Eine Variante bezieht sich auf die Suite Kaspersky Internet Security und Kaspersky Total Security. Im stand-alone Antivirus Kaspersky Anti-Virus ist die notwendige Funktion "Modus für vertrauenswürdige Programme" nicht vorhanden. Weshalb auch Kaspersky der einzige Hersteller ist, bei dem ich das Verwenden der Suite eher empfehlen würde gegenüber dem stand-alone Antivirus - wenn es denn unbedingt Kaspersky sein soll.
Die zweite Variante bezieht sich dann auf meine aktuelle Software-Konstellation: stand-alone Antivirus, wobei ich hierbei Emsisoft Anti-Malware Home, Eset NOD32 Antivirus, G Data Antivirus bzw. am ehesten noch unter der Verwendung von Windows 10 den Windows Defender empfehlen würde.
Zusätzlich nutze ich dann noch ein Anti-Executable Tool namens VoodooShield Pro (gesponsort durch darktwilight - vielen Dank nochmal ). Alternativen wären da noch der Türsteher von Excubits, EXE Radar Pro von NoVirusThanks, der AppGuard von Blue Ridge Networks und natürlich der hauseigene Windows Defender Application Guard.
Nun zum Tutorial Variante #1 - KIS/KTS Lock-Down Mode:
Voraussetzung sollte ein sauberes, am besten frisch installiertes System sein. Die Konfiguration wurde unter Windows 10 x64 in der aktuellsten Version in einer virtuellen Maschine getestet. Hinweis: meine Settings beziehen sich nicht auf das Maximum, was das Programm hergibt. Ich habe hierbei immer noch den Anspruch des Ressourcenverbrauchs berücksichtigt.
Nun also nach und nach meine vorgenommenen Einstellungen:
- Einstellungen -> Kennwortschutz einrichten - wählt hierbei bitte ein komplexes Passwort bestehend aus Klein-/Großbuchstaben, Ziffern und Sonderzeichen. Belasst die Häkchen, wie sie von Kaspersky vorgegeben sind. Wichtig ist hierbei, dass das Verändern der Einstellungen und die Deinstallation des Programms geschützt sind.
- Einstellungen -> Schutz -> Datei Anti-Virus - Aktion beim Fund einer Bedrohung: Löschen -> Erweiterte Einstellungen - Heuristische Analyse: Mittel
- Einstellungen -> Schutz -> Web Anti-Virus - Aktion beim Fund einer Bedrohung: Blockieren
- Einstellungen -> Schutz -> Programmkontrolle - Haken entfernen: Programme mit digitaler Signatur vertrauen -> Sicherheitsgruppe für unbekannte Programme ändern -> Sicherheitsgruppe manuell auswählen -> Nicht vertrauenswürdig anwählen und speichern
- Einstellungen -> Schutz -> Aktivitätsmonitor - Exploit-Schutz -> Beim Fund einer Bedrohung: Aktion verbieten - Aktivitätskontrolle für Programme -> Beim Fund von schädlicher oder anderer Programmaktivität: Programm beenden - Rollback der Aktivität von Programmen -> Auswirkungen von schädlicher oder anderer Programmaktivität rückgängig machen, falls möglich: Rollback ausführen
- Einstellungen -> Schutz -> Mail Anti-Virus - Sicherheitsstufe auf Hoch (in meinem Fall kamen die häufigsten Bedrohungen per Mail rein, deshalb hier die Sicherheitsstufe auf Hoch - ist kein must-have.) -> Aktion beim Fund einer Bedrohung: Desinfizieren, irreparable Objekte löschen
- Einstellungen -> Leistung -> Haken entfernen: Beim Hochfahren Ressourcen für das Betriebssystem freigeben
- Einstellungen -> Untersuchung -> Sicherheitsstufe auf Hoch -> Erweiterte Einstellungen -> Vollständige Untersuchung anpassen -> Bereich für die vollständige Untersuchung ändern -> Haken setzen: bei E-Mails und je nach Bedarf auch bei Alle Netzlaufwerke das kleine Fenster schließen und auf Erweiterte Einstellungen -> Haken entfernen: iSwift-Technologie
- Einstellungen -> Erweitert -> Gefahren und Ausnahmen - Haken setzen (default sollte er gesetzt sein): Erkennung von anderen Programmen, mit denen Angreifer den Computer oder die Benutzerdaten beschädigen können - Haken setzen (default sollte er gesetzt sein): Verfahren zur aktiven Desinfektion verwenden
- Einstellungen -> Erweitert -> Ansicht -> Überblendeffekt für Fenster - Nicht verwenden (verbessert die Performance bei der Visualisierung des GUI)
- Nun verlassen wir das Menu der Einstellungen, um wieder zur Hauptoberfläche der KIS/KTS zu gelangen
- Weitere Funktionen -> Programme verwalten -> Modus für vertrauenswürdige Programme -> Aktivieren und alle installierten Programme untersuchen - wie bereits oben erwähnt: das System sollte zu 100% frei von Malware jeglicher Art, im besten Falle frisch aufgesetzt, sein. Sollte Kaspersky nun unbekannte Dateien und/oder Programme gefunden haben, was durchaus mal vorkommen kann - denn auch das KSN kennt nicht alles - fügt diese als vertrauenswürdig hinzu.
