Skip Navigation
  1. BlackBerry Docs
  2. Cylance Endpoint Security
  3. Einrichtung
  4. Cylance Endpoint Security-Einrichtungshandbuch
  5. Einrichten von CylancePROTECT Desktop
  6. Verwenden von IT-Richtlinien für die Verwaltung von CylancePROTECT Desktop-Geräten
  7. Schutzeinstellungen

Schutzeinstellungen

CylancePROTECT Desktop
 überwacht ständig die Ausführung schädlicher Prozesse und warnt die Konsole, wenn unsichere oder anormale Ausführungsversuche unternommen werden. Sie können den
CylancePROTECT Desktop
 Agenten mit den folgenden Einstellungen konfigurieren, die Sie auf der Registerkarte
Schutzeinstellungen
 in einer Geräterichtlinie finden.
Option
Beschreibung
Dienstbeendung über Gerät verhindern
Wenn diese Option ausgewählt ist, können Gerätebenutzer den Dienst für den
CylancePROTECT Desktop
-Agenten oder für die folgenden Versionen des
CylanceOPTICS
-Agenten nicht beenden:
  • CylanceOPTICS
    -Agent für
    Windows
     3.1 oder höher mit
    CylancePROTECT Desktop
     3.0 oder höher
CylancePROTECT Desktop
-Agent Version 3.1 und höher wird als vertrauenswürdiger Dienst mit der AM-PPL-Technologie (Antimalware Protected Process Light) von
Microsoft
 ausgeführt, wodurch auch verhindert wird, dass der Agent heruntergefahren wird. Für diese Funktion muss auf dem Gerät
Windows 10
 1709 oder höher oder
Windows
 Server 2019 oder höher ausgeführt werden.
Unsichere laufende Prozesse und deren Unterprozesse beenden
Wenn diese Einstellung ausgewählt ist, beendet der Agent Prozesse und untergeordnete Prozesse (.exe oder .dll), unabhängig von ihrem Status, sobald eine Bedrohung erkannt wird. Dies bietet ein hohes Maß an Kontrolle über schädliche Prozesse, die möglicherweise auf einem Gerät ausgeführt werden.
Die Datei muss mithilfe der globalen Quarantäneliste automatisch oder manuell unter Quarantäne gestellt werden. Diese Funktion muss aktiviert werden, bevor die Datei unter Quarantäne gestellt wird. Wenn diese Funktion aktiviert ist, die Datei jedoch weder manuell noch automatisch unter Quarantäne gestellt wurde, werden die Prozesse weiterhin ausgeführt.
Beispiel:
 Die Ausführung einer Datei wird zugelassen, dann entscheiden Sie sich, die Datei unter Quarantäne zu stellen. Wenn diese Einstellung aktiviert ist, wird die Datei in Quarantäne verschoben, und der Prozess wird zusammen mit allen untergeordneten Prozessen beendet. Wenn diese Einstellung deaktiviert ist, wird die Datei unter Quarantäne gestellt. Da die Ausführung der Datei jedoch zugelassen wurde, konnten alle Prozesse, die von der Datei gestartet worden sind, weiterhin ausgeführt werden.
Bedrohungserkennung im Hintergrund
Es wird ein vollständiger Datenträgerscan durchgeführt, um inaktive Bedrohungen auf der Festplatte zu erkennen und zu analysieren. Der vollständige Datenträgerscan ist so konzipiert, dass die Auswirkungen auf den Endbenutzer durch den Einsatz relativ weniger Systemressourcen minimiert werden. Der Scan der Bedrohungserkennung im Hintergrund kann bis zu einer Woche dauern, je nachdem, wie stark das System ausgelastet ist und wie viele Dateien im System analysiert werden müssen. Das Datum und die Uhrzeit des letzten abgeschlossenen Hintergrundscans werden in der Konsole protokolliert.
Sie können den Scan nur einmal bei der Installation ausführen oder ihn so einstellen, dass er in einem von Ihnen festgelegten Intervall ausgeführt wird. Das Standard-Scanintervall beträgt 10 Tage. Wichtige Upgrades des Erkennungsmodells, z. B. das Hinzufügen neuer Betriebssysteme, lösen ebenfalls einen vollständigen Datenträgerscan aus. Beachten Sie, dass eine Erhöhung der Häufigkeit der Scans die Leistung Geräts beeinträchtigen kann.
