Changes for page Konfigurationsprofil-Einstellungen
Last modified by S V on 2023/03/08 11:27
Change comment:
Renamed from xwiki:64.ACMP-Solutions.Security.Defender Management.Konfigurationsprofile.Konfigurationsprofil-Einstellungen.WebHome
Summary
-
Page properties (1 modified, 0 added, 0 removed)
Details
- Page properties
-
- Content
-
... ... @@ -4,220 +4,217 @@ 4 4 5 5 {{aagon.floatingbox/}} 6 6 7 -= Echtzeitschutz=7 += Real-time Protection = 8 8 9 - Über dieseEinstellungkönnen Sie dasVerhaltendes Echtzeitschutzessteuern.9 +This setting allows you to control the behaviour of real-time protection. 10 10 11 11 {{aagon.infobox}} 12 -I stderMicrosoft DefenderManipulationsschutzaktiviert,könnendieEinstellungendesEchtzeitschutzesnicht deaktiviertwerden.12 +If Microsoft Defender tamper protection is enabled, the real-time protection settings cannot be disabled. 13 13 {{/aagon.infobox}} 14 14 15 -= Ausschlüsse=15 += Exclusions = 16 16 17 - Sollteesvorkommen, dasseinbestimmtesElementvomWindows DefenderScannerfälschlicherweise immer wieder als Bedrohungangesehenwird,so können Siedieses ElementeinemAusschluss hinzufügen.17 +If you find that a particular item is repeatedly mistakenly detected as a threat by the Windows Defender scanner, you can add it to an exclusion. 18 18 19 - Über//Ausschlüsse //inder Ribbonleisteim Tab//KonfigurationsprofilekönnenSiedannentscheiden,welchesElementSiedemAusschluss hinzufügenmöchten.OptionalkönnenSieDateien,Dateiendungen,ganzeOrdnerund/oderProzesseausschließen.In diesemSchritt habenSie dannauchdieMöglichkeit,Platzhalterzu verwenden,währendSiedie Ausschlussliste definieren:19 +You can then use //Exclusions// on the //Configuration Profiles// tab in the ribbon bar to decide which item to add to the exclusion. You can choose to exclude files, file extensions, entire directories and/or processes. This step also allows you to use wildcards when defining the exclusion list: 20 20 21 -|=Platzhalter|=Nutzung 22 -|((( 23 -* 21 +|**Placeholder**|**Use** 22 +|* 23 +\\(asterisk)|((( 24 +For filenames and file extensions, the asterisk replaces any number of characters and applies only to files in the last directory specified in the exclusion. 24 24 25 -(Sternchen) 26 -)))|((( 27 -Bei Dateinamen und Dateierweiterungen ersetzt das Sternchen eine beliebige Anzahl von Zeichen und gilt nur für Dateien im letzten Ordner, der in im Ausschluss definiert wurde. 28 - 29 -Bei Ordnerausschlüssen ersetzt das Sternchen einen einzelnen Ordner. 26 +For folder exclusions, the asterisk replaces a single folder. 30 30 ))) 31 -|((( 32 -? 28 +|? 29 +\\(questition mark)|((( 30 +For file names and file extensions, the question mark replaces a single character and applies only to files in the last directory defined in the exclusion. 33 33 34 -(Fragezeichen) 35 -)))|((( 36 -Bei Dateinamen und Dateierweiterungen ersetzt das Fragezeichen ein einzelnes Zeichen und gilt nur für Dateien im letzten Ordner, der im Ausschluss definiert wurde. 37 - 38 -Bei Ordnerausschlüssen ersetzt das Fragezeichen ein einzelnes Zeichen in einem Ordnernamen. Nach dem Abgleich der Anzahl von Ordnern mit Platzhaltern und benannten Ordnern werden auch alle Unterordner eingeschlossen. 32 +For folder exclusions, the question mark replaces a single character in a folder name. After matching the number of folders with wildcards and named folders, any subfolders are also included. 39 39 ))) 40 -| Umgebungsvariablen|Die definierteVariablewird alsPfadaufgefüllt,wennderAusschluss ausgewertet wird.34 +|Environment variables|The defined variable is filled as a path when the exclusion is evaluated. 41 41 42 - SiekönnenaußerdemeinemKonfigurationsprofilbeliebigvieleAusschlüssehinzufügenundeinen Ausschlussan beliebigvieleKonfigurationsprofilehängen.36 +You can also add any number of exclusions to a configuration profile and attach an exclusion to any number of configuration profiles. 