinaus alle Programmdateien und Microsoft Office-Dokumente, unabhängig davon, ob ihre Erweiterungen in der Liste der Dateierweiterungen aufgeführt sind. Siehe "Auto-Protect ändern und SmartScan verwenden" auf Seite 50. Sie können festlegen, dass nur Dateien mit bestimmten Erweiterungen oder eines bestimmten Typs (Dokumente und Programme) geprüft werden. Es ist allerdings zu beachten, dass dadurch der Schutz vor Viren und Sicherheitsrisiken eingeschränkt wird. Sie haben außerdem die Möglichkeit, bestimmte Dateien von der Prüfung auszuschließen. Wenn beispielsweise eine nicht infizierte Datei einen Virenalarm auslöst, können Sie die Datei von der Prüfung ausschließen, damit zukünftig keine Warnmeldungen angezeigt werden. Anhand von Dateitypen oder -erweiterungen prüfen Symantec AntiVirus kann Ihren Computer anhand von Dateitypen oder -erweiterungen überprüfen. Bei der Prüfung anhand von Dateitypen stellt Symantec AntiVirus automatisch den Dateityp fest, auch wenn die Erweiterung nicht dem Dateityp entspricht. Da Viren im Allgemeinen nur bestimmte Dateitypen infizieren, ist bei dieser Prüfmethode sichergestellt, dass alle infizierbaren Dateien geprüft werden. Bei der Prüfung anhand von Dateitypen berücksichtigt Symantec AntiVirus auch solche Dateien, die von einem Virus umbenannt wurden. Diese Option ist jedoch langsamer als die Prüfung nach Erweiterungen. Sie können zwischen den folgenden Dateitypen wählen: Dokumentdateien: Dazu gehören Microsoft Word- und Excel-Dokumente und Vorlagendateien, die mit diesen Dokumenten verknüpft sind. Symantec AntiVirus durchsucht Dokumentdateien nach Infektionen durch Makroviren. Programmdateien: Dazu gehören Dynamic Link Libraries (.dll), Stapeldateien (.bat), ausführbare Dateien (.exe) und andere Programmdateien. Symantec AntiVirus prüft Programmdateien auf Dateivireninfektionen.

45 Schutz des Computers vor Viren und Sicherheitsrisiken Allgemeines zur Virenschutz- und Sicherheitsrisiko-Richtlinie 45 Anhand von Dateitypen oder -erweiterungen prüfen Symantec AntiVirus kann Ihren Computer anhand von Dateitypen oder -erweiterungen überprüfen. So wählen Sie die Dateitypen aus, die geprüft werden sollen 1 Wählen Sie im linken Teilfenster von Symantec AntiVirus die Prüfung aus, die Sie ändern möchten. Wenn Sie eine Prüfung ausgewählt haben, klicken Sie auf "Optionen". Wenn Sie eine Prüfung beim Systemstart, eine benutzerdefinierte oder eine geplante Prüfung gewählt haben, klicken Sie auf die entsprechende Prüfung und anschließend auf "Bearbeiten". Klicken Sie danach auf "Optionen". Änderungen gelten nur für den von Ihnen ausgewählten Prüfungstyp. 2 Klicken Sie auf "Ausgewählte Dateitypen" und anschließend auf "Typen". 3 Wählen Sie einen oder beide der folgenden Dateitypen aus: Dokumentdateien: Dazu gehören Word- und Excel-Dokumente und Vorlagendateien, die mit diesen Dokumenten verknüpft sind. Programmdateien: Dazu gehören Dynamic Link Libraries (.dll), Stapeldateien (.bat), ausführbare Dateien (.exe) und andere Programmdateien. 4 Wenn Sie diese Aktionen für alle nachfolgenden Prüfungen verwenden möchten, klicken Sie auf "Einstellungen speichern". 5 Klicken Sie auf "OK". So fügen Sie Dateinamenerweiterungen zur Prüfliste hinzu 1 Wählen Sie im linken Teilfenster von Symantec AntiVirus die Prüfung aus, die Sie ändern möchten. Wenn Sie eine Prüfung ausgewählt haben, klicken Sie auf "Optionen". Wenn Sie eine Prüfung beim Systemstart, eine benutzerdefinierte oder eine geplante Prüfung gewählt haben, klicken Sie auf die Prüfung, die Sie ändern möchten, und anschließend auf "Bearbeiten". Klicken Sie danach auf "Optionen". Änderungen gelten nur für den von Ihnen ausgewählten Prüfungstyp. Wenn Sie "Auto-Protect" ausgewählt haben, fahren Sie mit Schritt 2 fort. 2 Klicken Sie auf "Ausgewählte Dateierweiterungen" und anschließend auf "Erweiterungen". 3 Geben Sie die hinzuzufügende Erweiterung ein und klicken Sie anschließend auf "Hinzufügen". 4 Wiederholen Sie gegebenenfalls Schritt 3. 5 Klicken Sie auf "OK".

46 46 Schutz des Computers vor Viren und Sicherheitsrisiken Allgemeines zur Virenschutz- und Sicherheitsrisiko-Richtlinie Alle Dateitypen überprüfen Symantec AntiVirus kann alle Dateien auf Ihrem Computer prüfen, ungeachtet der Dateinamenerweiterung oder des Dateityps. Bei der Prüfung aller Dateitypen erfolgt die Überprüfung am gründlichsten, weil Symantec AntiVirus auf diese Weise Viren und Sicherheitsrisiken auch in solchen Dateien finden kann, die üblicherweise nicht geprüft werden. Die Prüfung nach allen Dateitypen ist zeitaufwändiger als die Prüfung nach ausgewählten Dateitypen oder nach Dateinamenerweiterungen, doch sie ist auch gründlicher. Wenn Sie Wert auf eine möglichst schnelle Prüfung legen, sollten Sie Auto- Protect-Prüfungen oder Leerlaufprüfungen (falls verfügbar) nach Dateinamenerweiterungen einrichten und mindestens eine wöchentliche Prüfung planen, um Ihren Computer gründlich zu prüfen. Infektionen durch Makroviren verhindern Symantec AntiVirus prüft und entfernt automatisch die meisten Makroviren in Microsoft Word und Excel. Wenn Sie geplante Prüfungen, Startprüfungen, Leerlaufprüfungen oder Auto-Protect regelmäßig anwenden, können Sie Ihren Computer wirksam vor Infektionen durch Makroviren schützen. Symantec AntiVirus sucht regelmäßig nach Makroviren und entfernt die gefundenen Makroviren automatisch. Am zuverlässigsten verhindern Sie Infektionen durch Makroviren folgendermaßen: Auto-Protect aktivieren. Auto-Protect überprüft alle Dateien fortlaufend, auf die ein Zugriff erfolgt ist (z.b. durch Ausführen oder Öffnen) oder die in irgendeiner Weise (z.b. durch Umbenennen, Bearbeiten, Erstellen, Kopieren oder Verschieben) geändert wurden. Aktivieren Sie Auto-Protect auch für Ihr -System, falls vorhanden. Wählen Sie für alle Prüfoptionen die Prüfung nach Dateityp. Schützen Sie Ihre globalen Vorlagendateien, indem Sie die Funktion zum automatischen Ausführen von Makros deaktivieren. Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Symantec AntiVirus führt bei mit Viren oder Sicherheitsrisiken infizierten Dateien eine erste und eine zweite Aktion aus. Wird durch Auto-Protect oder während einer Prüfung ein Virus gefunden, versucht Symantec AntiVirus automatisch, die infizierte Datei vom Virus zu säubern. Gelingt dies nicht, führt Symantec AntiVirus die Ersatzaktion durch: Es protokolliert den fehlgeschlagenen Versuch und verschiebt die infizierte Datei in den Quarantänebereich, damit sich der Virus nicht ausbreiten kann. Sie haben dann keinen Zugriff mehr auf die Datei.

47 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden von Auto-Protect 47 Abhängig von Ihrer Virenschutzrichtlinie können Sie diese Einstellungen in "Infizierte Datei löschen" oder "Nichts unternehmen (nur protokollieren)" ändern. Auto-Protect bietet Ihnen außerdem eine Option, mit der Sie den Zugriff auf die Datei verhindern können. Ferner können Sie für Makro- und Nicht- Makroviren unterschiedliche Aktionen für jeden Prüfungstyp festlegen. Wird durch Auto-Protect oder während einer Prüfung ein Sicherheitsrisiko gefunden, isoliert Symantec AntiVirus die infizierte Datei und versucht automatisch, die durch das Sicherheitsrisiko auf Ihrem Computer verursachten Änderungen zu beheben. Durch das Verschieben des Sicherheitsrisikos in den Quarantänebereich wird sichergestellt, dass das Sicherheitsrisiko auf Ihrem Computer nicht mehr aktiv ist, und dass Symantec AntiVirus die Änderungen bei Bedarf rückgängig machen kann. Falls Symantec AntiVirus die Änderungen nicht rückgängig machen kann, wird die Ersatzaktion ausgeführt, d. h. das Risiko wird protokolliert und die Datei bleibt im Quarantänebereich. Sie können diese Einstellungen für jeden Prüfungstyp ändern und andere Aktionen für Sicherheitsrisikokategorien und einzelne Sicherheitsrisiken festlegen. Hinweis: Es kann vorkommen, dass Sie unwissentlich eine Anwendung installieren, die ein Sicherheitsrisiko, z. B. Adware oder Spyware, enthält. Um einen instabilen Zustand des Computers zu verhindern, wartet Symantec AntiVirus, bis die Installation der Anwendung abgeschlossen ist, bevor es das Risiko in den Quarantänebereich verschiebt. Anschließend entfernt oder repariert es die Nebeneffekte des Risikos. Verwenden von Auto-Protect Auto-Protect ist die beste Verteidigung gegen Virenangriffe. Wenn Sie auf eine Datei zugreifen, sie kopieren, speichern, verschieben oder öffnen, wird die Datei durch Auto-Protect geprüft, um sicherzustellen, dass sie nicht infiziert ist. Auto-Protect beinhaltet SmartScan, ein Produkt, das Dateierweiterungen, die Dateien mit ausführbarem Code bezeichnen, und alle.exe- und.doc-dateien prüft. SmartScan kann den Dateityp selbst dann ermitteln, wenn ein Virus die Dateierweiterung geändert hat. Es prüft beispielsweise.doc-dateien auch dann, wenn die Dateierweiterung von einem Virus in eine andere Erweiterung geändert wurde, die nicht in der Liste der von SmartScan zu prüfenden Dateierweiterungen steht.

48 48 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden von Auto-Protect Allgemeines zu Auto-Protect und Sicherheitsrisiken Auto-Protect prüft standardmäßig auf Sicherheitsrisiken, z. B. Adware und Spyware, isoliert die infizierten Dateien und versucht, die Nebeneffekte des Sicherheitsrisikos zu entfernen bzw. zu reparieren. Sie können die Prüfung auf Sicherheitsrisiken in Auto-Protect deaktivieren. Siehe "Prüfung auf Sicherheitsrisiken in Auto-Protect deaktivieren und aktivieren" auf Seite 51. Auto-Protect und -Prüfung Wenn Sie einen unterstützten Groupware- -Client verwenden, erkennt Symantec Client Security diesen bei der Installation und ergänzt Auto-Protect durch Auto-Protect für -Anhänge. Der Echtzeitschutz ist für folgende -Clients verfügbar: Lotus Notes 4.5x, 4.6, 5.0 und 6.x Microsoft Outlook 98/2000/2002/2003 (MAPI und Internet) Microsoft Exchange 5.0 und 5.5 (Client-Version) Hinweis: Die Auto-Protect-Funktion für gilt nur für den unterstützten -Client. -Server werden nicht vor Viren geschützt. Symantec AntiVirus bietet zudem die Auto-Protect-Prüfung für zusätzliche Internet- -Programme, indem es jeglichen Datenverkehr, der die Kommunikationsprotokolle POP3 oder SMTP verwendet, überprüft. Sie können Symantec AntiVirus so konfigurieren, dass es eingehende Nachrichten auf Bedrohungen und Sicherheitsrisiken sowie ausgehende Nachrichten mithilfe der heuristischen Bloodhound-Virenerkennung überprüft. Durch die Prüfung von ausgehenden -Nachrichten wird die Verbreitung von Bedrohungen, z.b. Würmern, verhindert, die sich mithilfe von -Clients replizieren und über ein Netzwerk verteilen. Hinweis: Die -Prüfung wird auf 64-Bit-Computern nicht unterstützt. Bei der -Überprüfung für Lotus Notes und Microsoft Exchange überprüft Symantec AntiVirus nur die -Anhänge. Bei der -Überprüfung von Internet-Nachrichten, die die Protokolle POP3 oder SMTP verwenden, prüft Symantec AntiVirus sowohl den Nachrichtentext als auch alle vorhandenen Anhänge.

49 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden von Auto-Protect 49 Wenn Auto-Protect für einen unterstützten -Client aktiviert ist und Sie eine Nachricht mit einem Anhang öffnen, wird der Anhang direkt auf Ihren Computer heruntergeladen und geprüft. Das Herunterladen von Nachrichten mit großen Anhängen wirkt sich bei einer langsamen Verbindung negativ auf die Leistung der Mail-Verarbeitung aus. Sie können diese Funktion deaktivieren, wenn Sie regelmäßig große Anhänge erhalten. Bei einigen Aktionen, beispielsweise bei der Installation neuer Software, müssen Sie den Echtzeitschutz vorübergehend deaktivieren. Siehe "Aktivieren und Deaktivieren von Auto-Protect" auf Seite 32. Hinweis: Wenn beim Öffnen Ihrer s ein Virus erkannt wird, kann es einige Sekunden dauern, bis die -Nachricht geöffnet wird, da Symantec AntiVirus erst die Prüfung abschließt. Die -Prüfung unterstützt die folgenden -Clients nicht: IMAP-Clients AOL -Clients POP3-Clients mit SSL (Secure Sockets Layer) Web-basierte , z. B. Hotmail - und Yahoo! -Mail -Prüfung für SSL-Verbindungen deaktivieren Wenn Ihr Internet-Dienstanbieter das SSL-Protokoll verwendet, können beim Senden Ihrer -Nachrichten Probleme auftreten, wenn die -Prüfung von Symantec AntiVirus aktiviert ist. Deaktivieren Sie in diesem Fall die - Prüfung von Symantec AntiVirus. Der Auto-Protect-Dateisystemschutz schützt Computer weiterhin vor Viren und Sicherheitsrisiken in Anhängen, auch wenn die Prüfung des Internet- - Clients deaktiviert wurde. Er prüft -Anhänge, wenn Sie diese auf der Festplatte speichern. Stellen Sie sicher, dass Auto-Protect aktiviert ist, nachdem Sie das -Prüfprogramm deaktiviert haben, und führen Sie LiveUpdate regelmäßig aus, um sicherzugehen, dass Auto-Protect optimal konfiguriert ist. Auto-Protect ermöglicht den Echtzeit-Virenschutz für beliebige Quellen, einschließlich Internet, und prüft -Anhänge bei jedem Zugriff automatisch.

50 50 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden von Auto-Protect So deaktivieren Sie die -Prüfung 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Konfigurieren". 2 Klicken Sie im rechten Teilfenster auf "< > Auto-Protect". 3 Deaktivieren Sie "< >-Auto-Protect aktivieren". 4 Klicken Sie auf "OK". Anzeigen der Auto-Protect-Prüfungsstatistik Die Auto-Protect-Prüfungstatistik zeigt den Status der letzen Auto-Protect- Prüfung, die zuletzt geprüfte Datei und Informationen zu Vireninfektionen und Sicherheitsrisiken an. So zeigen Sie die Auto-Protect-Prüfungsstatistik an Klicken Sie in Symantec AntiVirus im Menü "Ansicht" auf "Auto-Protect- Prüfstatistik". Auto-Protect ändern und SmartScan verwenden Auto-Protect prüft laut Voreinstellung alle Dateien. Die Überprüfung aller Dateien und die Verwendung von SmartScan gewährleistet maximalen Schutz vor Viren und Sicherheitsrisiken. SmartScan ist standardmäßig aktiviert. Die Prüfung mit Symantec AntiVirus ist schneller, wenn sie auf Dateien mit bestimmten Erweiterungen wie.exe,.com,.dll,.doc und.xls beschränkt ist. Diese Prüfmethode bietet zwar weniger Schutz, ist aber besonders effizient für die Suche nach Viren, da manche Viren nur bestimmte Dateitypen infizieren. Die Standardliste mit den Dateierweiterungen enthält die Dateitypen, die am häufigsten von Infektionen durch Viren betroffen sind. So ändern Sie Auto-Protect und verwenden SmartScan 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Konfigurieren". 2 Klicken Sie im rechten Teilfenster auf "Dateisystem-Auto-Protect". 3 Führen Sie im Gruppenfeld "Dateitypen" einen der folgenden Schritte aus: Klicken Sie auf "Alle Typen", wenn Symantec AntiVirus alle Dateien prüfen soll. Klicken Sie auf "Ausgewählte ", damit Symantec AntiVirus nur die Dateien mit den ausgewählten Erweiterungen überprüft, und anschließend auf "Erweiterungen", um die Liste der Dateierweiterungen zu ändern. Stellen Sie sicher, dass SmartScan für Symantec AntiVirus aktiviert ist, damit die Prüfung mithilfe dieser Funktion ausgeführt werden kann. 4 Klicken Sie auf "OK", um Ihre Einstellungen zu speichern.

51 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden des Manipulationsschutzes 51 Prüfung auf Sicherheitsrisiken in Auto-Protect deaktivieren und aktivieren Auto-Protect prüft standardmäßig auf Sicherheitsrisiken, z. B. Adware und Spyware, isoliert die infizierten Dateien und versucht, die Nebeneffekte des Sicherheitsrisikos zu entfernen bzw. zu reparieren. Manchmal kann es jedoch sinnvoll sein, die Prüfung auf Sicherheitsrisiken im Auto-Protect-Dateisystemschutz vorübergehend zu deaktivieren. Hinweis: Möglicherweise hat Ihr Administrator diese Einstellung gesperrt. So deaktivieren bzw. aktivieren Sie die Prüfung auf Sicherheitsrisiken in Auto-Protect 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Konfigurieren". 2 Klicken Sie im rechten Teilfenster auf "Dateisystem-Auto-Protect". 3 Deaktivieren oder aktivieren Sie unter "Optionen" die Option "Prüfen auf Sicherheitsrisiken". 4 Klicken Sie auf "OK". Verwenden des Manipulationsschutzes Der Manipulationsschutz schützt Symantec-Anwendungen vor der Manipulation durch Würmer, Trojanische Pferde, Viren und Sicherheitsrisiken. Manipulationsschutz aktivieren, deaktivieren und konfigurieren Wenn der Manipulationsschutz aktiviert ist, können Sie Symantec AntiVirus so konfigurieren, dass Änderungsversuche an Symantec-Anwendungen blockiert bzw. protokolliert werden. Ferner können Sie eine Meldung erstellen, die auf Ihrem Computer angezeigt wird, wenn Symantec AntiVirus einen Manipulationsversuch erkennt. Hinweis: Wenn Ihr Computer von einem Administrator verwaltet und für die Option "Manipulationsschutz" ein Sicherheitsschloss angezeigt wird, können Sie diese Optionen nicht ändern, da sie durch Ihren Administrator gesperrt wurden.

52 52 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden des Manipulationsschutzes So aktivieren, deaktivieren und konfigurieren Sie den Manipulationsschutz 1 Klicken Sie im linken Teilfenster von Symantec AntiVirus auf "Manipulationsschutz". 2 Aktivieren oder deaktivieren Sie im rechten Fenster die Option "Manipulationsschutz aktivieren". 3 Wenn Sie den Manipulationsschutz aktiviert haben, führen Sie unter "Schutz" in der Dropdown-Liste einen der folgenden Schritte aus: Um eine unbefugte Aktivität zu blockieren, klicken Sie auf "Blockieren". Um eine unbefugte Aktivität zu protokollieren, deren Ausführung jedoch zuzulassen, klicken Sie auf "Nur protokollieren". 4 Aktivieren oder deaktivieren Sie "Manipulationsschutz aktiviert lassen, auch wenn Symantec AntiVirus beendet wird". 5 Aktivieren oder deaktivieren Sie unter "Benachrichtigungen" die Option "Meldung auf betroffenem Computer anzeigen". 6 Klicken Sie auf "OK".

53 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden des Manipulationsschutzes 53 Meldungen für den Manipulationsschutz erstellen Der Manipulationsschutz ermöglicht das Erstellen von Meldungen, die angezeigt werden, wenn ein Angriff auf Symantec-Prozesse erkannt wird. Die von Ihnen erstellte Meldung kann aus Text und ausgewählten Feldern bestehen. Die ausgewählten Felder bestehen aus Variablen, die mit Werten gefüllt werden, die die Merkmale des Angriffs beschreiben. In Tabelle 3-1 werden die Felder beschrieben, die Sie auswählen können. Tabelle 3-1 Feld Dateiname Feldnamen und -beschreibungen für Meldungen des Manipulationsschutzes Beschreibung Der Name der Datei, die den Angriff auf geschützte Prozesse verübt hat. Pfad und Dateiname Ablageort Computer Benutzer Gefunden am Durchgeführte Aktion Systemereignis Entitätstyp ID des angreifenden Prozesses Name des angreifenden Prozesses Zielpfadname Ziel-Prozess-ID Ziel-Terminal-Sitzungs-ID Der vollständige Dateipfad und der Name der Datei, die den Angriff auf geschützte Prozesse verübt hat. Der Bereich der Computerhardware oder -Software, der vor Manipulation geschützt ist. Für Meldungen des Manipulationsschutzes sind dies Symantec-Anwendungen. Der Name des Computers, auf den der Angriff verübt wurde. Der Name des Benutzers, der während des Angriffs angemeldet war. Das Datum, an dem der Angriff stattgefunden hat. Die Reaktion des Manipulationsschutzes auf den Angriff. Die Art der Manipulation. Die Art des Ziels, das vom Prozess angegriffen wurde. Die ID des Prozesses, von dem der Angriff ausgegangen ist. Der Name des Prozesses, der den Angriff auf eine Symantec-Anwendung verübt hat. Der Speicherort des Ziels, das vom Prozess angegriffen wurde. Die Prozess-ID des Ziels, das vom Prozess angegriffen wurde. Die ID der Terminal-Sitzung, bei der das Ereignis aufgetreten ist.

54 54 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden des Manipulationsschutzes Erstellen Sie die Meldungen entsprechend des folgenden Formats: Von Ihnen eingegebener Text: [Feldname 1] [Feldname 2] (optionaler und zusätzlicher Text, den Sie eingeben [Feldname x]) Das folgende Beispiel zeigt eine Meldung, die angibt, welcher Prozess welche Aktion wann auszuführen versucht hat: Datum: [Gefunden am] Prozess gefunden unter: [Pfad und Dateiname] (Name: [Name des angreifenden Prozesses) Angriffsziel: [Zielpfadname] [Ziel-Prozess-ID] So erstellen Sie Meldungen für den Manipulationsschutz 1 Klicken Sie im linken Teilfenster von Symantec AntiVirus auf "Manipulationsschutz". 2 Stellen Sie im rechten Fenster unter "Benachrichtigungen" sicher, dass die Option "Meldung auf betroffenem Computer anzeigen" aktiviert ist, und klicken Sie anschließend auf "Meldung". 3 Setzen Sie den Cursor in das Meldungsfeld. 4 Verwenden Sie die Tastatur, um den Cursor zu bewegen, Zeilen einzufügen und Text einzugeben oder zu löschen. 5 Platzieren Sie den Cursor an einer Position, an der ein Feld eingefügt werden soll, klicken Sie mit der rechten Maustaste, wählen Sie "Feld einfügen" und wählen Sie dann das einzufügende Feld aus. Siehe "Feldnamen und -beschreibungen für Meldungen des Manipulationsschutzes" auf Seite Wiederholen Sie gegebenenfalls die Schritte 4 und 5. 7 Klicken Sie mit der rechten Maustaste in das Feld und wählen Sie "Ausschneiden", "Kopieren", "Einfügen", "Löschen" oder "Rückgängig". 8 Klicken Sie auf "OK".

55 Schutz des Computers vor Viren und Sicherheitsrisiken Prüfung auf Viren und andere Sicherheitsrisiken 55 Prüfung auf Viren und andere Sicherheitsrisiken Neben Auto-Protect, dem effektivsten Schutz gegen Vireninfektionen und Sicherheitsrisiken, bietet Symantec AntiVirus weitere Prüfungstypen. Die folgenden Prüfungen stehen zur Verfügung: Benutzerdefinierte Prüfung: Datei, Ordner, Laufwerk oder den gesamten Computer zu einem beliebigen Zeitpunkt prüfen. Sie wählen aus, welche Teile des Computers geprüft werden sollen. Schnellprüfung: Arbeitsspeicher und Speicherorte, die am häufigsten von Infektionen durch Viren und Sicherheitsrisiken betroffen sind, schnell prüfen. Vollständige Prüfung: Gesamten Computer prüfen, einschließlich Boot- Sektor und Arbeitsspeicher. Bei der Prüfung von Netzlaufwerken müssen Sie möglicherweise ein Kennwort eingeben. Geplante Prüfungen: Prüfungen unbeaufsichtigt in bestimmten Abständen ausführen. Startprüfungen: Bei jedem Start des Computers nach Viren suchen. Benutzerdefinierte Prüfungen: Bestimmte Dateien zu beliebiger Zeit prüfen. In der Regel genügt eine Schnellprüfung eine wöchentliche geplante Prüfung aller Dateien, solange Auto-Protect ständig aktiv ist. Wenn Ihr Computer häufig von Viren befallen wird, empfiehlt es sich, eine vollständige Prüfung beim Start oder eine tägliche geplante Prüfung einzurichten. Gewöhnen Sie sich an, Disketten stets vor dem ersten Gebrauch zu prüfen, insbesondere dann, wenn sie bereits in Umlauf waren. Erkennung von Viren und Sicherheitsrisiken durch Symantec AntiVirus Symantec AntiVirus verhindert Vireninfektionen, indem es den Boot-Sektor, den Arbeitsspeicher und die Dateien des Computers auf Viren und Sicherheitsrisiken prüft. Die Prüf-Engine von Symantec AntiVirus verwendet die in Definitionsdateien gespeicherten Signaturen für Viren und Sicherheitsrisiken, um ausführbare Dateien umfassend auf bekannte Viren zu prüfen. Symantec AntiVirus prüft außerdem die ausführbaren Teile von Dokumentdateien, um Makroviren zu finden. Sie können eine Prüfung in Ihrer Anwesenheit ausführen oder während Sie abwesend sind.

56 56 Schutz des Computers vor Viren und Sicherheitsrisiken Prüfung auf Viren und andere Sicherheitsrisiken Was passiert bei einer Prüfung Während einer Prüfung durchsucht Symantec AntiVirus den Arbeitsspeicher des Computers, den Boot-Sektor und ausgewählte Laufwerke nach Mustern für Viren und Sicherheitsrisiken oder Signaturen, die auf ein Risiko schließen lassen. Arbeitsspeicher des Computers Symantec AntiVirus prüft den Arbeitsspeicher des Computers. Dateiviren, Boot- Sektor-Viren und Makroviren können speicherresident sein. Speicherresidente Viren kopieren sich selbst in den Arbeitsspeicher des Computers. Dort bleibt der Virus verborgen, bis er durch ein bestimmtes Ereignis aktiviert wird. Danach kann der Virus eine im Diskettenlaufwerk befindliche Diskette oder die Festplatte infizieren. Wenn ein Virus in den Arbeitsspeicher gelangt ist, ist eine direkte Säuberung nicht möglich. Um den Virus aus dem Arbeitsspeicher zu entfernen, müssen Sie den Computer neu starten, wenn Sie dazu aufgefordert werden. Boot-Sektor Symantec AntiVirus prüft den Boot-Sektor des Computers auf Boot-Sektor- Viren. Es werden zwei Bereiche geprüft: Die Partitionstabellen und der Master- Boot-Sektor. Diskettenlaufwerk Häufig verbreiten sich Viren über Disketten, die sich beim Ein- oder Ausschalten des Computers im Diskettenlaufwerk befinden. Befindet sich zu Beginn einer Prüfung eine Diskette im Laufwerk, prüft Symantec AntiVirus den Boot-Sektor und die Partitionstabellen der Diskette. Wenn sich beim Herunterfahren Ihres Computers eine Diskette im Laufwerk befindet, werden Sie aufgefordert, die Diskette aus dem Laufwerk zu nehmen, um einer möglichen Infektion vorzubeugen. Ausgewählte Dateien Symantec AntiVirus prüft einzelne Dateien. Bei den meisten Prüfungen können Sie entscheiden, welche Dateien geprüft werden sollen. Bei einer Prüfung prüft Symantec AntiVirus die Dateien auf bestimmte "Virusspuren", die als Muster oder Signaturen bezeichnet werden. Die einzelnen Dateien werden mit den Mustern verglichen, die zur Identifizierung möglicher Viren in völlig ungefährlicher Form in der Definitionsdatei enthalten sind. Wenn ein Virus gefunden wird, versucht Symantec AntiVirus, diesen aus der infizierten Datei zu entfernen. Wenn die Datei nicht gesäubert werden kann, isoliert Symantec AntiVirus die Datei, um weitere Infektionen auf Ihrem Computer zu verhindern.

57 Schutz des Computers vor Viren und Sicherheitsrisiken Prüfung auf Viren und andere Sicherheitsrisiken 57 Symantec AntiVirus verwendet die Prüfung auf bestimmte Muster auch für die Erkennung von Sicherheitsrisiken in Dateien und Registrierungsschlüsseln. Wenn ein Sicherheitsrisiko gefunden wird, isoliert Symantec AntiVirus die infizierten Dateien und versucht, die Probleme zu beseitigen, die auf das Sicherheitsrisiko zurückzuführen sind. Falls eine Reparatur nicht möglich ist, wird der Angriffsversuch protokolliert. Nach Beendigung der Prüfung werden die Ergebnisse angezeigt. Allgemeines zu Definitionsdateien Viren bestehen aus einem Softwarecode, der bei genauer Betrachtung bestimmte Muster (so genannte Signaturen) aufweist. Diese Virenmuster können in infizierten Dateien aufgespürt werden. Sicherheitsrisiken, wie Adware und Spyware, weisen ebenfalls Muster oder Signaturen auf. Die Definitionsdatei enthält die Signaturen der bekannten Viren, nicht jedoch den schädlichen Virencode. Außerdem enthält sie Signaturen bekannter Sicherheitsrisiken. Das Prüfprogramm sucht in Ihren Dateien nach den in der Definitionsdatei enthaltenen Mustern. Wenn er eine Übereinstimmung mit einem Virus findet, ist die Datei infiziert. Symantec AntiVirus ermittelt mithilfe der Definitionsdatei, welcher Virus die Infektion verursacht hat, und um dessen Nebeneffekte zu reparieren. Wenn ein Sicherheitsrisiko gefunden wird, verwendet Symantec AntiVirus die Definitionsdatei, um den Virus zu isolieren und um dessen Nebeneffekte zu reparieren. Da im Computerbereich beinahe täglich neue Viren und Sicherheitsrisiken auftauchen, müssen die Definitionsdateien regelmäßig aktualisiert werden, damit Symantec AntiVirus auch die neuesten Viren und Sicherheitsrisiken zuverlässig erkennen und entfernen kann. Prüfung von komprimierten und kodierten Dateien Symantec AntiVirus prüft komprimierte und codierte Dateien, z. B. ZIP-Dateien. Ihr Administrator kann festlegen, dass bis zu 10 Ebenen der komprimierten Dateien, die weitere komprimierte Dateien enthalten, geprüft werden. Wenden Sie sich bitte an Ihren Administrator, wenn Sie wissen möchten, welche Arten von komprimierten Dateien geprüft werden können. Wenn Auto-Protect aktiviert ist, werden alle Dateien geprüft, die aus einer komprimierten Datei extrahiert werden.

58 58 Schutz des Computers vor Viren und Sicherheitsrisiken Prüfung auf Viren und andere Sicherheitsrisiken Manuelle Prüfungen starten Sie können Prüfungen auf Viren und Sicherheitsrisiken, z.b. Spyware und Adware, jederzeit starten. Wählen Sie hierzu eine einzelne Datei, eine Diskette oder Ihren gesamten Computer aus. Die Schnellprüfung und die vollständige Prüfung sind ebenfalls Bestandteil der manuellen Prüfung. Manuelle Prüfungen starten Manuelle Prüfungen können im Fenster "Arbeitsplatz", in Windows Explorer oder im Hauptfenster von Symantec AntiVirus gestartet werden. So starten Sie eine manuelle Prüfung in Windows Klicken Sie im Fenster "Arbeitsplatz" oder in Windows Explorer mit der rechten Maustaste auf eine Datei, einen Ordner oder ein Laufwerk und wählen Sie "Suche nach Viren". Hinweis: Diese Funktion wird von 64-Bit-Betriebssystemen nicht unterstützt. So starten Sie eine manuelle Prüfung in Symantec AntiVirus 1 Erweitern Sie in Symantec AntiVirus im linken Teilfenster die Option "Prüfen". 2 Wählen Sie im linken Teilfenster eine der folgenden Optionen: Diskette prüfen Diese Option ist nur verfügbar, wenn ein Diskettenlaufwerk vorhanden ist. Benutzerdefinierte Prüfung Schnellprüfung Vollständige Prüfung

59 Schutz des Computers vor Viren und Sicherheitsrisiken Prüfung auf Viren und andere Sicherheitsrisiken 59 3 Wenn Sie "Diskette prüfen" oder "Benutzerdefinierte Prüfung" im rechten Teilfenster ausgewählt haben, führen Sie die folgenden Schritte aus: Doppelklicken Sie auf ein Laufwerk oder einen Ordner, um es bzw. ihn zu öffnen oder zu schließen. Aktivieren Sie die Elemente, die geprüft werden sollen. Die Symbole haben folgende Bedeutung: Die Datei, das Laufwerk oder der Ordner ist nicht ausgewählt. Wenn es sich bei dem Element um ein Laufwerk oder einen Ordner handelt, sind die darin enthaltenen Ordner bzw. Dateien ebenfalls nicht ausgewählt. Die einzelne Datei oder der einzelne Ordner ist ausgewählt. Der einzelne Ordner oder das Laufwerk ist ausgewählt. Alle Elemente innerhalb des Ordners oder Laufwerks sind ebenfalls ausgewählt. Der einzelne Ordner oder das Laufwerk ist nicht ausgewählt, dafür sind jedoch ein oder mehrere Elemente innerhalb des Ordners oder Laufwerks ausgewählt.