Es wird empfohlen, dass Sie die Einstellung
Bedrohungserkennung im Hintergrund
 auf
Einmal ausführen
 festlegen und die Option
Auf neue Dateien überwachen
 aktivieren, damit neue und aktualisierte Dateien auf der Festplatte überwacht werden. Wenn Sie nach neuen und aktualisierten Dateien suchen, müssen Sie alle vorhandenen Dateien nur einmal überprüfen. Aufgrund der Vorhersagbarkeit der Technologie sind regelmäßige Scans der gesamten Festplatte nicht erforderlich, können aber zu Compliance-Zwecken implementiert werden (z. B. PCI-Compliance).
Wenn Scans zur Bedrohungserkennung im Hintergrund auf mehreren VM-Geräten ausgeführt werden, die gleichzeitig vom selben VM-Host stammen, wird die Geräteleistung beeinträchtigt. Ziehen Sie in Betracht, diese Funktion für VM-Geräte schrittweise zu aktivieren, um die Anzahl der gleichzeitig stattfindenden Scans zu begrenzen.
Verwenden Sie einen der folgenden Befehle, um den Scan manuell auszuführen:
  • Auf
    Windows
    -Geräten:
    C:\Program Files\Cylance\Desktop\CylanceSvc.exe /backgroundscan
  • Auf
    macOS
    -Geräten:
    /Applications/Cylance/CylanceUI.app/Contents/MacOS/CylanceUI -background-scan
  • Auf
    Linux
    -Geräten:
    /opt/cylance/desktop/Cylance -b
/opt/cylance/desktop/Cylance --start-bg-scan
Auf neue Dateien überwachen
Diese Einstellung ermöglicht es dem Agenten, neue oder geänderte Dateien auf inaktive Bedrohungen zu scannen und zu analysieren. Wenn eine Bedrohung erkannt wird, wird die Datei in Quarantäne verschoben, auch wenn nicht versucht wurde, sie auszuführen. Es wird empfohlen, diese Einstellung zusammen mit der Erkennung von Hintergrundbedrohungen zu aktivieren (einmalige Ausführung).
Der automatische Quarantänemodus (Ausführungssteuerung) blockiert unsichere oder anormale Dateien bei der Ausführung. Daher ist es nicht erforderlich, „Auf neue Dateien überwachen“ zu aktivieren, wenn der automatische Quarantänemodus ebenfalls aktiviert ist, es sei denn, Sie ziehen es vor, eine schädliche Datei in Quarantäne zu stellen, sobald der Agent die Bedrohung während eines Scans erkennt.
Diese Einstellung kann sich auf die Leistung auswirken. Sie sollten daher die Datenträger- oder Nachrichtenverarbeitungsleistung prüfen, um festzustellen, ob sie sich geändert hat. Das Ausschließen von Ordnern kann die Leistung verbessern und sicherstellen, dass bestimmte Ordner und Dateien nicht vom Agenten gescannt oder analysiert werden.
Festlegen der maximalen Größe zu scannender Archivdateien
Geben Sie die maximale Größe der Archivdatei an, die vom Agenten gescannt werden soll. Diese Einstellung gilt für die
Bedrohungserkennung im Hintergrund
 und für
Auf neue Dateien überwachen
. Wenn Sie keine Archivdateien scannen möchten, stellen Sie die Dateigröße auf 0 MB ein.
Bestimmte Ordner ausschließen
Mit dieser Einstellung können Sie Ordner und Unterordner festlegen, die über die Funktionen
Bedrohungserkennung im Hintergrund
 und
Auf neue Dateien überwachen
 vom Scannen ausgeschlossen werden sollen.
Verwenden Sie für
Windows
 einen absoluten Pfad mit Laufwerksbuchstabe. Beispiel:
C:\Test
.
Verwenden Sie für
macOS
 einen absoluten Pfad aus dem Stammverzeichnis ohne Laufwerksbuchstabe. Beispiel:
/Applications/SampleApplication.app
.