43 43 44 44 {{aagon.infobox}} 45 - BeachtenSie, dasssichdieseAusschlüsse ausschließlichauf allgemeineElementewieDateien,Dateitypen,OrdnerundProzesse allerArtbeziehen und nichtmitdenAusschlüssen fürdie ASR-Regelnverwechselt werdensollten!39 +Note that these exclusions only apply to general items such as files, file types, directories and processes of all types and should not be confused with the exclusions for the ASR rules! 46 46 {{/aagon.infobox}} 47 47 48 -= A ktionenbei Bedrohungen=42 += Actions for threats = 49 49 50 - Hier definierenSiedie Aktionen,die eintretensollen,wenneineBedrohungauf demClienterkanntwurde. Fürdie vierunterschiedlichenBedrohungsebenen (schwerwiegend,hoch,mittel,niedrig) kann zwischenden WartungsaktionenQuarantäne,Entfernenundieren gewählt werden.44 +This is where you define the actions to be taken when a threat is detected on the Client. For the four different threat levels (Severe, High, Medium, Low) you can choose between the maintenance actions Quarantine, Remove and Ignore. 51 51 52 52 {{aagon.infobox}} 53 -I stderDefenderManipulationsschutzaktiviert,können dieseEinstellungennicht deaktiviertwerden.47 +If Defender tamper protection is enabled, these settings cannot be disabled. 54 54 {{/aagon.infobox}} 55 55 56 -= Cloud basierter Schutz=50 += Cloud Based Protection = 57 57 58 - DieseSchutzfunktion führt dazu,dassDateien,diedemDefenderunbekanntsind,vorabvonMicrosoftüberprüft werden.Erscheint alsoeineunbekannteBedrohung,wiez.B.einneuesVirus aufdemClient,lädtDefenderdiemöglicheBedrohungbeiMicrosoftzurgenaueren Überprüfunghoch undlässt dieEntscheidungüberdas weitereVorgehen.52 +This protection feature causes files unknown to Defender to be pre-scanned by Microsoft. So if an unknown threat, such as a new virus, appears on the client, Defender will upload the possible threat to Microsoft for further investigation, leaving the decision on whether to proceed to Microsoft. 59 59 60 60 {{aagon.infobox}} 61 -I stderDefenderManipulationsschutzaktiviert,können dieseEinstellungennicht deaktiviertwerden.55 +If Defender tamper protection is enabled, these settings cannot be disabled. 62 62 {{/aagon.infobox}} 63 63 64 64 = SmartScreen = 65 65 66 - DieseFunktion dient dazu, beimNutzen von Appsund Datensowie bei der Nutzungvon MicrosoftEdge vor MalwareundPhishing-Webseitenzu schützen.SmartScreenwarntbeieinerBedrohungautomatischmit einerWarnmeldung,dieden Zugriff aufeineWebseiteodereineDateioderdieAusführungeinerAnwendungmiteinerWarnmeldungblockiert.60 +This feature helps protect you from malware and phishing websites when you use applications and data, and when you use Microsoft Edge. SmartScreen automatically alerts you when a threat is detected, blocks access to a webpage or file, or blocks an application from running with a warning message. 67 67 68 -= ÜberwachterOrdnerzugriff=62 += Controlled folder access = 69 69 70 - SiehabenhierdieMöglichkeit,nichtvertrauenswürdigeundvertrauenswürdigeOrdnerzudefinieren.FügenSieganze Ordnerhinzu,diefürSiealsnichtvertrauenswürdig gelten.Sollten jedocheinzelneAnwendungensicher sein,könnenSiediese explizitalsvertrauenswürdigeinstufen.Diese werdendannausdemüberwachtenOrdnerausgeschlossen.LetzterenkönnendieModiBlockieren,Überwachungsmodus, NurDatenträgeränderungenblockierenund Nur Datenträgerüberwachen zugeschrieben bekommen.64 +Here you can define untrusted and trusted directories. Add entire directories that you consider untrustworthy. However, if individual applications are safe, you can explicitly classify them as trusted. These will then be excluded from the monitored directory. The latter can be set to Block, Monitor mode, Block changes to disks only and Monitor disks only. 71 71 72 72 {{aagon.infobox}} 73 - HabenSieden //ÜberwachtenOrdnerzugriff// aktiviert, kann es nach dem Durchlauf desComputerscannersdes ACMP Agentenzu einerAlarm-MeldungmitderID 1127„Kontrollierter Ordnerzugriff (Controlled Folder Access,CFA)hatverhindert,dassein nichtvertrauenswürdigerProzessÄnderungen amSpeichervornimmt.