60 60 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 4 Klicken Sie bei allen manuellen Prüfungen auf "Optionen", um die Standardeinstellungen zu ändern. Sie können dann festlegen, was geprüft und wie auf einen Virus oder ein Sicherheitsrisiko reagiert werden soll. Es stehen folgende Standardeinstellungen zur Verfügung: Standardmäßig werden alle Dateien geprüft. Bei einer Vireninfektion sind die Optionen so voreingestellt, dass versucht wird, die infizierte Datei vom Virus zu säubern und dessen Nebeneffekte zu reparieren, oder, falls dies nicht möglich ist, die infizierte Datei zu isolieren. Bei Sicherheitsrisiken werden standardmäßig das Sicherheitsrisiko isoliert und es wird versucht, dessen Nebeneffekte zu reparieren. Falls dies nicht möglich ist, wird das Risiko protokolliert. Wenn die geänderten Einstellungen nur für die aktuelle Prüfung gelten sollen, klicken Sie auf "OK". Wenn die geänderten Einstellungen auf alle künftigen Prüfungen angewendet werden sollen, klicken Sie auf "Einstellungen speichern". 5 Klicken Sie auf "Erweitert", um einzurichten, dass während der geplanten Prüfung ein Statusfeld angezeigt wird. 6 Klicken Sie im Dialogfeld "Erweiterte Prüfoptionen" in der Dropdown-Liste unter "Dialogfeldoptionen" auf "Prüfstatus anzeigen" und anschließend auf "OK". 7 Klicken Sie im Dialogfeld "Prüfoptionen" auf "OK". 8 Klicken Sie im Hauptfenster von Symantec AntiVirus auf "Prüfen". Symantec AntiVirus startet die Prüfung und zeigt die Ergebnisse an. Konfigurieren der Prüfung Sie können mehrere unterschiedliche Prüfungen konfigurieren, um Ihren Computer vor Viren und Sicherheitsrisiken zu schützen. Geplante Prüfungen erstellen Eine geplante Prüfung ist eine wichtige Komponente beim Schutz vor Bedrohungen und Sicherheitsrisiken. Planen Sie eine Prüfung so, dass sie mindestens einmal pro Woche ausgeführt wird, um sicherzustellen, dass Ihr Computer frei von Viren und Sicherheitsrisiken, z.b. Adware und Spyware, bleibt. Hinweis: Vom Netzwerkadministrator geplante Prüfungen werden im Bereich "Geplante Prüfungen" des Ordners "Ansicht" angezeigt und nicht im Ordner "Geplante Prüfungen". Der Ordner "Geplante Prüfungen" enthält nur die von Ihnen geplanten Prüfungen.

61 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 61 So erstellen Sie eine geplante Prüfung 1 Klicken Sie im linken Teilfenster von Symantec AntiVirus auf "Geplante Prüfungen". 2 Klicken Sie im rechten Teilfenster auf "Neue geplante Prüfung". 3 Wählen Sie einen der folgenden Prüfungstypen aus: Schnellprüfung Vollständige Prüfung Benutzerdefinierte Prüfung 4 Klicken Sie auf "Weiter". 5 Geben Sie einen Namen und eine Beschreibung für die Prüfung ein. Nennen Sie die Prüfung beispielsweise "Freitag, um 16 Uhr". 6 Klicken Sie auf "Weiter". 7 Geben Sie die Häufigkeit und den Zeitpunkt der Prüfung ein und klicken Sie auf "Weiter". 8 Wenn Sie "Benutzerdefinierte Prüfung" ausgewählt haben, markieren Sie die entsprechenden Kontrollkästchen im rechten Teilfenster, um festzulegen, wo geprüft werden soll. Sie können alles von einer einzelnen Datei bis hin zum gesamten Computer auswählen. Siehe "Manuelle Prüfungen starten" auf Seite 58.

62 62 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 9 Klicken Sie auf "Optionen", um die Standardeinstellungen zu ändern. Sie können dann festlegen, was geprüft und wie auf einen Virus oder ein Sicherheitsrisiko reagiert werden soll. Es stehen folgende Standardeinstellungen zur Verfügung: Standardmäßig werden alle Dateien geprüft. Bei einer Vireninfektion sind die Optionen so voreingestellt, dass versucht wird, die infizierte Datei vom Virus zu säubern und dessen Nebeneffekte zu reparieren, oder, falls dies nicht möglich ist, die infizierte Datei zu isolieren. Bei Sicherheitsrisiken werden standardmäßig das Sicherheitsrisiko isoliert und es wird versucht, dessen Nebeneffekte zu entfernen bzw. zu reparieren. Falls dies nicht möglich ist, wird das Risiko protokolliert. Wenn die geänderten Einstellungen nur für die aktuelle Prüfung gelten sollen, klicken Sie auf "OK". Wenn die geänderten Einstellungen auf alle künftigen Prüfungen angewendet werden sollen, klicken Sie auf "Einstellungen speichern". 10 Klicken Sie auf "Erweitert", um einzurichten, dass während der geplanten Prüfung ein Statusfeld angezeigt wird. 11 Klicken Sie im Dialogfeld "Erweiterte Prüfoptionen" in der Dropdown-Liste unter "Dialogfeldoptionen" auf "Prüfstatus anzeigen" und anschließend auf "OK". 12 Klicken Sie im Dialogfeld "Prüfoptionen" auf "OK". 13 Klicken Sie im Hauptfenster von Symantec AntiVirus auf "Speichern". Zum Zeitpunkt der Prüfung muss der Computer eingeschaltet und die Symantec AntiVirus-Dienste müssen geladen sein. Die Symantec AntiVirus- Dienste werden standardmäßig beim Systemstart geladen. Die neue Prüfung wird zur Liste im Ordner "Geplante Prüfungen" hinzugefügt. Mehrere geplante Prüfungen erstellen Wenn Sie für einen Computer mehrere Prüfungen planen, die zur gleichen Zeit starten, kann dies zu einer übermäßig starken CPU-Auslastung führen, oder eine oder mehrere der geplanten Prüfungen werden nicht gestartet. Wenn Sie z.b. drei verschiedene Prüfungen für die Laufwerke C, D und E Ihres Computers planen, die alle um Uhr starten sollen, können eine oder mehrere der Prüfungen möglicherweise nicht gestartet werden. Für dieses Beispiel bietet es sich an, eine gemeinsame Prüfung für die Laufwerke C, D und E zu planen.

63 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 63 Startprüfungen erstellen Einige Benutzer ergänzen eine geplante Prüfung durch eine automatische Prüfung bei jedem Start ihres Computers. Oft ist eine Startprüfung auf wichtige Ordner mit hohem Infektionsrisiko beschränkt, wie beispielsweise den Windows- Ordner und Ordner, die Microsoft Word- und Excel-Vorlagen enthalten. Hinweis: Wenn Sie mehrere Startprüfungen erstellen, werden sie nacheinander in der Reihenfolge ausgeführt, in der sie erstellt wurden. Symantec AntiVirus unterstützt für nicht verwaltete Clients auch eine Prüfung beim Systemstart, "Autom. erstellte Schnellprüfung" genannt. Bei dieser Prüfung werden jedes Mal, wenn ein Benutzer sich am Computer anmeldet, die Dateien im Arbeitsspeicher und andere gängige Infektionsorte auf dem Computer auf Viren und Sicherheitsrisiken überprüft. Sie können diese Prüfung auf dieselbe Weise wie eine manuelle Prüfung konfigurieren. Es ist jedoch nicht möglich, den Prüfvorgang der Dateien im Arbeitsspeicher und an anderen gängigen Infektionsorten zu stoppen. So erstellen Sie eine Prüfung beim Systemstart 1 Klicken Sie im linken Teilfenster von Symantec AntiVirus auf "Startprüfungen". 2 Klicken Sie im rechten Teilfenster auf "Neue Startprüfung". 3 Wählen Sie einen der folgenden Prüfungstypen aus: Schnellprüfung Vollständige Prüfung Benutzerdefinierte Prüfung 4 Klicken Sie auf "Weiter". 5 Geben Sie einen Namen und eine Beschreibung für die Prüfung ein. 6 Klicken Sie auf "Weiter". 7 Wenn Sie "Benutzerdefinierte Prüfung" ausgewählt haben, markieren Sie die entsprechenden Kontrollkästchen im rechten Teilfenster, um festzulegen, wo geprüft werden soll. Sie können alles von einer einzelnen Datei bis hin zum gesamten Computer auswählen. Siehe "Manuelle Prüfungen starten" auf Seite 58.

64 64 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 8 Klicken Sie auf "Optionen", um die Standardeinstellungen zu ändern. Sie können dann festlegen, was geprüft und wie auf einen Virus oder ein Sicherheitsrisiko reagiert werden soll. Es stehen folgende Standardeinstellungen zur Verfügung: Standardmäßig werden alle Dateien geprüft. Bei einer Vireninfektion sind die Optionen so voreingestellt, dass versucht wird, die infizierte Datei vom Virus zu säubern und dessen Nebeneffekte zu reparieren, oder, falls dies nicht möglich ist, die infizierte Datei zu isolieren. Bei Sicherheitsrisiken werden standardmäßig das Sicherheitsrisiko isoliert und es wird versucht, dessen Nebeneffekte zu entfernen bzw. zu reparieren. Falls dies nicht möglich ist, wird das Risiko protokolliert. Wenn die geänderten Einstellungen nur für die aktuelle Prüfung gelten sollen, klicken Sie auf "OK". Wenn die geänderten Einstellungen auf alle künftigen Prüfungen angewendet werden sollen, klicken Sie auf "Einstellungen speichern". 9 Klicken Sie auf "Erweitert", um einzurichten, dass während der Prüfung beim Systemstart ein Statusfeld angezeigt wird. 10 Klicken Sie im Dialogfeld "Erweiterte Prüfoptionen" in der Dropdown-Liste unter "Dialogfeldoptionen" auf "Prüfstatus anzeigen" und anschließend auf "OK". 11 Klicken Sie im Dialogfeld "Prüfoptionen" auf "OK". 12 Klicken Sie im Hauptfenster von Symantec AntiVirus auf "Speichern". Die Prüfung wird ausgeführt, wenn Sie Ihren Computer starten und Windows geladen wird. Benutzerdefinierte Prüfungen erstellen Wenn Sie regelmäßig dieselben Dateien oder Ordner prüfen, können Sie eine benutzerdefinierte Prüfung erstellen, in der nur diese Elemente geprüft werden. Somit können Sie jederzeit schnell prüfen, ob die betreffenden Dateien und Ordner frei von Viren und Sicherheitsrisiken sind. Benutzerdefinierte Prüfungen erstellen Sie haben die Möglichkeit, benutzerdefinierte Prüfungen zu erstellen, die jederzeit manuell ausgeführt werden können.

65 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 65 So erstellen Sie eine benutzerdefinierte Prüfung 1 Klicken Sie im linken Teilfenster von Symantec AntiVirus auf "Benutzerdefinierte Prüfungen". 2 Klicken Sie im rechten Teilfenster auf "Neue benutzerdefinierte Prüfung". 3 Wählen Sie einen der folgenden Prüfungstypen aus: Schnellprüfung Vollständige Prüfung Benutzerdefinierte Prüfung 4 Klicken Sie auf "Weiter". 5 Geben Sie einen Namen und eine Beschreibung für die Prüfung ein. 6 Klicken Sie auf "Weiter". 7 Wenn Sie "Benutzerdefinierte Prüfung" ausgewählt haben, markieren Sie die entsprechenden Kontrollkästchen im rechten Teilfenster, um festzulegen, wo geprüft werden soll. Sie können alles von einer einzelnen Datei bis hin zum gesamten Computer auswählen. Siehe "Manuelle Prüfungen starten" auf Seite Klicken Sie auf "Optionen", um die Standardeinstellungen zu ändern. Sie können dann festlegen, was geprüft und wie auf einen Virus oder ein Sicherheitsrisiko reagiert werden soll. Es stehen folgende Standardeinstellungen zur Verfügung: Standardmäßig werden alle Dateien geprüft. Bei einer Vireninfektion sind die Optionen so voreingestellt, dass versucht wird, die infizierte Datei vom Virus zu säubern und dessen Nebeneffekte zu entfernen bzw. zu reparieren, oder, falls dies nicht möglich ist, die infizierte Datei zu isolieren. Bei Sicherheitsrisiken werden standardmäßig das Sicherheitsrisiko isoliert und es wird versucht, dessen Nebeneffekte zu entfernen bzw. zu reparieren. Falls dies nicht möglich ist, wird das Risiko protokolliert. Wenn die geänderten Einstellungen nur für die aktuelle Prüfung gelten sollen, klicken Sie auf "OK". Wenn die geänderten Einstellungen auf alle künftigen Prüfungen angewendet werden sollen, klicken Sie auf "Einstellungen speichern". 9 Klicken Sie auf "Erweitert", um einzurichten, dass während der geplanten Prüfung ein Statusfeld angezeigt wird.

66 66 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 10 Klicken Sie im Dialogfeld "Erweiterte Prüfoptionen" in der Dropdown-Liste unter "Dialogfeldoptionen" auf "Prüfstatus anzeigen" und anschließend auf "OK". 11 Klicken Sie im Dialogfeld "Prüfoptionen" auf "OK". 12 Klicken Sie im Hauptfenster von Symantec AntiVirus auf "Speichern". So führen Sie eine benutzerdefinierte Prüfung aus 1 Klicken Sie im linken Teilfenster von Symantec AntiVirus auf "Benutzerdefinierte Prüfungen". 2 Doppelklicken Sie auf eine benutzerdefinierte Prüfung. Startprüfungen, benutzerdefinierte Prüfungen und geplante Prüfungen bearbeiten und löschen Sie können vorhandene Prüfungen jederzeit neu konfigurieren. Bei Bedarf können Prüfungen auch gelöscht werden. Prüfungen bearbeiten und löschen Sie können Startprüfungen, benutzerdefinierte Prüfungen und geplante Prüfungen bearbeiten und löschen. Optionen, die für einen Prüfungstyp nicht zur Verfügung stehen, werden grau dargestellt. So bearbeiten Sie eine Prüfung 1 Wählen Sie im linken Teilfenster von Symantec AntiVirus die Prüfung aus, die Sie bearbeiten möchten. 2 Klicken Sie auf "Bearbeiten". 3 Führen Sie einen der folgenden Schritte aus: Wenn Sie eine benutzerdefinierte Prüfung ausgewählt haben, wählen Sie die zu prüfenden Dateien, Ordner oder Laufwerke in der Registerkarte "Dateien" aus. Wenn Sie eine geplante Prüfung ausgewählt haben, wählen Sie ein neues Prüfintervall sowie ein Datum und eine Uhrzeit für die Prüfung in der Registerkarte "Zeitplan" aus. Geben Sie in der Registerkarte "Namen/Beschreibung" den Namen und eine Beschreibung der Prüfung ein.

67 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 67 4 Klicken Sie ggf. auf "Optionen", um eine der folgende Prüfoptionen zu ändern: Dateitypen: Nach Dateierweiterungen oder -typen prüfen Prüfungsoptimierung: Die in den Arbeitsspeicher geladenen Programme und häufig infizierte Speicherorte prüfen und vor der Prüfung von ausgewählten Dateien und Ordnern nach Spuren von bekannten Viren und Sicherheitsrisiken suchen Dateien und Ordner ausschließen Erweiterte Prüfoptionen: Komprimierte Dateien, Speichermigration, usw. Aktionen, die ausgeführt werden, wenn ein Virus oder ein Sicherheitsrisiko gefunden wurde Begrenzungsoptionen Benachrichtigungen: Mithilfe der Erkennungsoptionen können Sie eine Meldung erstellen, die angezeigt werden soll, wenn ein Virus oder ein Sicherheitsrisiko gefunden wurde. Mithilfe der Fehlerbehebungsoptionen können Sie konfigurieren, ob Sie vor Ausführung der Fehlerbehebungsaktionen, z. B. vor dem Stoppen eines Dienstes, benachrichtigt werden. 5 Klicken Sie mehrmals auf "OK", bis Sie zum Hauptfenster von Symantec AntiVirus zurückkehren. So löschen Sie eine Prüfung Klicken Sie im linken Teilfenster von Symantec AntiVirus mit der rechten Maustaste auf die zu löschende Prüfung und klicken Sie anschließend auf "Löschen". Aktionen für Viren und Sicherheitsrisiken konfigurieren Die Konfiguration von Aktionen, die Symantec AntiVirus bei Erkennung eines Virus oder Sicherheitsrisikos ausführen soll, ist ein wichtiger Bestandteil der Prüfung auf Viren und Sicherheitsrisiken. Sie können angeben, welche Aktion zuerst ausgeführt werden soll, und eine Ersatzaktion, falls die erste Aktion fehlschlägt. Hinweis: Wenn Ihr Computer von einem Administrator verwaltet und bei diesen Optionen ein Sicherheitsschloss angezeigt wird, können Sie diese Optionen nicht ändern, da sie durch Ihren Administrator gesperrt wurden.

68 68 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung Im folgenden Beispiel werden Aktionen für eine vollständige Prüfung eingerichtet. Für andere Prüfungstypen können Sie auf die gleiche Weise Aktionen für Kategorien und für einzelne Viren und Sicherheitsrisiken festlegen. So konfigurieren Sie Aktionen für Viren und Sicherheitsrisiken 1 Erweitern Sie im linken Teilfenster die Option "Prüfen" und klicken Sie auf "Vollständige Prüfung". 2 Klicken Sie im rechten Teilfenster auf "Optionen". 3 Klicken Sie im Fenster "Prüfoptionen" auf "Aktionen". 4 Wählen Sie in der Verzeichnisstruktur des Dialogfelds "Aktionen" einen Viren- oder Sicherheitsrisikotyp aus. Standardmäßig werden für jede einzelne Sicherheitsrisiko-Unterkategorie, z. B. Spyware, automatisch die Aktionen übernommen, die auf der obersten Ebene der Kategorie "Sicherheitsrisiken" festgelegt wurden. Wenn Sie für eine Instanz oder Unterkategorie unterschiedliche Aktionen verwenden möchten, aktivieren Sie die Option "Für Sicherheitsrisiken konfigurierte Aktionen überschreiben" und legen Sie dann die Aktionen für diese Unterkategorie bzw. Instanz fest.

69 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 69 5 Wählen Sie die erste und zweite Aktion aus den folgenden Optionen aus: Bedrohung säubern Entfernt den Virus aus der infizierten Datei. Dies ist die Vorgabe für die erste Aktion bei einer Vireninfektion. Hinweis: Diese Aktion ist für Sicherheitsrisiken nicht verfügbar. Das Säubern von Dateien sollte immer Ihre primäre Aktion sein. Wenn Symantec AntiVirus einen Virus erfolgreich aus einer Datei entfernt, müssen Sie keine weiteren Aktionen mehr unternehmen. Ihr Computer ist dann virenfrei und es besteht somit nicht mehr die Gefahr der Verbreitung dieses Virus auf andere Bereiche des Computers. Wenn Symantec AntiVirus eine Datei säubert, entfernt es den Virus aus der infizierten Datei, dem Boot-Sektor oder den Partitionstabellen, wodurch eine Ausbreitung des Virus verhindert wird. Er kann normalerweise von Symantec AntiVirus entfernt werden, bevor er weiteren Schaden auf Ihrem Computer verursacht. In bestimmten Fällen jedoch kann es, je nach Umfang des bereits verursachten Schadens, vorkommen, dass die gesäuberte Datei nicht mehr verwendet werden kann. Dies ist auf die Vireninfektion und nicht auf die Säuberungsaktion zurückzuführen. Einige infizierte Dateien können nicht gesäubert werden. Bedrohung isolieren Es wird eine der folgenden Aktionen ausgeführt: Wenn es sich um einen Virus handelt, wird die infizierte Datei von ihrem ursprünglichen Ablageort in den Quarantänebereich verschoben. Infizierte Dateien innerhalb des Quarantänebereichs können keine Viren verbreiten. Dies ist die Vorgabe für die zweite Aktion bei einer Vireninfektion. Bei Sicherheitsrisiken werden alle infizierten Dateien von ihrem ursprünglichen Ablageort in den Quarantänebereich des infizierten Computers verschoben und es wird versucht, die Probleme zu beseitigen, die auf das Sicherheitsrisiko zurückzuführen sind. Dies ist die Vorgabe für die erste Aktion bei einer Infektion durch Sicherheitsrisiken. Der Quarantänebereich enthält Informationen zu allen ausgeführten Aktionen, so dass der Computer bei Bedarf in den Zustand zurückgesetzt werden kann, den er hatte, bevor Symantec Client Security das Risiko entfernt hat.

70 70 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung Bedrohung löschen Löscht die infizierte Datei zusammen mit dem Virus von der Festplatte. Wenn Symantec AntiVirus die Datei nicht löschen kann, werden zusätzliche Informationen über die von Symantec AntiVirus durchgeführte Aktion im Dialogfeld "Benachrichtigung" angezeigt und im Ereignisprotokoll gespeichert. Wählen Sie diese Aktion nur, wenn Sie die Datei durch eine Sicherungskopie ersetzen können, die frei von Viren und Sicherheitsrisiken ist, da die Datei endgültig gelöscht wird und nicht vom Papierkorb wiederhergestellt werden kann. Hinweis: Verwenden Sie diese Aktion bei der Konfiguration von Aktionen für Sicherheitsrisiken mit Vorsicht, denn in einigen Fällen kann das Löschen von Sicherheitsrisiken dazu führen, dass Funktionalität in Anwendungen verloren geht. Nichts unternehmen (nur protokollieren) Es wird eine der folgenden Aktionen ausgeführt: Wenn es sich um einen Virus handelt, wird die infizierte Datei nicht geändert. Der Virus bleibt in der Datei und kann die Infektion auf andere Bereiche Ihres Computers übertragen. Es wird ein entsprechender Eintrag in das Risikoprotokoll eingefügt, um die infizierte Datei zu erfassen. Sie können die Option "Nichts unternehmen (nur protokollieren)" als zweite Aktion sowohl für Makro- als auch für Nicht-Makro-Viren verwenden. Wählen Sie diese Aktion für umfangreiche automatisierte Prüfungen, z. B. geplante Prüfungen, nur dann, wenn Sie zuerst die Prüfergebnisse der Prüfung anzeigen und erst später eine weitere Aktion durchführen möchten, beispielsweise die Datei in den Quarantänebereich verschieben. Bei Sicherheitsrisiken werden die betroffenen Dateien nicht geändert und ein entsprechender Eintrag in das Risikoprotokoll eingefügt, um das Risiko zu erfassen. Mit dieser Option können Sie manuell steuern, wie Symantec AntiVirus einen Virus oder ein Sicherheitsrisiko handhabt. Dies ist die Vorgabe für die zweite Aktion bei einer Infektion durch Sicherheitsrisiken. Ihr Systemadministrator kann Ihnen in einer Nachricht mitteilen, wie Sie reagieren sollen. Siehe "Tipps für die Auswahl von Ersatzaktionen für Viren" auf Seite 72. Siehe "Tipps für die Auswahl von Ersatzaktionen für Sicherheitsrisiken" auf Seite Wiederholen Sie die Schritte 4 bis 5 für jede einzelne Kategorie, für die spezielle Aktionen eingerichtet werden sollen.

71 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 71 7 Wenn Sie in der Verzeichnisstruktur ein Sicherheitsrisiko ausgewählt haben, können Sie über die Registerkarte "Ausnahmen" benutzerdefinierte Aktionen für bestimmte Instanzen dieses Sicherheitsrisikos konfigurieren. 8 Klicken Sie auf "Hinzufügen". 9 Wählen Sie im Dialogfeld "Risiken auswählen" die Risiken aus, für die Sie benutzerdefinierte Aktionen definieren möchten, und klicken Sie auf "Weiter".

72 72 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 10 Wählen Sie im Dialogfeld "Risiken konfigurieren" die erste Aktion und die Ersatzaktion aus, die Symantec AntiVirus ausführen soll, wenn die von Ihnen angegebenen Risiken erkannt werden. Klicken Sie anschließend auf "Fertig stellen". 11 Wiederholen Sie die Schritte 8 bis 10 für jedes Sicherheitsrisiko, für das spezielle Aktionen eingerichtet werden sollen. 12 Klicken Sie mehrmals auf "OK", bis Sie zum Hauptfenster von Symantec AntiVirus zurückkehren. Tipps für die Auswahl von Ersatzaktionen für Viren Wenn Sie eine zweite Aktion für Viren auswählen, ziehen Sie Folgendes in Betracht: Grad der Kontrolle, die Sie über Ihre Dateien benötigen Wenn Sie wichtige Dateien auf Ihrem Computer speichern, ohne Sicherungskopien zu erstellen, sollten Sie keine Aktionen wie z.b. "Bedrohung löschen" durchführen. Zwar können Sie auf diese Art einen Virus möglicherweise löschen, Sie können aber andererseits auch wichtige Daten verlieren. Eine weitere Überlegung gilt Ihren Systemdateien. Da einige Ihrer Systemdateien ausführbare Erweiterungen besitzen, können sie potentiell von Dateiviren angegriffen werden. Auch wenn dies unbequem sein mag, ist zu empfehlen, die Aktion "Nichts unternehmen (Nur protokollieren)" oder "Bedrohung isolieren" zu verwenden, so dass Sie überprüfen können, welche Dateien infiziert wurden. Wenn beispielsweise die Datei COMMAND.COM mit einem Dateivirus infiziert ist und Symantec AntiVirus den Virus nicht säubern kann, kann die Datei möglicherweise nicht wiederhergestellt werden. Der Befehl "Nichts unternehmen (nur protokollieren)" könnte Ihnen zusätzliche Probleme ersparen, die dadurch hervorgerufen werden, dass die Datei COMMAND.COM nicht wiederhergestellt würde, bevor Sie Ihren Computer ausschalten. Virustyp, der Ihren Computer infiziert hat Unterschiedliche Virustypen zielen auf unterschiedliche Bereiche Ihres Computers ab. Boot-Sektor-Viren infizieren Boot-Sektoren, Partitionstabellen, Master-Boot-Sektoren und manchmal auch den Arbeitsspeicher. Wenn Boot-Sektor-Viren hybrid sind, können sie auch ausführbare Dateien infizieren, und die Infektion kann ähnlich wie ein Dateivirus behandelt werden. Dateiviren infizieren in der Regel Programmdateien, die die Erweiterung.exe,.com oder.dll haben. Makroviren infizieren Dokumentdateien einschließlich der mit diesen Dokumenten verknüpften Makros. Wählen Sie die Aktionen basierend auf den Dateitypen aus, die Sie möglicherweise wiederherstellen müssen.

73 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 73 Durchgeführter Prüfungstyp Bei allen Prüfungen werden Aktionen ohne Ihre Nachfrage automatisch durchgeführt. Wenn Sie die Aktionen vor einer Prüfung nicht ändern, werden die Standardaktionen verwendet. Daher zielen die Standard-Ersatzaktionen darauf ab, Vireninfektionen in den Griff bekommen. Für Prüfungen, die automatisch ablaufen, wie z.b. geplante Prüfungen, Leerlaufprüfungen (auf 32-Bit-Computern) und Auto-Protect-Prüfungen, sollten Sie keine Ersatzaktionen mit dauerhafter Wirkung festlegen. Verwenden Sie beispielsweise die Aktionen "Bedrohung löschen" und "Bedrohung säubern" nur bei manuellen Prüfungen, die Sie nur dann ausführen, wenn Sie bereits wissen, dass eine Datei infiziert ist. Tipps für die Auswahl von Ersatzaktionen für Sicherheitsrisiken Wenn Sie eine zweite Aktion für Sicherheitsrisiken auswählen, berücksichtigen Sie den Grad der Kontrolle, die Sie über Ihre Dateien benötigen. Wenn Sie wichtige Dateien auf Ihrem Computer speichern, ohne Sicherungskopien zu erstellen, sollten Sie keine Aktionen wie z.b. "Bedrohung löschen" durchführen. Das Löschen von Sicherheitsrisiken kann dazu führen, dass andere Anwendungen auf Ihrem Computer nicht mehr ausgeführt werden können. Verwenden Sie stattdessen die Aktion "Bedrohung isolieren", damit Sie gegebenenfalls die Änderungen, die Symantec AntiVirus vorgenommen hat, rückgängig machen können. Benachrichtigungen für Viren und Sicherheitsrisiken konfigurieren Sie werden standardmäßig benachrichtigt, wenn Symantec Client Security während einer Prüfung einen Virus oder ein Sicherheitsrisiko findet. Ebenso werden Sie benachrichtigt, wenn Symantec Client Security Dienste beenden oder Prozesse stoppen muss, um die Nebeneffekte von Viren oder Sicherheitsrisiken zu entfernen bzw. die betroffenen Dateien zu reparieren. Sie können die folgenden Benachrichtigungen für Prüfungen konfigurieren: Erkennungsoptionen Fehlerbehebungsoptionen Erstellen Sie die Meldung, die auf Ihrem Computer angezeigt werden soll, wenn Symantec Client Security einen Virus oder ein Sicherheitsrisiko auf Ihrem Computer findet. Bei der Konfiguration von Auto-Protect für das Dateisystem können Sie eine zusätzliche Option wählen, um ein Dialogfeld anzuzeigen, das die Ergebnisse enthält, wenn Auto-Protect Viren und Sicherheitsrisiken auf Ihrem Computer findet. Legen Sie fest, ob Sie benachrichtigt werden möchten, wenn Symantec AntiVirus einen Virus oder ein Sicherheitsrisiko findet und einen Prozess beenden oder einen Dienst stoppen muss, um ein Risiko zu entfernen oder zu reparieren.

74 74 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung Sie können die Erkennungsmeldung erstellen, indem Sie eigenen Text direkt in das Meldungsfeld eingeben oder mit der rechten Maustaste in das Meldungsfeld klicken und bestimmte Variablen auswählen. In Tabelle 3-2 werden die variablen Felder beschrieben, die für Erkennungsmeldungen verfügbar sind. Tabelle 3-2 Variable Felder für Benachrichtigungsmeldungen Feld Virusname Aktion Status Dateiname Pfad und Dateiname Speicherort Computer Benutzer Ereignis Protokolliert von Gefunden am Name des Speichers Aktionsbeschreibung Beschreibung Der Name des gefundenen Virus oder Sicherheitsrisikos. Die Aktion, die als Reaktion auf einen erkannten Virus oder ein erkanntes Sicherheitsrisiko ausgeführt wurde. Dabei kann es sich um eine der Aktionen halten, die als erste bzw. als zweite Aktion konfiguriert wurden. Der Status der Datei: "Infiziert", "Nicht infiziert" oder "Gelöscht". Diese Meldungsvariable wird nicht standardmäßig verwendet. Wenn Sie diese Informationen anzeigen möchten, müssen Sie die Variable manuell zur Warnmeldung hinzufügen. Der Name der Datei, die von dem Virus oder dem Sicherheitsrisiko infiziert wurde. Der vollständige Pfad und der Name der Datei, die von dem Virus oder dem Sicherheitsrisiko betroffen ist. Das Computerlaufwerk, auf dem sich der Virus oder das Sicherheitsrisiko befindet. Der Name des Computers, auf dem der Virus oder das Sicherheitsrisiko gefunden wurde. Der Name des Benutzers, der bei Auftreten des Virus oder Sicherheitsrisikos angemeldet war. Ereignistyp, beispielsweise "Sicherheitsrisiko gefunden". Der Prüfungstyp, bei dem der Virus oder das Sicherheitsrisiko erkannt wurde: "Manuell", "Geplant" usw. Das Datum, an dem der Virus oder das Sicherheitsrisiko gefunden wurde. Der betroffene Bereich der Anwendung, z. B. Dateisystem-Auto- Protect oder Lotus Notes-Auto-Protect. Eine vollständige Beschreibung der Aktionen, die als Reaktion auf einen erkannten Virus oder ein erkanntes Sicherheitsrisiko ausgeführt wurden.

75 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 75 Im folgenden Beispiel werden Aktionen für eine vollständige Prüfung eingerichtet. Für andere Prüfungstypen können Sie auf die gleiche Weise Benachrichtigungen festlegen. So konfigurieren Sie Benachrichtigungen für Viren und Sicherheitsrisiken 1 Erweitern Sie im linken Teilfenster die Option "Prüfen" und klicken Sie auf "Vollständige Prüfung". 2 Klicken Sie im rechten Teilfenster auf "Optionen". 3 Klicken Sie im Fenster "Prüfoptionen" auf "Benachrichtigungen". 4 Aktivieren Sie unter "Erkennungsoptionen" im Dialogfeld "Benachrichtigungsoptionen" die Option "Benachrichtigungsmeldung auf infiziertem Computer anzeigen", um eine Meldung auf dem infizierten Computer anzuzeigen, wenn ein Virus oder Sicherheitsrisiko gefunden wird. 5 Führen Sie im Meldungsfeld einen oder alle der folgenden Schritte aus, um die gewünschte Meldung zu erstellen: Klicken Sie in das Meldungsfeld, um den Text einzugeben oder zu bearbeiten. Klicken Sie mit der rechten Maustaste, wählen Sie "Feld einfügen" und wählen Sie das Variablenfeld aus, das Sie einfügen möchten. Klicken Sie mit der rechten Maustaste und wählen Sie anschließend "Ausschneiden", "Kopieren", "Einfügen", "Löschen" oder "Rückgängig".

76 76 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 6 Wenn Sie Benachrichtigungen für Dateisystem-Auto-Protect konfigurieren, befindet sich unterhalb des Meldungsfelds eine zusätzliche Option. Deaktivieren Sie die Option "Dialogfeld 'Auto-Protect-Ergebnisse' auf infiziertem Computer anzeigen", wenn das Dialogfeld mit den Ergebnissen zu gefundenen Viren und Sicherheitsrisiken nicht angezeigt werden soll. 7 Aktivieren Sie unter "Fehlerbehebungsoptionen" die gewünschte Option. Es stehen folgende Optionen zur Verfügung: Prozesse automatisch beenden Dienste automatisch anhalten Wenn diese Option aktiviert ist, beendet Symantec Client Security automatisch Prozesse, wenn es einen Virus oder ein Sicherheitsrisiko entfernen oder eine Datei reparieren muss. Sie werden nicht aufgefordert, die Daten zu speichern, bevor Symantec Client Security die Prozesse beendet. Wenn diese Option aktiviert ist, stoppt Symantec Client Security automatisch alle Dienste, um einen Virus oder ein Sicherheitsrisiko zu entfernen oder eine Datei zu reparieren. Sie werden nicht aufgefordert, die Daten zu speichern, bevor Symantec Client Security die Dienste anhält. 8 Klicken Sie mehrmals auf "OK", bis Sie zum Hauptfenster von Symantec AntiVirus zurückkehren, und klicken Sie anschließend auf "Prüfen". Interaktion mit Benachrichtigungen Wenn Sie die Standardwerte beibehalten, werden Sie benachrichtigt, wenn Symantec Client Security einen Virus oder ein Sicherheitsrisiko findet. Das Dialogfeld "Auto-Protect-Ergebnisse" wird angezeigt:

77 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 77 Wenn Symantec Client Security einen Prozess oder eine Anwendung beenden oder einen Dienst anhalten muss, ist die Schaltfläche "Risiko entfernen" aktiviert. Wenn Sie auf die Schaltfläche "Risiko entfernen" klicken, wird folgende Meldung angezeigt: Dies gibt Ihnen die Möglichkeit, Ihre Arbeit zu speichern und geöffnete Anwendungen zu schließen, sofern dies nicht bereits erfolgt ist. Nach dem Speichern Ihrer Daten können Sie in dieses Meldungsfeld zurückkehren und auf "Ja" klicken, um das Entfernen oder Reparieren abzuschließen. Wenn Symantec Client Security den Computer neu starten muss, um das Entfernen oder Reparieren abzuschließen, ist die Schaltfläche "Neu starten" aktiviert. Wenn Sie auf "Neu starten" klicken, wird folgende Meldung angezeigt: Dies gibt Ihnen die Möglichkeit, Ihre Arbeit zu speichern und geöffnete Anwendungen zu schließen, sofern dies nicht bereits erfolgt ist. Nach dem Speichern Ihrer Daten können Sie in dieses Meldungsfeld zurückkehren und auf "Ja" klicken, um den Computer neu zu starten. Wenn Sie auf "Nein" klicken und das Meldungsfeld ohne einen Neustart schließen, wird das Entfernen bzw. Reparieren erst beim nächsten Neustart des Computers ausgeführt. Wenn Sie das Meldungsfeld schließen, ohne eine Aktion zu wählen, die erforderlich ist, um das Entfernen bzw. Reparieren des Virus oder des Sicherheitsrisikos abzuschließen, wird die folgende Meldung angezeigt:

78 78 Schutz des Computers vor Viren und Sicherheitsrisiken Interpretieren von Prüfergebnissen Wenn Sie auf "Ja" klicken und das Dialogfeld schließen, ohne eine Aktion auszuführen, kann das Risiko auf folgende Weise zu einem späteren Zeitpunkt entfernt bzw. repariert werden: Sie können das Dialogfeld "Risikoprotokoll" öffnen, mit der rechten Maustaste auf das Risiko klicken und eine Aktion wählen. Sie können eine Prüfung ausführen, um das Risiko erneut zu ermitteln und das Dialogfeld "Ergebnisse" zu öffnen. Welche Aktionen verfügbar sind, ist abhängig von den Aktionen, die für den entsprechenden Viren- oder Sicherheitsrisikotyp konfiguriert wurden. Wenn Sie auf "Nein" klicken, wird das Dialogfeld "Ergebnisse" angezeigt, in dem Sie die gewünschte Aktion auswählen können. Interpretieren von Prüfergebnissen Jedes Mal, wenn eine manuelle, geplante, benutzerdefinierte oder Startprüfung ausgeführt wird, können Sie sich von Symantec AntiVirus ein Dialogfeld mit dem Status der Prüfung anzeigen lassen. Sie müssen dieses Dialogfeld jedoch entsprechend konfigurieren. Siehe "Manuelle Prüfungen starten" auf Seite 58. Siehe "Geplante Prüfungen erstellen" auf Seite 60. Siehe "Startprüfungen erstellen" auf Seite 63. Siehe "Benutzerdefinierte Prüfungen erstellen" auf Seite 64. Wenn Sie Symantec AntiVirus so eingerichtet haben, dass ein Dialogfeld mit dem Status der Prüfung angezeigt wird, können Sie die Prüfung unterbrechen, neu starten oder beenden. Nach Abschluss der Prüfung werden die Ergebnisse in der Liste angezeigt. Wenn keine Viren oder Sicherheitsrisiken gefunden wurden, bleibt die Liste leer und der Status lautet "Abgeschlossen".