Verwenden Sie für
Linux
 einen absoluten Pfad aus dem Stammverzeichnis ohne Laufwerksbuchstabe. Beispiel:
/opt/application
.
Beispiel für Windows
:
C:\Test
Beispiel für macOS (ohne Leerzeichen)
:
/Applications/SampleApplication.app
Beispiel für macOS (mit Leerzeichen)
:
/Applications/Sample\ Application.app
Beispiel für Linux
:
/opt/application/
Der Platzhalter „*“ wird auch für Ordnerausschlüsse unterstützt. Weitere Informationen finden Sie im Abschnitt Platzhalter in den Ordnerausschlüssen der Schutzeinstellungen.
Ausschlüsse werden nicht rückwirkend angewendet. Nach der Erstinstallation des Agenten ignorieren die Funktionen „Bedrohungserkennung im Hintergrund“ und „Auf neue Dateien überwachen“ Dateien gemäß der Ausschlussliste, die sie empfangen haben. Das Hinzufügen eines Ausschlusses nach der ersten Erkennung oder dem ersten Befund der Gefährlichkeit schließt die bereits erkannten oder als für gefährlich befundenen Dateien nicht rückwirkend aus. Alle Dateien, die zuvor erkannt oder als für gefährlich befunden wurden, bleiben in diesem Zustand, bis sie lokal ignoriert oder der globalen Sicherheitsliste hinzugefügt werden.
Wenn beispielsweise die Option „Auf neue Dateien überwachen“ eine Datei mit dem Namen C:\Windows\ccmcache\test.exe als für gefährlich befindet und der Registerkarte „Schutzeinstellungen“ für C:\Windows\ccmcache\ später ein Ausschluss hinzugefügt wird, wird die als für gefährlich befundene Datei trotz des neuen Ordnerausschlusses weiterhin als für gefährlich befunden. Dies gilt, bis Sie die Datei lokal ignorieren oder sie der globalen Sicherheitsliste hinzufügen.
Ausführung zulassen
Dateien, die aus einem beliebigen Ordner ausgeführt werden, unterliegen der Ausführungssteuerung/automatischen Quarantäne, auch wenn sie unter „Bestimmte Ordner ausschließen“ angegeben sind. Sie können die Einstellung „Ausführung zulassen“ aktivieren, um zu erlauben, dass Dateien aus Ordnern ausgeführt werden, die in der Liste „Bestimmte Ordner ausschließen“ angegeben sind. Diese Einstellung gilt für alle unter „Bestimmte Ordner ausschließen“ aufgeführten Ordner, nicht nur für das erste oder letzte eingegebene Element.
Dateien und Bedrohungen, die in diesen Ordnern abgelegt werden, können ausgeführt werden und Ihr Gerät und Ihr Unternehmen gefährden. Treffen Sie daher die geeigneten Vorkehrungen, um sicherzustellen, dass anormale Dateien nicht zu ausgeschlossenen Ordnern hinzugefügt werden können.
Dateiproben kopieren (Malware)
Geben Sie ein freigegebenes Netzlaufwerk an, um Kopien von Dateiproben zu speichern, die durch die Erkennung von Hintergrundbedrohungen, die Überwachung auf neue Dateien und die Ausführungssteuerung gefunden wurden. Auf diese Weise können Sie eigene Analysen von Dateien durchführen, die von
CylancePROTECT Desktop
 als unsicher oder anormal eingestuft werden.
  • Es werden CIFS/SMB-Netzwerkfreigaben unterstützt.
  • Geben Sie einen Speicherort für die Netzwerkfreigabe an. Sie sollten einen vollständig qualifizierten Pfad verwenden. Beispiel:
    \\server_name\shared_folder
    .
  • Alle Dateien, die die Kriterien erfüllen, werden auf die Netzwerkfreigabe kopiert, auch wenn es sich um Duplikate handelt. Es wird keine Eindeutigkeitsprüfung durchgeführt.
  • Dateien werden komprimiert.
  • Dateien sind kennwortgeschützt. Das Kennwort lautet „infected“.