“kommen.Sie erhaltenkeineAlarm-Meldungenmehr,wennSiedieACMPClientService.exeunter//Vertrauenswürdige Anwendungen//hinzufügen.67 +If you have enabled //monitored folder// access, you may receive an alert message with ID 1127 "Controlled Folder Access (CFA) prevented an untrusted process from making changes to memory" after the ACMP Agent's computer scanner has passed. You will no longer receive alerts if you add ACMPClientService.exe to //Trusted Applications//. 74 74 {{/aagon.infobox}} 75 75 76 76 77 77 = UI = 78 78 79 -H ierkönnenSieElementedergrafischenBenutzeroberflächeamClientbestimmen,z.B. dasUnterbindenoderErlauben von allgemeinenund DefenderPop-ups oderanderweitigeBenachrichtigungen.ZusätzlichsteuernSie,welcheeinzelnen ModulederWindows-Sicherheitinder grafischenOberfläche angezeigt werdensollen.73 +Here you can specify elements of the graphical user interface on the client, such as preventing or allowing General and Defender pop-ups or other notifications. You can also control which individual Windows security modules are displayed in the GUI. 80 80 81 81 (% style="text-align:center" %) 82 82 [[image:https://manual.aagon.com/acmp/de/61/konfigurationsprofil-einstellungen_ui_zoom60.png||alt="Konfigurationseinstellungen"]] 83 - Konfigurationseinstellungen77 +Configuration Profile settings 84 84 85 -== Headless UI -Mode ==79 +== Headless UI mode == 86 86 87 - Bei einerAktivierungdieserEinstellung werdenam ClientallegrafischenElementebezüglichdesDefenderdeaktiviert.D.h.,dassz.B.Benachrichtigungenzum Viren-undBedrohungsschutznicht angezeigtwerden.81 +When this setting is enabled, all graphical elements on the client related to Defender are disabled. This means, for example, that virus and threat protection notifications are not displayed. 88 88 89 -= Scan -Einstellungen=83 += Scan settings = 90 90 91 - HierkonfigurierenSieunterschiedliche Scan-Optionen.85 +Allows you to configure various scanning options. 92 92 93 -== Allgemeine Scan-Einstellungen==87 +== General Scan settings == 94 94 95 -H ierhabenSie verschiedeneEinstellungsmöglichkeiten für die Scans.89 +Here you can configure various scan settings. 96 96 97 -== Scan -Einstellungenfür Dateien==91 +== Scan settings for Data == 98 98 99 - Neben demScannenvon Archivdateien,z.B.ZIP-Ordnern,kanndie maximaleScangröße,auchbeiDateienundAnlagen,diebeieinemDownloadstandardmäßiggescannt werden,eingestelltwerden.93 +In addition to scanning archive files, such as ZIP folders, you can also set the maximum scan size for files and attachments that are scanned by default during a download. 100 100 101 -== Sc hnellscan-Einstellungen==95 +== Quick Scan settings == 102 102 103 - HierkönnenSie denIntervallunddieUhrzeitfürdentäglichen Schnellscaneinstellen.97 +Set the interval and time for the daily quick scan. 104 104 105 -== GeplanterSystem-Scan ==99 +== Scheduled System scan == 106 106 107 -Mit einem geplanten System-Scan können Sie die Clients zu einem von Ihnen festgelegten Zeitpunkt vollständig auf Viren scannen. 101 +A scheduled System Scan allows you to run a full Client virus scan at a time of your choosing. 102 +By default, the Full System Scan feature is not enabled. If you enable the scan, the settings you have previously specified will take effect. The settings include the time of the scan and the level of CPU usage. 