79 Schutz des Computers vor Viren und Sicherheitsrisiken Ausschluss von Dateien von der Prüfung 79 Wenn bei der Prüfung Viren oder Sicherheitsrisiken ermittelt wurden, enthält das Dialogfeld den Namen der infizierten Dateien, den Namen des Virus oder Sicherheitsrisikos und die durchgeführten Aktionen. Sie werden standardmäßig benachrichtigt, wenn Symantec AntiVirus während einer Prüfung einen Virus oder ein Sicherheitsrisiko findet. Siehe "Aktionen zur Behandlung infizierter Dateien" auf Seite 81. Hinweis: In einem zentral verwalteten Netzwerk wird das Dialogfeld mit dem Prüfstatus bei einer von einem Administrator geplanten Prüfung möglicherweise nicht angezeigt. Der Administrator kann auch festlegen, dass keine Warnungen ausgegeben werden, wenn ein Virus oder ein Sicherheitsrisiko ermittelt wird. Ausschluss von Dateien von der Prüfung In seltenen Fällen wird eine Datei, die keinen Virus enthält, als infiziert erkannt. Dies kann beispielsweise vorkommen, wenn eine bestimmte Virendefinition so programmiert ist, dass alle möglichen Varianten eines Virus erkannt werden. Da eine solche Virendefinition sehr weit gefasst ist, zeigt Symantec AntiVirus manchmal eine Warnmeldung für eine Datei an, die nicht infiziert ist. Wenn Symantec AntiVirus eine virenfreie Datei weiterhin als infiziert anzeigt, können Sie die Datei von den Prüfungen ausschließen. Ausschlüsse sind Elemente, die Sie bei einer Prüfung nicht einbeziehen möchten oder müssen. Sie können auch Ordner ausschließen, wenn diese Software enthalten, die möglicherweise als Sicherheitsrisiko erkannt wird, z. B Adware, die Sicherheitsrichtlinien Ihres Unternehmens die Ausführung dieser Software jedoch zulassen. Siehe "Allgemeines zu Sicherheitsrisiken" auf Seite 16.

80 80 Schutz des Computers vor Viren und Sicherheitsrisiken Ausschluss von Dateien von der Prüfung Sie können Ausschlüsse individuell für jeden Prüfungstyp festlegen: "Auto- Protect", "Systemstart", "Benutzerdefiniert", "Geplant" oder "Manuell", einschließlich "Benutzerdefinierte Prüfung", "Schnellprüfung" oder eine "Vollständige Prüfung". Die Vorgehensweise ist bei jedem Prüfungstyp dieselbe. Warnung: Setzen Sie diese Funktion vorsichtig ein. Wenn Sie eine Datei von einer Prüfung ausschließen, wird nichts unternommen, falls diese Datei später infiziert wird. Dies stellt ein potentielles Risiko für die Sicherheit Ihres Computers dar. So schließen Sie eine Datei von der Prüfung aus 1 Führen Sie in Symantec AntiVirus einen der folgenden Schritte aus: Um Auto-Protect für das Dateisystem zu aktivieren, klicken Sie im linken Teilfenster auf "Konfigurieren" und anschließend im rechten Teilfenster auf "Dateisystem-Auto-Protect". Bei allen anderen Prüfungstypen klicken Sie auf "Optionen" in dem Fenster, in dem Sie die zu prüfenden Elemente auswählen. 2 Aktivieren Sie im rechten Fenster oder im Dialogfeld "Prüfoptionen" die Option "Dateien und Ordner ausschließen". 3 Klicken Sie auf "Ausnahmen" und anschließend auf "Dateien/Ordner", um die Datei auszuwählen, die Sie ausschließen möchten. 4 Klicken Sie auf "OK". 5 Klicken Sie auf "Erweiterungen". 6 Geben Sie die auszuschließenden Dateierweiterungen an und klicken Sie anschließend auf "OK". Verwenden Sie das Platzhalterzeichen "?", um ein beliebiges Zeichen anzugeben. "XL?" schließt beispielsweise alle.xls,.xlt,.xlw und.xla-dateien aus. 7 Klicken Sie mehrmals auf "OK", bis Sie zum Hauptfenster von Symantec AntiVirus zurückkehren.

81 Kapitel 4 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Dieses Kapitel enthält folgende Themen: Aktionen zur Behandlung infizierter Dateien Allgemeines zum Quarantänebereich Umgang mit isolierten Dokumenten Anzeigen des Ereignisprotokolls Aktionen zur Behandlung infizierter Dateien Die Symantec AntiVirus-Optionen für Auto-Protect und alle Prüfungstypen sind so voreingestellt, dass Viren aus infizierten Dateien gesäubert oder, falls dies nicht möglich ist, die Dateien in den Quarantänebereich verschoben werden. Bei Sicherheitsrisiken werden die infizierten Dateien isoliert und es wird versucht, die Nebeneffekte zu entfernen oder zu reparieren. Falls die Reparatur nicht möglich ist, wird das erkannte Risiko protokolliert. Wenn die vireninfizierte Datei repariert wurde, müssen Sie nichts weiter unternehmen. Wenn eine durch ein Sicherheitsrisiko infizierte Datei isoliert, entfernt oder repariert wurde, müssen Sie nichts weiter unternehmen. Im Dialogfeld "Status der Prüfung" können Sie sofort nach Abschluss einer Prüfung eine Aktion für eine infizierte Datei ausführen und beispielsweise die gesäuberte Datei löschen, um sie durch die ursprüngliche, nicht infizierte Version zu ersetzen.

82 82 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Aktionen zur Behandlung infizierter Dateien Sie können die durch einen Virus oder ein Sicherheitsrisiko infizierte Datei auch zu einem späteren Zeitpunkt vom Risikoprotokoll oder vom Quarantänebereich aus behandeln. Siehe "Dateien im Quarantänebereich erneut auf Viren prüfen" auf Seite 86. Hinweis: In einem zentral verwalteten Netzwerk wird das Dialogfeld mit dem Prüfstatus bei einer von einem Administrator geplanten Prüfung möglicherweise nicht angezeigt. Der Administrator kann auch festlegen, dass keine Warnungen ausgegeben werden, wenn ein Virus oder ein Sicherheitsrisiko ermittelt wird. So führen Sie eine Aktion für eine infizierte Datei aus 1 Führen Sie einen der folgenden Schritte aus: Wählen Sie im Dialogfeld "Status der Prüfung" die Dateien aus, die nach Abschluss der Prüfung angezeigt werden sollen. Erweitern Sie im linken Teilfenster von Symantec AntiVirus den Eintrag "Protokolle", klicken Sie auf "Risikoprotokoll" und wählen Sie anschließend im rechten Teilfenster die gewünschten Dateien aus. 2 Klicken Sie mit der rechten Maustaste auf die Dateien und wählen Sie eine der folgenden Optionen: Durchgeführte Aktion rückgängig machen: Macht die voreingestellte Aktion rückgängig, falls dies möglich ist. Säubern (nur Viren): Entfernt den Virus aus der Datei. Dauerhaft löschen: Löscht die infizierte Datei und alle anderen betroffenen Elemente. Verwenden Sie diese Aktion bei Sicherheitsrisiken mit Vorsicht, denn in einigen Fällen kann das Löschen von Sicherheitsrisiken dazu führen, dass Funktionalität in Anwendungen verloren geht. In Quarantäne: Verschiebt die infizierten Dateien in den Quarantänebereich und versucht, die Nebeneffekte von Sicherheitsrisiken zu entfernen bzw. zu reparieren. Eigenschaften: Zeigt Informationen über den Virus bzw. das Sicherheitsrisiko an.

83 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Allgemeines zum Quarantänebereich 83 Es kann vorkommen, dass Symantec AntiVirus die Aktion, die für den Fall der Erkennung eines Sicherheitsrisikos voreingestellt wurde, nicht ausführen kann. Durch Viren verursachte Schäden Wird der Virus unmittelbar nach Eintritt der Infektion gefunden, ist die gesäuberte Datei normalerweise völlig intakt. Gelegentlich säubert Symantec AntiVirus jedoch infizierte Dateien, die durch den Virus beschädigt wurden. Wenn Symantec AntiVirus beispielsweise den Makrovirus "Word.Wazzu" in einem infizierten Dokument findet, entfernt Symantec AntiVirus zwar den Virus, nicht jedoch das Wort "wazzu", das der Virus im infizierten Dokument hinterlassen hat. In diesem Fall kann Symantec AntiVirus den an der infizierten Datei entstandenen Schaden nicht beseitigen. Allgemeines zum Quarantänebereich Es kann vorkommen, dass Symantec AntiVirus einen unbekannten Virus entdeckt, der mit den aktuellen Virendefinitionen nicht entfernt werden kann. Oder Sie vermuten, dass eine Datei infiziert ist, obwohl kein Virus ermittelt wurde. Im Quarantänebereich werden potentiell infizierte Dateien auf Ihrem Computer isoliert. Ein Virus in einer isolierten Datei kann sich nicht verbreiten. Vireninfizierte Dateien in den Quarantänebereich verschieben Durch das Verschieben vireninfizierter Dateien in den Quarantänebereich wird die Gefahr drastisch verringert, dass sich der Virus selbst kopiert und weitere Dateien infiziert. Diese zweite Aktion wird sowohl für Makro- als auch für Nicht- Makrovirusinfektionen empfohlen.

84 84 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Allgemeines zum Quarantänebereich Das Verschieben einer vireninfizierten Datei in den Quarantänebereich verhindert die Ausbreitung des Virus. Der Virus wird dadurch jedoch nicht entfernt, sondern bleibt auf Ihrem Computer, bis er entfernt oder bis die Datei gelöscht wird. Das Verschieben der infizierten Datei in den Quarantänebereich eignet sich für Dateien, die von Datei- und Makroviren infiziert sind, jedoch nicht für Boot- Sektor-Virusinfektionen. Normalerweise befinden sich Boot-Sektor-Viren im Boot-Sektor oder in den Partitionstabellen eines Computers. Diese Elemente können nicht in den Quarantänebereich verschoben werden Siehe "Allgemeines zum Master-Boot-Sektor" auf Seite 16. Siehe "Boot-Sektor-Viren" auf Seite 14. Nachdem eine Datei in den Quarantänebereich verschoben wurde, können Sie versuchen, die Datei zu säubern, sie dauerhaft zu löschen oder sie an ihrem ursprünglichen Speicherort wiederherzustellen. Sie können auch die Eigenschaften einer infizierten Datei anzeigen. Nach dem Aktualisieren der Virendefinitionsdateien können Sie die isolierte Datei erneut prüfen. Siehe "Dateien im Quarantänebereich erneut auf Viren prüfen" auf Seite 86. Durch Sicherheitsrisiken infizierte Dateien im Quarantänebereich belassen Wenn Sie Dateien isoliert haben, die durch Sicherheitsrisiken infiziert wurden, können Sie diese entweder löschen oder weiter im Quarantänebereich belassen. Sie sollten die Dateien erst dann aus dem Quarantänebereich löschen, wenn Sie sicher sind, dass dadurch keine Funktionalität in Anwendungen verloren geht. Vireninfizierte Dateien im Quarantänebereich löschen Wenn Sie eine Datei löschen, die im Quarantänebereich gespeichert ist, wird sie von Symantec AntiVirus dauerhaft von der Festplatte Ihres Computers entfernt. Durch diese Aktion wird die Gefahr verringert, dass sich der Virus weiter ausbreiten kann. Das Löschen infizierter Dateien eignet sich für Datei- und Makroviren. Da Viren Teile einer Datei beschädigen können, ist es besser, eine infizierte Datei zu löschen und sie durch eine virenfreie Backup-Datei zu ersetzen, statt die infizierte Datei nur zu säubern. Sie können diese Aktion manuell durchführen, nachdem eine infizierte Datei in den Quarantänebereich verschoben wurde. Wenn eine Datei im Quarantänebereich nicht gesäubert werden kann und Sie die Datei nicht mehr benötigen, löschen Sie sie, um den Virus zu entfernen.

85 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Umgang mit isolierten Dokumenten 85 Warnung: Verwenden Sie diese Option nur, wenn Sie virenfreie Sicherungskopien der Dateien haben, die Sie löschen möchten. Sie sollten sie nicht als primäre Aktion für Dateien verwenden, die von Auto-Protect oder bei geplanten Prüfungen geprüft werden. Durch Sicherheitsrisiken infizierte Dateien aus dem Quarantänebereich löschen Wenn Sie Dateien löschen, die mit einem Sicherheitsrisiko in Verbindung steht, kann es vorkommen, dass eine Anwendung auf Ihrem Computer nicht mehr ordnungsgemäß funktioniert, wenn die Anwendung von den gelöschten Dateien abhängig ist. Das Isolieren im Quarantänebereich ist hier die sichere Lösung, da es rückgängig gemacht werden kann. Sie können die Originaldateien wiederherstellen, wenn Sie feststellen, dass Anwendungen auf Ihrem Computer nicht mehr ordnungsgemäß funktionieren, nachdem Sie die Dateien isoliert haben. Hinweis: Sobald Sie die Anwendung gestartet haben, mit der ein Sicherheitsrisiko verbunden war, und sicher sind, dass sie ordnungsgemäß funktioniert, können Sie die Dateien löschen, um Speicherplatz freizugeben. Umgang mit isolierten Dokumenten Sie können die durch Viren oder Sicherheitsrisiken infizierten Dateien in den Quarantänebereich verschieben. Es gibt zwei Möglichkeiten, Dateien zu isolieren: Symantec AntiVirus verschiebt infizierte Dateien, die bei Auto-Protect oder einer anderen Prüfung ermittelt wurden, in den Quarantänebereich. Sie wählen eine Datei manuell aus und verschieben sie in den Quarantänebereich. Die Symantec AntiVirus-Optionen für Auto-Protect und alle Prüfungstypen sind so voreingestellt, dass Viren aus infizierten Dateien gesäubert oder, falls dies nicht möglich ist, die Dateien in den Quarantänebereich verschoben werden. Bei Sicherheitsrisiken verschiebt Symantec AntiVirus standardmäßig alle infizierten Dateien in den Quarantänebereich und versucht, die Probleme zu beseitigen, die auf das Sicherheitsrisiko zurückzuführen sind.

86 86 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Umgang mit isolierten Dokumenten So fügen Sie eine Datei manuell zum Quarantänebereich hinzu 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Ansicht". 2 Klicken Sie im rechten Fenster auf "Quarantäne". 3 Klicken Sie in der Symbolleiste auf "Neues Element in Quarantäne hinzufügen". 4 Suchen Sie die Datei und klicken Sie anschließend auf "Hinzufügen". 5 Klicken Sie auf "Schließen". Dateien und Dateiinformationen im Quarantänebereich anzeigen Sie können Dateien anzeigen, die in den Quarantänebereich verschoben wurden. Darüber hinaus können Details zu diesen Dateien angezeigt werden, z. B. der Virenname, der Name des Computers, auf dem die Datei gefunden wurde, usw. So zeigen Sie Dateien und Dateiinformationen im Quarantänebereich an 1 Klicken Sie in Symantec AntiVirus im Menü "Ansicht" auf "Quarantäne". 2 Klicken Sie mit der rechten Maustaste auf die anzuzeigende Datei und klicken Sie anschließend auf "Eigenschaften". Dateien im Quarantänebereich erneut auf Viren prüfen Wenn eine Datei in den Quarantänebereich verschoben wird, sollten Sie Ihre Definitionen aktualisieren. Je nachdem, wie Ihr Administrator den Quarantänebereich eingerichtet hat, werden die isolierten Dateien nach der Aktualisierung der Definitionen automatisch geprüft, gesäubert und wiederhergestellt oder es wird der Reparaturassistent angezeigt, mit dem Sie die Dateien neu prüfen können. Wenn Symantec AntiVirus den Virus nach der erneuten Prüfung immer noch nicht entfernen kann, senden Sie die infizierte Datei zur Analyse an Symantec Security Response. Siehe "Potenziell infizierte Dateien an Symantec Security Response senden" auf Seite 91.

87 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Umgang mit isolierten Dokumenten 87 So prüfen Sie die isolierten Dateien mit dem Reparaturassistenten 1 Wenn der Reparaturassistent angezeigt wird, klicken Sie auf "Ja". 2 Klicken Sie auf "Weiter" und befolgen Sie die Anweisungen am Bildschirm, um die Dateien im Quarantänebereich erneut zu prüfen. Dateien manuell neu prüfen Sie können eine isolierte Datei manuell auf Viren, aber nicht auf Sicherheitsrisiken prüfen. So prüfen Sie eine Datei im Quarantänebereich manuell erneut auf Viren 1 Aktualisieren Sie Ihre Definitionen. Siehe "Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken" auf Seite Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Ansicht". 3 Klicken Sie im rechten Fenster auf "Quarantäne".

88 88 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Umgang mit isolierten Dokumenten 4 Wählen Sie die Datei im Quarantänebereich aus. 5 Führen Sie einen der folgenden Schritte aus: Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie "Säubern". Klicken Sie im rechten Bereich in der Symbolleiste auf "Säubern". 6 Klicken Sie auf "Säubern starten". Die Datei wird anhand der neuen Definitionen erneut geprüft und am ursprünglichen Ablageort wiederhergestellt. Wiederherstellen von Dateien ist am ursprünglichen Ablageort nicht möglich Manchmal gibt es für eine gesäuberte Datei keinen Ablageort, an dem sie wiederhergestellt werden kann. Ein infizierter Dateianhang beispielsweise kann von einer gelöst und im Quarantänebereich abgelegt worden sein. In diesen Fällen wird die gesäuberte Datei stattdessen in den Ordner "Reparierte Elemente" verschoben. Sie müssen dann einen Ablageort angeben und die Datei manuell wiederherstellen.

89 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Umgang mit isolierten Dokumenten 89 Backup-Elemente löschen So stellen Sie eine gesäuberte Datei aus dem Ordner "Reparierte Elemente" wieder her 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Ansicht". 2 Klicken Sie im rechten Teilfenster auf "Reparierte Elemente". 3 Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie "Wiederherstellen". 4 Geben Sie einen Ablageort für die gesäuberte Datei an. Aus Gründen der Datensicherheit legt Symantec AntiVirus vor einem Säuberungs- bzw. Reparaturversuch Sicherungskopien der durch Viren und Sicherheitsrisiken infizierten Elemente an. Wenn eine Datei erfolgreich von einem Virus gesäubert wurde, sollten Sie die Kopie im Ordner "Backup-Elemente" löschen, da sie noch immer infiziert ist. Sie können auch eine Zeit festlegen, nach der die Dateien automatisch gelöscht werden. Siehe "Dateien im Quarantänebereich, im Ordner "Backup-Elemente" und im Ordner "Reparierte Elemente" automatisch löschen" auf Seite 90. So löschen Sie Backup-Elemente 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Ansicht". 2 Klicken Sie im rechten Teilfenster auf "Backup-Elemente". 3 Wählen Sie eine oder mehrere Dateien aus der Liste der Sicherungskopien aus. 4 Führen Sie einen der folgenden Schritte aus: Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie "Dauerhaft löschen". Klicken Sie im rechten Bereich in der Symbolleiste auf "Löschen". 5 Klicken Sie im Dialogfeld "Aktion durchführen" auf "Löschen starten". 6 Klicken Sie auf "Schließen".

90 90 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Umgang mit isolierten Dokumenten Dateien aus dem Quarantänebereich löschen Sie können nicht mehr benötigte Dateien aus dem Quarantänebereich löschen. Sie können auch eine Zeit festlegen, nach der die Dateien automatisch gelöscht werden. Siehe "Dateien im Quarantänebereich, im Ordner "Backup-Elemente" und im Ordner "Reparierte Elemente" automatisch löschen" auf Seite 90. Hinweis: Ihr Administrator kann festlegen, wie viele Tage ein Element im Quarantänebereich bleiben kann. Nach Ablauf dieser Zeit wird es automatisch gelöscht. So löschen Sie Dateien manuell aus dem Quarantänebereich 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Ansicht". 2 Klicken Sie im rechten Fenster auf "Quarantäne". 3 Wählen Sie eine oder mehrere Dateien aus der Liste der isolierten Elemente aus. 4 Klicken Sie mit der rechten Maustaste auf die Dateien und wählen Sie "Dauerhaft löschen". 5 Klicken Sie im Dialogfeld "Aktion durchführen" auf "Löschen starten". 6 Klicken Sie auf "Schließen". Dateien im Quarantänebereich, im Ordner "Backup-Elemente" und im Ordner "Reparierte Elemente" automatisch löschen Sie können Symantec AntiVirus so einrichten, dass die Elemente im Quarantänebereich, im Ordner "Backup-Elemente" und im Ordner "Reparierte Elemente" nach Ablauf einer festgelegten Zeit automatisch gelöscht werden. Dadurch wird verhindert, dass sich größere Mengen Dateien ansammeln, wenn Sie diese nicht manuell löschen. So löschen Sie die Dateien automatisch 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Ansicht". 2 Wählen Sie im rechten Teilfenster eine der folgenden Optionen: Quarantäne Backup-Elemente Reparierte Elemente 3 Klicken Sie auf "Bereinigen" ganz rechts in der Symbolleiste.

91 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Umgang mit isolierten Dokumenten 91 4 Aktivieren Sie im Dialogfeld "Löschoptionen" die Option "Automatisches Löschen der Dateien aktivieren". 5 Geben Sie im Textfeld "Löschen nach" eine Zahl ein oder klicken Sie auf die Pfeile, um eine Zahl auszuwählen. 6 Wählen Sie das gewünschte Zeitintervall. 7 Klicken Sie auf "OK". Potenziell infizierte Dateien an Symantec Security Response senden Bisweilen kann Symantec AntiVirus einen Virus nicht aus einer Datei entfernen. Möglicherweise vermuten Sie auch, dass eine Datei infiziert ist, obwohl kein Virus ermittelt wurde. Wenn Sie die Datei an Symantec Security Response senden, wird sie analysiert und es wird ermittelt, ob sie infiziert ist. Sie müssen über eine Internet-Verbindung verfügen, um ein Beispiel senden zu können. Hinweis: In einem zentral verwalteten Netzwerk obliegt es in der Regel dem Administrator, die betreffenden Dateien vom zentralen Quarantänebereich an Symantec Security Response zu senden. In diesem Fall wird die Schaltfläche "An Symantec Security Response senden" nicht in Ihrer Version von Symantec AntiVirus angezeigt. Sie ist auch nicht verfügbar, wenn der Administrator einen nicht verwalteten Client so konfiguriert hat, dass das Senden von Dateien an Symantec Security Response nicht zulässig ist. So senden Sie eine Datei vom Quarantänebereich an Symantec Security Response 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Ansicht". 2 Klicken Sie im rechten Fenster auf "Quarantäne". 3 Wählen Sie die Datei in der Liste der isolierten Elemente aus. 4 Klicken Sie im rechten Bereich in der Symbolleiste auf "An Symantec Security Response senden". 5 Folgen Sie den Anweisungen des Assistenten, um die erforderlichen Informationen zu sammeln und die Datei zur Analyse an Symantec Security Response weiterzuleiten.

92 92 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Anzeigen des Ereignisprotokolls Anzeigen des Ereignisprotokolls Das Ereignisprotokoll enthält eine täglich aktualisierte Liste der Ereignisse, die auf Ihrem Computer in Zusammenhang mit dem Schutz vor Viren und Sicherheitsrisiken stattgefunden haben. Hierzu gehören Konfigurationsänderungen, Fehler und Informationen zur Viren- und Sicherheitsrisikendefinitionsdatei. Diese als "Ereignisse" bezeichneten Einzeldaten werden zusammen mit weiteren relevanten Informationen in Form einer Liste angezeigt. Anhand der im Ereignisprotokoll gespeicherten Informationen können Sie Trends im Zusammenhang mit Aktivitäten von Viren und Sicherheitsrisiken auf Ihrem Computer erkennen. Wenn mehrere Personen Ihren Computer benutzen, können Sie feststellen, bei welchem Benutzer Infektionen oder Sicherheitsrisiken am häufigsten auftreten, und ihm helfen, gründlicher als bisher vorzubeugen. So zeigen Sie das Ereignisprotokoll an Klicken Sie in Symantec AntiVirus im Menü "Protokolle" auf "Ereignisprotokoll". Ereignisse im Ereignisprotokoll filtern Sie können die Ereignisse im Ereignisprotokoll nach Datum, Ereignis, Computer, Benutzer oder Prüfungstyp filtern. Sie können außerdem eine Filterung nach Zeiträumen oder Ereignissen vornehmen, so dass z. B. nur Informationen zu einem kurzen Zeitraum von wenigen Tagen oder zu einigen Jahren angezeigt werden. Informationen nach Zeiträumen filtern Sie können im Risikoprotokoll, im Prüfprotokoll, im Ereignisprotokoll und im Manipulationsprotokoll angezeigte Informationen nach Zeiträumen filtern. Standardmäßig trägt Symantec AntiVirus die erfassten Ereignisse in der Reihenfolge ihres Eintretens in das Ereignisprotokoll ein. Es werden alle Ereignisse gespeichert, die auf Ihrem Computer aufgetreten sind, seit Symantec AntiVirus installiert wurde. Wenn Sie den Datumsbereich ändern, löscht Symantec AntiVirus die Informationen nicht. Wenn Sie für die Anzeige der Informationen beispielsweise die Option "Heute" wählen, sind die Informationen über die anderen Tage weiterhin vorhanden, werden jedoch ausgeblendet.

93 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Anzeigen des Ereignisprotokolls 93 So filtern Sie Informationen nach Zeiträumen 1 Klicken Sie im Menü "Protokolle" auf "Ereignisprotokoll". 2 Klicken Sie auf das Dropdown-Listenfeld "Alle Elemente" (oder auf einen Datumsbereich). 3 Wählen Sie einen Filter aus. 4 Wenn Sie auf "Ausgewählter Bereich" klicken, wählen Sie ein Startdatum und ein Enddatum. Klicken Sie dann auf "OK". Ereignisprotokoll nach Ereigniskategorie filtern Nachdem die von Ihnen gewünschten Informationen im Ereignisprotokoll angezeigt werden, können Sie die Daten im CSV-Format (eine Datei mit durch Kommas getrennten Werten) speichern. Ereignisse werden im Ereignisprotokoll in die folgenden Kategorien unterteilt: Konfigurationsänderung Starten/Beenden von Symantec AntiVirus Virendefinitionsdatei Unterlassene Prüfungen An Quarantäne-Server gesendet An Symantec Security Response senden Auto-Protect laden/entladen Lizenzierung Client-Verwaltung und Roaming Protokollweiterleitung Warnungen wegen unberechtigter Kommunikation (Zugriff verweigert) Anmeldungs- und Zertifikatsverwaltung Sie können die Anzahl der Ereignisse, die im Ereignisprotokoll angezeigt werden, verringern, indem Sie nur bestimmte Ereigniskategorien anzeigen. Wenn Sie beispielsweise nur Fehlerereignisse anzeigen wollen, wählen Sie nur die Kategorie "Konfigurationsänderung" aus. Obwohl Symantec AntiVirus auch weiterhin die Ereignisse der anderen Kategorien erfasst, werden diese nicht im Ereignisprotokoll angezeigt.

94 94 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Anzeigen des Ereignisprotokolls So filtern Sie das Ereignisprotokoll nach Ereigniskategorien 1 Klicken Sie in Symantec AntiVirus im Menü "Protokolle" auf "Ereignisprotokoll". 2 Klicken Sie auf "Ereignisprotokoll filtern". 3 Wählen Sie Ereigniskategorien aus. 4 Klicken Sie auf "OK". Elemente aus dem Ereignisprotokoll löschen Datenexport in.csv-dateien Sie können die Datensätze des Ereignisprotokolls nicht von Symantec AntiVirus aus löschen. Wenn Sie Datensätze des Ereignisprotokolls endgültig löschen möchten, müssen Sie die zum Speichern der Ereignisprotokolldaten verwendeten Dateien mit der Erweiterung.LOG löschen. Für jeden Wochentag werden im Protokollverzeichnis von Symantec AntiVirus.LOG-Dateien für die Ereignisse erstellt. tragen als Dateinamen das Datum ihrer Erstellung. Es wird davon abgeraten,.log-dateien zu löschen, weil die in ihnen enthaltenen Daten zum Virenschutz damit endgültig verloren gehen. Sie können Informationen in eine Datei im.csv-format (eine Datei mit durch Kommas getrennten Werten) exportieren. Dieses weit verbreitete Dateiformat wird von den meisten Tabellenkalkulations- und Datenbankprogrammen zum Importieren von Daten verwendet. Nachdem die Daten in ein anderes Programm importiert wurden, können Sie damit Präsentationen und Diagramme erstellen oder die Daten mit anderen Informationen kombinieren, um komplexe Berichte zu erstellen. Es können nur die angezeigten Daten exportiert werden. Wenn Sie die Einstellungen in Symantec AntiVirus beispielsweise so geändert haben, dass Informationen für die letzten sieben Tage angezeigt werden, werden nur die Informationen für die letzten sieben Tage in der.csv-datei gespeichert. So exportieren Sie Daten in eine.csv-datei 1 Stellen Sie sicher, dass in den Fenstern "Risikoprotokoll", "Prüfprotokoll" oder "Ereignisprotokoll" die Daten angezeigt werden, die Sie speichern möchten. 2 Klicken Sie auf "Exportieren". 3 Wählen Sie im Dialogfeld "Speichern unter" den Ordner aus, in dem Sie die Datei speichern möchten, und geben Sie einen Namen für die Datei ein. 4 Klicken Sie auf "Speichern".

95 Abschnitt 2 Symantec Client Firewall Einführung in Symantec Client Firewall Grundlagen von Symantec Client Firewall Location Awareness und Zonen Schutz vor unbefugten Zugriffsversuchen Sicheres Surfen im Internet Überwachung von Symantec Client Firewall

96

97 Kapitel 5 Einführung in Symantec Client Firewall Dieses Kapitel enthält folgende Themen: Neue Funktionen in Symantec Client Firewall Allgemeines zu Symantec Client Firewall Symantec Client Firewall und Symantec Client Security Funktionen von Symantec Client Firewall Neue Funktionen in Symantec Client Firewall Symantec Client Firewall umfasst die folgenden Funktionen: Protokollfilterung Benutzerberechtigungen Mithilfe der Protokollfilterung können Sie weniger gebräuchliche IP-Protokolle einzeln zulassen oder blockieren, die zuvor von Symantec Client Firewall ohne Einschränkung zugelassen wurden. Siehe "Verwenden der Protokollfilterung" auf Seite 160. Legen die Stufe der Benutzerinteraktion mit Symantec Client Firewall fest. Siehe "Berechtigungen in Symantec Client Firewall" auf Seite 105. Verbesserungen von Intrusion Prevention Mithilfe der neuen Intrusion-Prevention-Technologie werden Client-Computer jetzt besser vor Zugriffsversuchen geschützt. Intrusion Prevention enthält jetzt intelligentere Erkennungssignaturen und eine Stateful-Engine, die die Netzwerkverkehrsmuster erkennt, und diese Informationen auf nachfolgende Netzwerkverkehrprüfungen anwendet. Siehe "Analyse des Datenverkehrs durch Intrusion Prevention" auf Seite 133.

98 98 Einführung in Symantec Client Firewall Neue Funktionen in Symantec Client Firewall Datenschutz Blockiert vertrauliche Daten in Web-Browsern, - und Instant Messages (erweiterte Version). Siehe "Allgemeines zum Datenschutz" auf Seite 169. Statistik Ermöglicht die Anzeige von Informationen über die letzten auf Ihren Computer erfolgten Angriffe und zu Aktionen zur Cookies- Blockierung, zum Schutz von vertraulichen Daten und zu Werbeblockern (erweiterte Version). Siehe "Anzeigen des Statistikfensters" auf Seite 190. Protokollanzeige Mit dieser Funktion können Sie sich alle Aktionen anzeigen lassen, die Symantec Client Firewall ausführt, um Ihren Computer zu schützen. Sie können jetzt zwischen Standard- und ausführlichen Protokollierungsstufen wählen. Siehe "Allgemeine Informationen zur Protokollierungsstufe" auf Seite 195. Warnungen zu Intrusion- Prevention- Signaturen Schutzwarnung Hiermit können Sie einzelne Intrusion-Prevention-Signaturen ausschließen, d. h. bei Auslösung dieser Signaturen wird keine Warnmeldung angezeigt. Siehe "Intrusion-Prevention-Warnungen ausschließen" auf Seite 163. Mit dieser Funktion können Sie Symantec Client Firewall, die Client- Firewall und Intrusion Prevention vorübergehend deaktivieren. Siehe "Vorübergehendes Deaktivieren von Symantec Client Firewall" auf Seite 113.

99 Einführung in Symantec Client Firewall Allgemeines zu Symantec Client Firewall 99 Allgemeines zu Symantec Client Firewall Symantec Client Firewall schützt Ihren Computer vor unerlaubtem Zugriff durch Hacker, schützt Ihre privaten Daten und beseitigt unerwünschte Netzwerkverbindungen. Internet Hacker können Ihren Computer hinter der Firmen-Firewall nicht sehen Symantec Client Firewall überwacht Zugriffsversuche aus dem Internet Symantec Client Firewall kann den von Ihnen initiierten Datenverkehr zulassen oder blockieren Firewall Client-Computer Symantec Client Firewall stellt eine Barriere zwischen Ihrem Computer und dem Internet dar. Eine Firewall verwehrt Benutzern, die nicht über entsprechende Rechte verfügen, den Zugriff auf mit dem Internet verbundene private Computer oder Netzwerke. Symantec Client Firewall schützt vor unerlaubtem Zugriff auf Ihren Computer, wenn Sie mit dem Internet verbunden sind, macht mögliche Attacken durch Hacker ausfindig, wahrt die Sicherheit und Integrität Ihrer privaten Daten und unterbindet unerwünschte Netzwerkverbindungen.