Für die Variante #2, die ja was die Zusammensetzung der Software etwas flexibler gestaltet, beziehe ich mich nun mal auf mein eigenes Setup. Dieses kann man als Beispiel sehen, wie so etwas aussehen könnte. Bei mir funktioniert es exzellent, rein ressourcenbezogen spüre ich kaum, dass da irgendein Programm im Hintergrund das System ausbremst o.Ä.
- Virenschutz installieren: in meinem Fall Emsisoft Anti-Malware Home (folglich auch EAM). Das System sollte natürlich sauber, oder frisch installiert sein
- Sollte bei der Wahl eures Virenschutzprogrammes noch irgendwelche Zusatzkomponenten, die nichts mit dem reinen Malware-und/oder Webschutz zu tun haben, mit installiert werden, so würde ich diese falls möglich, abwählen
- Aktiviert nun eure Lizenz, lasst das Update-Modul des Virenschutzes durchlaufen oder stoßt das Update selbst an, falls noch nicht geschehen. Startet im Anschluss euren PC einmal neu, falls dazu aufgefordert wird
- Im Falle von EAM belasse ich die Einstellungen bei den default Settings, da diese schon ausreichende Sicherheit bieten. Ich empfehle zu Beginn immer einmal alle Einstellungen des Virenschutzes durchzugehen und ggf. zu ändern, falls man sich mit den default Settings zu unsicher fühlt
- Auch hier ist wie beim obigen Kaspersky-Tutorial zu empfehlen, die Einstellungen mit einem Passwort zu schützen. Auch hierbei sollte es natürlich wieder möglichst komplex sein. Bei EAM lässt sich dadurch auch der Zugriff auf die Einstellungen durch einen Windows-Benutzeraccount mit Standard-Berechtigungen verhindern bzw. schützen
- Der erste Scan: der erste Virenscan sollte möglichst alle Dateien, Partitionen und verbundenen Laufwerke umfassen, damit der Virenschutz euer System, eure Konstellation und ggf. auch euer Netzwerk einmal richtig "kennen lernt". Bei EAM nutze ich dafür die Funktion "Eigener Scan" und wähle alle verfügbaren Laufwerke und/oder Partitionen an und füge diese hinzu, da die Funktion "Malware-Scan" nicht alle Dateien, Ordner, Partitionen beinhaltet. Die gesetzten Optionen beinhalten auch meine verbundenen NAS-Laufwerke, weshalb ich mir die Konfiguration mit dem Dateinamen "Full-NAS.a2s" abspeichere
- Das war's. Mit dem Kapitel Virenschutz sollte nun alles bestens funktionieren. Es kann sein, dass euch das Programm noch dazu auffordert, ein Browser Add-On für den Webbrowser zu installieren.
- Ich installiere nun die Anti-Executable Lösung und bin hierbei längst ein großer Fan von VoodooShield. Es läuft stabil, schnell und sehr zuverlässig. Zusammen mit der VirusTotal-Cloud (ca. 70 Cloud-Scanner) hat VoodooShield eine sehr hohe "Erkennungsrate". Wobei man hierbei nicht vor Erkennungsrate sondern eher von Wirkungsgrad sprechen kann.
VoodooShield Review - TPSC
VoodooShield Tested! - Computer Solutions
- Auch VoodooShield habe ich weitestgehend bei den Standard-Einstellungen belassen. Der Smart-Modus macht genau was er soll und das Sicherheitslevel steht standardmäßig auf "Aggressive"
- Ich habe hier ebenfalls den Kennwortschutz aktiviert, wodurch auch der Geräte-Manager von Windows vor Zugriff geschützt wird
- Desweiteren habe ich unter "Basic" das Häkchen bei "Automatically allow items that match a digital signature in the whitelist snapshot" entfernt
Wichtig ist hierbei auch anzumerken: beide Programme arbeiten auf unterschiedlichen Ebenen. Der eine (Antivirus) auf dem System und in der Cloud und der andere (VoodooShield) ausschließlich cloud -/und whitelistbasiert.
Von der Installation eines zusätzlichen Sicherheitstools, wie z.B. HitmanPro.Alert, Zemana Antilogger, Malwarebytes Premium würde ich definitiv abraten. Denn jedes dieser Programme übernimmt ähnliche oder identische Aufgaben, die der Virenschutz bereits verrichtet. Was bedeutet, dass sich diese Tools unter bestimmten Bedingungen (z.B. Stress-Tests) nur in die Quere kommen könnten und den Schutz eher schmälern als stabilisieren würden.