108 108 109 -Standardmäßig ist die Funktion eines vollständigen System-Scans nicht aktiviert. Wenn Sie den Scan aktivieren, greifen die von Ihnen vorab festgelegten Einstellungen. In den Einstellungen stellen Sie neben dem Zeitpunkt des Scans auch die Höhe der möglichen CPU-Auslastung ein. 110 - 111 111 {{aagon.infobox}} 112 - DieSystem-Scan-EinstellungenhabenkeineAuswirkungenaufdiegeplantenScans imDefenderModul,diemitdenKonfigurationsprofilen verknüpft werden können.105 +The system scan settings do not affect the scheduled scans in the Defender module, which can be linked to the configuration profiles. 113 113 {{/aagon.infobox}} 114 114 115 -= Update -Einstellungen=108 += Update settings = 116 116 117 - Über dieseKonfigurationhabenSiedieMöglichkeit,nebenallgemeinenEinstellungenzu UpdatesauchgenaueUpdate-Quellensowie zeitlicheUpdate-Intervallezubestimmen.110 +This configuration allows you to define general update settings, as well as the exact update sources and time intervals for updates. 118 118 119 -== Allgemeine Update-Einstellungen==112 +== General Update settings == 120 120 121 -H ierhabenSie verschiedeneEinstellungsmöglichkeitenfür die UpdatessowiedieMöglichkeit,zeitliche EinstufungvonveraltetenSicherheitsinformationen festzulegen.114 +Here you can configure various update settings, as well as the timing of out-of-date security information. 122 122 123 -== Update -Quelle==116 +== Update source == 124 124 125 - In diesenEinstellungenkönnenSieDateifreigabensowieeinebenutzerdefinierteReihenfolgeder Update-Quellen angeben.118 +These settings allow you to specify file shares and a custom order of update sources. 126 126 127 -== Update -Planung ==120 +== Update scheduling == 128 128 129 - HierwerdenfürdiegeplantenUpdates derSicherheitsinformationendie Wochentage,dieUhrzeitenund die Intervalle eingestellt.122 +Set the days of the week, times and intervals for scheduled security information updates. 130 130 131 -= VerringerungderAngriffsfläche =124 += Attack Surface Reduction = 132 132 133 -Mit den ASR-Regeln (Attack Surface Reduction, dt. Verringerung der Angriffsfläche) zielen Sie auf bestimmtes Softwareverhalten ab und reduzieren so die potenzielle Angriffsfläche für Bedrohungen. 126 +Attack surface reduction (ASR) rules allow you to target specific software behaviour to reduce the potential attack surface for threats. 127 +These rules prevent risky software behaviour, such as launching executables and scripts that attempt to download and execute files, performing suspicious application behaviour, or executing suspicious files and scripts in general. You can enable 15 different rules to either monitor or immediately block the process. 134 134 135 -Diese Regeln verhindern dabei riskante Softwareverhaltensmuster, wie das Starten von ausführbaren Dateien und Skripten, die versuchen, Dateien herunterzuladen und auszuführen; das Durchführen von auffälligen Verhaltensmustern bei Apps oder allgemein das Ausführen von verdächtigen Dateien und Skripten. Sie können 15 unterschiedliche Regeln dafür aktivieren und dann den jeweiligen Vorgang entweder überwachen oder sofort blockieren. 129 +|**Rules for reducing the attack surface**|**Description** 130 +|Block executable content from email client and web email|Prevents .exe, .dll or SCR file types and PowerShell .ps, Visual Basic .vbs or JavaScript.js script files from running from emails that are opened while using Microsoft Outlook or Outlook.com. 131 +|Prevent all Office applications from creating child processes|((( 132 + 136 136 134 +Prevents Office (Word, Excel, PowerPoint, OneNote and Access) from creating child processes. This prevents malware from hijacking Office applications to run VBA macros. 135 +))) 136 +|Prevent Office applications from creating executable content|Prevents malicious code from being written to the hard drive by preventing Office applications (including Word, Excel and PowerPoint) from creating potentially malicious executable content. 