100 100 Einführung in Symantec Client Firewall Symantec Client Firewall und Symantec Client Security Symantec Client Firewall und Symantec Client Security Symantec Client Firewall ist eine Komponente von Symantec Client Security. Auf der Client-Ebene bietet Symantec Client Security folgende Schutzfunktionen: Virenschutz Erweiterte Bedrohungserkennung und Reparatur Content Filtering Firewall Intrusion Prevention Mit diesen Schutzmechanismen wird das Netzwerk auf der Client-Ebene durch Erkennen und Entfernen von komplexen Angriffsformen (Blended Threats) geschützt. Die komplexen Angriffsformen nutzen verschiedene Methoden für Virenangriffe, beispielsweise Würmer, - und Programmschwachstellen sowie die gemeinsame Nutzung von Netzwerken, um die Kontrolle über Ihr System zu erhalten. "Code Red" und "Nimda" sind Beispiele für solche Mischformen. Hinweis: In dieser Version werden 64-Bit-Plattformen von Symantec Client Firewall und Intrusion Prevention nicht unterstützt. Lesen Sie die Versionshinweise und Readme-Datei zu jeder neuen Version, um Informationen zur 64-Bit-Unterstützung zu erhalten. Funktionen von Symantec Client Firewall Symantec Client Firewall stellt eine Reihe von Sicherheits-Tools zur Verfügung, die Ihren Computer schützen. Die Internet-Sicherheit kann sich als sehr komplexes Thema erweisen, daher bietet Symantec Client Firewall nun den Warnmeldungsassistenten, der Sie bei Problemen mit der Internet-Sicherheit unterstützt, Lösungsmöglichkeiten anbietet und Informationen dazu liefert, wie Sie diese Probleme in Zukunft vermeiden. In Tabelle 5-1 werden die verfügbaren Funktionen von Symantec Client Firewall beschrieben.

101 Einführung in Symantec Client Firewall Funktionen von Symantec Client Firewall 101 Tabelle 5-1 Funktion Funktionen von Symantec Client Firewall Beschreibung Stateful-Inspection- Technologie Zeichnet Informationen zu aktuellen Verbindungen, z. B. Quellund Ziel-IP-Adressen, Ports, Anwendungen usw, auf. Stellt sicher, dass der eingehende Datenverkehr eine autorisierte Reaktion auf den ausgehenden Datenverkehr ist und vereinfacht die Verwendung von Regeln. Siehe "Stateful-Inspection-Technologie" auf Seite 150. Internet-Status Zeigt eine Momentaufnahme der Netzwerkaktivität Ihres Computers an, anhand derer Sie stattfindende Angriffsversuche feststellen und überprüfen können, wie Ihre Programmeinstellungen sich auf Ihren Schutz auswirken. Siehe "Allgemeines zur Überwachung von Symantec Client Firewall" auf Seite 189. Client-Firewall Schützt Ihren Computer vor Internet-Hackern und unberechtigten Zugriffsversuchen. Macht Ihren Computer für andere Computer im Internet unsichtbar. Schützt Remote- und mobile Benutzer vor Attacken durch Hacker und verhindert, dass diese Systeme von Hackern als Hintertür zum Zugriff auf das Firmennetzwerk verwendet werden. Siehe "Wie Symantec Client Firewall vor Netzwerkangriffen schützt" auf Seite 132. Intrusion Prevention Erkennt und blockiert böswilligen Datenverkehr und Versuche von externen Benutzern, Ihren Computer anzugreifen. Weiterhin überwacht Intrusion Prevention den ausgehenden Datenverkehr und verhindert die Verbreitung von Würmern. Siehe "Wie Symantec Client Firewall vor Netzwerkangriffen schützt" auf Seite 132. Datenschutz Ermöglicht die Einstellung verschiedener Datenschutzstufen, mit denen definiert wird, welche Arten von Informationen Benutzer, Web-Browser, Instant-Messenger-Programme und -Clients über das Internet senden dürfen. Siehe "Allgemeines zum Datenschutz" auf Seite 169. Werbeblocker Beschleunigt das Surfen im Internet, indem Werbebanner und Inhalte, die nur langsam geladen werden, sowie gefährliche Inhalte entfernt werden. Symantec Client Firewall blockiert die mit Macromedia Flash erstellte Werbung und verhindert, dass Websites Popup- oder Popunder-Werbefenster öffnen. Siehe "Blockieren von Werbung" auf Seite 177.

102 102 Einführung in Symantec Client Firewall Funktionen von Symantec Client Firewall Tabelle 5-1 Funktion Funktionen von Symantec Client Firewall Beschreibung Location Awareness Diese Funktion ermöglicht das Implementieren spezifischer Regeln und Zonen basierend auf dem Netzwerk-Zugangspunkt, über den die Internet-Verbindung hergestellt wurde. Siehe "Arbeiten mit Location Awareness" auf Seite 119. Secure Port Diese Funktion sichert die in Regeln für Trojanische Pferde definierten Ports so umfassend, dass an diesen Ports eingehender oder ausgehender Datenverkehr keine Überprüfung der Firewall-Regelbasis auslöst. Programme, die zufällig ausgewählte Ports verwenden, versuchen nicht, auf die so gesicherten Ports zuzugreifen. Siehe "Verwendung von Secure Port" auf Seite 157. Protokollfilterung Einstellungs-Manager Ermöglicht das selektive Blockieren bzw. Zulassen aller IP- Protokolle (nicht nur die eingeschränkte Konfiguration von TCP-, UDP-, ICMP- und IGMP-Protokollen) für einen erhöhten Schutz durch Symantec Client Firewall. VPN- (Virtual Private Network) und IP-Multicasting-Verbindungen verwenden weniger gebräuchliche Protokolle, die Sie mithilfe der Protokollfilterung konfigurieren können. Mithilfe dieser Funktion können Sie Richtliniendateien für die Backup- und die Wiederherstellungsfunktionalität exportieren und importieren. Siehe "Exportieren und Importieren von Richtliniendateien" auf Seite 111. VPN-Unterstützung Ermöglicht die Verwendung folgender VPNs: Check Point Nortel Contivity Microsoft ipass Fiberlink Wenn der VPN-Client aktiv ist, sind in den meisten VPNs das Internet oder andere Computer Ihres lokalen Netzwerks für Sie nicht sichtbar. Sie können nur die Elemente sehen, die über den VPN-Server verfügbar sind, über den Sie die Verbindung hergestellt haben. Funktionen wie Werbeblocker und Datenschutz werden über verschlüsselte Verbindungen nicht unterstützt.

103 Kapitel 6 Grundlagen von Symantec Client Firewall Dieses Kapitel enthält folgende Themen: Zugriff auf Symantec Client Firewall Die Verwendung von Symantec Client Firewall Anpassen von Symantec Client Firewall Exportieren und Importieren von Richtliniendateien Vorübergehendes Deaktivieren von Symantec Client Firewall Mit LiveUpdate immer aktuell sein Informationsquellen für Symantec Client Firewall Zugriff auf Symantec Client Firewall Nach der Installation schützt Symantec Client Firewall automatisch alle Computer, auf denen es installiert ist. Es ist nicht notwendig, dass Sie das Programm starten, um geschützt zu sein.

104 104 Grundlagen von Symantec Client Firewall Zugriff auf Symantec Client Firewall So greifen Sie auf Symantec Client Firewall zu Führen Sie einen der folgenden Schritte aus: Doppelklicken Sie in der Windows-Taskleiste auf das Symantec Client Firewall-Symbol. Klicken Sie in der Windows-Taskleiste auf "Start > Programme > Symantec Client Security > Symantec Client Firewall". Das Taskleistenmenü von Symantec Client Firewall anzeigen Symantec Client Firewall fügt in der Windows-Taskleiste ein Symbol hinzu. Das Taskleistensymbol von Symantec Client Firewall wird standardmäßig in der unteren rechten Ecke Ihres Monitors angezeigt. Klicken Sie mit der rechten Maustaste auf dieses Symbol, um ein Menü zu öffnen, das die häufig verwendeten Tools von Symantec Client Firewall enthält. Hinweis: Im Fenster mit den Symantec Client Firewall-Optionen können Sie die Standardeinstellung überschreiben und das Taskleistensymbol für Symantec Client Firewall verbergen. Zudem können Sie in diesem Fenster angeben, ob die Menüoptionen "Protokoll anzeigen" und "Statistiken anzeigen" angezeigt werden sollen.

105 Grundlagen von Symantec Client Firewall Die Verwendung von Symantec Client Firewall 105 Im Taskleistenmenü können Sie folgende Aufgaben ausführen: Das Hauptfenster von Symantec Client Firewall öffnen Symantec Client Firewall aktivieren und deaktivieren Den Datenverkehr auf und von Ihrem Computer blockieren und zulassen Das Fenster "Optionen" anzeigen. Das Protokoll anzeigen. Das Statistikfenster anzeigen. So zeigen Sie das Taskleistenmenü von Symantec Client Firewall an Klicken Sie mit der rechten Maustaste auf das Symbol. Die Verwendung von Symantec Client Firewall Symantec Client Firewall wird im Hintergrund ausgeführt. Ihr Systemadministrator legt die Stufe der Interaktion mit Symantec Client Firewall fest, d. h. in welchem Maße Sie dazu berechtigt sind, Firewall-Funktionen und Optionen zu konfigurieren. Abhängig von diesen Berechtigungen kann eine Interaktion mit dem Programm z. B. nur dann erfolgen, wenn Sie auf neue Netzwerkverbindungen und potenzielle Probleme aufmerksam gemacht werden, oder wenn Sie vollständigen Zugriff auf alle Funktionen der Benutzeroberfläche haben. Wenn Sie vollständigen Zugriff haben, können Sie steuern, wie viele Warnmeldungen Sie empfangen und wie das Programm potenzielle Sicherheitsprobleme löst. Berechtigungen in Symantec Client Firewall Mit Benutzerberechtigungen wird festgelegt, welche Funktionen von Symantec Client Firewall Sie sehen und verwenden dürfen. Die Berechtigungen werden vom Systemadministrator definiert. Jede Firewall-Funktion bzw. -Option ist an eine Berechtigungseinstellung gebunden.

106 106 Grundlagen von Symantec Client Firewall Die Verwendung von Symantec Client Firewall Abhängig davon, welche Berechtigungen Ihnen gewährt wurden, haben Sie auf die Benutzeroberfläche keinen Zugriff, vollen Zugriff oder eingeschränkten Zugriff, bei dem Sie nur bestimmte Schritte ausführen dürfen, für die eine Benutzereingabe erforderlich ist, z. B. das Konfigurieren von Regeln für bestimmten Internet-Datenverkehr. Zwischen den Berechtigungen gibt es einige Abhängigkeiten. Wenn Sie beispielsweise die Berechtigung haben, Firewall-Regeln zu erstellen und zu ändern, Sie aber nicht auf die Benutzeroberfläche von Symantec Client Firewall zugreifen dürfen, ist das Erstellen von Regeln nicht möglich, da Sie das Dialogfeld für Regeln nicht öffnen können. Funktionen, die Sie nicht konfigurieren können, werden grau dargestellt oder auf der Benutzeroberfläche von Symantec Client Firewall nicht angezeigt. Einstellungen für Schutzfunktionen von Symantec Client Firewall ändern Die Standardeinstellungen von Symantec Client Firewall bieten einen sicheren, automatischen und wirkungsvollen Schutz für Ihren Computer. Wenn Sie diesen Schutz ändern oder anpassen möchten, können Sie über das Fenster "Status & Einstellungen" auf alle Tools von Symantec Client Firewall zugreifen. So ändern Sie Einstellungen für Schutzfunktionen von Symantec Client Firewall 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf die anzupassende Funktion. 3 Konfigurieren Sie die Funktion. 4 Wenn Sie alle Änderungen vorgenommen haben, klicken Sie auf "OK". Auf Warnmeldungen von Symantec Client Firewall reagieren Symantec Client Firewall überwacht die eingehenden und ausgehenden Kommunikationsaktivitäten Ihres Computers und benachrichtigt Sie, wenn eine sicherheitsgefährdende Aktivität stattfindet. Symantec Client Firewall zeigt die folgenden Warnmeldungstypen an: Sicherheit ActiveX Datenschutz Cookie Intrusion Prevention Internet-Protokoll

107 Grundlagen von Symantec Client Firewall Die Verwendung von Symantec Client Firewall 107 Java Überwachen (Listen) Starten von Programmen Zugriffseinstellungen für externe Module Diensteüberwachung Location Awareness DNS Trojanisches Pferd Wenn eine Warnmeldung angezeigt wird, lesen Sie die Warnmeldung zunächst durch, bevor Sie eine Entscheidung treffen. Informieren Sie sich darüber, um welche Art von Warnmeldung es sich handelt und welche Risikostufe angegeben wird. Sobald Sie wissen, wie hoch das Risiko eingeschätzt wird, wählen Sie eine Aktion aus. Nehmen Sie sich so viel Zeit, wie Sie benötigen, um eine Entscheidung zu treffen. Solange die Warnmeldung aktiv ist, wird Ihr Computer vor einem Angriff geschützt. Symantec Client Firewall unterstützt Sie bei der Auswahl der richtigen Aktion, indem es ggf. eine Aktion empfiehlt. Symantec Client Firewall kann nicht für alle Warnmeldungen eine empfohlene Aktion vorschlagen. Nicht jede Sicherheitswarnung bedeutet einen Angriff auf Ihren Computer. Im Internet gibt es eine Reihe von harmlosen Aktivitäten, die Sicherheitswarnungen auslösen. Daher können Sie bei einigen Warnmeldungen angeben, dass sie nicht mehr angezeigt werden sollen. Warnmeldungsassistent verwenden Jede Warnmeldung von Symantec Client Firewall enthält einen Link auf den Warnmeldungsassistenten. Der Warnmeldungsassistent zeigt die folgenden individuell konfigurierten Informationen zu jeder Warnung an: Typ der Warnung Kommunikation, die die Warnung ausgelöst hat Zusätzliche Informationen Lösungsvorschläge Vorgehensweise, um die Anzahl der empfangenen Warnmeldungen zu reduzieren

108 108 Grundlagen von Symantec Client Firewall Die Verwendung von Symantec Client Firewall So verwenden Sie den Warnmeldungsassistenten 1 Klicken Sie in einem beliebigen Warnmeldungsfenster auf die Verknüpfung "Warnmeldungsassistent". 2 Lesen Sie im Fenster "Warnmeldungsassistent" die Informationen zu dieser Warnung. 3 Schließen Sie den Warnmeldungsassistenten, um auf die Warnung zu reagieren. Internet-Kommunikation mit der Funktion "Datenverkehr blockieren" beenden Symantec Client Firewall enthält die Schaltfläche "Datenverkehr blockieren", über die Sie jegliche Kommunikation zwischen Ihrem Computer und anderen Computern sofort beenden können. Auf diese Weise können Sie den Schaden für Ihren Computer begrenzen, wenn ein Angriff stattfindet, wenn ein Trojanisches Pferd persönliche Informationen ohne Ihre Einwilligung sendet oder wenn Sie einer nicht vertrauenswürdigen Person versehentlich den Zugriff auf Dateien auf Ihrem Computer gewährt haben. Wenn diese Option aktiv ist, unterbricht Symantec Client Firewall jegliche ausgehende und eingehende Kommunikation auf Ihrem Computer. Für die Außenwelt sieht es so aus, als wäre die Verbindung zwischen Ihrem Computer und dem Internet vollständig beendet. Wenn Sie jeglichen eingehenden und ausgehenden Datenverkehr auf Ihrem Computer unterbrechen möchten, ist diese Funktion wirkungsvoller, als wenn Sie die Verbindung zum Internet über Ihre Internet-Software trennen. Die meisten Internet-Programme können eine Verbindung automatisch ohne Unterstützung des Benutzers herstellen, so dass ein gefährliches Programm die Verbindung erneut aufbauen könnte, wenn Sie sich gerade nicht am Computer befinden. Hinweis: Die Funktion "Datenverkehr blockieren" ist für die temporäre Verwendung gedacht. Sie wird eingesetzt, um ein Sicherheitsproblem zu lösen. Sobald Sie Ihren Computer neu starten, lässt Symantec Client Firewall daher automatisch wieder jegliche eingehende und ausgehende Kommunikation zu. So unterbrechen Sie die Internet-Kommunikation mit der Funktion "Datenverkehr blockieren" 1 Klicken Sie oben im Hauptfenster auf "Datenverkehr blockieren". 2 Verwenden Sie die von Symantec Client Firewall bereitgestellten Tools, um das Sicherheitsproblem zu beheben. 3 Klicken Sie auf "Datenverkehr zulassen", wenn Sie das Problem gelöst haben.

109 Grundlagen von Symantec Client Firewall Anpassen von Symantec Client Firewall 109 Anpassen von Symantec Client Firewall Die Standardeinstellungen von Symantec Client Firewall sollten die meisten Benutzer mit einem ausreichenden Schutz versorgen. Wenn Sie es jedoch für erforderlich halten, Änderungen vorzunehmen, greifen Sie über das Menü "Optionen" auf die Optionen von Symantec Client Firewall zu. Mithilfe dieser Optionen können Sie erweiterte Einstellungen vornehmen. So passen Sie Symantec Client Firewall an 1 Klicken Sie oben im Hauptfenster auf "Optionen". 2 Wählen Sie die Registerkarte aus, auf der Sie Optionen ändern möchten. Allgemeine Optionen Mit den allgemeinen Optionen legen Sie fest, wann Symantec Client Firewall ausgeführt wird und welche visuellen Elemente angezeigt werden. In Tabelle 6-1 werden die allgemeinen Optionen beschrieben. Tabelle 6-1 Gruppe Symantec Client Firewall starten Taskleisten- symbol- Einstellungen Protokollierungsstufe Allgemeine Optionen Beschreibung Wählen Sie, ob Symantec Client Firewall bei jedem Starten von Windows manuell oder automatisch gestartet werden soll. Zeigt ein Symantec Client Firewall-Symbol auf der Windows-Taskleiste an, über das Sie auf Programmeinstellungen zugreifen können. Darüber hinaus können Sie Links zu den folgenden Symantec Client Firewall-Tools anlegen: Optionen Protokollanzeige Statistik Standard: Zeigt detaillierte Informationen zu Netzwerkverbindungen, veränderten System- und Konfigurationseinstellungen und Sicherheitswarnungen sowie zu Intrusion-Prevention- und Trojaner-Angriffen an. Websites, Zugriffe auf vertrauliche Daten und blockierte Werbung werden ebenfalls protokolliert. Ausführliche Meldungen: Bietet detaillierte Informationen zu allen Ereignissen, die mit den Standardeinstellungen protokolliert werden. Protokolliert Informationen zum Benutzeragenten, zu den besuchten Sites und zu Cookies. Außerdem werden vertrauliche Daten, Informationen zu zulässigen Java-Applets, ActiveX-Steuerelementen, Werbung und Websites aufgezeichnet.

110 110 Grundlagen von Symantec Client Firewall Anpassen von Symantec Client Firewall Firewall-Optionen Mit den Firewall-Optionen können Sie erweiterte Schutzfunktionen aktivieren und die Ports anpassen, die von Ihrem Computer zum Anzeigen von Webseiten verwendet werden. In der Regel sind an den Standardeinstellungen keinerlei Änderungen erforderlich. In Tabelle 6-2 werden die Firewall-Optionen beschrieben. Tabelle 6-2 Gruppe Firewall-Optionen Beschreibung Überprüft die Zugriffseinstellungen für externe Module, die von Programmen zur Herstellung einer Internet-Verbindung verwendet werden Mit dieser Option werden die Firewall-Regeln für jede Komponente überprüft, sobald ein Programm eine externe Softwarekomponente verwendet, um eine Verbindung mit dem Internet herzustellen. Dadurch verhindern Sie, dass sich Trojanische Pferde und andere bösartige Programme an sichere Programme anhängen und auf diese Weise nicht erkannt werden. Wenn ein Programm ein anderes Programm startet, werden für jedes Programm die Einstellungen für den Internet-Zugang überprüft Mit der Überwachung von Programmstarts verhindern Sie, dass Trojanische Pferde und andere bösartige Programme gestartet werden und ohne Ihr Wissen sichere Programme manipulieren. Wenn diese Option aktiviert ist, wird eine Warnmeldung angezeigt, sobald ein unbekanntes Programm versucht, ein anderes Programm zu starten. Sie können den Internet-Zugriff für das unbekannte Programm daraufhin zulassen oder blockieren. HTTP-Ports Stealth-Ports Geben Sie die Ports an, bei denen Java und ActiveX-Elemente, Skripte, vertrauliche Informationen, Cookies usw. blockiert werden sollen. Wenn diese Liste keine Daten enthält, werden vertrauliche Daten nicht über HTTP gefiltert. Wenn ein Port, über den vertraulicher Datenverkehr ausgeführt wird, hier nicht aufgeführt ist, wird dieser Port nicht auf vertrauliche Informationen überprüft. Sie müssen den Computer neu starten, damit diese Einstellungen wirksam werden. Wählen Sie aus, ob Symantec Client Firewall auf nicht verwendete Ports genauso reagiert wie auf geschlossene. Getarnte Ports (Stealth Ports) reagieren nicht auf Prüfungen. Optionen von Secure Port Mit den Secure Port-Optionen können Sie die Secure Port-Technologie aktivieren bzw. deaktivieren, die jene Ports sichert, für die Regeln für Trojanische Pferde festgelegt sind, so dass keine Anwendung auf diese Ports zugreifen kann. Sie können weitere Ports in die Liste aufnehmen. Siehe "Verwendung von Secure Port" auf Seite 157.

111 Grundlagen von Symantec Client Firewall Exportieren und Importieren von Richtliniendateien 111 Optionen für die Protokollfilterung Einstellungs-Manager Mithilfe der Optionen zur Protokollfilterung können Sie weniger gebräuchliche IP-Protokolle zulassen oder blockieren. Siehe "Verwenden der Protokollfilterung" auf Seite 160. Mit dem Einstellungs-Manager können Sie Einstellungsdateien von Symantec Client Firewall sichern (exportieren) und wiederherstellen (importieren). Siehe "Exportieren und Importieren von Richtliniendateien" auf Seite 111. Exportieren und Importieren von Richtliniendateien Mit Symantec Client Firewall können Sie alle Einstellungen exportieren und dadurch eine Sicherheitskopie Ihrer Firewall-Konfiguration erstellen. Sie können auch alle Einstellungen wieder importieren und auf diese Weise Ihre Firewall-Konfiguration wiederherstellen. Darüber hinaus haben Sie mit der Funktion zum Exportieren und Importieren die Möglichkeit, eine bekannte Konfiguration in einer Richtliniendatei zu speichern und diese auf mehreren Computern zu installieren. Beim Exportieren und Importieren werden XML- Dateien verwendet.

112 112 Grundlagen von Symantec Client Firewall Exportieren und Importieren von Richtliniendateien So exportieren oder importieren Sie eine Richtliniendatei 1 Klicken Sie oben im Hauptfenster auf "Optionen". 2 Wählen Sie im Fenster mit den Symantec Client Firewall-Optionen auf der Registerkarte "Einstellungs-Manager" eine der folgenden Optionen aus: Exportieren Importieren 3 Navigieren Sie im Dateiauswahlfenster zum gewünschten Verzeichnis. 4 Führen Sie einen der folgenden Schritte aus: Geben Sie beim Exportieren in das Feld "Dateiname" den Namen der Datei ein, in der die Einstellungen gespeichert werden sollen, und klicken anschließend auf "Speichern". Wählen Sie beim Importieren die Zieldatei aus und klicken anschließend auf "Öffnen". 5 Klicken Sie im Fenster mit den Symantec Client Firewall-Optionen auf "OK". Wenn Sie eine Richtliniendatei exportieren, sollten Sie auf den anderen Registerkarten keine weiteren Einstellungen vornehmen, bevor Sie auf "OK" klicken, da diese Einstellungen beim Export sonst nicht berücksichtigt werden.

113 Grundlagen von Symantec Client Firewall Vorübergehendes Deaktivieren von Symantec Client Firewall 113 Vorübergehendes Deaktivieren von Symantec Client Firewall Bestimmte Vorkommnisse können eine vorübergehende Deaktivierung von Symantec Client Firewall oder einer der Programmfunktionen erforderlich machen. Dies kann beispielsweise der Fall sein, wenn Sie Online-Werbung anzeigen oder sehen möchten, ob Symantec Client Firewall das korrekte Anzeigen einer Webseite verhindert. Wenn Sie Symantec Client Firewall, die Client-Firewall oder Intrusion Prevention deaktivieren, wird eine Schutzwarnung angezeigt, die Sie darüber informiert, dass Ihr Computer jetzt anfälliger für Sicherheitsbedrohungen ist. Sie können einen vorgegebenen Zeitraum auswählen, in dem Symantec Client Firewall deaktiviert bleiben soll, oder angeben, dass das Programm beim Neustart des Computer wieder gestartet werden soll. Hinweis: Wenn Sie Symantec Client Firewall deaktivieren und "Bis zum Neustart des Systems" als Zeitspanne auswählen, wird Symantec Client Firewall nur dann aktiviert, wenn die Firewall so konfiguriert ist, dass sie beim Systemstart gestartet wird. Symantec Client Firewall und ausgewählte Funktionen vorübergehend deaktivieren Durch das Deaktivieren von Symantec Client Firewall werden auch die einzelnen Funktionen deaktiviert. Sie können zudem einzelne Sicherheitsfunktionen deaktivieren, wenn beispielsweise angezeigt werden soll, ob die Client-Firewall die Ausführung eines Programms behindert. So deaktivieren Sie Symantec Client Firewall vorübergehend 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Klicken Sie auf "Sicherheit". 3 Klicken Sie im rechten Teil des Fensters auf "Ausschalten". 4 Wählen Sie im Dialogfeld "Schutzwarnung" von Symantec Client Firewall aus, wie lange Symantec Client Firewall deaktiviert bleiben soll. 5 Klicken Sie auf "OK". So deaktivieren Sie die Client-Firewall-Komponente vorübergehend 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Klicken Sie auf "Client Firewall".

114 114 Grundlagen von Symantec Client Firewall Mit LiveUpdate immer aktuell sein 3 Klicken Sie im rechten Teil des Fensters auf "Ausschalten". 4 Wählen Sie im Dialogfeld "Schutzwarnung" von Symantec Client Firewall aus, wie lange die Client-Firewall-Schutzfunktion deaktiviert bleiben soll. 5 Klicken Sie auf "OK". So deaktivieren Sie Intrusion Prevention vorübergehend 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Klicken Sie auf "Intrusion Prevention". 3 Klicken Sie im rechten Teil des Fensters auf "Ausschalten". 4 Wählen Sie im Dialogfeld "Schutzwarnung" von Symantec Client Firewall aus, wie lange Intrusion Prevention deaktiviert bleiben soll. 5 Klicken Sie auf "OK". So deaktivieren Sie andere Schutzfunktionen vorübergehend 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Wählen Sie die Funktion aus, die Sie deaktivieren möchten. 3 Klicken Sie im rechten Teil des Fensters auf "Ausschalten". Mit LiveUpdate immer aktuell sein Symantec-Produkte benötigen stets aktuelle Informationen, um Ihren Computer vor neu auftretenden Bedrohungen zu schützen. Symantec stellt diese Informationen mithilfe von LiveUpdate zur Verfügung. LiveUpdate verwendet die Internet-Verbindung Ihres Computers, um Programm- und Virenschutz-Updates für Ihren Computer zu erhalten. Informationen zu Programm-Updates Programm-Updates sind kleine Verbesserungen an dem von Ihnen installierten Produkt. Im Unterschied dazu ist ein Programm-Upgrade eine neue Version des gesamten Produkts. Selbstinstallierende Programm-Updates, die vorhandenen Softwarecode automatisch ersetzen, werden Patches genannt. Patches haben normalerweise die Aufgabe, die Betriebssystem- oder Hardware-Kompatibilität zu erweitern, ein Leistungsproblem oder Fehler zu beheben. LiveUpdate automatisiert das Empfangen und Installieren von Programm- Updates. Es sucht und empfängt Dateien von einer Internet-Site, installiert sie und löscht dann die verbliebenen Dateien von Ihrem Computer.

115 Grundlagen von Symantec Client Firewall Mit LiveUpdate immer aktuell sein 115 Allgemeines zu Schutz-Updates Schutz-Updates sind Dateien, die per Abonnement von Symantec zur Verfügung gestellt werden und die Ihre Symantec-Produkte mit der neuesten Anti-Bedrohungstechnologie aktuell halten. Welche Schutz-Updates Sie erhalten, hängt davon ab, welches Produkt Sie verwenden. Wann sollten Sie ein Update durchführen Führen Sie LiveUpdate aus, nachdem Sie Ihr Produkt installiert haben. Sobald Sie wissen, dass Ihre Dateien auf dem neuesten Stand sind, führen Sie LiveUpdate regelmäßig aus, damit Sie Updates erhalten. Um Ihren Virenschutz aktuell zu halten, sollten Sie LiveUpdate z.b. einmal wöchentlich verwenden oder zusätzlich immer dann, wenn neue Viren entdeckt wurden. Programm-Updates werden nach Bedarf herausgegeben. LiveUpdate in einem internen Netzwerk ausführen Wenn Sie LiveUpdate auf einem Computer ausführen, der mit einem Netzwerk verbunden ist, das sich hinter einer Firmen-Firewall befindet, kann Ihr Netzwerk-Administrator einen internen LiveUpdate-Server auf dem Netzwerk einrichten. LiveUpdate sollte diesen Ablageort automatisch finden. Wenn bei der Verbindung mit einem internen LiveUpdate-Server Probleme auftreten, wenden Sie sich an Ihren Netzwerk-Administrator. Updates von der Symantec-Website herunterladen Wenn neue Updates verfügbar sind, stellt Symantec sie auf die Website von Symantec. Wenn Sie LiveUpdate nicht ausführen können, können Sie neue Updates von der Website von Symantec herunterladen. Hinweis: Ihr Abonnement muss gültig sein, damit Sie neue Schutz-Updates von der Website von Symantec erhalten können. So laden Sie Updates von der Website von Symantec herunter 1 Öffnen Sie die folgende Website: 2 Folgen Sie den Links, um den gewünschten Update-Typ herunterzuladen.

116 116 Grundlagen von Symantec Client Firewall Informationsquellen für Symantec Client Firewall Updates mit LiveUpdate herunterladen LiveUpdate sucht nach Updates für alle Symantec-Produkte, die auf Ihrem Computer installiert sind. Hinweis: Bei manchen Programm-Updates kann es erforderlich sein, dass Sie Ihren Computer neu starten, nachdem Sie sie installiert haben. So laden Sie Updates mit LiveUpdate herunter 1 Klicken Sie oben im Hauptfenster auf "LiveUpdate". 2 Klicken Sie im LiveUpdate-Fenster auf "Weiter", um die Updates zu suchen. 3 Falls Updates verfügbar sind, klicken Sie auf "Weiter", um sie herunterzuladen und zu installieren. 4 Wenn die Installation abgeschlossen ist, klicken Sie auf "Beenden". Informationsquellen für Symantec Client Firewall Für Symantec Client Firewall stehen Hilfefunktionen wie die Online-Hilfe, das Client-Handbuch im PDF-Format und Links auf die Websites des Symantec Response Center, der Unterstützungsdatenbank und der technischen Unterstützung zur Verfügung. Hilfe aufrufen Die Hilfe ist überall in Symantec Client Firewall jederzeit verfügbar. Hilfeschaltflächen oder Links zu weiteren Informationen bieten immer Informationen zu der Aufgabe, die Sie gerade ausführen. Das Hilfemenü enthält umfassende Informationen zu alle Funktionen des Produkts und allen Aufgaben, die Sie damit ausführen können. So greifen Sie auf die Hilfe zu 1 Klicken Sie oben im Hauptfenster auf "Hilfe und Support". 2 Klicken Sie im Hilfemenü auf "Symantec Client Firewall Hilfe". 3 Wählen Sie im linken Teilfenster des Hilfefensters eine der folgenden Registerkarten aus: Hilfethemen: Zeigt die Hilfe nach Themen geordnet an. Index: Listet Hilfethemen in alphabetischer Reihenfolge auf. Suchen: Zeigt ein Suchfeld an, in das Sie einen oder mehrere Begriffe eingeben können.

117 Grundlagen von Symantec Client Firewall Informationsquellen für Symantec Client Firewall 117 Auf die Fenster- und Dialogfeld-Hilfefunktionen zugreifen Die Fenster- und Dialogfeld-Hilfefunktionen bieten Informationen zu Symantec Client Firewall. Diese Art von Hilfe ist kontextsensitiv, d.h. sie bietet Informationen für das aktuell verwendete Dialogfeld oder Fenster. So greifen Sie auf die Fenster- und Dialogfeld-Hilfefunktionen zu Klicken Sie auf die Verknüpfung "Mehr Infos ", sofern vorhanden. Auf die PDF-Datei des Client-Handbuchs zugreifen Das vorliegende Benutzerhandbuch steht auf der Symantec Client Security-CD im PDF-Format zur Verfügung. Auf die PDF-Datei des Client-Handbuchs zugreifen Sie müssen den Adobe Acrobat Reader auf Ihrem Computer installiert haben, um die PDF-Datei lesen zu können. Nachdem Sie den Adobe Acrobat Reader installiert haben, können Sie die PDF-Datei auf der CD lesen. So installieren Sie den Adobe Acrobat Reader 1 Legen Sie die Symantec Client Security-CD in das CD-ROM-Laufwerk ein. 2 Klicken Sie auf "CD durchsuchen". 3 Doppelklicken Sie auf den Ordner "Acrobat" und doppelklicken Sie anschließend auf den Ordner "Win32". 4 Doppelklicken Sie im Ordner "Win32" auf "adberdr60_envu.exe". 5 Wählen Sie einen Ordner für den Adobe Acrobat Reader aus und führen Sie die Installation durch. So lesen Sie die PDF-Datei des Client-Handbuchs von der CD 1 Legen Sie die Symantec Client Security-CD in das CD-ROM-Laufwerk ein. 2 Klicken Sie auf "CD durchsuchen". 3 Doppelklicken Sie auf den Ordner "Docs". 4 Doppelklicken Sie auf scsclnt.pdf.

118 118 Grundlagen von Symantec Client Firewall Informationsquellen für Symantec Client Firewall Die Symantec-Website über das Hauptfenster von Symantec Client Firewall öffnen Die Symantec-Website bietet umfassende Informationen zu Symantec Client Firewall. Es gibt mehrere Möglichkeiten, auf die Symantec-Website zuzugreifen. Sie können die Symantec-Website über Ihren Internet-Browser unter der folgenden Adresse aufrufen: So öffnen Sie die Symantec-Website über das Hauptfenster von Symantec Client Firewall 1 Klicken Sie oben im Hauptfenster auf "Hilfe und Support". 2 Wählen Sie eine der folgenden Optionen aus: Symantec Hilfe und Unterstützung Sie kommen zur Seite der Technischen Unterstützung der Symantec-Website. Von hier aus können Sie nach Lösungen für bestimmte Probleme suchen, Ihren Virenschutz aktualisieren und die neuesten Informationen über Antivirustechnologien lesen. Symantec Response Center: Ruft die Homepage der Website von Symantec Security Response auf, auf der Sie die aktuellen Virenbedrohungen und Sicherheitsratschläge finden.