Nun noch das Abschlusswort bzw. ein abschließender Hinweis:
Dieses Tutorial bezieht sich lediglich auf den softwareseitigen Schutz vor Malware.
Es soll nicht vermitteln, dass man nun zu 100% vor Malware geschützt ist und Malware von nun an machtlos gegenüber des Systems ist. Einen 100%-Schutz gab es nie, gibt es nicht und wird es (leider) wohl auch nie geben.
Ein gesundes Sicherheitskonzept, bestehend aus folgenden Eckpunkten, sollte trotzdem noch bestehen bleiben, oder falls nicht vorhanden, erstellt werden:
Berechtigungen
Unter Windows sollte man seine alltäglichen Aufgaben nicht mit einem Administrator-Account verrichten.
Der Administrator-Account sollte lediglich dazu dienen, administrative Aufgaben wie z.B. Software-/Betriebssystem-Updates, Software-Installationen-/Deinstallationen vorzunehmen. Alles andere, wozu keine administrative Rechte benötigt werden, wie z.B. das Gamen, surfen im Web, Abrufen von E-Mails sollte mit einem Standard-Account umgesetzt werden.
Updates
Sowohl das Betriebssystem als auch alle installierten Programme, sollten immer auf dem aktuellsten Stand gehalten werden.
Windows bietet hierzu einen sehr guten Update-Mechanismus, der mittlerweile echt gut funktioniert.
Werft einfach in regelmäßigen Abständen (1-2x die Woche) einen Blick in "Einstellungen -> Update und Sicherheit" und überprüft, ob eure installierten Anwendungen alle auf dem aktuellen Stand seid. Viele Anwendungen haben eine eigene Update-Routine integriert. Bei manchem muss man aber nach wie vor die Hersteller-Seite besuchen und die Versionsnummern abgleichen.
Weniger ist mehr
Viele Hersteller der sogenannten Schlangenölbranche wollen einem mit ihren fetten aufgeblähten Suites einen vollwertigen hunderprozentigen Virenschutz verkaufen. Jedoch sind diese eben auch umfangreicher und mit mehr Programm-Code bestückt als einzelne Virenschutzprogramme und haben somit mehr Angriffsfläche für fehlerhaften bzw. lückenhaften Code. Im Allgemeinen lautet bei jeder Art von Anwendungen "mehr Code, mehr Lücken" demzufolge ist weniger auch manchmal mehr.
Überprüft auch in regelmäßigen Abständen ob ihr wirklich noch alle Anwendungen benötigt, die auf eurem System installiert sind und deinstalliert nicht mehr benötigte Anwendungen, um die Angriffsfläche zu verringern.
Regelmäßige Backups
Hierbei sollte man nicht sparsam umgehen. Ich mache wöchentlich ein Backup meines kompletten System-Images, um möglichst up-to-date zu sein. Damit man im Fall der Fälle nicht mehr so viel aufholen bzw. updaten muss.
Für das regelmäßige Anlegen von Backups sollte eine externe HDD oder ein USB-Stick vorhanden sein. Von Vorteil wäre beides. Denn dann kann man seine Backups auf der HDD ablegen und mit dem USB-Stick ein USB-Rettungsmedium erstellen, um das jeweilige Backup auf das infizierte und/oder nicht ordnungsgemäß funktionierende System aufzuspielen.
Browser & Erweiterungen
Auch hier eins vorab: weniger ist mehr. Übertreibt man es mit der Installation von Add-Ons, so hat man auch eine größere Angriffsfläche im Browser selbst. Ich für meinen Teil verwende den Mozilla Firefox mit uBlock Origin und HTTPS Everywhere.
Zusätzlich könnte man sich noch uMatrix oder NoScript installieren, um das Ausführen von Website-Scripts abzublocken. Ist mir persönlich aber zu unkomfortabel und letztendlich jedem selbst überlassen.
Wie das Blocken von Scripts mit uMatrix funktioniert, wird hier ausführlich erklärt.
Last but not least: brain.exe
Klickt nicht jeden Link an, der nicht bei drei auf'm Baum ist. Verwendet Inhalts-/URL-Filter, um euch die Arbeit und Auswahl zu erleichtern. Mögliche Varianten wären da die Änderung des DNS-Server oder eben oben genannte Add-Ons.
Seid im allgemeinen bedacht, welche Links ihr anklickt, Dateien ihr runterladet und gebt immer händisch die originale Web-Adresse ein. Beispiel für Orginal und Fake: https://www.ebay.de/ (Original) https://ebay.ichbineinabzocker.de (Fake)
Solltet ihr eine E-Mail von beispielsweise Amazon, Paypal oder Ebay bekommen, in der ihr eure Account-Daten ändern oder aktualisieren sollt, euch erneut einloggen müsst, um eine Account-Sperre zu umgehen, so löscht diese unbedingt, ohne auch nur einen Link anzuklicken oder überhaupt in irgendeiner Weise auf diese Mail einzugehen.