137 +|Prevent Office applications from inserting code into child processes|((( 138 +Prevents Office applications from being exploited externally by adding malicious code through code injection. 137 137 138 -|=Regeln zur Verringerung der Angriffsfläche|=Beschreibung 139 -|Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren|Blockiert das Starten der Dateitypen .exe, .dll oder SCR und der Skriptdateien powerShell .ps, Visual Basic .vbs oder JavaScript.js-Datei aus E-Mails, die während der Nutzung von Microsoft Outlook oder Outlook.com geöffnet wurden. 140 -|Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern|Unterbindet, dass Office (Word, Excel, PowerPoint, OneNote und Access) untergeordnete Prozesse erstellt. Schadsoftware kann so die Office-Anwendungen nicht missbrauchen, um VBA-Makros auszuführen. 141 -|Office-Anwendungen am Erstellen ausführbarer Inhalte hindern|Verhindert, dass Schadcode auf den Datenträger geschrieben wird, indem blockiert wird, dass Office-Anwendungen (inkl. Word, Excel und PowerPoint) potenziell schädlichen ausführbaren Inhalt erstellen. 142 -|Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern|((( 143 -Blockiert, dass Office-Anwendungen durch außen missbraucht werden, indem Schadcode durch Codeinjektion hinzugefügt wird. 144 - 145 -Diese Regel gilt für Word, Excel und PowerPoint. 140 +This applies to Word, Excel and PowerPoint. 146 146 ))) 147 -| AusführungpotenziellverborgenerSkriptsblockieren|Erkenntund blockiertverdächtigeEigenschaftenineinemverschleiertenSkript. Skriptverschleierungenwerdengenutzt,um geistigesEigentumauszublendenoderdieLadezeitenvon Skriptszuverringern.148 -|Win32 -API-AufrufevonOffice-Makrosblockieren|Verhindert, dassVBA-Makros Win32-APIsaufrufen. Office VBA aktiviertWin32-API-Aufrufe.SchadsoftwarekanndieseFunktion missbrauchen,z.B.Win32-APIsaufrufen,umschädlichenShellcodezustarten,ohneetwasdirektaufden Datenträgerzu schreiben.149 -| AusführbareDateienan derAusführung hindern,außersie erfülleneinVerbreitungs-,Alters-odervertrauenswürdigesListen-Kriterium|(((150 - DieseRegel blockiert dasStartender Dateitypen .exe, .dll oder SCR,esseidenn,sie erfüllendiePrävalenz-oderAlterskriterienodersind ineinervertrauenswürdigenListeoderAusschlusslisteenthalten.Um bestimmteProzessedieserDateitypenzuzulassen,benutzenSiedieASR-RegelnAusschlüsse.142 +|Block potentially hidden scripts from running|Detects and blocks suspicious properties in an obfuscated script. Script obfuscation is used to hide intellectual property or reduce script load times. 143 +|Block Win32 API calls to Office macros|Prevents VBA macros from calling Win32 APIs. Office VBA allows Win32 API calls. Malware can abuse this feature, for example by calling Win32 APIs to execute malicious shellcode without writing anything directly to the hard disk. 144 +|Block executable files from running unless they meet a distribution, age, or trusted list criterion|((( 145 +This rule blocks the launching of .exe, .dll or SCR file types unless they meet the prevalence or age criteria, or are included in a trusted list or exclusion list. To allow specific processes of these file types, use the Exclusions ASR rule. 151 151 152 152 {{aagon.infobox}} 153 - DieseRegelkannnurverwendetwerden,wennder CloudbasierteSchutz aktiviertist!148 +This rule can only be used if cloud-based protection is enabled! 154 154 {{/aagon.infobox}} 155 155 ))) 156 -|Blocki erenesDiebstahlsvon AnmeldeinformationenWindows fürlokaleSicherheitsbehörde|(((157 - Verhindert, dassAnmeldeinformationengestohlenwerden,indemderLSASS (Local Security Authority Subsystem Service)gesperrt wird.151 +|Block Windows credential stealing for local security authorities|((( 152 +Prevents credential theft by locking down the Local Security Authority Subsystem Service (LSASS). 