119 Kapitel 7 Location Awareness und Zonen Dieses Kapitel enthält folgende Themen: Arbeiten mit Location Awareness Hinzufügen von Computern zu vertrauenswürdigen und eingeschränkten Zonen Arbeiten mit Location Awareness Mithilfe von Standorten können Sie Regeln und Zonen für unterschiedliche Netzwerkverbindungen konfigurieren, die Symantec Client Firewall hergestellt hat. Der Einsatz von Standorten ermöglicht es einem Computer, Verbindungen mit unterschiedlichen Netzwerken herzustellen und automatisch an das jeweilige Netzwerk angepasste Regeln und Zonen anzuwenden. Angenommen, Sie verfügen über einen Satz von Regeln und Zonen, deren Verwendung Symantec Client Firewall erzwingen soll, wenn ein Client über eine Remote-Wireless-Verbindung eine Verbindung zu einem Netzwerk herstellt, und über einen weiteren Satz von Regeln und Zonen, deren Verwendung Symantec Client Firewall erzwingen soll, wenn ein Client über eine lokale Ethernet-Verbindung eine Verbindung zu einem Netzwerk herstellt. In Abbildung 7-1 wird dargestellt, wie ein Laptop-Computer mit unterschiedlichen Netzwerken kommuniziert: über eine Wireless-Verbindung mit dem Internet, über eine VPN-Verbindung via Internet mit dem Büro zu Hause und mit dem Unternehmensnetzwerk.

120 120 Location Awareness und Zonen Arbeiten mit Location Awareness Abbildung 7-1 Laptop, der über verschiedene Standorte Verbindungen herstellt Abhängig davon, welcher der drei Standorte verwendet wird, erzeugt der Laptop unterschiedlichen Datenverkehr und verwendet jeweils ein anderes Standard- Gateway. Der VPN-Datenverkehr des Privatnutzers wird beispielsweise über Ports geleitet, die durch den VPN-Anbieter implementiert wurden und verwendet ein Standard-Gateway bei Internet Service Provider 2. Der vom Roaming- Benutzer erzeugte Wireless-Datenverkehr verwendet andere Ports, wird über eine SSID authentifiziert und stellt eine Verbindung mit einem Standard- Gateway von Internet Service Provider 1 her. Der vom Benutzer des Unternehmensnetzwerks erzeugte Ethernet-Datenverkehr wird über Ports geleitet, die vom jeweiligen Betriebssystem der Netzwerkinfrastruktur verwendet werden, z. B. Windows oder Netware, und stellt eine Verbindung mit einem internen Standard-Gateway her.

121 Location Awareness und Zonen Arbeiten mit Location Awareness 121 Wenn Sie Symantec Client Firewall-Regeln so implementieren, dass Datenverkehr generell blockiert wird, sofern er nicht durch eine Regel zugelassen ist, können Sie drei unterschiedliche Regelbasen konfigurieren, die Datenverkehr von den drei Standorten aus zulassen. Eine Richtliniendatei kann mit unterschiedlichen Informationen für bis zu 64 Standorte konfiguriert werden. Nach der Installation wird Symantec Client Firewall mit den folgenden vier Standorten konfiguriert: Büro Privat Unterwegs Standard Regeln können einem, mehreren oder allen Standorten zugeordnet werden. Zonen werden nur bestimmten Standorten zugewiesen. Beim Konfigurieren der Regeln und Zonen müssen Sie Standorte für alle Regeln und Zonen auswählen. Der Standardstandort wird verwendet, wenn Location Awareness deaktiviert ist. Location Awareness aktivieren und deaktivieren Die Verwendung von Location Awareness ist nicht zwingend erforderlich. Bei deaktivierter Location Awareness werden die Regeln und Zonen verwendet, die dem Standardstandort zugewiesen sind. Der Auslösemechanismus von Location Awareness ist der Netzwerkdetektor. Abbildung 7-2 zeigt, wie der Netzwerkdetektor aktiviert bzw. deaktiviert wird.

122 122 Location Awareness und Zonen Arbeiten mit Location Awareness Abbildung 7-2 Registerkarte "Standorte" Aktiviert bzw. deaktiviert die Location Awareness Aktuell konfigurierte Standorte Standort und Anzahl zugewiesener Netzwerkverbindungen Auf der Registerkarte "Standorte" (Netzwerkdetektorfenster) werden außerdem die gerade konfigurierten Standorte und die Anzahl zugewiesener Netzwerkverbindungen angezeigt. Wenn der Standardstandort aktiv ist, werden immer 0 zugewiesene Verbindungen angegeben, da dem Standardstandort keine Netzwerkspezifikationen zugewiesen werden können. So aktivieren oder deaktivieren Sie Location Awareness 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Führen Sie im Fenster von Symantec Client Firewall auf der Registerkarte "Standorte" einen der folgenden Schritte aus: Um Location Awareness zu aktivieren, wählen Sie "Netzwerkdetektor aktivieren". Um Location Awareness zu deaktivieren, heben Sie die Auswahl von "Netzwerkdetektor aktivieren" auf. Fenster "Location Awareness" Zu implementierende Standorte auswählen Wenn Sie eine Verbindung zu einem Netzwerk herstellen, das keinem Standort zugewiesen ist, was dann passiert, wenn Sie Symantec Client Firewall das erste Mal starten und Location Awareness aktivieren, werden Sie aufgefordert, einen Standort auszuwählen, der der Netzwerkverbindung zugewiesen wird.

123 Location Awareness und Zonen Arbeiten mit Location Awareness 123 In Tabelle 7-1 werden die Netzwerkverbindungsdaten aufgeführt, die Symantec Client Firewall für die Zuweisung der Verbindung zum ausgewählten Standort verwenden kann. Tabelle 7-1 Attribut Netzwerkverbindungsdaten Beschreibung Gateway-MAC-Adresse Gateway-IP-Adresse Teilnetzadresse Domäne SSID Einwählnummer Beschreibung des Wähleintrags Schnittstellenbeschreibung Schnittstellentyp Schnittstellenindex Übergeordneter SAV-Server Die MAC-Adresse (Media Access Control) des Standard- Gateways Die IP-Adresse des Standard-Gateways Die IP-Adresse und Teilnetzmaske des Client-Computers Der Netzwerk-Domänenname (wenn vorhanden) Der Name des Wireless-Netzwerks (SSID, Service Set Identifier) Die Telefonnummer für den Remote-Zugriff Die Beschreibung des Remote-Zugriffspunkts Die Beschreibung der Schnittstelle Der Typ der Netzwerkschnittstelle Der Index der Schnittstelle Der übergeordnete Symantec AntiVirus-Management- Server, der den Client-Computer verwaltet Hinweis: Für verwaltete Symantec Client Security-Clients kann Ihr Firewall- Administrator die Netzwerkverbindungsdaten des übergeordneten SAV-Servers einem Standort zuweisen. Wenn der Netzwerkdetektor aktiviert ist, kann es vorkommen, dass er die Einstellung nicht sofort erkennt. Sie werden möglicherweise aufgefordert, eine Verbindung zu dem neu erkannten Netzwerk durch Auswählen eines Standorts aufzubauen. Oder Sie werden automatisch einem Standort zugewiesen, der mit anderen Netzwerkverbindungsdaten verknüpft ist.. Wenn die Kommunikation mit dem übergeordneten Symantec AntiVirus-Management- Server hergestellt wird, legt Symantec Client Firewall den Standort, der der Einstellung für den übergeordneten SAV-Server entspricht, als aktiven Standort fest.

124 124 Location Awareness und Zonen Arbeiten mit Location Awareness So wählen Sie einen zu implementierenden Standort aus 1 Stellen Sie bei deaktivierter Location Awareness eine Netzwerkverbindung her. Zeigen Sie beispielsweise eine Webseite an. 2 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 3 Doppelklicken Sie auf "Client-Firewall". 4 Wählen Sie im Fenster von Symantec Client Firewall auf der Registerkarte "Standorte" die Option "Netzwerkdetektor aktivieren". 5 Führen Sie einige Netzwerkaktivitäten durch. Aktualisieren Sie beispielsweise eine Webseite. 6 Wählen Sie im Fenster "Netzwerkdetektor" unter "Welchen Standort möchten Sie verwenden?" den Standort aus, der der Netzwerkverbindung zugewiesen werden soll. 7 Klicken Sie auf "OK". Netzwerkverbindungsdaten löschen Immer, wenn Sie Netzwerkverbindungsdaten einem Standort zuweisen, werden diese Daten für den Standort gespeichert. Einem einzelnen Standort können sehr viele Netzwerkverbindungen zugewiesen werden, dies widerspricht jedoch dem Zweck von Location Awareness. Sie können beispielsweise Daten für Wireless-, VPN- und Büronetzwerkverbindungen einem einzelnen Standort zuweisen. Über Symantec Client Firewall können Sie diese Zuweisungen löschen.

125 Location Awareness und Zonen Arbeiten mit Location Awareness 125 Standorte hinzufügen So löschen Sie Netzwerkverbindungsdaten 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Wählen Sie im Fenster von Symantec Client Firewall auf der Registerkarte "Standorte" den zu löschenden Standort aus. 4 Klicken Sie auf "Löschen". Mit Symantec Client Firewall können Sie neue Standorte hinzufügen. Sie können einen neuen Standort hinzufügen, wenn die Firewall eine neue Verbindung entdeckt und das Fenster "Netzwerkdetektor" anzeigt, oder indem Sie auf der Registerkarte "Standorte" einen neuen Standort hinzufügen. In beiden Fällen führen Sie den Vorgang schrittweise mithilfe eines Assistenten durch. Beim Hinzufügen eines neuen Standorts werden alle Regeln, Zonen und Einstellungen, die dem Standardstandort zugewiesen sind, automatisch auf den hinzugefügten Standort angewendet. So fügen Sie einen Standort hinzu 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Klicken Sie im Fenster von Symantec Client Firewall in der Registerkarte "Standorte" auf "Hinzufügen". 4 Wählen Sie im eingeblendeten Fenster eine der folgenden Optionen aus: Ja: Neue Programmregeln werden dem Standort automatisch zugewiesen, wenn die Firewall Datenverkehr entdeckt, der einem bekannten Programm entspricht. Bei unbekannten Programmen wird nachgefragt. Nein: Es wird nachgefragt, ob neue Programmregeln zum Standort hinzugefügt werden sollen, wenn die Firewall Datenverkehr entdeckt, der keiner vorhandenden Regel entspricht. 5 Klicken Sie auf "Weiter". 6 Geben Sie im Fenster "Standort speichern" einen Standort ein. 7 Klicken Sie auf "Weiter". 8 Klicken Sie im Fenster "Zusammenfassung" auf "OK".

126 126 Location Awareness und Zonen Hinzufügen von Computern zu vertrauenswürdigen und eingeschränkten Zonen Standorteinstellungen anpassen Standorte löschen Neu erstellte Netzwerkzonen und Firewall-Regeln werden Standorten zugewiesen. Auf den folgenden Registerkarten im Fenster von Symantec Client Firewall können Sie Zonen und Regeln Standorten zuweisen: Netzwerk Programme Erweitert Mit Symantec Client Firewall können Sie selbst hinzugefügte Standorte löschen. Sie können keine Standorte löschen, die mit Symantec Client Firewall Administrator hinzugefügt wurden. Sie können einen neuen Standort hinzufügen, wenn die Firewall eine neue Verbindung entdeckt und das Fenster "Netzwerkdetektor" anzeigt, oder indem Sie auf der Registerkarte "Standorte" einen neuen Standort hinzufügen. In beiden Fällen führen Sie den Vorgang schrittweise mithilfe eines Assistenten durch. So löschen Sie einen Standort 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Wählen Sie im Fenster von Symantec Client Firewall auf der Registerkarte "Standorte" den zu löschenden Standort aus. 4 Klicken Sie auf "Löschen". 5 Klicken Sie im Bestätigungsfenster auf "Ja". Hinzufügen von Computern zu vertrauenswürdigen und eingeschränkten Zonen Mit Symantec Client Firewall können Sie Computer in Ihrem Netzwerk und im Internet in zwei Zonen einteilen, die mithilfe von Computernamen oder IP- Adressen definiert werden: vertrauenswürdig und eingeschränkt. Jede Zone kann mehrere Einträge enthalten und jeder Eintrag kann einen einzelnen Computernamen, eine einzelne IP-Adresse, einen IP-Adressbereich mit einer Anfangs- und einer Endadresse oder eine IP-Adresse und eine Teilnetzmaske angeben. Abbildung 7-3 zeigt die Registerkarte "Netzwerk".

127 Location Awareness und Zonen Hinzufügen von Computern zu vertrauenswürdigen und eingeschränkten Zonen 127 Abbildung 7-3 Registerkarte "Netzwerk" Computer, die Sie zur vertrauenswürdigen Zone hinzufügen, werden von Symantec Client Firewall nicht überwacht. Diese Computer können mit denselben Zugriffsrechten auf Ihren Computer zugreifen, die sie auch dann haben, wenn Symantec Client Firewall nicht installiert ist. Fügen Sie nur die Computer in Ihrem lokalen Netzwerk zur vertrauenswürdigen Zone hinzu, mit denen Sie gemeinsam auf Dateien und Drucker zugreifen müssen. Wenn ein Computer in Ihrer vertrauenswürdigen Zone angegriffen wird und ein Hacker die Kontrolle über diesen Computer übernimmt, stellt dies ein Risiko für Ihren Computer dar. Die Firewall blockiert sämtlichen Datenverkehr über die IP-Adressen, die in der eingeschränkten Zone aufgeführt sind. Außerdem blockiert sie Datenverkehr über IP-Adressen in der eingeschränkten Zone nicht, wenn es sich bei der jeweiligen Adresse um das Standard-Gateway handelt. Der Client kann nach wie vor auf das Internet zugreifen. Zonen sind nur Attribute von Standorten. Sie können erstellte Zonen nicht mehreren Standorten als Attribut zuweisen. Sie müssen die Zone manuell zu anderen Standorten hinzufügen. Alle dem Standardstandort zugewiesenen Zonen werden jedoch automatisch allen neuen Standorten zugewiesen, die mit dem Standortassistenten erstellt wurden.

128 128 Location Awareness und Zonen Hinzufügen von Computern zu vertrauenswürdigen und eingeschränkten Zonen Einstellungen für Regeln, die Intrusion Prevention-Überwachung, Web-Inhalte, Datenschutz und Werbeblocker werden für Websites, deren IP-Adressen unter die vertrauenswürdige Zone fallen, nicht berücksichtigt. Ihr Firewall-Administrator kann Computer zur vertrauenswürdigen oder eingeschränkten Zone hinzufügen, die sie weder ändern noch löschen dürfen. Diese Einträge werden in der Benutzeroberfläche grau dargestellt. Hinweis: Netzwerkzonen überwachen den Netzwerkverkehr von häufig verwendeten Internet-Protokollen, z. B. TCP, UDP und ICMP. Netzwerkzonen wirken sich nicht auf die Protokollfilterung aus, mit der Sie Internet-Protokolle selektiv zulassen oder blockieren können. Wenn beispielsweise VPN-Protokolle, die über IP transportiert werden, durch die Protokollfilterung blockiert werden, werden diese Protokolle für Computer blockiert, die sich in der vertrauenswürdige Zone befinden. Wenn VPN-Protokolle durch die Protokollfilterung zugelassen werden, werden diese Protokolle für Computer zugelassen, die sich in der eingeschränkten Zone befinden. Siehe "Verwenden der Protokollfilterung" auf Seite 160. So fügen Sie Computer zur vertrauenswürdigen oder eingeschränkten Zone hinzu 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Wählen Sie im Fenster von Symantec Client Firewall auf der Registerkarte "Netzwerk" im Dropdown-Listenfeld "Einstellungen für" den Standort aus, für den eine Zone hinzugefügt werden soll. 4 Klicken Sie in der Registerkarte "Vertrauenswürdige Zone" oder "Eingeschränkte Zone" auf "Hinzufügen".

129 Location Awareness und Zonen Hinzufügen von Computern zu vertrauenswürdigen und eingeschränkten Zonen Wählen Sie im Dialogfeld "Netzwerk" eine der folgenden Optionen aus: Einzeln: Eine einzelne IP-Adresse zur Identifizierung des Computers oder des Computernamens ( Bereich verwenden: Ein IP-Adressbereich mit einer Anfangs-IP-Adresse und einer End-IP-Adresse. Netzwerkadresse verwenden: Ein IP-Adressbereich, der durch Eingabe einer IP-Adresse und einer Teilnetzmaske festgelegt wird. 6 Geben Sie im Textfeld die IP-Adressen oder Namen der Computer ein, die Sie zur vertrauenswürdigen bzw. eingeschränkten Zone hinzufügen möchten. 7 Klicken Sie auf "OK". 8 Klicken Sie auf der Registerkarte "Netzwerk" auf "OK".

130

131 Kapitel 8 Schutz vor unbefugten Zugriffsversuchen Dieses Kapitel enthält folgende Themen: Allgemeines zu unbefugten Zugriffsversuchen Wie Symantec Client Firewall vor Netzwerkangriffen schützt Anpassen des Firewall-Schutzes Anpassen der Firewall-Regeln Verwendung von Secure Port Verwenden der Protokollfilterung Anpassen von Intrusion Prevention Allgemeines zu unbefugten Zugriffsversuchen Netzwerkangriffe ziehen Vorteil aus der Art und Weise, wie Computer Informationen übertragen. Symantec Client Firewall kann Ihren Computer schützen, indem Sie die Informationen, die von und an Ihren Computer gesendet werden überwachen, und Zugriffsversuche blockieren. Informationen werden im Internet in Form von Paketen übertragen. Jedes Paket enthält einen Datenvorspann (Header), in dem Angaben zum sendenden Computer, zum Empfänger, zur Verarbeitungsweise des Pakets und zu dem Port, der das Paket empfangen soll, enthalten sind. Ports sind Kanäle, die den aus dem Internet eingehenden Datenstrom in verschiedene Pfade aufteilen, die von unterschiedlichen Programmen gehandhabt werden. Wenn auf einem Computer Internet-Programme ausgeführt werden, hören diese mehrere Ports ab und akzeptieren an diese Ports gesendeten Informationen.

132 132 Schutz vor unbefugten Zugriffsversuchen Wie Symantec Client Firewall vor Netzwerkangriffen schützt Netzwerkangriffe sind so konzipiert, dass sie die Schwachstellen bestimmter Internet-Programme ausnutzen. Angreifer verwenden Tools, die Pakete mit destruktivem Programmcode an einen bestimmten Port senden. Wenn ein Programm, das für diese Art von Angriff anfällig ist, den Port abhört, kann der Angreifer so über den Code Zugang zu dem Computer oder sogar die Kontrolle über den Computer gewinnen. Der für Angriffe verwendete Programmcode kann in einem Paket enthalten sein oder sich auf mehrere Pakete verteilen. Wie Symantec Client Firewall vor Netzwerkangriffen schützt Symantec Client Firewall umfasst zwei Tools, die Ihren Computer vor unbefugten Zugriffsversuchen, gefährlichen Web-Inhalten und Trojanischen Pferden schützen: Symantec Client Firewall: Überwacht sämtliche Internet-Kommunikation und baut ein Schutzschild auf, das das Ausspionieren von auf Ihrem Computer gespeicherten Daten verhindert oder einschränkt. Intrusion Prevention: Überwacht alle ein- und ausgehenden Informationen auf angriffstypische Datenmuster. Überwachung der Kommunikation mithilfe von Symantec Client Firewall Wenn Symantec Client Firewall aktiv ist, überwacht es die Kommunikation zwischen Ihrem Computer und anderen Computern im Internet. In Tabelle 8-1 werden allgemeine Sicherheitsprobleme aufgeführt, die von Symantec Client Firewall überwacht werden. Tabelle 8-1 Problem Häufige Sicherheitsprobleme Schutz Unzulässige Verbindungsversuche Trojanische Pferde Sicherheits- und Datenschutzverletzungen durch destruktiven Web-Inhalt Warnt Sie sowohl bei Verbindungsversuchen von anderen Computern als auch bei Verbindungsversuchen von Programmen, die auf Ihrem Computer installiert sind, zu anderen Computern. Benachrichtigt Sie, wenn Ihr Computer auf destruktive Programme zugreift, die als nützliche Programme getarnt sind. Überwacht alle Java-Applets und ActiveX-Steuerelemente und lässt Sie entscheiden, ob die Anwendung blockiert oder ausgeführt werden soll.

133 Schutz vor unbefugten Zugriffsversuchen Wie Symantec Client Firewall vor Netzwerkangriffen schützt 133 Tabelle 8-1 Problem Port-Scans Häufige Sicherheitsprobleme Schutz Tarnt inaktive Ports auf Ihrem Computer und erkennt Port-Scans. Unbefugte Zugriffsversuche Erkennt und blockiert böswilligen Datenverkehr und Versuche von externen Benutzern, Ihren Computer anzugreifen. Außerdem wird ausgehender Datenverkehr geprüft, um eine Verbreitung von Würmern zu verhindern. Sie können die Sicherheitsstufe mit dem dafür vorgesehenen Schieberegler ändern. Außerdem können Sie festlegen, wie Symantec Client Firewall auf unzulässige Verbindungsversuche, Trojanische Pferde und destruktiven Web-Inhalt reagieren soll. Siehe "Anpassen des Firewall-Schutzes" auf Seite 136. Analyse des Datenverkehrs durch Intrusion Prevention Symantec Client Firewall enthält umfassende Verbesserungen für Intrusion Prevention, einschließlich intelligenterer Angriffssignaturen, die einen Angriff weniger wahrscheinlich machen, sowie eine Stateful-Engine, die den gesamten ein- und ausgehenden Datenverkehr protokolliert. Diese Verbesserungen sind in der neuen Intrusion-Prevention-Engine und den entsprechenden Angriffssignaturen implementiert und werden standardmäßig in Symantec Client Firewall installiert. Intrusion Prevention prüft jedes Paket, das auf Ihrem Computer ankommt oder diesen verlässt, auf Angriffssignaturen, d.h. auf bestimmte Anordnungen von Daten, die erkennen lassen, wenn ein Angreifer eine bekannte Betriebssystemoder Programmsicherheitslücke auszunutzen versucht. Zusätzlich zum Blockieren bekannter Variationen von Angriffen prüft Intrusion Prevention jetzt auch auf mögliche Variationen dieser Angriffe und blockiert diese ebenso. Ein Hacker kann beispielsweise einen Angriff ändern, indem er die Informationen ändert, die von einer Angriffssignatur zum Identifizieren des Angrifsversuchs verwendet werden. Diese Angriffe werden von Firewalls, die sich auf exakte Signaturübereinstimmungen verlassen, nicht erkannt. Intrusion Prevention blockiert diese Art von Angriffsversuch, indem es mit jeder möglichen Variante der Angriffssignatur rechnet.

134 134 Schutz vor unbefugten Zugriffsversuchen Wie Symantec Client Firewall vor Netzwerkangriffen schützt In Tabelle 8-2 sind Beispiele von Angriffen aufgeführt, die von Symantec Client Firewall überwacht werden. Tabelle 8-2 Angriff Überwachte Angriffe Beschreibung BEAGLE_A_B_BACKDOOR_ ACCOUNCE WINDOWS_LOCATORSVC_ OVERFLOW MS_MESSENGER_BO Bonk RDS_Shell WinNuke Eine Backdoor, die Teil des Wurms ist. Die Backdoor informiert den Angreifer über seine Anwesenheit, so dass dieser Befehle ausführen, Dateien herunterladen oder andere böartige Aktionen ausführen kann. Eine Methode, bei der der Microsoft Windows RPC (Remote Procedure Call) Locator-Dienst missbraucht wird, um bösartige Befehle auszuführen oder einen Absturz des Computers zu verursachen. Ein Angriff auf den Microsoft Messenger-Dienst, der dazu führen kann, dass der Dienst verweigert bzw. bösartiger Code ausgeführt wird. Ein Angriff auf den Microsoft TCP/IP-Stack, der einen Absturz des angegriffenen Computers verursachen kann. Eine Methode, bei der der Remote-Data-Dienst der Microsoft-Datenzugriffskomponenten missbraucht wird, so dass ein externer Angreifer Befehle mit Systemberechtigungen ausführen kann. Ein Angriff, bei dem das NetBIOS missbraucht werden kann, um ältere Windows 95/98/NT-Systeme zum Absturz zu bringen. Da sich Angriffe unter Umständen auf mehrere Datenpakete verteilen, untersucht Intrusion Prevention die Pakete mithilfe von zwei Methoden: Jedes Paket wird einzeln auf Datenmuster überprüft, die für einen Angriff typisch sind. Darüber hinaus werden die Pakete als Datenstrom geprüft, wodurch sich Angriffe erkennen lassen, die auf mehrere Pakete verteilt sind. Zudem erkennt Intrusion Prevention Netzwerkverkehrsmuster und Teilmuster und wendet diese Informationen auf nachfolgenden Netzwerkverkehr auf dem Computer an. Wenn die Daten einem bekannten Angriffsmuster entsprechen, wird das Paket automatisch von Intrusion Prevention gelöscht und die Verbindung mit dem Computer, der die Daten gesendet hat, getrennt. Auf diese Weise wird Ihr Computer geschützt.

135 Schutz vor unbefugten Zugriffsversuchen Wie Symantec Client Firewall vor Netzwerkangriffen schützt 135 Sie können festlegen, wie Intrusion Prevention auf Angriffe reagiert, indem Sie bestimmte Angriffssignaturen von der Überwachung ausschließen oder indem Sie die AutoBlock-Funktion aktivieren bzw. deaktivieren. AutoBlock blockiert automatisch alle Kommunikationsversuche von einem angreifenden Computer. Indem Sie ein bestimmtes Netzwerkverhalten von der Blockierung ausnehmen, können Sie weiterhin produktiv arbeiten, selbst wenn Ihr Computer gerade angegriffen wird. Symantec Client Firewall schützt Ihren Computer nicht nur vor Angriffen, sondern überwacht auch alle Informationen, die dieser an andere Computer sendet. So wird sichergestellt, dass Ihr Computer nicht für Angriffe auf andere Benutzer verwendet oder durch Zombie-Programme missbraucht werden kann. Zombies sind Programme, die heimlich installiert und ferngesteuert ausgeführt werden können, um so für einen Kollektivangriff auf andere Computer eingesetzt zu werden. Wenn Symantec Client Firewall feststellt, dass Ihr Computer angriffstypische Informationen versendet, blockiert es umgehend die Verbindung und weist Sie auf das potenzielle Problem hin. Um die Anzahl der ausgegebenen Warnmeldungen zu reduzieren, sucht Symantec Client Firewall nur nach Angriffen auf Ports, die von Ihrem Computer verwendet werden. Wenn Angreifer versuchen, über einen nicht aktiven Port oder einen durch die Firewall blockierten Port eine Verbindung zu Ihrem Computer herzustellen, werden Sie nicht von Symantec Client Firewall verständigt, da keine Gefahr eines unberechtigten Zugriffs besteht. Symantec Client Firewall sucht nicht nach unbefugten Zugriffsversuchen durch Computer in Ihrer vertrauenswürdigen Zone. Intrusion Prevention überprüft jedoch die Informationen, die Sie an Computer in der vertrauenswürdigen Zone senden, auf Zombies und andere ferngesteuerte Angriffe. Intrusion Prevention ist auf eine umfassende Liste mit Angriffssignaturen angewiesen, um verdächtige Netzwerkaktivitäten zu erkennen und zu blockieren. Führen Sie regelmäßig LiveUpdate aus, um die Liste der Angriffssignaturen auf dem neuesten Stand zu halten. Siehe "Mit LiveUpdate immer aktuell sein" auf Seite 114. Hinweis: Wenn die Option zur Bedrohungsverfolgung in Symantec AntiVirus auf "Client-Firewall blockiert automatisch die IP-Adresse des Quell-Computers" gesetzt ist, blockiert Symantec Client Firewall den angreifenden Computer auch dann, wenn er in der AutoBlock-Ausschlussliste oder in der vertrauenswürdigen Zone aufgeführt ist.

136 136 Schutz vor unbefugten Zugriffsversuchen Anpassen des Firewall-Schutzes Anpassen des Firewall-Schutzes Die Firewall-Standardeinstellungen sollten Sie mit einem ausreichenden Schutz versorgen. Wenn der Standardschutz sich als ungeeignet erweist, können Sie die Firewall mithilfe des Schiebereglers für die Sicherheitsstufe anpassen. Mit dem Schieberegler können Sie die vorgegebenen Gruppen der Sicherheitseinstellungen auswählen. Sie können die Firewall auch anpassen, indem Sie einzelne Sicherheitseinstellungen ändern. Position des Schiebereglers ändern Mit dem Schieberegler für die Sicherheitsstufe können Sie niedrige, mittlere oder hohe Sicherheitseinstellungen auswählen. Abhängig von der Position des Schiebereglers ändert sich die Schutzebene. Eine Änderung der Sicherheitsstufe mit dem Schieberegler hat keine Auswirkungen auf den von Intrusion Prevention bereitgestellten Schutz. So ändern Sie die Sicherheitsstufe mit dem Schieberegler 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall".

137 Schutz vor unbefugten Zugriffsversuchen Anpassen des Firewall-Schutzes Bewegen Sie in der Registerkarte "Firewall" des Fensters "Symantec Client Firewall" den Schieberegler auf die gewünschte Sicherheitsstufe. Folgende Einstellungen können gewählt werden: Hoch Die Firewall blockiert alles, bis Sie es zulassen. Wenn Sie eine Programmprüfung durchgeführt haben, sollten Sie nur selten durch Warnmeldungen zur Programmsteuerung gestört werden. Sie werden bei jedem Auftreten eines ActiveX-Steuerelements oder Java-Applets verständigt. Nicht verwendete Ports reagieren nicht auf Verbindungsversuche, wodurch sie getarnt erscheinen. Mittel (empfohlen) Die Firewall blockiert alles, bis Sie es zulassen. Wenn Sie eine Programmprüfung durchgeführt haben, sollten Sie nur selten durch Warnmeldungen zur Programmsteuerung gestört werden. ActiveX-Steuerelemente und Java-Applets werden ohne Warnung ausgeführt. Nicht verwendete Ports reagieren nicht auf Verbindungsversuche, wodurch sie getarnt erscheinen. Niedrig Die Firewall lässt alles zu, was nicht ausdrücklich blockiert wurde. ActiveX-Steuerelemente und Java-Applets werden ohne Warnung ausgeführt. Nicht verwendete Ports reagieren nicht auf Verbindungsversuche, wodurch sie getarnt erscheinen. Alle ausgehenden Verbindungen werden zugelassen. 4 Klicken Sie auf "OK". Einzelne Sicherheitseinstellungen ändern Wenn die Standardoptionen für die Sicherheitsstufe Ihren Sicherheitsbedarf nicht zu Ihrer Zufriedenheit decken, haben Sie die Möglichkeit, die Einstellungen für die Sicherheitsstufen für Symantec Client Firewall, Java und ActiveX zu ändern. Wenn eine einzelne Sicherheitseinstellung geändert wird, hat diese Vorrang vor der Sicherheitsstufe; alle anderen Sicherheitseinstellungen dieser Stufe werden jedoch nicht beeinflusst. So ändern Sie einzelne Sicherheitseinstellungen 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall".

138 138 Schutz vor unbefugten Zugriffsversuchen Anpassen des Firewall-Schutzes 3 Wählen Sie in der Registerkarte "Firewall" des Symantec Client Security- Fensters die Option "Benutzerdefiniert". 4 Führen Sie im Fenster "Sicherheitseinstellungen anpassen" einen der folgenden Schritte aus: Wählen Sie im Dropdown-Listenfeld der Client-Firewall eine Stufe aus. Folgende Einstellungen können gewählt werden: Hoch Mittel Blockiert jede Kommunikation, die Sie nicht ausdrücklich zulassen. Sie müssen für jedes Programm, das auf das Internet zugreifen will, Firewall-Regeln erstellen. Lässt alle Kommunikationstypen zu, die nicht ausdrücklich blockiert wurden. Wählen Sie die gewünschte Sicherheitsstufe für Java-Applets oder ActiveX-Steuerelemente aus. Folgende Einstellungen können gewählt werden: Hoch Verhindert, dass Ihr Browser Java-Applets oder ActiveX-Steuerelemente aus dem Internet auf Ihrem Computer ausführt. Dies ist die sicherste, aber am wenigsten komfortable Einstellung. Es kann sein, dass bei dieser Einstellung einige Websites nicht mehr richtig funktionieren.

139 Schutz vor unbefugten Zugriffsversuchen Anpassen des Firewall-Schutzes 139 Mittel Keine Blendet eine Meldung ein, wenn Java-Applets und ActiveX-Steuerelemente erkannt werden. Mit dieser Einstellung können Sie vorübergehend oder dauerhaft jedes von Ihnen angetroffene Java-Applet oder ActiveX-Steuerelement zulassen oder blockieren. Obwohl Sie es möglicherweise als störend empfinden, jedes Mal auf eine Aufforderung reagieren zu müssen, wenn Sie auf ein Java-Applet oder ActiveX-Steuerelement treffen, hat dieses Verfahren den Vorteil, dass Sie entscheiden können, welches Applet bzw. Steuerelement ausgeführt wird. Lässt zu, dass jedes angetroffene Java-Applet und ActiveX-Steuerelement ausgeführt wird. Um eine Benachrichtigung zu erhalten, wenn unbekannte Programme auf das Internet zugreifen, aktivieren Sie die Option "Warnmeldungen für Zugriffssteuerung". Um eine Benachrichtigung zu erhalten, wenn ein Remote-Computer auf einen Port zuzugreifen versucht, der von keinem Programm verwendet wird, aktivieren Sie die Option "Warnmeldung bei Zugriff auf ungenutzte Ports". 5 Klicken Sie auf "OK". 6 Klicken Sie auf der Registerkarte "Firewall" auf "OK". Sicherheitseinstellungen auf Standardwerte zurücksetzen Wenn Sie eine benutzerdefinierte Sicherheitsstufe festlegen, wird der Schieberegler "Sicherheitsstufe" deaktiviert. Um mit dem Schieberegler eine vorgegebene Sicherheitsstufe auswählen zu können, müssen Sie die Sicherheitsstufe zurücksetzen. So setzen Sie die Sicherheitseinstellungen auf die Standardwerte zurück 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Wählen Sie in der Registerkarte "Firewall" des Symantec Client Security- Fensters die Option "Standardstufe". Die Sicherheitsstufe wird auf "Mittel" zurückgesetzt. Wählen Sie mit dem Schieberegler "Sicherheitsstufe" eine der Standard-Sicherheitsstufen aus.

140 140 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln Anpassen der Firewall-Regeln Firewall-Regeln steuern, wie Symantec Client Firewall Ihren Computer vor böswilligem eingehenden Datenverkehr sowie vor destruktiven Programmen und Trojanischen Pferden schützt. Sämtlicher auf Ihrem Computer ein- und ausgehender Datenverkehr wird automatisch anhand dieser Regeln von der Firewall überprüft. Die Regeln lassen sich in drei Kategorien aufteilen: Allgemein: Die Sicherheit wird mit der Paketfilterung gesteuert und wirkt sich auf alle Programme aus. Programm: Programmen wird der Zugriff auf das Internet verwehrt oder gestattet. Trojanisches Pferd: Bietet Schutz vor bösartigen Programmen. Ihr Firewall-Administrator muss Ihnen die entsprechenden Berechtigungen erteilen, damit Sie die Firewall-Regeln anpassen und die Firewall-Funktionen verwenden können. Siehe "Berechtigungen in Symantec Client Firewall" auf Seite 105. Neue Firewall-Regeln erstellen Symantec Client Firewall enthält eine Funktion zur Programmsteuerung, die Firewall-Regeln für bekannte Programme automatisch erstellt, während Sie mit dem Internet verbunden sind. Sie können die Regeln auch manuell erstellen und ändern. Alle Regeln beziehen sich auf einen oder mehrere Standorte. Es gibt vier Methoden, um Firewall-Regeln mithilfe der Programmsteuerung zu erstellen: Automatische Programmsteuerung aktivieren Programmsuche verwenden Konfiguriert automatisch den Zugang für bekannte Programme, sobald Sie diese zum ersten Mal ausführen. Dies ist die einfachste Methode zum Einrichten von Firewall-Regeln. Sie können diese Option für die entsprechenden Standorte aktivieren oder deaktivieren. Sucht und konfiguriert in einem Arbeitsgang den Zugriff für alle Programme, die auf das Internet zugreifen. Sie können für die angegebenen Standorte Regeln hinzufügen.

141 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln 141 Auf Warnmeldungen reagieren Warnt Benutzer, wenn bekannte Programme zum ersten Mal auf das Internet zuzugreifen versuchen und die automatische Programmsteuerung deaktiviert ist, und wenn unbekannte Programme auf das Internet zuzugreifen versuchen. Benutzer können den Internet-Zugriff für dieses Programm daraufhin zulassen oder blockieren. Regeln können nur für den aktuellen Standort hinzugefügt werden. Allgemeine Regeln, Programmregeln und Regeln für Trojanische Pferde manuell hinzufügen Ermöglicht eine individuelle Verwaltung der Liste mit Programmen und Diensten, die auf das Internet zugreifen. Sie können Standorten Regeln zuweisen. Automatische Programmsteuerung aktivieren Wenn die automatische Programmsteuerung aktiv ist, kann Symantec Client Firewall die Einstellungen für den Internet-Zugriff von Programmen automatisch konfigurieren, wenn diese zum ersten Mal ausgeführt werden. Die automatische Programmsteuerung kann den Internet-Zugriff nur für die Programmversionen konfigurieren, die Symantec als sicher erkannt hat. Wenn ein unbekanntes Programm oder eine unbekannte Version eines bekannten Programms auf das Internet zuzugreifen versucht, warnt Symantec Client Firewall den Benutzer. Der Benutzer kann den Internet-Zugriff für dieses Programm daraufhin zulassen oder blockieren. Hinweis: Wenn Sie eine Programmregel für ein Programm erstellen, kann es vorkommen, dass Symantec Client Firewall diese Programmregel überschreibt. Dies ist der Fall, wenn die automatische Programmsteuerung feststellt, dass die erstellten Regeln in Bezug auf den vom Programm benötigten Internet-Zugriff unzureichend sind.

142 142 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln So aktivieren Sie die automatische Programmsteuerung 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Wählen Sie in der Registerkarte "Programme" des Symantec Client Firewall- Fensters im Dropdown-Listenfeld "Einstellungen" den Standort aus, für den die automatische Programmsteuerung aktiviert werden soll. 4 Aktivieren Sie die Option "Automatische Programmsteuerung einschalten". 5 Klicken Sie auf "OK".

143 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln 143 Nach internetfähigen Programmen suchen und diese hinzufügen Das Durchsuchen des Systems nach internetfähigen Programmen ist der schnellste Weg, um die Firewall-Regeln mit der Programmsteuerung zu konfigurieren. Symantec Client Firewall durchsucht Ihren Computer nach für den Internet-Zugriff konfigurierten Programmen. Für jedes erkannte Programm können Sie entsprechende Einstellungen festlegen. Hinweis: Ihr Administrator kann die Ausführung von Programmen für bestimmte Standorte verhindern. Werden diese Programme während der Prüfung Ihres Computers gefunden, werden nur Regeln für die zugelassenen Standorte erstellt. So suchen Sie nach für den Internet-Zugriff konfigurierten Programmen 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Wählen Sie in der Registerkarte "Programme" des Symantec Client Firewall- Fensters die Option "Programmsuche". 4 Wählen Sie im Fenster "Programmsuche" die Datenträger aus, die auf Ihrem Computer geprüft werden sollen. 5 Klicken Sie auf "Weiter". 6 Führen Sie einen der folgenden Schritte aus: Aktivieren Sie die Programme, die in die Liste der für den Internetzugriff zulässigen Programme aufgenommen werden sollen. Klicken Sie auf "Alle aktivieren", um alle internetfähigen Programme auf einmal hinzuzufügen. Klicken Sie auf die Schaltfläche "Hinzufügen", um ein Programm manuell hinzuzufügen. Wählen Sie ein Programm aus und klicken Sie auf "Ändern", um die Programmeinstellungen zu ändern. 7 Klicken Sie auf "Weiter". 8 Führen Sie einen der folgenden Schritte aus: Wählen Sie die Standorte aus, die dem Programm zugewiesen werden sollen. Klicken Sie auf "Alle aktivieren", um das Programm allen Standorten zuzuweisen. 9 Klicken Sie auf "Fertig stellen". 10 Klicken Sie auf der Registerkarte "Programme" auf "OK".

144 144 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln Programme der Programmsteuerung unterstellen Sie können der Programmsteuerung Programme hinzufügen, um genau zu kontrollieren, welche Programme auf das Internet zugreifen dürfen. Dies hat Vorrang vor allen Einstellungen, die von der automatischen Programmsteuerung vorgenommen wurden. So unterstellen Sie ein Programm der Programmsteuerung 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Wählen Sie in der Registerkarte "Programme" des Symantec Client Firewall- Fensters im Dropdown-Listenfeld "Einstellungen" den Standort aus, für den eine Programmregel hinzugefügt werden soll. 4 Klicken Sie auf "Hinzufügen". 5 Suchen Sie nach der ausführbaren Datei des Programms und wählen Sie sie aus. 6 Klicken Sie auf "Öffnen". 7 Wählen Sie in der Warnmeldung zur Internet-Zugriffssteuerung die Zugriffsstufe aus, die das Programm haben soll. Folgende Einstellungen können festgelegt werden: Den Internet-Zugriff automatisch konfigurieren (empfohlen) Verwendet die Standardeinstellungen von Symantec Client Firewall für dieses Programm. Diese Option wird nicht immer angezeigt. Zulassen Blockieren Internet-Zugriff manuell konfigurieren Alle Zugriffsversuche dieses Programms werden zugelassen. Alle Zugriffsversuche dieses Programms werden verweigert. Erstellen Sie Regeln, die steuern, wie dieses Programm auf das Internet zugreifen kann. 8 Wenn Sie sehen möchten, welchen Risiken Ihr Computer durch dieses Programm ausgesetzt sein kann, klicken Sie auf "Details einblenden". 9 Klicken Sie auf "OK". 10 Klicken Sie auf der Registerkarte "Programme" auf "OK".

145 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln 145 Einstellungen für die Programmsteuerung ändern Nachdem Sie eine Weile mit Symantec Client Firewall gearbeitet haben, stellen Sie unter Umständen fest, dass bestimmte Zugriffseinstellungen für Programme geändert werden müssen. Beispielsweise könnte es sein, dass Sie für bestimmte Programme in Zukunft Internet-Verbindungen blockieren oder einem blockierten Programm den Zugriff auf das Internet gestatten möchten. Die hier von Ihnen vorgenommenen Änderungen haben Vorrang vor allen Einstellungen, die von der automatischen Programmsteuerung vorgenommen wurden. So ändern Sie die Einstellungen für die Programmsteuerung 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Wählen Sie in der Registerkarte "Programme" im Dropdown-Listenfeld "Einstellungen" des Symantec Client Firewall-Fensters den Standort aus, an dem sich die zu ändernde Programmregel befindet. 4 Wählen Sie in der Liste der Programme das Programm aus, das Sie ändern möchten. 5 Klicken Sie auf "Ändern". 6 Wählen Sie in der eingeblendeten Warnmeldung die Zugriffsstufe aus, die das Programm haben soll. Folgende Einstellungen können gewählt werden: Den Internet-Zugriff automatisch konfigurieren (empfohlen) Verwendet die Standardeinstellungen von Symantec Client Firewall für dieses Programm. Diese Option wird nicht immer angezeigt. Zulassen Blockieren Internet-Zugriff manuell konfigurieren Alle Zugriffsversuche dieses Programms werden zugelassen. Alle Zugriffsversuche dieses Programms werden verweigert. Erstellen Sie Regeln, die steuern, wie dieses Programm auf das Internet zugreifen kann. 7 Klicken Sie auf "OK". 8 Klicken Sie auf der Registerkarte "Programme" auf "OK".

146 146 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln Firewall-Regeln manuell erstellen Obwohl Symantec Client Firewall die meisten von Ihnen verwendeten Firewall- Regeln automatisch erstellt, können Sie nach Bedarf eigene Regeln hinzufügen. Nur erfahrene Internet-Benutzer sollten ihre eigenen Firewall-Regeln erstellen. Firewall-Regeln definieren bestimmte Kommunikationstypen, die entweder zulässig oder blockiert sind. Bevor Sie Regeln hinzufügen oder ändern, sollten Sie mit den Bestandteilen einer Firewall-Regel vertraut sein. Aktionsoptionen Mithilfe der Aktionsoptionen können Sie festlegen, ob die Regel die in ihr definierte Art von Netzwerkkommunikation zulässt, blockiert oder überwacht. In Tabelle 8-3 werden die verfügbaren Aktionsoptionen beschrieben. Tabelle 8-3 Option Zulassen Blockieren Überwachen Aktionsoptionen Beschreibung Lässt die Ausführung dieses Kommunikationstyps zu. Verhindert die Ausführung dieses Kommunikationstyps. Aktualisiert die Registerkarte "Firewall" im Ereignisprotokoll von Symantec Client Firewall, wenn die Protokollierung aktiviert ist. Die Regelverarbeitung wird dann so lange fortgesetzt, bis eine Übereinstimmung gefunden wird. Wenn es keine Übereinstimmung gibt, wird die Kommunikation entweder standardmäßig blockiert oder es wird eine Warnmeldung zur Internet-Zugriffssteuerung angezeigt. Verwenden Sie die Überwachungsaktion nur, wenn dies erforderlich erscheint. Welche Auswirkungen es hat, wenn Sie eine Regel für Überwachung statt für Zulassen oder Blockieren konfigurieren, hängt davon ab, wie bestimmte Client- Einstellungen konfiguriert sind. Wenn beispielsweise die Stufe der Client- Firewall auf "Hoch" eingestellt ist, die Zugriffskontrollwarnungen aktiviert sind und die automatische Programmsteuerung ebenfalls aktiviert ist, erstellt Symantec Client Firewall automatisch und transparent eine Regel, die es bekannten Anwendungen erlaubt, vom Client-Computer aus auf das Internet zuzugreifen. Client-Einstellungen in anderen Kombinationen veranlassen die Firewall, den zur Überwachung vorgemerkten Datenverkehr transparent zu blockieren oder dem Benutzer die Entscheidung zu überlassen, ob der Datenverkehr zugelassen oder blockiert werden soll.

147 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln 147 Tabelle 8-4 zeigt die Reaktionen der Firewall, wenn die Client-Firewall-Stufe auf "Hoch" eingestellt ist, in Verbindung mit aktivierten oder deaktivierten Zugriffskontrollwarnungen sowie mit aktivierter oder deaktivierter automatischer Programmsteuerung. Tabelle 8-4 Reaktionen des Überwachungsmoduls bei Einstellung der Client- Firewall-Stufe auf "Hoch" Status der Zugriffskontrollwarnmeldungen Status der automatischen Programmsteuerung Reaktion der Firewall Deaktiviert Deaktiviert Blockieren Aktiviert Deaktiviert Zulassen oder blockieren (Benutzer entscheidet). Deaktiviert Aktiviert Blockieren bei unbekannten Anwendungen. Zulassungsregel wird für bekannte Anwendungen automatisch erstellt. Aktiviert Aktiviert Zulassen oder blockieren bei unbekannten Anwendungen (Benutzer entscheidet). Zulassungsregel wird für bekannte Anwendungen automatisch erstellt. Richtungsoptionen Mithilfe der Richtungsoptionen können Sie festlegen, ob eine Regel für eingehenden Datenverkehr, ausgehenden Datenverkehr oder Datenverkehr in beiden Richtungen gilt. In Tabelle 8-5 werden die verfügbaren Richtungsoptionen beschrieben. Tabelle 8-5 Option Richtungsoptionen Beschreibung Verbindungen zu anderen Computern Verbindungen von anderen Computern Verbindungen zu und von anderen Computern Diese Regel gilt für ausgehende Verbindungen von Ihrem Computer zu einem anderen Computer. Diese Regel gilt für eingehende Verbindungen von einem anderen Computer zu Ihrem Computer. Diese Regel gilt sowohl für eingehende als auch ausgehende Verbindungen.

148 148 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln Hinweis: Symantec Client Firewall verwendet für TCP-Verbindungen die Stateful-Inspection-Technologie. Daher lässt die Firewall den eingehenden Datenverkehr zu, der als Antwort auf den ausgehenden Datenverkehr erfolgt. Sie müssen also nur noch Regeln für ausgehenden Verkehr erstellen, der vom Client initiiert wurde, z. B. HTTP-Datenverkehr. Siehe "Stateful-Inspection-Technologie" auf Seite 150. Computeroptionen Mithilfe der Computeroptionen können Sie die Computer und Netzwerkadapter angeben, für die eine Regel gelten soll. Bei den angegebenen Computern handelt es sich um Computer, deren Kommunikation mit Ihrem Computer Sie steuern möchten. In Tabelle 8-6 werden die verfügbaren Computeroptionen beschrieben. Tabelle 8-6 Option Alle Computer Computeroptionen Beschreibung Die Regel gilt für alle Computer. Nur die unten aufgeführten Computer und Sites Netzwerkadapter Die Regel gilt für einen Computer, für mehrere Computer, deren IP-Adressen in einem bestimmten Bereich liegen, oder für mehrere Computer einer Domäne. Die Regel gilt für einen bestimmten Netzwerkadapter in Ihrem Computer. Die IP-Adresse des Netzwerkadapters, für den die Regel gelten soll, wird angegeben.

149 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln 149 Protokolloptionen Mithilfe von Protokolloptionen können Sie die Kommunikationsprotokolle festlegen, die von einer Regel gesteuert werden. In Tabelle 8-7 werden die verfügbaren Protokolloptionen beschrieben. Tabelle 8-7 Option TCP UDP TCP und UDP ICMP Protokolloptionen Beschreibung Diese Regel gilt für TCP-Verbindungen (TCP = Transmission Control Protocol). Diese Regel gilt für UDP-Verbindungen (UDP = User Datagram Protocol). Diese Regel gilt sowohl für TCP- als auch für UDP- Verbindungen. Diese Regel gilt für ICMP-Verbindungen (ICMP = Internet Control Message Protocol). ICMP kann nur in allgemeinen Regeln und in Regeln für Trojanische Pferde verwendet werden. Port-Optionen Mithilfe der Port-Optionen legen Sie fest, welche Kommunikationstypen (Ports) von einer Regel betroffen sind. In Tabelle 8-8 werden die verfügbaren Port-Optionen beschrieben. Tabelle 8-8 Option Port-Optionen Beschreibung Alle Kommunikationstypen (alle Ports) Nur die unten aufgeführten Kommunikationstypen bzw. Ports Die Regel gilt für alle Kommunikationsverbindungen, die unter Verwendung eines beliebigen Ports hergestellt werden. Die Regel gilt für die aufgelisteten Ports. Sie können Ports zur Liste hinzufügen und aus der Liste entfernen. Bei Angabe von lokalen und Remote-Ports muss der überwachte Netzwerkverkehr den in der Regel angegebenen lokalen und Remote-Ports entsprechen, damit die Regel angewendet wird.

150 150 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln Protokollierungsoptionen Mithilfe der Protokollierungsoptionen können Sie festlegen, ob das Programm Sie benachrichtigen oder einen Eintrag im Ereignisprotokoll vornehmen soll, wenn ein Netzwerkkommunikationsereignis die Kriterien einer Regel erfüllt. In Tabelle 8-9 werden die verfügbaren Protokollierungsoptionen beschrieben. Tabelle 8-9 Option Protokollierungsoptionen Beschreibung Eintrag in Ereignisprotokoll vornehmen Mich mit einer Sicherheitswarnung benachrichtigen Im Firewall-Ereignisprotokoll wird ein Eintrag vorgenommen, wenn ein in der Regel beschriebenes Netzwerkkommunikationsereignis eintritt. Wenn diese Funktion aktiviert ist, können Sie die Ereignishäufigkeit neben "Ereignis nur protokollieren, wenn es X mal auftritt" angeben. Wenn ein Netzwerkkommunikationsereignis mit dieser Regel übereinstimmt, wird das Dialogfeld "Sicherheitswarnung" eingeblendet. Beschreibung Mit der Option "Beschreibung" können Sie den Namen der Regel festlegen, damit Sie sie von anderen Regeln unterscheiden können. Standortoptionen Mit den Standortoptionen wählen Sie die Standorte aus, für die diese Regel gelten soll. Stateful-Inspection-Technologie Symantec Client Firewall verwendet die Stateful-Inspection-Technologie, die eine Verbindungsstatustabelle erstellt, in der Informationen über aktuelle Verbindungen, z. B. Quell- und Ziel-IP-Adressen, Ports, Anwendungen, aufgezeichnet werden. Symantec Client Firewall trifft Entscheidungen über den Fluss des Datenverkehrs mithilfe dieser Verbindungsinformationen, bevor allgemeine und Programmregeln geprüft werden.

151 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln 151 Wenn beispielsweise eine Firewall einem Client gestattet, eine Verbindung mit einem Web-Browser herzustellen, protokolliert die Firewall Verbindungsinformationen in der Statustabelle. Wenn der Server antwortet, prüft die Firewall die Statustabelle, stellt fest, dass eine Antwort des Web-Browsers an den Client erwartet wird, und leitet den Web-Server-Datenverkehr weiter an den Client, ohne auf die Regelbasis zuzugreifen. Der anfängliche ausgehende Datenverkehr muss von einer Regel zugelassen werden, damit die Firewall die Verbindung in der Statustabelle protokolliert. Durch die Stateful-Inspection-Technologie können Sie ihre Regelbasen vereinfachen, da Sie keine Regeln erstellen müssen, die Datenverkehr in zwei Richtungen zulassen, der üblicherweise nur in einer Richtung initiiert wurde. Zu Client- Datenverkehr, der üblicherweise in einer Richtung initiiert wird, gehört Telnet (Port 23), FTP (Ports 20 und 21), HTTP (Port 80) und HTTPS (Port 443). Clients initiieren diesen ausgehenden Datenverkehr, so dass Sie nur noch eine Regel erstellen müssen, die den ausgehenden Datenverkehr über diese Protokolle zulässt. Die Firewall lässt den zurückkehrenden Datenverkehr nach Prüfung der Statustabelle zu. Indem Sie dort, wo es möglich ist, nur Regeln für ausgehenden Datenverkehr konfigurieren, erhöhen Sie die Client-Sicherheit auf folgende Art: Sie verringern die Komplexität der Regelbasis. Sie verhindern, dass ein Wurm oder ein anderes bösartiges Programm Verbindungen mit einem Client über Ports herstellen kann, die nur für ausgehenden Datenverkehr konfiguriert wurden. Sie können auch Regeln konfigurieren, die nur für eingehenden Datenverkehr an Clients gelten, den diese nicht initiieren. Die Stateful-Inspection-Technologie unterstützt alle Regeln, die den TCP-Datenverkehr lenken. Sie bietet jedoch keine Unterstützung für Regeln, die den UDPund ICMP-Datenverkehr filtern. Für UDP und ICMP müssen Sie bei Bedarf Regeln erstellen, die Datenverkehr in beide Richtungen zulassen. Wenn Sie beispielsweise möchten, dass Clients einen Ping-Befehl senden und Antworten erhalten, müssen Sie eine Regel erstellen, die ICMP-Datenverkehr in beide Richtungen zulässt. Prioritäten für die Verarbeitung von Firewall-Regeln Wenn ein Computer versucht, eine Verbindung zu Ihrem System herzustellen oder wenn Ihr Computer versucht, die Verbindung zu einem Computer im Internet herzustellen, vergleicht Symantec Client Firewall den Verbindungstyp mit der Liste der Firewall-Regeln.

152 152 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln Firewall-Regeln werden in einer festgelegten Reihenfolge beginnend mit der Statustabelle verarbeitet. Wenn der eingehende Datenverkehr beispielsweise eine Reaktion auf ausgehenden Verkehr ist, untersucht die Firewall zuerst die Statustabelle, erkennt, dass es sich um erwarteten Datenverkehr handelt, und lässt den Verkehr daraufhin zu. Selbst wenn eine Regel vorhanden sein sollte, die den eingehenden Datenverkehr als Reaktion auf ausgehenden Datenverkehr blockiert, wird diese Blockierungsregel nicht verarbeitet. Nachdem die Statustabelle überprüft wurde, erfolgt die weitere Verarbeitung der Regel basierend darauf, ob die Regel gesperrt oder nicht gesperrt ist. Alle Regeln, die mit Symantec Client Firewall erstellt wurden, sind nicht gesperrt. Regeln, die mit Symantec Client Firewall Administrator erstellt und auf Symantec Client Firewall exportiert wurden, können gesperrt oder nicht gesperrt sein. In Tabelle 8-10 wird die Reihenfolge beschrieben, in der Symantec Client Firewall Firewall-Regeln verarbeitet. Tabelle 8-10 Prioritäten für die Verarbeitung von Regeln Priorität Regeltyp Benutzertyp 1. Allgemein Gesperrt 2. Programm Gesperrt 3. Allgemein Nicht gesperrt 4. Programm Nicht gesperrt 5. Trojanische Pferde Gesperrt 6. Trojanische Pferde Nicht gesperrt Hinweis: Das Secure Port-Dienstprogramm sichert die in den Regeln für Trojanische Pferde definierten Ports so umfassend, dass alle Regeln für Trojanische Pferde, die mit der Option "Blockieren" konfiguriert sind, für ausgehenden Datenverkehr die höchste Priorität haben. Siehe "Verwendung von Secure Port" auf Seite 157. Firewall-Regeln hinzufügen Bevor Sie eine neue Firewall-Regel hinzufügen, müssen Sie zuerst bestimmen, ob diese Regel für den allgemeinen Zugriff auf das Internet oder nur für ein Programm gelten soll.

153 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln 153 Die folgenden Regeltypen sind verfügbar: Allgemeine Regeln wirken sich auf alle Anwendungen aus, die auf das Internet zugreifen, da sie alle Pakete überprüfen. Programmregeln steuern den Internet-Zugriff eines einzelnen Programms. Verwenden Sie Programmregeln, wenn für ein Programm Internet-Zugriff benötigt wird. Regeln für Trojanische Pferde werden üblicherweise verwendet, um Ports zu blockieren, die von Trojanischen Pferden verwendet werden könnten. Auch diese Regeln überprüfen alle Pakete, kommen jedoch erst nach den allgemeinen und den Programmregeln zum Einsatz. Allgemeine Regeln hinzufügen Sie können Firewall-Regeln erstellen, die für alle Programme gelten, die auf Ihrem Computer installiert sind. So fügen Sie eine allgemeine Regel hinzu 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Klicken Sie in der Registerkarte "Erweitert" des Symantec Client Firewall- Fensters auf "Allgemein". 4 Klicken Sie im Fenster "Allgemeine Regeln" auf "Hinzufügen". 5 Folgen Sie den Anweisungen am Bildschirm. 6 Klicken Sie in der Registerkarte "Erweitert" auf "OK". Programmregeln hinzufügen Sie können Firewall-Regeln für Programme erstellen, die für bestimmte Programme gelten, die auf Ihrem Computer installiert sind. So fügen Sie eine Programmregel hinzu 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Klicken Sie in der Registerkarte "Programme" des Symantec Client Firewall- Fensters auf "Hinzufügen". 4 Wählen Sie im Dialogfeld "Wählen Sie ein Programm" eine ausführbare Datei aus und klicken Sie auf "Öffnen".

154 154 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln 5 Klicken Sie im Dropdown-Listenfeld "Wie möchten Sie vorgehen" des eingeblendeten Meldungsfensters auf "Internet-Zugriff manuell konfigurieren". 6 Klicken Sie auf "OK". 7 Folgen Sie den Anweisungen am Bildschirm. 8 Klicken Sie auf der Registerkarte "Programme" auf "OK". Regeln für Trojanische Pferde hinzufügen Sie können Firewall-Regeln für Bedrohungen durch Trojanische Pferde erstellen und diese so anordnen, dass sie zuletzt überprüft werden. Wenn eine Übereinstimmung mit den Regeln für Trojanische Pferde gefunden wird, wird die den Datenverkehr initiierende IP-Adresse automatisch blockiert. Siehe "AutoBlock aktivieren oder deaktivieren" auf Seite 165. So fügen Sie eine Regel für Trojanische Pferde hinzu 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Klicken Sie in der Registerkarte "Erweitert" auf "Trojanisches Pferd". 4 Klicken Sie im Dialogfeld "Regeln für Trojanische Pferde" auf "Hinzufügen". 5 Folgen Sie den Anweisungen am Bildschirm. 6 Klicken Sie in der Registerkarte "Erweitert" auf "OK". Vorhandene Firewall-Regeln ändern Firewall-Regeln, deren Funktionsweise nicht Ihren Vorstellungen entspricht, können geändert werden. Wenn Sie eine Regel ändern, wird diese für alle Standorte geändert, die die Regel implementieren. Hinweis: Wenn Ihr Administrator die Firewall-Richtlinie aktualisiert, die die Ausführung von Programmen an bestimmten Standorten verhindert, können Sie vorhandene Programmregeln, auf die sich die neue Richtlinie auswirkt, nicht ändern. Sie können diese Programmregeln jedoch löschen. Nachdem Sie die Programmregel gelöscht und das Programm erneut gestartet haben, werden Programmregeln ausschließlich für Standorte erstellt, die nicht von der neuen Richtlinie betroffen sind.

155 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln 155 So ändern Sie eine vorhandene Firewall-Regel 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Führen Sie einen der folgenden Schritte aus: Wählen Sie im Symantec Client Firewall-Fenster im Dropdown-Listenfeld "Einstellungen für" der Registerkarte "Programme" den Standort aus, der die zu ändernde Regel enthält. Wählen Sie im Symantec Client Firewall-Fenster in der Registerkarte "Erweitert" eine allgemeine Regel oder eine Regel für Trojanische Pferde aus. 4 Wählen Sie die zu ändernde Regel aus. 5 Klicken Sie auf "Ändern". 6 Befolgen Sie die Anweisungen auf dem Bildschirm, um alle Regeldetails zu ändern. 7 Wenn Sie alle Regeln wie gewünscht geändert haben, klicken Sie auf "OK". Reihenfolge der Firewall-Regeln ändern Symantec Client Firewall verarbeitet jede Liste mit Firewall-Regeln von oben nach unten. Sie können festlegen, wie Symantec Client Firewall die Firewall-Regeln verarbeitet, indem Sie die Reihenfolge der Regeln ändern. Wenn Sie die Reihenfolge ändern, wirkt sich dies nur auf den derzeit ausgewählten Standort aus. Hinweis: Firewall-Regeln können sowohl gesperrte als auch nicht gesperrte Regeln enthalten. Ihr Systemadministrator kann Regeln sperren, so dass Sie deren Reihenfolge nicht ändern können. Gesperrte Regeln haben immer eine höhere Priorität als nicht gesperrte Regeln desselben Regelsatzes. Sie können nur die Reihenfolge der nicht gesperrten Regeln ändern. So ändern Sie die Reihenfolge einer Firewall-Regel 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall".

156 156 Schutz vor unbefugten Zugriffsversuchen Anpassen der Firewall-Regeln 3 Führen Sie einen der folgenden Schritte aus: Wählen Sie im Symantec Client Firewall-Fenster im Dropdown-Listenfeld "Einstellungen für" der Registerkarte "Programme" den Standort aus, der die neu zu ordnenden Regeln enthält. Wählen Sie im Symantec Client Firewall-Fenster in der Registerkarte "Erweitert" eine allgemeine Regel oder eine Regel für Trojanische Pferde aus. 4 Wählen Sie die Regel aus, die Sie verschieben möchten. 5 Führen Sie einen der folgenden Schritte aus: Damit Symantec Client Firewall diese Regel vor der darüber stehenden Regel verarbeitet, klicken Sie auf "Nach oben". Damit Symantec Client Firewall diese Regel nach der darunter stehenden Regel verarbeitet, klicken Sie auf "Nach unten". 6 Wenn Sie das Verschieben der Regeln beendet haben, klicken Sie auf "OK". Firewall-Regeln vorübergehend deaktivieren Sie können eine Firewall-Regel vorübergehend deaktivieren, wenn Sie den Zugriff auf einen bestimmten Computer oder ein bestimmtes Programm zulassen müssen. Wenn Sie eine Regel deaktivieren, wird diese für alle Standorte deaktiviert, die die Regel implementieren. Denken Sie daran, die Regel wieder zu aktivieren, wenn Sie mit der Bearbeitung des zu ändernden Programms oder Computers fertig sind. So deaktivieren Sie eine Firewall-Regel vorübergehend 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Führen Sie einen der folgenden Schritte aus: Klicken Sie im Symantec Client Firewall-Fenster in der Registerkarte "Programme" auf "Ändern" und deaktivieren Sie anschließend das Feld neben der zu deaktivierenden Regel. Wählen Sie im Symantec Client Firewall-Fenster in der Registerkarte "Erweitert" eine allgemeine Regel oder eine Regel für Trojanische Pferde aus und deaktivieren Sie anschließend das Feld neben der zu deaktivierenden Regel.

157 Schutz vor unbefugten Zugriffsversuchen Verwendung von Secure Port 157 Firewall-Regeln entfernen Sie sollten nicht mehr benötigte Firewall-Regeln entfernen. Wenn Sie eine Regel löschen, werden Sie aufgefordert, anzugeben, ob die Regel nur aus dem aktuellen oder aus allen Standorten gelöscht werden soll. Allgemeine Regeln oder Regeln für Trojanische Pferde, die gesperrt sind, können nicht geändert werden. Dasselbe gilt für Programmregeln, die gesperrte Regeln enthalten. So entfernen Sie eine Firewall-Regel 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Client-Firewall". 3 Führen Sie einen der folgenden Schritte aus: Wählen Sie im Symantec Client Firewall-Fenster im Dropdown-Listenfeld "Einstellungen für" der Registerkarte "Programme" den Standort aus, der die zu löschenden Regeln enthält. Wählen Sie im Symantec Client Firewall-Fenster in der Registerkarte "Erweitert" eine allgemeine Regel oder eine Regel für Trojanische Pferde aus. 4 Wählen Sie die Regel aus, die Sie entfernen möchten. 5 Klicken Sie auf "Löschen". 6 Wenn Sie alle gewünschten Regeln entfernt haben, klicken Sie auf "OK". Verwendung von Secure Port Secure Port blockiert den ausgehenden TCP- und UDP-Datenverkehr über lokale Ports, die in Regeln für Trojanische Pferde definiert sind, und über Ports, die von Benutzern von Symantec Client Firewall festgelegt wurden. Secure Port sichert die Ports so umfassend, dass die Firewall für ausgehenden Datenverkehr über diese Ports die Regelbasis nicht prüfen muss. Da die Regelbasis für Datenverkehr über diese Ports nicht geprüft wird, werden selbst dann keine Firewall-Warnmeldungen für Datenverkehr über diese Ports angezeigt, wenn die Funktion "Sicherheitswarnmeldungen immer anzeigen" aktiviert ist. Die Regelbasis wird für eingehenden Datenverkehr über diese Ports geprüft. Wenn Secure Port aktiviert ist, wissen Windows-Programme, die beliebige Ports verwenden, dass diese Ports gesichert sind, und überspringen diese bei der Sequenzierung beliebiger Ports. Somit schützt Secure Port Clients vor Trojanischen Pferden, die Ports innerhalb des Bereichs allgemeiner zugelassener Ports verwenden, ohne den Datenverkehr zu stören.

158 158 Schutz vor unbefugten Zugriffsversuchen Verwendung von Secure Port Hinweis: Secure Port sichert nur solche Ports, die in Regeln für Trojanische Pferde als "Lokal blockieren" konfiguriert sind. Außerdem werden die Ports auch in vertrauenswürdigen Zonen gesichert. Secure Port kann die Ports, die von anderen Programmen verwendet werden, nicht schützen. Zudem muss eine Programmregel vorhanden sein, die den eingehenden TCP- und UDP-Datenverkehr für "SymSPort.exe" blockiert, da sonst die Regel für Trojanische Pferde weiterhin angezeigt wird. Diese Regel wird standardmäßig installiert. Secure Port aktivieren und deaktivieren Secure Port sichert alle lokalen Ports, die in Regeln für Trojanische Pferde definiert sind. Secure Port aktivieren und deaktivieren Mit Secure Port können Sie bestimmte Ports selektiv aktivieren und deaktivieren. So aktivieren Sie Secure Port 1 Klicken Sie oben im Hauptfenster auf "Optionen".

159 Schutz vor unbefugten Zugriffsversuchen Verwendung von Secure Port Aktivieren Sie auf der Registerkarte "Secure Port" im Fenster "Symantec Client Firewall-Optionen" die Option zum Aktivieren der Secure Port- Technologie und klicken Sie anschließend auf "OK". Wenn die Ports gesichert sind, werden sie in der Spalte "Gesichert" mit einem "X" markiert. Dieser Vorgang kann bis zu 30 Sekunden dauern. 3 Um zu überprüfen, ob die Ports geschützt sind, öffnen Sie erneut das Dialogfeld "Symantec Client Firewall-Optionen". So deaktivieren Sie Secure Port für einzelne Ports 1 Heben Sie die Markierung des Ziel-Ports in der Spalte "Protokoll" der Port- Liste auf. 2 Klicken Sie auf "OK". Wenn der Port freigegeben ist, wird er in der Spalte "Gesichert" nicht mit einem "X" markiert. 3 Um zu überprüfen, ob der Port freigegeben ist, öffnen Sie erneut das Dialogfeld "Symantec Client Firewall-Optionen". So aktivieren Sie Secure Port für einzelne Ports 1 Markieren Sie in der Spalte "Protokoll" der Port-Liste das Feld der Zeile, in der der Ziel-Port aufgelistet ist. 2 Klicken Sie auf "OK". Wenn der Port gesichert ist, wird er in der Spalte "Gesichert" mit einem "X" markiert. 3 Um zu überprüfen, ob der Port gesichert ist, öffnen Sie erneut das Dialogfeld "Symantec Client Firewall-Optionen". So deaktivieren Sie Secure Port 1 Klicken Sie oben im Hauptfenster auf "Optionen". 2 Deaktivieren Sie im Fenster "Symantec Client Firewall-Optionen" auf der Registerkarte "Secure Port" die Option zum Aktivieren der Secure Port- Technologie und klicken Sie anschließend auf "OK". Wenn die Ports freigegeben sind, wird in der Spalte "Gesichert" kein "X" angezeigt. 3 Um zu überprüfen, ob die Ports freigegeben sind, öffnen Sie erneut das Dialogfeld "Symantec Client Firewall-Optionen".