158 158 159 -LSASS authenti fiziertBenutzer,diesichaufeinemWindowsanmelden. Microsoft Defender Credential Guardversuchtnormalerweise,AnmeldeinformationenindiesemProzessausLSASSzuextrahieren.EinigeUnternehmenkönnen Credential Guardjedochnichtauf allenComputern aktivieren.DieseKompatibilitätsproblemekönnenmitbenutzerdefiniertenSmartcardtreibernoderanderenProgrammenauftreten,dieindie Local Security Authority (LSA)geladen werden.154 +LSASS authenticates users logging on to a Windows computer. Microsoft Defender Credential Guard normally attempts to extract credentials from LSASS during this process. However, some organisations may not be able to enable Credential Guard on all computers. These compatibility issues can occur with custom smart card drivers or other programs that load into the Local Security Authority (LSA). 160 160 161 161 {{aagon.infobox}} 162 -In e inigenAppslistetder Code alleausgeführtenProzesse auf undversucht,sie mitvollständigenBerechtigungen zu öffnen.DieseRegelverweigertdieAktionzumÖffnendesProzessesder App undprotokolliertdieDetailsimSicherheitsereignisprotokoll.DieseRegelkannviel Rauschenzeugen.WennSieübereineAppverfügen,dieLSASSeinfach aufzählt,aberkeinewirklichenAuswirkungenaufdie Funktionalitäthat,istesnichterforderlich,siederAusschlusslistehinzuzufügen.Allein dieserEreignisprotokolleintragweist nichtunbedingt aufeine böswillige Bedrohunghin.157 +In some applications, the code lists all running processes and attempts to open them with full privileges. This rule denies the action to open the application's process and logs the details to the security event log. This rule can generate a lot of noise. If you have an application that simply enumerates LSASS but has no real impact on functionality, there is no need to add it to the exclude list. This event log entry alone does not necessarily indicate a malicious threat. 163 163 {{/aagon.infobox}} 164 164 ))) 165 -|Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren|Blockiert die Ausführung von Prozessen, die über PsExec und WMI erstellt wurden. Sowohl PsExec als auch WMI können Code remote ausführen, sodass das Risiko besteht, dass Schadsoftware diese Funktionalität zu Befehls- und Kontrollzwecken missbraucht oder eine Infektion im Netzwerk des Unternehmens verteilt wird. 166 -|Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren|Mit dieser Regel können Administratoren verhindern, dass nicht signierte oder nicht vertrauenswürdige ausführbare Dateien von USB-Wechseldatenträgern ausgeführt werden, einschließlich SD-Karten. Blockierte Dateitypen umfassen ausführbare Dateien (z. B. .exe, .dll oder SCR) 167 -|Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern|Diese Regel verhindert, dass Outlook untergeordnete Prozesse erstellt und gleichzeitig legitime Outlook-Funktionen zu lässt. Diese Regel schützt vor Social Engineering-Angriffen und verhindert, dass Code genutzt wird, um Sicherheitsrisiken in Outlook zu missbrauchen. Es schützt auch vor Outlook-Regeln und Formular-Exploits, die Angreifer verwenden können, wenn die Anmeldeinformationen eines Benutzers gefährdet sind. 168 -|Adobe Reader am Erstellen von untergeordneten Prozessen hindern|((( 169 -Diese Regel verhindert Angriffe, indem sie den Adobe Reader am Erstellen von Prozessen hindert. 160 +|Block process creation via PSExec and WMI commands|Blocks the execution of processes created via PsExec and WMI. Both PsExec and WMI can execute code remotely, so there is a risk that malware could exploit this functionality for command and control purposes or to spread an infection across the corporate network. 161 +|Block untrusted and unsigned processes running from USB|((( 162 +This rule allows administrators to prevent unsigned or untrusted executable files from being run from USB removable media, including SD cards. Blocked file types include executable files (such as .exe, .dll, or SCR). 