160 160 Schutz vor unbefugten Zugriffsversuchen Verwenden der Protokollfilterung Benutzerdefinierte Ports hinzufügen und entfernen Mit Secure Port können Sie zusätzliche Ports hinzufügen oder Ports entfernen. Benutzerdefinierte Ports hinzufügen und entfernen Wenn Sie versuchen, einen Port zu entfernen, der mit einer Regel für Trojanische Pferde definiert wurde, wird der Port nur deaktiviert. Er wird nicht aus der Liste entfernt. So fügen Sie einen benutzerdefinierten Port zu Secure Port hinzu 1 Klicken Sie oben im Hauptfenster auf "Optionen". 2 Wählen Sie im Symantec Client Firewall-Fenster auf der Registerkarte "Secure Port" unter "Protokoll" eine der folgenden Optionen aus: TCP UDP TCP, UDP 3 Geben Sie unter "Port-Nummer" die Port-Nummer ein, die hinzugefügt werden soll. 4 Klicken Sie auf "Hinzufügen". In der Port-Liste wird eine Zeile mit der Port-Nummer angezeigt. 5 Klicken Sie auf "OK". So entfernen Sie einen benutzerdefinierten Port aus Secure Port 1 Klicken Sie in der Port-Liste mit der rechten Maustaste auf die Zeile, in der der Ziel-Port aufgeführt ist, und klicken Sie anschließend auf "Entfernen". Die Zeile, in der die Port-Nummer aufgeführt ist, wird gelöscht. 2 Klicken Sie auf "OK". Verwenden der Protokollfilterung Mithilfe der Protokollfilterung können Sie eingehenden und ausgehenden Datenverkehr, der weniger gebräuchliche IP-Protokolle verwendet, zulassen oder blockieren. Der Netzwerkverkehr verwendet in der Regel gebräuchliche Protokolle wie TCP, UDP und ICMP, die über Regeln und prules konfiguriert werden. Da viele Produkte, einschließlich VPN-Lösungen, weniger gebräuchliche IP-Protokolle für die Kommunikation einsetzen, sollten Sie alle IP-Protokolle zulassen, bis Sie genau wissen, welche Software und Tools in Ihrem Netzwerk verwendet werden. Eine aktuelle Liste aller IP-Protokolle finden Sie unter:

161 Schutz vor unbefugten Zugriffsversuchen Verwenden der Protokollfilterung 161 VPN-Protokolle VPNs (Virtual Private Networks) verwenden je nach benötigtem Kommunikationstyp und dem für die Kommunikationstunnels verwendeten Sicherheitstyp zusätzliche Protokolle. Dabei kommen verschiedene Protokolltypen zum Einsatz. Falls Ihr VPN-Client keine Verbindung zu Ihrem internen Netzwerk aufbauen kann, blockiert die Firewall möglicherweise die für die Kommunikation erforderlichen IP-Protokolle. Um die Sicherheit zu erhöhen, können Sie die einzelnen IP- Protokolle zulassen, die von Ihrer VPN-Lösung benötigt werden. Wenn Sie sich nicht sicher sind, welche Protokolle in Ihrem Netzwerk erforderlich sind, ist es aber auch möglich, alle für VPN-Lösungen gängigen IP-Protokolle zuzulassen. In Tabelle 8-11 werden gängige VPN-Protokolle beschrieben. Tabelle 8-11 IP-Protokoll VPN-Protokolle und ihre Beschreibung Beschreibung 47 - GRE Das GRE-Protokoll (Generic Routing Encapsulation) wird in VPNs eingesetzt, die das Microsoft Point-to-Point-Tunneling-Protocol (PPTP) verwenden ESP Das ESP-Protokoll (Encapsulation Security Payload) wird in VPNs eingesetzt, die das IPSec-Protokoll verwenden AH Das AH-Protokoll (Authentication Header) wird in VPNs eingesetzt, die das IPSec-Protokoll verwenden TLSP Das TLSP (Transport Layer Security Protocol) verwendet die Kryptonet-Schlüsselverwaltung für Datenschutz und Datenintegrität zwischen zwei Anwendungen, die über das Internet kommunizieren SKIP Das SKIP-Protokoll (Simple Key-Management Protocol) wird in VPNs eingesetzt, die das SSL- oder das IPsec-Protokoll verwenden L2TP Das L2TP-Protokoll (Level 2 Tunneling) wird in VPNs eingesetzt, die das IPSec-Protokoll verwenden. L2TP ist außerdem das wichtigste Authentifizierungs- und Verschlüsselungsprotokoll von Microsoft. Erweiterte Protokolle zulassen und blockieren Mithilfe der Protokollfilterung können Sie alle IP-Protokolle zulassen oder blockieren, die nicht von allgemeinen Regeln, Programmregeln oder Regeln für Trojanische Pferde überwacht werden.

162 162 Schutz vor unbefugten Zugriffsversuchen Anpassen von Intrusion Prevention So lassen Sie erweiterte Protokolle zu oder blockieren diese 1 Klicken Sie oben im Hauptfenster auf "Optionen". 2 Wählen Sie in der Registerkarte "Protokollfilterung" des Fensters "Symantec Client Firewall-Optionen" die Protokolle aus, die Sie zulassen oder blockieren möchten. 3 Klicken Sie auf "OK". Anpassen von Intrusion Prevention Die Intrusion-Prevention-Standardeinstellungen sollten Sie mit einem ausreichenden Schutz versehen. Wenn der Standardschutz sich als ungeeignet erweist, können Sie die Einstellungen für Intrusion Prevention anpassen. Sie können Intrusion Prevention anpassen, indem Sie bestimmte Netzwerkaktivitäten von der Überwachung bzw. der Warnfunktion ausschließen oder AutoBlock aktivieren bzw. deaktivieren. Hinweis: Intrusion Prevention wird weniger sicher, wenn Sie Änderungen vornehmen. Signaturen oder IP-Adressen, die von Ihrem System-Administrator gesperrt wurden, können Sie nicht ausschließen.

163 Schutz vor unbefugten Zugriffsversuchen Anpassen von Intrusion Prevention 163 Intrusion-Prevention-Warnmeldungen anzeigen In Symantec Client Firewall können Sie auswählen, ob Warnmeldungen angezeigt werden sollen, wenn Verbindungen durch Intrusion Prevention blockiert werden. So zeigen Sie Intrusion-Prevention-Warnungen an 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Intrusion Prevention". 3 Aktivieren Sie in der Registerkarte "Intrusion Prevention" die Option "Benachrichtigen, wenn Intrusion Prevention Verbindungen blockiert". Intrusion-Prevention-Warnungen ausschließen In Symantec Client Firewall können Sie Warnmeldungen für einzelne Angriffssignaturen ausschließen. Wenn Sie wiederholt Warnungen bezüglich potenzieller Angriffe erhalten und nicht sicher sind, ob diese von sicheren Aktivitäten ausgelöst werden oder schädlich sind, können Sie geschützt weiterarbeiten, ohne dass ständig Warnungen angezeigt werden. Hinweis: Wenn Intrusion-Prevention-Warnmeldungen angezeigt werden sollen, müssen Sie die Option "Warnmeldungen ausgeben, wenn Intrusion Prevention Verbindungen blockiert" aktivieren. Anschließend können Sie Warnmeldungen für einzelne Angriffssignaturen ausschließen. Wenn diese Einstellung deaktiviert ist, werden bei potentiellen Angriffen keine Warnmeldungen ausgelöst. So schließen Sie Intrusion-Prevention-Warnungen aus 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Intrusion Prevention". 3 Klicken Sie in der Registerkarte "Intrusion Prevention" auf "Erweitert". 4 Wählen Sie in der Liste "Intrusion Prevention Signaturnamen" des Dialogfelds "Intrusion Prevention Signaturausschlüsse" die Angriffssignatur aus, die Sie ausschließen möchten. 5 Klicken Sie auf "Eigenschaften". 6 Deaktivieren Sie die Option "Benachrichtigen, wenn diese Signatur erkannt wird". 7 Klicken Sie auf "OK".

164 164 Schutz vor unbefugten Zugriffsversuchen Anpassen von Intrusion Prevention Netzwerkaktivitäten von der Überwachung ausschließen In manchen Fällen können harmlose Netzwerkaktivitäten ähnlich aussehen wie eine Symantec Client Firewall-Angriffssignatur. Wenn Sie wiederholt Warnungen bezüglich potenzieller Angriffe erhalten und wissen, dass diese sogenannten "Angriffe" von sicheren Aktivitäten ausgelöst werden, können Sie für die Angriffssignatur, die der harmlosen Aktivität entspricht, einen Ausschluss definieren. Hinweis: Jeder von Ihnen erstellte Ausschluss macht Ihren Computer für Angriffe anfällig und wirkt sich auf alle IP-Adressen aus. Seien Sie äußerst vorsichtig, wenn Sie Angriffsmuster ausschließen, und schließen Sie nur Verhaltensweisen aus, die in jedem Fall harmlos sind. Wenn Ihr System-Administrator die Signaturen gesperrt hat, können Sie sie möglicherweise nicht ausschließen. So schließen Sie Angriffssignaturen von der Überwachung aus 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Intrusion Prevention". 3 Klicken Sie in der Registerkarte "Intrusion Prevention" auf "Erweitert". 4 Wählen Sie in der Liste "Intrusion Prevention Signaturnamen" des Dialogfelds "Intrusion Prevention Signaturausschlüsse" die Angriffssignatur aus, die Sie ausschließen möchten. 5 Heben Sie die Markierung des Signaturnamens auf.

165 Schutz vor unbefugten Zugriffsversuchen Anpassen von Intrusion Prevention Wenn Sie alle gewünschten Signaturen ausgeschlossen haben, klicken Sie auf "OK". 7 Klicken Sie auf "OK". Angriffssignaturen aufnehmen Wenn ausgeschlossene Angriffssignaturen erneut überwacht werden sollen, können Sie sie wieder zur Liste der aktiven Signaturen hinzufügen. So fügen Sie Angriffssignaturen zur Liste der aktiven Signaturen hinzu 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Intrusion Prevention". 3 Klicken Sie in der Registerkarte "Intrusion Prevention" auf "Erweitert". 4 Wählen Sie in der Liste "Intrusion Prevention Signaturnamen" des Dialogfelds "Intrusion Prevention Signaturausschlüsse" die Angriffssignatur aus, die Sie erneut überwachen möchten. 5 Wählen Sie den gewünschten Signaturnamen. 6 Wenn Sie alle gewünschten Signaturen eingeschlossen haben, klicken Sie auf "OK". 7 Klicken Sie auf "OK". AutoBlock aktivieren oder deaktivieren Wenn Symantec Client Firewall einen Angriff erkennt, wird automatisch der Datenverkehr blockiert, der vom angreifenden Computer ausgeht, um die Sicherheit Ihres Computers zu gewährleisten. Auch Datenverkehr, der in Regeln für Trojanische Pferde definiert ist, wird als Angriff erkannt. Symantec Client Firewall kann außerdem AutoBlock aktivieren, eine Funktion, die sowohl jeglichen eingehenden Datenverkehr, der von einem angreifenden Computer ausgeht, als auch jeglichen ausgehenden Datenverkehr zum angreifenden Computer für einen festgelegten Zeitraum blockiert, auch wenn der Datenverkehr mit keiner Angriffssignatur übereinstimmt. AutoBlock stoppt standardmäßig jeglichen Datenverkehr zum und vom angreifenden Computer 30 Minuten lang und übernimmt die IP-Adresse des angreifenden Computers in die AutoBlock-Liste.

166 166 Schutz vor unbefugten Zugriffsversuchen Anpassen von Intrusion Prevention Wenn AutoBlock deaktiviert ist und Intrusion Prevention erkennt, dass der eingehende Datenverkehr mit einer Angriffssignatur übereinstimmt, werden auf Ihrem Computer möglicherweise mehrere Warnmeldungen über einen längeren Zeitraum angezeigt. Sie können dann die Warnmeldungen für diese Angriffssignatur ausschließen. Siehe "Intrusion-Prevention-Warnungen ausschließen" auf Seite 163. Hinweis: Im Hauptfenster muss festgelegt sein, dass die Client-Firewall die Verarbeitung von AutoBlock-IP-Adressen zulässt. Wenn die Client-Firewall deaktiviert ist, ist AutoBlock auch deaktiviert. Außerdem ist zu beachten, dass IP- Adressen in einer vertrauenswürdigen Zone nie zur AutoBlock-Liste hinzugefügt werden und dass AutoBlock-IP-Adressen allen Standorten zugeordnet sind. So aktivieren oder deaktivieren Sie AutoBlock 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Intrusion Prevention". 3 Führen Sie auf der Registerkarte "AutoBlock" einen der folgenden Schritte aus: Aktivieren Sie die Option "AutoBlock einschalten". Deaktivieren Sie "AutoBlock einschalten". Symantec Client Firewall-Daten in AutoBlock übernehmen Wenn Symantec Client Firewall einen Angriff erkennt, nimmt es die IP-Adresse des angreifenden Computers in die AutoBlock-Liste auf. So übernehmen Sie Symantec Client Firewall-DAten in AutoBlock 1 Klicken Sie im Symantec AntiVirus-Fenster auf "Konfigurieren > Dateisystem Auto-Protect". 2 Aktivieren Sie im Fenster von Dateisystem-Auto-Protect die Option "Auto- Protect aktivieren". 3 Klicken Sie auf "Erweitert". 4 Führen Sie im Fenster "Auto-Protect - Weitere Optionen" unter "Bedrohungsverfolgung" einen der folgenden Schritte aus: Aktivieren Sie "Bedrohungsverfolgung aktivieren". Aktivieren Sie "IP-Adresse des Quell-Computers auflösen". Aktivieren Sie "Client-Firewall blockiert automatisch die IP-Adresse des Quell-Computers".

167 Schutz vor unbefugten Zugriffsversuchen Anpassen von Intrusion Prevention Klicken Sie auf "OK". 6 Klicken Sie im Fenster "Dateisystem Auto-Protect" auf "OK". Computer freigeben, die zurzeit durch AutoBlock blockiert werden In bestimmten Fällen interpretiert Symantec Client Firewall normale Aktivitäten als Angriff. Wenn Sie nicht mit Computern kommunizieren können, mit denen jedoch eine Verbindungsherstellung möglich sein sollte, befinden sich diese möglicherweise in der Liste der zurzeit von AutoBlock blockierten Computer. Wenn ein Computer, auf den Sie zugreifen müssen, in der Liste der Computer geführt wird, die zurzeit von AutoBlock blockiert werden, müssen Sie die Blockierung dieses Computers aufheben. Wenn Sie Ihre Schutzeinstellungen geändert haben und die AutoBlock-Liste zurücksetzen möchten, können Sie die Blockierung für alle in dieser Liste geführten Computer gleichzeitig aufheben. So heben Sie die Blockierung von Computern auf, die zurzeit durch AutoBlock blockiert werden 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Intrusion Prevention". 3 Führen Sie auf der Registerkarte "AutoBlock" einen der folgenden Schritte aus: Wenn Sie die Blockierung für einen einzelnen Computer aufheben möchten, wählen Sie seine IP-Adresse aus, und klicken Sie auf "Freigeben". Um die Blockierung für alle Computer in der AutoBlock-Liste aufzuheben, klicken Sie auf "Alle freigeben". Computer von AutoBlock ausschließen Symantec Client Firewall erkennt gelegentlich normale Internet-Aktivitäten als Angriffe. Beispiel: Einige Internet-Dienstanbieter prüfen die Ports Ihres Computers, um sicherzustellen, dass keine Störung aufgetreten ist. Damit Ihre Internet- Nutzung nicht durch normale Aktivitäten unterbunden wird, können Sie diese Aktivitäten von einer Blockierung durch AutoBlock ausschließen. Hinweis: Von Ihrem Systemadministrator gesperrte Computer können nicht entfernt werden.

168 168 Schutz vor unbefugten Zugriffsversuchen Anpassen von Intrusion Prevention So schließen Sie Computer von AutoBlock aus 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Intrusion Prevention". 3 Klicken Sie in der Registerkarte "AutoBlock" auf " Ausschlüsse". 4 Führen Sie einen der folgenden Schritte aus: Wählen Sie in der Liste der aktuell blockierten Computer einen blockierten Computer aus und klicken Sie anschließend auf "Entfernen". Klicken Sie auf "Hinzufügen" und geben Sie dann den Computernamen, die IP-Adresse, den IP-Adressbereich oder die Netzwerkadresse des Computers ein, den Sie ausschließen möchten. 5 Wenn Sie alle gewünschten Computer ausgeschlossen haben, klicken Sie auf "OK". Blockierten Computer zur eingeschränkten Zone hinzufügen Sie haben die Möglichkeit, einen blockierten Computer zur eingeschränkten Zone hinzuzufügen, damit dieser Computer nie Zugriff auf Ihren Computer erhält. Computer, die zur eingeschränkten Zone hinzugefügt wurden, werden nicht in der Blockierungsliste angezeigt, da Symantec Client Firewall automatisch alle Verbindungsversuche von eingeschränkten Computern unterbindet. So fügen Sie einen blockierten Computer zur eingeschränkten Zone hinzu 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Intrusion Prevention". 3 Wählen Sie in der Registerkarte "AutoBlock" in der Liste der aktuell von Auto- Block blockierten Computer die Adresse aus, die Sie zur eingeschränkten Zone hinzufügen möchten. 4 Klicken Sie auf "Einschränken". 5 Wenn Sie alle Computer bearbeitet haben, klicken Sie auf "OK".

169 Kapitel 9 Sicheres Surfen im Internet Dieses Kapitel enthält folgende Themen: Allgemeines zum Datenschutz Blockieren von Werbung Verwendung von erweiterten Einstellungen für Web-Inhalte Allgemeines zum Datenschutz Jedes Mal, wenn Sie im Internet surfen, erfassen Computer und Websites Daten über Sie. Ein Teil dieser Informationen stammt aus von Ihnen ausgefüllten Formularen oder aus Wahlmöglichkeiten, für die Sie sich auf einer Web-Seite entschieden haben. Andere Daten stammen aus Ihrem Browser, der automatisch Informationen über die zuletzt von Ihnen besuchte Website und über Ihren Computertyp bereitstellt. Viele Websites speichern erfasste Informationen in Cookies, die auf Ihrer Festplatte abgelegt werden. Wenn Sie eine Website, die auf Ihrem Computer ein Cookie abgelegt hat, erneut besuchen, öffnet der Web-Server die Cookie-Datei und liest sie. Die meisten Cookies sind harmlos. Sites verwenden Cookies, um Web-Seiten zu personalisieren, sich an die von Ihnen auf der Site getroffene Auswahl zu erinnern und für Ihren Computer optimierte Seiten bereitzustellen. Aber Sites können anhand der Cookies auch Ihre Internetnutzung und Ihr Surfverhalten verfolgen. Benutzer mit böswilligen Absichten können außerdem ohne Ihr Wissen persönliche Daten erfassen. Jedes Mal, wenn Sie Informationen über das Internet senden, müssen die Daten eine Reihe von Computern passieren, bevor sie an ihr Ziel gelangen. Während der Übertragung können andere Personen die Informationen möglicherweise abfangen und "stehlen".

170 170 Sicheres Surfen im Internet Allgemeines zum Datenschutz Computer enthalten zwar einige grundlegende Sicherheitsfunktionen, aber diese reichen unter Umständen nicht aus, um Ihre persönlichen Daten zu schützen. Die Datenschutzfunktion hilft, die Vertraulichkeit Ihrer Daten zu schützen, indem Sie auf verschiedenen Ebenen steuern können, was mit Cookies und sonstigen Informationen geschieht, die Ihr Browser an Websites sendet. Die Datenschutzfunktion kann weiterhin dafür sorgen, dass Sie persönliche Daten, beispielsweise Kreditkartennummern, nur dann über das Internet senden, wenn diese Daten verschlüsselt sind oder Sie die Weiterleitung der Daten ausdrücklich zulassen. Die Datenschutzfunktion filtert nur einfachen Text. Ports auswählen, die vom Datenschutz überwacht werden Das Fenster "Symantec Client Firewall-Optionen" enthält eine Liste der Ports, die vom Datenschutz überwacht werden. Abbildung 9-1 zeigt die Position der Port-Liste. Abbildung 9-1 HTTP-Port-Liste, die für das Filtern zur Datenschutzkontrolle verwendet wird Ports, die für das Filtern zur Datenschutzkontrolle verwendet werden

171 Sicheres Surfen im Internet Allgemeines zum Datenschutz 171 Bei der Auswahl von Datenschutzfunktionen und -optionen wird angenommen, dass die Funktionen und Optionen diese Ports verwenden. Wenn der Datenschutz aktiviert ist, die Port-Liste jedoch keine Einträge enthält, hat die Funktion effektiv keine Auswirkung, da keine zu überwachenden Ports angegeben sind. Als Standard-Ports werden die am häufigsten für den Internet-Verkehr genutzten Ports verwendet. Wenn Sie benutzerdefinierte Internet-basierte Anwendungen mit geänderten Ports verwenden, müssen Sie diese Ports zur Port-Liste hinzufügen, wenn sie vom Datenschutz überwacht werden sollen. Hinweis: Die Port-Liste wird ebenfalls für den Datenschutz in Instant-Messenger- Programmen und für -Clients genutzt. Vertrauliche Daten, die geschützt werden sollen Viele Websites fragen nach Ihrem Namen, Ihrer -Adresse und anderen persönlichen Informationen. Zwar ist es im Allgemeinen sicher, diese Informationen an große, seriöse Sites weiterzugeben, böswillige Sites können diese Angaben jedoch nutzen, um Ihren Datenschutz zu verletzen. Außerdem werden Daten, die über das Internet, per oder durch Instant-Messenger- Programme gesendet werden, u. U. abgefangen. Mit der Datenschutzfunktion können Sie eine Liste der Informationen anlegen, die vertraulich bleiben sollen. Wenn Benutzer versuchen, geschützte Daten über das Internet zu senden, kann Symantec Client Firewall sie auf das Sicherheitsrisiko aufmerksam machen oder die Verbindung blockieren. Tipps zum Eingeben von vertraulichen Daten Da Symantec Client Firewall persönliche Daten exakt in der Form blockiert, in der Sie sie in das Programm eingeben, ist die Eingabe von Teilnummern vorzuziehen. Eine Telefonnummer kann beispielsweise im Format , aber auch ohne Bindestrich ( ) oder mit Leerzeichen zwischen den einzelnen Zahlenblöcken ( ) eingegeben werden. Auch ist die Eingabe in mehrere separate Felder möglich. Bei all diesen Formaten werden jedoch die letzten vier Ziffern (9000) immer zusammen geschrieben. Daher können Sie einen zuverlässigeren Schutz erzielen, wenn Sie nur die letzten vier Ziffern schützen anstatt die gesamte Nummer. Die Eingabe von Teilinformationen bietet zwei Vorteile. Erstens geben Sie nicht Ihre gesamte Kreditkartennummer ein, die eventuell von einem anderen Benutzer eingesehen werden könnte. Des Weiteren kann Symantec Client Firewall auf diese Weise Ihre privaten Daten auf Websites blockieren, die mit segmentierten Feldern für die Telefonnummern- oder Kreditkarteneingabe arbeiten.

172 172 Sicheres Surfen im Internet Allgemeines zum Datenschutz Datenschutz und SSL Die meisten Websites, die Transaktionen mit Kreditkarten durchführen, verwenden durch SSL (Secure Sockets Layer) verschlüsselte Verbindungen für die Kommunikation zwischen Ihrem Computer und dem Server. Die Datenschutzfunktion kann vertrauliche Daten, die über SSL-Verbindungen gesendet werden, nicht blockieren, da der Datenverkehr verschlüsselt ist. Allerdings ist aufgrund der Verschlüsselung nur der Empfänger einer solchen in der Lage, die Nachricht zu lesen. Bei Bedarf können Sie auf Ihrem Computer die Möglichkeit zum Aufbauen von SSL-Verbindungen deaktivieren. Siehe "Datenschutzeinstellungen anpassen" auf Seite 174. Datenschutzstufe festlegen Symantec Client Firewall bietet vordefinierte Sicherheitsstufen, mit denen Sie mehrere Datenschutzoptionen gleichzeitig festlegen können. Über den Schieberegler für die Datenschutzstufe können Sie einen niedrigen, mittleren oder hohen Datenschutz auswählen. So legen Sie die Datenschutzstufe fest 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Datenschutz". 3 Ziehen Sie den Schieberegler im Fenster "Datenschutz" auf die gewünschte Datenschutzstufe. Folgende Einstellungen können festgelegt werden: Hoch Mittel (empfohlen) Niedrig Alle persönlichen Daten werden blockiert und jedes Mal, wenn auf ein Cookie zugegriffen wird, wird eine Warnmeldung angezeigt. Eine Warnmeldung wird eingeblendet, wenn vertrauliche Daten in ein Web-Formular, eine -Nachricht oder ein Instant-Messenger- Programm eingegeben werden. Die von Ihnen besuchten URLs werden vor Websites verborgen. Cookies werden nicht blockiert. Vertrauliche Informationen werden nicht blockiert. Cookies werden nicht blockiert. Ihr Browsing-Verhalten wird vor Websites verborgen. 4 Klicken Sie auf "OK". Vertrauliche Daten hinzufügen Daten, die geschützt werden sollen, müssen zur Liste "Vertrauliche Daten" in Symantec Client Firewall hinzugefügt werden. Wenn Sie diese Daten bestimmten Websites zur Verfügung stellen möchten, können Sie diese Websites von der Überwachung ausschließen.

173 Sicheres Surfen im Internet Allgemeines zum Datenschutz 173 So fügen Sie vertrauliche Daten hinzu 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Datenschutz". 3 Klicken Sie im Fenster "Datenschutz" auf "Vertrauliche Daten". 4 Klicken Sie im Dialogfeld "Vertrauliche Daten" auf "Hinzufügen". 5 Wählen Sie im Dialogfeld "Vertrauliche Daten hinzufügen" im Dropdown- Listenfeld eine Kategorie der zu schützenden Daten aus. 6 Geben Sie in das Textfeld "Beschreibung" eine Beschreibung ein, anhand derer Sie später erkennen, warum Sie diese Daten schützen. 7 Geben Sie in das Textfeld "Zu schützende Daten" die Daten ein, die nicht über ungesicherte Internet-Verbindungen gesendet werden dürfen. 8 Wählen Sie unter "Diese vertraulichen Daten schützen, wenn folgende Verbindung verwendet wird" mindestens eine der folgenden Verbindungen aus, für die vertrauliche Daten geschützt werden sollen: Web Instant-Messaging Vertrauliche Daten, die über Web-basierte -Programme (HTTP) übertragen werden, sind nicht geschützt, wenn Sie die Einstellung " " auswählen. Mit dieser Einstellung werden -Programme überwacht, die das SMTP-Protokoll (Simple Mail Transfer Protocol) verwenden. Bei einigen Instant-Messaging-Programmen können Sie die Kommunikation zum Server konfigurieren. Wenn Sie HTTP-Anforderungen verwenden und die Einstellung "Instant Messaging" auswählen, die SOCKS-Datenverkehr überwacht, wird die Instant-Messaging-Kommunikation nicht geschützt. Um vertrauliche Daten zu schützen, die über Web-basierte - und Instant-Messaging- Programme übertragen werden, wählen Sie die Einstellung "Internet". 9 Geben Sie in das Textfeld "Ausnahmen" die Websites ein, die nicht geschützt werden sollen. 10 Klicken Sie auf "OK". Vertrauliche Daten ändern oder löschen Sie können vertrauliche Daten jederzeit ändern oder löschen. So ändern oder löschen Sie vertrauliche Daten 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Datenschutz".

174 174 Sicheres Surfen im Internet Allgemeines zum Datenschutz 3 Klicken Sie im Fenster "Datenschutz" auf "Vertrauliche Daten". 4 Wählen Sie im Dialogfeld "Vertrauliche Daten" die zu ändernden oder zu löschenden vertraulichen Daten aus. 5 Wählen Sie eine der folgenden Optionen aus: Ändern Entfernen 6 Klicken Sie auf "OK". Datenschutzeinstellungen anpassen Falls die eingestellte Datenschutzstufe nicht mehr Ihren Anforderungen entspricht, können Sie die Einstellungen für vertrauliche Daten, die Cookie- Blockierung, den Browser-Datenschutz und sichere Verbindungen ändern. Beispielsweise können Sie alle Versuche blockieren, vertrauliche Daten zu senden, während es Websites gleichzeitig gestattet ist, Daten über Ihren Browser- Typ abzurufen, um die Anzeige zu optimieren In Tabelle 9-1 werden die Bereiche aufgeführt, die durch die Datenschutzfunktion geschützt sind. Tabelle 9-1 Schutz Vertrauliche Daten Datenschutzbereiche Beschreibung Blockiert bestimmte Zeichenfolgen, die nicht über das Internet gesendet werden sollen. Cookie-Blockierung Browser-Datenschutz Sichere Verbindungen Verhindert, dass Websites in Cookie-Dateien gespeicherte Informationen abrufen und sie auf Ihre Festplatte schreiben. Schützt Daten bezüglich Ihres Browsing-Verhaltens und Ihrer Browser-Software. Ermöglicht Ihnen, sichere SSL-Verbindungen zu Online-Shops und anderen Websites herzustellen. Wenn Sie Einstellungen ändern, werden die Schieberegler für die Datenschutzstufe deaktiviert. So aktivieren Sie die Schieberegler für die Datenschutzstufe 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Datenschutz". 3 Klicken Sie im Fenster "Datenschutz" auf "Standardstufe".

175 Sicheres Surfen im Internet Allgemeines zum Datenschutz 175 Einstellung für vertrauliche Daten ändern Sie können die Einstellung für vertrauliche Daten ändern, um zu steuern, wie Symantec Client Firewall reagiert, wenn versucht wird, Daten über das Internet zu senden, die auf der Liste der vertraulichen Daten aufgeführt sind. So ändern Sie die Einstellung für vertrauliche Daten 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Datenschutz". 3 Klicken Sie im Fenster "Datenschutz" auf "Benutzerdefiniert". 4 Wählen Sie im Dialogfeld "Datenschutzeinstellungen anpassen" die gewünschte Einstellung für Ihre vertraulichen Daten aus. Folgende Einstellungen können gewählt werden: Hoch Mittel Keine Blockiert alle ausgehenden vertraulichen Daten. Blendet eine Warnmeldung ein, sobald Sie versuchen, vertrauliche Daten an eine ungesicherte Website, über ein Instant- Messenger-Programm oder per zu senden Blockiert keine vertraulichen Daten. 5 Klicken Sie auf "OK". Einstellung für die Cookie-Blockierung ändern Viele Websites speichern erfasste Informationen in Cookies, die auf Ihrer Festplatte abgelegt werden. Wenn Sie eine Website, die auf Ihrem Computer ein Cookie abgelegt hat, erneut besuchen, öffnet der Web-Server die Cookie-Datei und liest sie.ändern Sie die Einstellung für die Cookie-Blockierung, um zu steuern, wie Symantec Client Firewall reagiert, wenn eine Site versucht, Cookies auf Ihrem Computer abzulegen. Hinweis: Es gibt zwei Arten von Cookies: temporäre Cookies und dauerhafte Cookies (müssen bei Bedarf manuell gelöscht werden). Symantec Client Firewall behandelt beide Arten von Cookies auf die gleiche Weise. So ändern Sie die Einstellung für die Cookie-Blockierung 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Datenschutz". 3 Klicken Sie im Fenster "Datenschutz" auf "Benutzerdefiniert".

176 176 Sicheres Surfen im Internet Allgemeines zum Datenschutz 4 Wählen Sie im Dialogfeld "Datenschutzeinstellungen anpassen" die gewünschte Einstellung zur Blockierung von Cookies aus. Folgende Einstellungen können festgelegt werden: Hoch Mittel Keine Blockiert alle Cookies. Bei jedem Versuch, ein Cookie abzulegen, wird eine Warnmeldung eingeblendet. Lässt Cookies zu. 5 Klicken Sie auf "OK". Browser-Datenschutz aktivieren und deaktivieren Der Browser-Datenschutz ist eine Datenschutzfunktion, die verhindert, dass Websites Daten über den von Ihnen verwendeten Browser und Ihr Surfverhalten im Internet sammeln. Der Browser-Datenschutz verhindert, dass Websites feststellen können, welchen Browser-Typ Sie verwenden und welche Website Sie zuletzt besucht haben. Ferner wird verhindert, dass Websites andere Informationen über Ihr Browsing- Verhalten erfassen. Es kann sein, dass manche JavaScript-gestützten Websites nicht richtig funktionieren, wenn sie den Typ Ihres Browsers nicht identifizieren können. So aktivieren oder deaktivieren Sie den Browser-Datenschutz 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Datenschutz". 3 Klicken Sie im Fenster "Datenschutz" auf "Benutzerdefiniert". 4 Führen Sie im Dialogfeld "Datenschutzeinstellungen anpassen" einen der folgenden Schritte aus: Wählen Sie die entsprechende Option, um den Browser-Datenschutz zu aktivieren. Heben Sie die Auswahl der entsprechenden Option aus, um den Browser-Datenschutz zu deaktivieren. 5 Klicken Sie auf "OK".

177 Sicheres Surfen im Internet Blockieren von Werbung 177 Sichere Internet-Verbindungen deaktivieren und aktivieren Wenn Sie eine sichere Website besuchen, richtet Ihr Browser mit der Website eine verschlüsselte Verbindung ein. Vertrauliche Daten können bei verschlüsselten Verbindungen nicht gefiltert werden. Wenn Sie sicherstellen möchten, dass Sie keine vertraulichen Daten an sichere Websites weitergeben, können Sie sichere Web-Verbindungen blockieren. Wenn Sie sichere Web-Verbindungen deaktivieren, verschlüsselt Ihr Browser die von ihm gesendeten Informationen nicht. Sie sollten sichere Web-Verbindungen nur blockieren, wenn Sie den Filter für vertrauliche Daten verwenden. So aktivieren oder deaktivieren Sie sichere Web-Verbindungen 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Datenschutz". 3 Klicken Sie im Fenster "Datenschutz" auf "Benutzerdefiniert". 4 Führen Sie im Dialogfeld "Datenschutzeinstellungen anpassen" einen der folgenden Schritte aus: Aktivieren Sie das entsprechende Kontrollkästchen, um sichere Internet-Verbindungen (HTTPS) zu aktivieren. Deaktivieren Sie das entsprechende Kontrollkästchen, um sichere Internet-Verbindungen (HTTPS) zu blockieren. 5 Klicken Sie auf "OK". Blockieren von Werbung Viele Websites lenken durch aggressive Techniken die Aufmerksamkeit auf die Werbeanzeigen ihrer Seiten. Einige Anbieter verwenden seit einiger Zeit größere, hervorstechendere Anzeigen, während sich andere auf Popup-Fenster mit Werbeanzeigen stützen, die beim Betreten oder Verlassen der Site angezeigt werden. Es dauert nicht nur immer länger, bis sich die Web-Seiten aufgebaut haben, sondern es kommt noch hinzu, dass einige Werbebanner anstößige Inhalte aufweisen, zu Software-Konflikten führen oder Tricks verwenden, um zusätzliche Browser-Fenster zu öffnen. Durch den Einsatz des Werbeblockers können solche Probleme vermieden werden. Wenn der Werbeblocker aktiv ist, entfernt Symantec Client Firewall folgende Objekte auf transparente Art und Weise: Werbebanner Popup- und Popunder-Werbung Macromedia Flash-basierte Werbeanzeigen und Animationen

178 178 Sicheres Surfen im Internet Blockieren von Werbung Funktionsweise des Werbeblockers Symantec Client Firewall erkennt und blockiert Werbebanner anhand von drei Kriterien: ihre Maße, Speicherorte und Zeichenfolgen. Siehe "Zeichenfolgen erstellen, anhand denen zu blockierende oder zulässige Werbungen erkannt werden" auf Seite 185. Blockierung anhand der Größe Die meisten Verfasser von Werbematerial verwenden eine oder mehrere Standardgrößen für ihre Werbung. Symantec Client Firewall ist in der Lage, Bilder, Flash-Animationen und andere HTML-Elemente zu blockieren, die diesen Standardgrößen entsprechen. Blockierung anhand des Speicherorts Jede Internetdatei hat eine eindeutige Adresse oder URL. Wenn Sie eine Web- Seite anzeigen, stellt Ihr Computer eine Verbindung zu einer URL her und zeigt die dort gespeicherte Datei an. Verweist die Seite auf Grafiken und andere Multimedia-Inhalte, zeigt Ihr Browser die Dateien als Teil der Seite an. Wenn Sie eine Web-Seite mit Bannerwerbung besuchen, enthalten die Anweisungen zum Anzeigen der Seite beispielsweise Folgendes: <p>greetings from the Cleaning company<img src=" In Ihrem Browser wird der Text "Greetings from the Cleaning company" angezeigt. Der Browser stellt eine Verbindung zu her und fordert die Datei "/nifty_images/image7.gif" an. (Die Erweiterung ".gif" gibt an, dass es sich hierbei um eine Grafik-Datei des bekannten Formats "Graphics Interchange Format" handelt.) Der Computer der Site sendet die Datei an den Browser, der das Bild anschließend anzeigt. Wenn die Werbeblocker-Funktion aktiviert ist und Sie eine Verbindung zu einer Website herstellen, überprüft Symantec Client Firewall die Web-Seiten und vergleicht ihre Inhalte mit zwei Listen: Eine Standardliste mit Werbematerial, das von Symantec Client Firewall automatisch für alle Web-Seiten blockiert wird. Diese Liste kann durch weiteres Werbematerial ergänzt werden, das ebenfalls automatisch blockiert werden soll. Es kann nur Werbematerial der Standardliste blockiert werden. Eine von Ihnen erstellte Liste von Websites, die bei der Werbeblockierung gesondert behandelt werden sollen. Sie können diese Liste erweitern und Einträge darin ändern. Werbebanner können für einzelne Websites zugelassen oder blockiert werden.