163 +))) 164 +|Prevent Office communications application from creating child processes|This rule prevents Outlook from creating child processes while allowing legitimate Outlook functions to run. This rule protects against social engineering attacks and prevents code from being used to exploit Outlook vulnerabilities. It also protects against Outlook rule and form exploits that attackers can use if a user's credentials are compromised. 165 +|Prevent Adobe Reader from creating child processes|((( 166 +This rule prevents attacks by preventing Adobe Reader from creating processes. 170 170 171 - Indemverhindertwird, dass untergeordneteProzessevonAdobe Readergeneriertwerden,wird dieVerbreitungvonSchadsoftwareverhindert,dieversucht,sie alsAngriffsvektorzu verwenden.168 +By preventing the creation of child processes by Adobe Reader, it prevents the propagation of malware that attempts to use it as an attack vector. 172 172 ))) 173 -| ErweitertenSchutzvorRansomwareverwenden|(((174 - DieseRegelbieteteinenzusätzlichenSchutzvorRansomware.Diese verwendet sowohlClient-alsauch Cloudheuristiken, um zu bestimmen,obeineDateiRansomwareähnelt.170 +|Use advanced ransomware protection|((( 171 +This rule provides additional protection against ransomware. It uses both client and cloud heuristics to determine whether a file resembles ransomware. 175 175 176 176 {{aagon.infobox}} 177 - FolgendeDateienwerden von dieserRegel nicht blockiert:Dateien,dieüberdie Microsoft Cloud als nicht verdächtigeingestuft wurden;gültigeignierteDateienundDateien,die weitgenugverbreitetsind,umnichtalsRansomwarezu gelten.174 +The following files will not be blocked by this rule: Files that have been determined not to be suspicious via the Microsoft Cloud; validly signed files; and files that are persistent enough not to be considered ransomware. 178 178 {{/aagon.infobox}} 179 179 180 180 {{aagon.infobox}} 181 - DieseRegelkannnurverwendetwerden,wennder CloudbasierteSchutz aktiviertist!178 +This rule can only be used if cloud-based protection is enabled! 182 182 {{/aagon.infobox}} 183 183 ))) 184 -|JavaScript und VBScriptamStarteneruntergeladenerausführbarer Inhaltehindern|(((185 - DieseRegel verhindert, dassSkripts potenziellschädliche, heruntergeladeneInhaltestarten.In JavaScript oder VBScriptgeschriebene SchadsoftwaredienthäufigalsDownloader,umandereSchadsoftwareaus demInternet zuholenund zu starten.181 +|Prevent JavaScript and VBScript from launching downloaded executables|((( 182 +This rule prevents scripts from launching potentially malicious downloaded content. Malware written in JavaScript or VBScript often acts as a downloader to fetch and launch other malware from the web. 186 186 187 - Obwohlnichtüblich,verwenden Geschäftsbereichsanwendungenmanchmal Skripts,um Installationsprogrammeherunterzuladenundzu starten.184 +Although not common, business applications sometimes use scripts to download and launch installers. 188 188 ))) 189 -| Persistenz durchWMI-Ereignisabonnement blockieren|(((190 - DieseRegel verhindert, dassSchadsoftware WMImissbraucht,um dauerhaft aufeinem Gerät zu bestehen.186 +|Block persistence via WMI event subscription|((( 187 +This rule prevents malware from using WMI to persist on a device. 191 191 192 192 {{aagon.infobox}} 193 - Datei-undOrdnerausschlüssegeltennichtfürdieseRegelzurReduzierungderAngriffsfläche.190 +File and folder exclusions do not apply to this attack surface reduction rule. 194 194 {{/aagon.infobox}} 195 195 196 - DateiloseBedrohungenverwendenverschiedeneTaktiken,umausgeblendetzu bleiben,um zuvermeiden,dass sie imDateisystem angezeigt werden,und umeineregelmäßigeAusführungskontrollezuerhalten.EinigeBedrohungenkönnendasWMI-Repositoryunddas Ereignismodellmissbrauchen,um ausgeblendetzu bleiben.193 +Fileless threats use various tactics to stay hidden, avoid being seen in the file system, and maintain regular execution control. Some threats may abuse the WMI repository and event model to stay hidden. 197 197 ))) 198 198 199 -== ASR -Regeln Ausschlüsse==196 +== ASR rule exclusions == 200 200 201 - HabenSieeineASR-Regel aktiviert,abermöchtenbestimmteDateienundOrdner, die normalerweisedadurchblockiertwerdenwürden,trotzdem zulassen,können Ausschlüssefür ASR-Regelnerstellt werden.FügenSie Ordner oderDateienüber dasjeweiligeAusschlussfeldhinzu,um diese trotz aktivierterRegelzuzulassen.198 +If you have an ASR rule enabled but want to allow certain files and directories that it would normally block, you can create exclusions for ASR rules. Add folders or files via the appropriate exclusion field to allow them despite the rule being enabled. 202 202 203 203 {{aagon.infobox}} 204 - BeachtenSie,dasssichdieseAusschlüsseausschließlichaufdieASR-Regeln beziehenundnichtmitdenallgemeinen Ausschlüssenverwechselt werdensollten!201 +Please note that these exclusions are specific to ASR rules and should not be confused with the general exclusions! 205 205 {{/aagon.infobox}} 206 206 207 -= GeplanteScansmitKonfigurationsprofilenverknüpfen=204 += Linking scheduled scans to Configuration Profiles = 208 208 209 - Siehabendie Möglichkeit, geplanteScansmitKonfigurationsprofilenzuverknüpfen.SieerstellenverschiedeneScanJobs,indemSieim Tab//Konfigurationsprofile//die Geplante ScansinderRibbonleisteauswählen.206 +You can link scheduled scans to configuration profiles. You create different scan jobs by selecting Scheduled Scans from the //Configuration Profiles// tab in the ribbon bar. 210 210 211 -In demDialoglegenSiedasIntervallunddieKonfigurationsprofile,mitdenenderScanverknüpftwerdensoll,fest. SiesehenalleVerknüpfungenvondengeplantenScansunddemausgewähltenKonfigurationsprofil imArbeitsbereichunter //Verknüpftegeplante Scans//.208 +In the dialogue box, specify the interval and the configuration profiles to which the scan will be linked. You will see all the links from the scheduled scans and the selected configuration profile in the workspace under //Linked Scheduled Scans//. 212 212 213 213 {{aagon.infobox}} 214 - SiekönneneinengeplantenScan an beliebigviele Konfigurationsprofile knüpfen.211 +You can link a scheduled scan to any number of definitions. 215 215 {{/aagon.infobox}} 216 216 217 217 {{aagon.infobox}} 218 - Eskannvorkommen,dassSiebeijedemvollständigenSystemScan,z.B. beidengeplanten Scans,unterdemWindowsServer 2016 dieBenachrichtigung„ErkennunginteraktiverDienste“erhalten.EineDeaktivierungist manuell beidemServer 2016nichtmöglich.WennSiesich sichersind,dassdiese Benachrichtigungenunterbundenwerdensollen,könnenSie dafür inACMPeinenClientCommanderstellen.WählenSiedafürauf derClient Script-SeiteunterB//efehle > Windows OS > Control NTservice//.WählenSieals Dienstname//UI0Detect //ausundsetzenSie denStarttypauf//eaktiviert//.215 + In Windows Server 2016, you may receive the 'Detection of interactive services' notification for each full system scan, such as scheduled scans. It is not possible to manually disable this on Server 2016. If you are sure you want to disable these notifications, you can create a client command in ACMP. To do this, from the Client Script page, select //Commands// > //Windows// //OS// > //Control// //NT// //Service//. Select //UI0Detect //as the service name and set the startup type to //Disabled//. 219 219 {{/aagon.infobox}} 220 220 221 221 (% style="text-align:center" %) 222 222 [[image:https://manual.aagon.com/acmp/de/61/hmfile_hash_947866c1.png||alt="Client Command NT Dienste steuern"]] 223 -Client Command NT Dienstesteuern220 +Client Command NT Control Services