179 Sicheres Surfen im Internet Blockieren von Werbung 179 Wenn die Seite Dateien von einer blockierten Domäne enthält, entfernt Symantec Client Firewall den Link und lädt den Rest der Seite herunter. Werbeblockereinstellungen können auch für einzelne Websites konfiguriert werden. Siehe "Einstellungen für Werbeblocker konfigurieren" auf Seite 184. Werbeblocker aktivieren und deaktivieren Während die Web-Seite von Ihrem Browser heruntergeladen wird, sucht Symantec Client Firewall nach den Adressen der blockierten Werbungen. Wenn er eine Adresse findet, die mit einem Eintrag in der Liste blockierter Werbungen übereinstimmt, wird die Werbeanzeige entfernt und nicht in Ihrem Browser angezeigt. Der Rest der Web-Seite wird ordungsgemäß dargestellt und Sie können die Seite ohne Werbung ansehen. Siehe "Verwendung von erweiterten Einstellungen für Web-Inhalte" auf Seite 181. So aktivieren oder deaktivieren Sie den Werbeblocker 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Werbeblocker".

180 180 Sicheres Surfen im Internet Blockieren von Werbung 3 Führen Sie im Fenster "Werbeblocker" einen der folgenden Schritte aus: Aktivieren Sie das entsprechende Kontrollkästchen, um den Werbeblocker einzuschalten. Deaktivieren Sie das entsprechende Kontrollkästchen, um den Werbeblocker auszuschalten. 4 Klicken Sie auf "OK". Blockieren von Popup-Fenstern aktivieren und deaktivieren Popup- und Popunder-Werbungen sind Sekundärfenster, die Websites beim Betreten oder Verlassen der Site öffnen. Popup-Fenster werden über dem aktuellen Fenster eingeblendet, während Popunder-Fenster hinter dem aktuellen Fenster erzeugt werden. Wenn das Blockieren von Popup-Fenstern aktiviert ist, blockiert Symantec Client Firewall automatisch Programmcode, den Websites verwenden, um zusätzliche Fenster ohne das Wissen des Benutzers zu öffnen. Dies betrifft keine Sites, die zusätzliche Fenster öffnen, wenn Sie auf einen Link klicken oder andere Aktionen durchführen. Hinweis: Einige Websites öffnen ein neues Fenster, wenn Sie versuchen, Dateien herunterzuladen. Die Funktion zum Blockieren von Popup-Fenstern verhindert möglicherweise, dass das Fenster zum Herunterladen von Dateien angezeigt wird. Wenn Sie versuchen, Dateien herunterzuladen, und nichts geschieht, deaktivieren Sie das Blockieren von Popup-Fenstern vorübergehend, bis Sie alle Dateien heruntergeladen haben. So aktivieren oder deaktivieren Sie das Blockieren von Popup-Fenstern 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf "Werbeblocker". 3 Führen Sie im Fenster "Werbeblocker" einen der folgenden Schritte aus: Um die Popup-Fenster-Blockierung zu aktivieren, markieren Sie die Option "Popup-Fenster-Blockierung einschalten". Um die Popup-Fenster-Blockierung zu deaktivieren, heben Sie die Markierung der Option "Popup-Fenster-Blockierung einschalten" auf. 4 Klicken Sie auf "OK".

181 Sicheres Surfen im Internet Verwendung von erweiterten Einstellungen für Web-Inhalte 181 Verwendung von erweiterten Einstellungen für Web-Inhalte Mithilfe der Einstellungen für Web-Inhalte können Sie steuern, wie Symantec Client Firewall interaktive Online-Inhalte, Werbung und mögliche Angriffe auf den Datenschutz behandelt. Die Einstellungen für Web-Inhalte gliedern sich in folgende drei Registerkarten: Globale Einstellungen Mithilfe von globalen Einstellungen können Sie die Standardaktionen und einzelne Aktionen steuern, die Symantec Client Firewall ausführt, wenn Websites versuchen, Informationen über Ihren Browser und besuchte Websites auszuspionieren, oder animierte Grafiken, JavaScripts, Macromedia Flash und andere aktive Inhalte zu verwenden. Benutzereinstellungen Auf dieser Registerkarte können Sie das Blockieren von Cookies und Popup- Fenstern sowie ActiveX- und Java-Applets für einzelne Websites anpassen. Werbeblocker Auf dieser Registerkarte können Sie einzelne Zeichenfolgen eingeben, die auf allen Websites blockiert werden sollen. Auf dieser Registerkarte können Sie auch einzelne Zeichenfolgen eingeben, die auf bestimmten Websites blockiert oder zugelassen werden sollen. Hinweis: Das Filtern von Web-Inhalten wird auf Ports ausgeführt, die in der HTTP-Port-Liste in der Registerkarte "Firewall" im Fenster "Optionen" der Symantec Client Firewall ausgewählt sind. Wenn diese Liste leer ist, setzt die Firewall keine Einstellungen für Web-Inhalte um. Darüber hinaus werden die Einstellungen für Web-Inhalte von Computern, die sich in einer vertrauenswürdigen Zone befinden, nicht berücksichtigt. Globale Einstellungen konfigurieren Mithilfe von globalen Einstellungen können Sie die Standardaktionen und einzelne Aktionen steuern, die Symantec Client Firewall ausführt, wenn Websites versuchen, Informationen über Ihren Browser auszuspionieren, oder animierte Grafiken, JavaScripts und andere aktive Inhalte zu verwenden. In Tabelle 9-2 werden die globalen Einstellungen beschrieben.

182 182 Sicheres Surfen im Internet Verwendung von erweiterten Einstellungen für Web-Inhalte Tabelle 9-2 Einstellung Globale Einstellungen Beschreibung Informationen über Ihren Browser Informationen über besuchte Sites Animierte Grafiken Skripts Flash-Animation Hiermit legen Sie fest, ob Websites Informationen über Ihren Computer und Web-Browser abrufen dürfen. Hiermit legen Sie fest, welche Aktion Symantec Client Firewall ausführt, wenn Websites Informationen darüber abrufen, welche anderen Websites Sie während dieser Internet-Sitzung besucht haben. Blockieren Dieselbe Site zulassen (Vorgabe) Informationsanforderungen sind zulässig, wenn die Anforderungen von derselben Domäne stammen. Alle anderen Anfragen werden blockiert. Zulassen Mit dieser Option können Sie die Ausführung von animierten Grafiken blockieren oder zulassen. Die Bilder werden weiterhin angezeigt, sind aber nicht mehr animiert. Hiermit werden Skripts blockiert oder zugelassen. Hiermit können Sie Animationen und Werbungen blockieren oder zulassen, die mit Macromedia Flash erstellt wurden. Wenn die Einstellung für den Datenschutz im Fenster "Datenschutz" deaktiviert ist, werden die globalen Einstellungen für Informationen über Ihren Browser und über besuchte Sites nicht berücksichtigt. Globale Einstellungen aktivieren und deaktivieren Im Dialogfeld "Globale Einstellungen" können Sie Standardeinstellungen für alle Sites festlegen und spezifische Einstellungen zum Zulassen oder Blockieren für einzelne Sites vornehmen. Einige Websites verwenden Flash, um Navigationssymbolleisten zu erzeugen. Wenn Flash blockiert wird, können diese Sites möglicherweise nicht genutzt werden. So aktivieren oder deaktivieren Sie globale Einstellungen 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf eine der folgenden Schaltflächen: Datenschutz Werbeblocker 3 Klicken Sie im Fenster "Datenschutz" oder "Werbeblocker" auf "Erweitert".

183 Sicheres Surfen im Internet Verwendung von erweiterten Einstellungen für Web-Inhalte Führen Sie im Fenster "Erweitert" folgende Schritte aus: Um die Standardeinstellungen für alle Sites wiederherzustellen, klicken Sie in der Registerkarte "Web-Inhalte" auf "(Standard)". Um die Standardeinstellungen für eine einzelne Site zu überschreiben, wählen Sie den Namen der Site auf der Registerkarte "Web-Inhalte" aus und deaktivieren Sie anschließend auf der Registerkarte "Globale Einstellungen" die Option "Standardeinstellungen verwenden" für die gewünschten Einstellungen. 5 Wählen Sie eine der folgenden Optionen für jede Einstellung, die geändert werden soll: Zulassen Blockieren 6 Klicken Sie auf "OK". 7 Klicken Sie im Fenster "Datenschutz" oder "Werbeblocker" auf "OK". Benutzereinstellungen konfigurieren Mithilfe von Benutzereinstellungen können Sie die Einstellungen zum Blockieren von Cookies und Popup-Fenstern sowie ActiveX- und Java-Applet- Einstellungen für einzelne Sites anpassen. Diese Einstellungen überschreiben die Standardeinstellungen, die in anderen Dialogfeldern angezeigt werden. In Tabelle 9-3 werden die Einstellungen beschrieben und die Dialogfelder angegeben, in denen die Standardeinstellungen festgelegt werden können. Tabelle 9-3 Benutzereinstellungen Beschreibung Dialogfeld Cookies Hiermit legen Sie fest, ob Websites Cookie-Dateien auf Ihrem Computer erstellen und lesen dürfen. Datenschutz (Einstellungen anpassen) Einstellung Java- Applets Hiermit können Sie Ausführung von Java-Applets blockieren oder zulassen. Client-Firewall (Sicherheitseinstellungen anpassen) ActiveX- Steuerelemente Hiermit können Sie Ausführung von ActiveX-Steuerelementen blockieren oder zulassen. Client-Firewall (Sicherheitseinstellungen anpassen) Popup- Werbung Hiermit wird Popup-Werbung blockiert oder zugelassen. Werbeblocker

184 184 Sicheres Surfen im Internet Verwendung von erweiterten Einstellungen für Web-Inhalte Es gibt zwei Arten von Cookies: dauerhaft und temporär angelegte Cookies. Symantec Client Firewall behandelt beide Arten von Cookies auf die gleiche Weise. So konfigurieren Sie Benutzereinstellungen 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf eine der folgenden Schaltflächen: Datenschutz Werbeblocker 3 Klicken Sie im Fenster "Datenschutz" oder "Werbeblocker" auf "Erweitert". 4 Wählen Sie im Fenster "Erweitert" auf der Registerkarte "Web-Inhalte" einen Site-Namen aus. 5 Deaktivieren Sie auf der Registerkarte "Benutzereinstellungen" die Standardeinstellungen der gewünschten Einstellungen. 6 Wählen Sie für jede der deaktivierten Standardeinstellungen eine der folgenden Optionen: Zulassen Blockieren 7 Klicken Sie auf "OK". 8 Klicken Sie im Fenster "Datenschutz" oder "Werbeblocker" auf "OK". Einstellungen für Werbeblocker konfigurieren Mithilfe der Einstellungen für Werbeblocker können Sie einzelne Werbebanner oder Gruppen von Werbegrafiken angeben, die auf bestimmten Sites blockiert oder zugelassen werden sollen. Symantec Client Firewall erkennt und blockiert Werbebanner anhand von drei Kriterien: ihre Maße, Speicherorte und Zeichenfolgen. Hinweis: Wenn Sie mit Symantec Client Firewall Administrator eine Richtliniendatei in Symantec Client Firewall exportieren und die Client-Einstellung zum Blockieren von Werbebannern deaktiviert ist, wird der Werbeblocker in Symantec Client Firewall deaktiviert.

185 Sicheres Surfen im Internet Verwendung von erweiterten Einstellungen für Web-Inhalte 185 Zeichenfolgen erstellen, anhand denen zu blockierende oder zulässige Werbungen erkannt werden Sie können das Anzeigen von bestimmten Werbungen durch Symantec Client Firewall steuern, indem Sie eine Liste mit Zeichenfolgen erstellen, die bestimmte Werbebanner beschreiben. Blockierzeichenfolgen enthalten Abschnitte von HTML-Adressen. Wenn ein Teil einer Dateiadresse mit der Zeichenfolge übereinstimmt, blockiert Symantec Client Firewall die Datei automatisch. Symantec Client Firewall stellt eine Liste mit Werbeblockern namens "(Standard)" bereit, in der festgelegt ist, welche Bilder beim Anzeigen von Web-Seiten blockiert werden sollen. Wenn die Werbeblocker-Funktion aktiviert ist, werden alle Web-Seiten auf die HTML-Zeichenfolgen überprüft, die in der Liste (Standard) angegeben sind. Symantec Client Firewall sucht innerhalb der HTML-Tags nach den zu blockierenden Zeichenfolgen, die das Anzeigen von Werbematerial verhindern sollen. HTML-Strukturen, die übereinstimmende Zeichenfolgen enthalten, werden von Symantec Client Firewall von der Seite entfernt, bevor die Seite im Web-Browser angezeigt wird. Stellen Sie sicher, dass die Zeichenfolgen, die Sie in der Standardliste mit den Blockierungsregeln angeben, nicht zu allgemein sind. Es ist nicht sinnvoll, nur "www" als Blockier-Zeichenfolge zu verwenden, da fast jede URL die Zeichenfolge "www" enthält. Die Zeichenfolge " ist wirkungsvoller, denn sie blockiert nur Grafiken von der Domäne "slowads", ohne dabei andere Sites zu beeinflussen. Ihre Definition der Blockierzeichenfolgen wirkt sich darauf aus, wie restriktiv Symantec Client Firewall beim Filtern von Daten vorgeht. Wenn Sie beispielsweise die Zeichenfolge "spammersrus.com" zur Standardliste der Blockierzeichenfolgen hinzufügen, blockieren Sie sämtliche Inhalte von der Domäne "spammersrus.com". Wenn Sie Ihre Angaben weiter spezifizieren und die Zeichenfolge "/images/image7.gif" zur Site-spezifischen Blockierungsliste für " hinzufügen, blockieren Sie nur dieses eine Bild. Sie können mithilfe von Zeichenfolgen auch festlegen, welche Bilder von welchen Websites angezeigt werden dürfen. Auf diese Weise können Sie den blockierenden Effekt jeder Zeichenfolge in der Liste der Blockierungsregeln (Standard) für einzelne Sites aufheben. Zulassungsregeln haben Vorrang vor Blockierungsregeln. Hinweis: Wenn Sie mit der rechten Maustaste auf eine Zeichenfolge klicken, können Sie Zeichenfolgen hinzufügen, bearbeiten, löschen und sortieren.

186 186 Sicheres Surfen im Internet Verwendung von erweiterten Einstellungen für Web-Inhalte Blockierzeichenfolgen hinzufügen In der Liste für blockierte Werbungen können Sie Zeichenfolgen für alle Sites oder für einzelne Sites hinzufügen. Die Werbeblockerliste unterstützt ausschließlich Kleinschreibung. So fügen Sie eine Zeichenfolge zu einem Werbeblocker hinzu 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf eine der folgenden Schaltflächen: Datenschutz Werbeblocker 3 Klicken Sie im Fenster "Datenschutz" oder "Werbeblocker" auf "Erweitert". 4 Führen Sie im Fenster "Erweitert" auf der Registerkarte "Werbeblocker" einen der folgenden Schritte aus: Um eine Zeichenfolge auf allen Websites zu blockieren, klicken Sie in der Registerkarte "Web-Inhalte" auf "(Standard)". Um eine Zeichenfolge auf einer der in der Liste genannten Websites zuzulassen oder zu blockieren, fahren Sie mit Schritt fünf fort. 5 Wählen Sie auf der Registerkarte "Web-Inhalte" den Namen einer Site aus und klicken Sie in der Registerkarte "Werbeblocker" auf "Hinzufügen". 6 Wählen Sie im Dialogfeld "Neue HTML-Zeichenfolge hinzufügen" die gewünschte auszuführende Aktion aus. Folgende Einstellungen können festgelegt werden: Blockieren Zulassen Der Zeichenfolge entsprechendes Werbematerial wird blockiert. Der Zeichenfolge entsprechendes Werbematerial wird zugelassen (nur für einzelne Websites). 7 Geben Sie eine HTML-Zeichenfolge ein, die blockiert oder zugelassen werden soll. 8 Klicken Sie auf "OK". 9 Klicken Sie im Fenster "Erweitert" auf "OK". 10 Klicken Sie im Fenster "Datenschutz" oder "Werbeblocker" auf "OK". Blockierzeichenfolgen ändern und entfernen Wenn Sie später erkennen, dass eine Blockierzeichenfolge zu restriktiv, nicht umfassend genug oder nicht angemessen ist, können Sie sie ändern oder entfernen.

187 Sicheres Surfen im Internet Verwendung von erweiterten Einstellungen für Web-Inhalte 187 So fügen Sie eine Blockierzeichenfolge hinzu oder entfernen sie 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf eine der folgenden Schaltflächen: Datenschutz Werbeblocker 3 Klicken Sie im Fenster "Datenschutz" oder "Werbeblocker" auf "Erweitert". 4 Führen Sie im Fenster "Erweitert" auf der Registerkarte "Werbeblocker" einen der folgenden Schritte aus: Um eine Zeichenfolge in der Standardliste zu ändern oder aus dieser zu entfernen, klicken Sie in der Registerkarte "Web-Inhalte" auf "(Standard)". Sites hinzufügen und löschen Um eine Site-spezifische Zeichenfolge zu ändern oder zu entfernen, fahren Sie mit Schritt fünf fort. 5 Wählen Sie auf der Registerkarte "Web-Inhalte" den Namen der gewünschten Site aus. 6 Wählen Sie auf der Registerkarte "Werbeblocker" in der Liste der HTML- Zeichenfolgen die zu ändernde bzw. zu entfernende Zeichenfolge aus. 7 Führen Sie einen der folgenden Schritte aus: Um eine Zeichenfolge zu ändern, klicken Sie auf "Ändern", geben Sie Ihre Änderungen ein und klicken Sie auf "OK". Um eine Zeichenfolge zu entfernen, klicken Sie auf "Entfernen" und anschließend auf "Ja". 8 Klicken Sie im Fenster "Erweitert" auf "OK". 9 Klicken Sie im Fenster "Datenschutz" oder "Werbeblocker" auf "OK". Mit Symantec Client Firewall können Sie Sites zur Liste der Websites hinzufügen oder von dieser entfernen. Hinweis: Wenn Sie eine Site zur Liste "Web-Inhalte" hinzufügen, können Sie nicht die Standardkonfiguration für die Site verwenden. Wenn Sie die hinzuzufügende Site speichern, ohne Änderungen daran vorzunehmen, wird sie aus der Konfigurationsliste entfernt, da sie mit der Standardkonfiguration übereinstimmt.

188 188 Sicheres Surfen im Internet Verwendung von erweiterten Einstellungen für Web-Inhalte So fügen Sie Sites hinzu und löschen diese 1 Klicken Sie im Hauptfenster auf "Status & Einstellungen". 2 Doppelklicken Sie auf eine der folgenden Schaltflächen: Datenschutz Werbeblocker 3 Klicken Sie im Fenster "Datenschutz" oder "Werbeblocker" auf "Erweitert". 4 Führen Sie im Fenster "Erweitert" auf der Registerkarte "Web-Inhalte" einen der folgenden Schritte aus: Um eine Site hinzuzufügen, klicken Sie auf "Site hinzufügen", geben Sie eine Site oder einen Domänennamen ein und klicken Sie auf "OK". Um eine Site zu löschen, wählen Sie den Namen der Site aus, klicken Sie auf "Site entfernen" und anschließend auf "Ja". 5 Klicken Sie im Fenster "Erweitert" auf "OK". 6 Klicken Sie im Fenster "Datenschutz" oder "Werbeblocker" auf "OK".

189 Kapitel 10 Überwachung von Symantec Client Firewall Dieses Kapitel enthält folgende Themen: Allgemeines zur Überwachung von Symantec Client Firewall Anzeigen des Statistikfensters Anzeigen des Symantec Client Firewall-Statistikfensters Arbeiten mit der Protokollanzeige Drucken und Speichern von Protokollen und Statistikdaten Allgemeines zur Überwachung von Symantec Client Firewall Symantec Client Firewall führt Protokoll über alle ein- und ausgehenden Internet-Verbindungen sowie alle Aktionen, die das Programm zum Schutz Ihres Computers unternimmt. Sie sollten sich diese Informationen in regelmäßigen Abständen ansehen, um potenzielle Sicherheitsverletzungen feststellen zu können. Es gibt drei Quellen für Informationen über Symantec Client Firewall: Fenster "Statistik": Informationen über die letzten Firewall-Aktivitäten und das Blockieren von Inhalten Symantec Client Firewall-Statistikfenster: Detaillierte Informationen über die Netzwerkaktivität und über von Symantec Client Firewall durchgeführte Aktionen Protokollanzeige: Internet-Aktivitäten der Benutzer sowie alle von Symantec Client Firewall durchgeführten Aktionen

190 190 Überwachung von Symantec Client Firewall Anzeigen des Statistikfensters Bei der Prüfung der Protokollinformationen sollten Sie auf Folgendes achten: Zuletzt stattgefundene Angriffe, die im Fenster "Aktueller Status" angezeigt werden Viele Zugriffsverweigerungen, insbesondere von einer bestimmten IP- Adresse Aufeinanderfolgende Port-Nummern, auf die Zugriffsversuche von derselben IP-Adresse erfolgen. Dies kann möglicherweise auf einen Port-Scan hinweisen (Angreifer versuchen, auf verschiedene Ports auf Ihrem Computer zuzugreifen, in der Hoffnung, dass es bei einem gelingt). Übermäßige Netzwerkaktivität von unbekannten Programmen Ein gelegentlicher abgewiesener Zugriffsversuch von einer beliebigen IP-Adresse ist eine normale Erscheinung; (kritisch ist es nur, wenn alle Versuche von derselben IP-Adresse erfolgen oder wenn aufeinanderfolgende Ports abgefragt werden). Weiterhin wurden unter Umständen Zugriffsversuche protokolliert, deren Ursache in bestimmten Aktivitäten Ihres eigenen Computers liegt, z.b. Verbindungen zu FTP-Servern und das Senden von s. Falls Sie eines der oben aufgeführten Muster feststellen, könnte dies auf einen Angriff hinweisen. Anzeigen des Statistikfensters Das Statistikfenster zeigt eine Momentaufnahme der Netzwerkaktivität Ihres Computers seit dem letzten Start von Windows an. Anhand dieser Informationen können Sie stattfindende Angriffsversuche feststellen und überprüfen, wie sich Ihre Einstellungen für den Datenschutz und die Produktivitätssteuerung auf Ihren Schutz auswirken. In Tabelle 10-1 werden die im Statistikfenster angezeigten Informationen beschrieben. Tabelle 10-1 Abschnitt Client-Firewall Im Statistikfenster angezeigte Informationen Informationen Alle in letzter Zeit auf diesen Computer stattgefundenen Angriffsversuche, einschließlich des Zeitpunkts des letzten Angriffs, der Häufigkeit der Angriffe und der Adresse des am häufigsten angreifenden Computers. Letzte Inhaltsblockierung Informationen darüber, wie oft Cookies und vertrauliche Daten blockiert oder zugelassen und wie oft Web-Werbung blockiert wurde.

191 Überwachung von Symantec Client Firewall Anzeigen des Symantec Client Firewall-Statistikfensters 191 So zeigen Sie das Statistikfenster an Klicken Sie im Hauptfenster auf "Statistik". Im Statistikfenster angezeigte Informationen zurücksetzen Symantec Client Firewall löscht bei einem Neustart von Windows automatisch alle Statistikinformationen im Statistikfenster. Zusätzlich können Sie die Statistikinformationen auch manuell löschen. Auf diese Weise können Sie besser feststellen, ob sich eine Konfigurationsänderung auf die Statistik auswirkt. So setzen Sie die im Statistikfenster angezeigten Informationen zurück 1 Klicken Sie im Hauptfenster auf "Statistik". 2 Klicken Sie im Statistikfenster auf "Jetzt zurücksetzen". Anzeigen des Symantec Client Firewall- Statistikfensters Zusätzlich zu den allgemeinen Statistikinformationen im Statistikfenster verfügt Symantec Client Firewall über Echtzeit-Netzwerkzähler, die die Internetnutzung und alle von Symantec Client Firewall durchgeführten Aktionen aufzeichnen.

192 192 Überwachung von Symantec Client Firewall Anzeigen des Symantec Client Firewall-Statistikfensters In Tabelle 10-2 werden die im Symantec Client Firewall-Statistikfenster angezeigten Informationen beschrieben. Tabelle 10-2 Teilfenster Netzwerk Online-Inhalt Informationen im Symantec Client Firewall-Statistikfenster Informationen Gesendete und empfangene TCP- und UDP-Bytes, die Anzahl offener Netzwerkverbindungen sowie die höchste Anzahl gleichzeitig offener Netzwerkverbindungen seit Programmstart Blockierte Cookies, vertrauliche Daten und Web-Werbung sowie die Anzahl von HTTP-Verbindungen Firewall TCP-Verbindungen Firewall UDP-Datagramme Firewall-Regeln Netzwerkverbindungen Letzte 60 Sekunden Die Anzahl der blockierten und zugelassenen TCP- Verbindungen Die Anzahl der blockierten und zugelassenen UDP- Verbindungen Alle für die Firewall definierten Regeln in der Reihenfolge, in der sie verarbeitet werden, und die Anzahl der Kommunikationsversuche, die aufgrund der Firewall-Regeln zugelassen oder blockiert wurden bzw. für die keine entsprechende Regel vorhanden war Informationen zu aktuellen Verbindungen, einschließlich des die Verbindung nutzenden Programms, des verwendeten Protokolls und der Adressen bzw. Namen der verbundenen Computer Die Anzahl von Netzwerk- und HTTP-Verbindungen sowie die Geschwindigkeit des jeweiligen Verbindungstyps Statistikzähler zurücksetzen So zeigen Sie die detaillierte Statistik an 1 Klicken Sie im Hauptfenster auf "Statistik". 2 Klicken Sie im Statistikfenster auf "Mehr Details". Setzen Sie die Zähler zurück, um alle Statistiken zu löschen und neue Statistikdaten zu erfassen. Auf diese Weise können Sie besser feststellen, ob sich eine Konfigurationsänderung auf die Statistik auswirkt.

193 Überwachung von Symantec Client Firewall Anzeigen des Symantec Client Firewall-Statistikfensters 193 So setzen Sie die Statistikzähler zurück 1 Klicken Sie im Hauptfenster auf "Statistik". 2 Klicken Sie im Statistikfenster auf "Mehr Details". 3 Wählen Sie im Menü "Ansicht" des Symantec Client Firewall-Statistikfensters den Eintrag "Werte zurücksetzen". Ausgewählte Statistikwerte anzeigen Sie haben die Möglichkeit, die gesamte detaillierte Statistik oder nur ausgewählte Kategorien anzuzeigen. So zeigen Sie ausgewählte Statistikwerte an 1 Klicken Sie im Hauptfenster auf "Statistik". 2 Klicken Sie im Statistikfenster auf "Mehr Details". 3 Wählen Sie im Menü "Datei" des Symantec Client Firewall-Statistikfensters den Eintrag "Optionen". 4 Wählen Sie im Dialogfeld "Statistikoptionen" der Symantec Client Firewall aus, welche Statistikkategorien angezeigt werden sollen. 5 Klicken Sie auf "OK". Spalten konfigurieren Die Informationen im Symantec Client Firewall-Statistikfenster können einspaltig oder zweispaltig angezeigt werden. Beide Fenster-Layouts enthalten dieselben Statistikwerte. So konfigurieren Sie Spalten 1 Klicken Sie im Hauptfenster auf "Statistik". 2 Klicken Sie im Statistikfenster auf "Mehr Details". 3 Führen Sie im Symantec Client Firewall-Statistikfenster einen der folgenden Schritte aus: Klicken Sie im Menü "Ansicht" auf "Spalten > Automatisch", um die Spaltenanzeige je nach aktueller Fensterbreite automatisch auf eine oder zwei Spalten einzustellen. Klicken Sie im Menü "Ansicht" auf "Spalten > Eine". Um immer zwei Spalten anzuzeigen, klicken Sie im Menü "Ansicht" auf "Spalten > Zwei".

194 194 Überwachung von Symantec Client Firewall Arbeiten mit der Protokollanzeige Symantec Client Firewall-Statistikfenster immer anzeigen Sie können das Symantec Client Firewall-Statistikfenster immer sichtbar lassen, selbst wenn ein anderes Programm im Vollbildmodus ausgeführt wird. Dies kann nützlich sein, um ungewöhnliche Netzwerkaktivitäten zu entdecken, die auf Sicherheitsprobleme hinweisen können. So zeigen Sie das Symantec Client Firewall-Statistikfenster immer an 1 Klicken Sie im Hauptfenster auf "Statistik". 2 Klicken Sie im Statistikfenster auf "Mehr Details". 3 Wählen Sie im Menü "Ansicht" des Symantec Client Firewall-Statistikfensters den Eintrag "Immer im Vordergrund". Arbeiten mit der Protokollanzeige Symantec Client Firewall zeichnet Informationen über von Ihnen besuchte Websites, von der Firewall unternommene Aktionen sowie alle ausgelösten Warnmeldungen auf. Die Protokolle enthalten Details über einige der Aktivitäten, die im Statistikfenster aufgeführt werden. In Tabelle 10-3 werden die Registerkarten der Protokollanzeige beschrieben. Tabelle 10-3 Registerkarte Inhaltsblockierung Verbindungen Firewall Registerkarten der Protokollanzeige Informationen Details über Web-Werbung, Java-Applets und ActiveX-Steuerelemente, die von Symantec Client Firewall blockiert wurden. Der Verlauf aller TCP/IP-Netzwerkverbindungen, die mit diesem Computer hergestellt wurden. Verbindungen werden protokolliert, sobald die Verbindung geschlossen wird. Datenverkehr, der von der Firewall abgefangen wurde, einschließlich verarbeitete Regeln, an den Benutzer ausgegebene Warnmeldungen, nicht verwendete, blockierte Ports sowie AutoBlock- Ereignisse. Intrusion Prevention Ob Intrusion Prevention aktiv ist, welche Angriffssignaturen überwacht werden und wie viele unbefugte Zugriffsversuche erkannt und blockiert wurden.

195 Überwachung von Symantec Client Firewall Arbeiten mit der Protokollanzeige 195 Tabelle 10-3 Registerkarte Datenschutz Vertrauliche Daten System Web-Verlauf Warnmeldungen Konfiguration Registerkarten der Protokollanzeige Informationen Cookies, Computerinformationen und Website-Protokollinformationen, die blockiert oder zugelassen wurden. Hierzu gehören der Name des Cookies bzw. der Website, die das Cookie angefordert hat, die Namen der Websites, die zuvor aufgerufen wurden und der Name bzw. Informationen zu Ihrem Computer. Gesendete oder blockierte vertrauliche Daten. Zeigt an, wann Symantec Client Firewall aktiviert oder deaktiviert wurde und wann die Regeln, prules-einstellungen und IDS-Einstellungen von einem Administrator aktualisiert wurden. Von Ihrem Computer besuchte URLs, wodurch ein Verlauf der Web-Aktivität bereitgestellt wird. Alle Warnungsaktivitäten, wie normale Internet-Zugriffswarnungen und Sicherheitsmeldungen, die durch mögliche Angriffe auf den Symantec Client Firewall-Computer ausgelöst wurden. Informationen zu Konfigurationsänderungen und Updates von Regeln, Secure Port und IPS-Signaturen. Allgemeine Informationen zur Protokollierungsstufe Symantec Client Firewall protokolliert Informationen zu Sicherheitsangriffen, zu verweigerten Verbindungen und zur allgemeinen Nutzung Ihres Computers. Sie können auch Regeln konfigurieren, bei deren Übereinstimmung ein Protokolleintrag erstellt werden soll. Wenn die Standard-Protokollierungsstufe ausgewählt ist, wird möglicherweise bestimmter Netzwerkverkehr, der von Symantec Client Firewall überwacht wird, nicht aufgezeichnet.

196 196 Überwachung von Symantec Client Firewall Arbeiten mit der Protokollanzeige In Tabelle 10-4 werden die Protokollierungsstufen von Symantec Client Firewall aufgeführt und beschrieben. Tabelle 10-4 Protokollierungsstufen in Symantec Client Firewall Protokollierungsstufe Standard Ausführlich Beschreibung Zeigt detaillierte Informationen zu Netzwerkverbindungen, veränderten System- und Konfigurationseinstellungen und Sicherheitswarnungen sowie zu Intrusion- Prevention- und Trojaner-Angriffen an. Websites, Zugriffe auf vertrauliche Daten und blockierte Werbung werden ebenfalls protokolliert. Bietet detaillierte Informationen zu allen Ereignissen, die mit den Standardeinstellungen protokolliert werden. Protokolliert Informationen zum Benutzeragenten, zu den besuchten Sites und zu Cookies. Außerdem werden vertrauliche Daten, Informationen zu zulässigen Java-Applets, ActiveX-Steuerelementen, Werbung und Websites aufgezeichnet. Protokollierungsstufe einrichten Protokolle anzeigen Sie können die Protokollierungsstufe von Symantec Client Firewall anpassen. So legen Sie die Protokollierungsstufe fest 1 Klicken Sie im Hauptfenster auf "Optionen". 2 Wählen Sie unter "Protokollierungsstufe" die Stufe aus, die verwendet werden soll. 3 Klicken Sie auf "OK". Sie können Symantec Client Firewall-Protokolle im Statistikfenster anzeigen. So zeigen Sie Protokolle an 1 Klicken Sie im Hauptfenster auf "Statistik".

197 Überwachung von Symantec Client Firewall Arbeiten mit der Protokollanzeige Klicken Sie im Statistikfenster auf "Protokolle anzeigen". 3 Klicken Sie im Dialogfeld "Protokollanzeige" auf das Protokoll, das Sie prüfen möchten. 4 Wenn Sie damit fertig sind, wählen Sie ein anderes Protokoll oder klicken Sie auf "Datei > Beenden", um das Fenster der Protokollanzeige zu schließen. Protokolle aktualisieren Die Protokolle werden automatisch aktualisiert, wenn Sie von einem Protokoll in ein anderes wechseln. Wenn Sie Netzwerkereignisse anzeigen möchten, die stattgefunden haben, seit Sie die Protokollanzeige geöffnet haben, können Sie entweder alle Protokolle oder ein einzelnes Protokoll manuell aktualisieren. Protokolle aktualisieren Sie können alle oder einzelne Protokolle aktualisieren. So aktualisieren Sie alle Protokolle gleichzeitig 1 Klicken Sie im Hauptfenster auf "Statistik". 2 Klicken Sie im Statistikfenster auf "Protokolle anzeigen". 3 Klicken Sie in der Protokollanzeige mit der rechten Maustaste auf "Symantec Client Firewall" und anschließend auf "Alle Kategorien aktualisieren".