Häufig gestellte Fragen
Windows-Funktion
Sicherheitsaudits einstellen
Um unberechtigte Zugriffsversuche (einschließlich erfolgreicher Versuche) auf die Endgeräte rechtzeitig zu erkennen und entsprechende Maßnahmen ergreifen zu können, empfiehlt sich der Einsatz von Sicherheitsaudits.
Dafür:
gehen Sie zu Systemsteuerung → Verwaltung → Lokale Sicherheitsrichtlinie → Erweiterte Audit-Richtlinienkonfiguration → Zugriff auf Objekte → Dateisystem-Audit. Aktivieren Sie die Prüfung des Dateisystems.
aktivieren Sie als nächstes die Prüfung für den gewünschten Ordner:
Öffnen Sie die Eigenschaften des gemeinsamen Ordners → Registerkarte Sicherheit → Erweitert → Registerkarte Audit → Bearbeiten → Hinzufügen;
Geben Sie die Benutzer an, für die Sie ein Audit durchführen möchten. Stellen Sie „Alle“ ein, Anwendungsebene – für diesen Ordner und seine Unterordner und Dateien;
Geben Sie die Aktionen an, die geprüft werden sollen: Dateien/Daten schreiben, Ordner/Daten schreiben, Unterordner und Dateien löschen und Löschen. Wählen Sie für alle Aktionen sowohl alle Audits aus.
Anschließend werden Zugriffsereignisse auf Dateien und Ordner im Sicherheitsereignisprotokoll angezeigt.
Wenn auf einem System mit bereits konfigurierter Prüfung das Antivirenprogramm Änderungen im Dateisystem auslöst, merken Sie sich unbedingt den Zeitpunkt der Aktivierung und vergleichen Sie ihn mit den Ereignissen im Sicherheitsprotokoll.
Die Codes für die Sicherheitsereignisse finden Sie auf der offiziellen Microsoft-Website.
Updates, die die Unterstützung des Hash-Algorithmus SHA-256 und damit einen störungsfreien Betrieb von Dr.Web auf Rechnern mit veralteten Windows-Versionen gewährleisten
Mehr Informationen zur Unterstützung von SHA-256 finden Sie auf dieser Seite, in unserer Nachricht und auf der Website von Microsoft.
Welche Windows-Versionen sind veraltet und erfordern diese Updates?
Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2.
Warum sind Windows-Sicherheitsupdates für einen störungsfreien Betrieb von Dr.Web notwendig?
Das Update ist durch die neuen Richtlinien von Microsoft bedingt. Fremde Zertifizierungsstellen (wie DigiCert, COMODO etc.) dürfen keine Zertifikate mehr ausstellen, mit denen Module für die Arbeit im Windows-Kernel signiert werden können. Solche Module dürfen ausschließlich mit dem WHQL-Zertifikat von Microsoft signiert werden. Dieses Zertifikat existiert nur als SHA256-Version. Mehr Informationen dazu finden Sie in der Dokumentation von Microsoft.
Dr.Web wird veraltete Windows-Versionen auch weiterhin unterstützen.
Welche Updates sind für mein Betriebssystem erforderlich?
Falls bei der Installation oder Aktualisierung von Dr.Web eine Meldung erscheint, dass Ihr Betriebssystem den Hash-Algorithmus SHA-256 nicht unterstützt, installieren Sie das erforderliche Update wie unten beschrieben.
- Für Windows Vista: Installieren Sie die Aktualisierungspakete SP1 und SP2 nacheinander und dann das Update KB4090450.*
- Für Windows 7: Installieren Sie das Aktualisierungspaket SP1 und dann das Update KB3033929 oder KB4474419 oder KB4054518.
- Für Windows Server 2008: Installieren Sie das Aktualisierungspaket SP2 und dann das Update KB4474419 oder KB4039648 oder KB3033929.
- Für Windows Server 2008 R2: Installieren Sie das Aktualisierungspaket SP1 und dann das Update KB4474419.
Updates für die Unterstützung von SHA-256 können auch in anderen Windows Updates verfügbar sein.
Ich möchte diese Updates für mein Betriebssystem nicht installieren und nur Updates der Dr.Web Virendatenbanken erhalten. Wie deaktiviere ich die Benachrichtigungen?
So deaktivieren Sie die Benachrichtigungen:
- Öffnen Sie das Dr.Web Menü
und wählen Sie den Menüpunkt „Sicherheitscenter“ aus. - Stellen Sie sicher, dass Dr.Web im Administratormodus arbeitet (geöffnetes Schlosssymbol unten links
). Klicken Sie andernfalls auf das Schlosssymbol 
. - Klicken Sie auf das Symbol
oben. - Der Einstellungsdialog wird geöffnet. Wählen Sie im linken Fensterbereich den Punkt „Update“ aus.
- Klicken Sie im Fenster „Update“ auf „Erweiterte Einstellungen“ (siehe Abbildung Aktualisierungseinstellungen).
- Wählen Sie im Bereich „Zu aktualisierende Komponenten“ den Punkt „Nur Virendatenbanken“ aus.
Problem der Leistung bei der Integration von AMSI in Microsoft Exchange Server 2016/2019
Microsoft veröffentlichte Updates für Microsoft Exchange Server 2016 (KB5003611) und Microsoft Exchange Server 2019 (KB5003612), die es diesen Serverversionen ermöglichen, das AMSI (Antimalware Scan Interface) zu nutzen. Nun scannt Antivirensoftware, die das AMSI nutzt und auf dem gleichen Rechner mit einem Microsoft Exchange Server installiert ist, alle HTTP-Anforderungen, bevor diese vom Mailserver bearbeitet werden.
Daher kann Dr.Web für Windows-Server und Dr.Web Agents für Windows mit aktivierter AMSI-Unterstützung den Server verlangsamen und dessen Leistung beeinträchtigen. Das Update, das dieses Problem behebt, wurde am 17. Januar 2022 veröffentlicht. Die Spezialisten von Doctor Web empfehlen, die AMSI-Unterstützung für Microsoft Exchange Server zu deaktivieren, bis das Update auf Ihrem Gerät installiert ist.
Um das AMSI in Microsoft Exchange Server Produkten zu deaktivieren, nutzen Sie Exchange Server PowerShell:
- Öffnen Sie Exchange Server PowerShell.
- Führen Sie folgende Befehle nacheinander aus:
[PS] C:\>New-SettingOverride -Name DisablingAMSIScan -Component Cafe -Section HttpRequestFiltering -Parameters ("Enabled=False") -Reason "Testing" [PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh [PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Wichtig: Bevor Sie die Befehle ausführen, stellen Sie sicher, dass Sie alle Daten gespeichert haben, da diese Befehle den Neustart von Internet Information Services (IIS) erzwingen und die Verbindung abgebrochen wird.
Wir empfehlen, die AMSI-Unterstützung erst dann wieder zu aktivieren, wenn ein Update, das dieses Problem behebt, veröffentlicht wird. Führen Sie dazu folgende Befehle aus:
[PS] C:\>Remove-SettingOverride -Identity DisablingAMSIScan -Confirm:$false
[PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
[PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Wichtig: Bevor Sie die Befehle ausführen, stellen Sie sicher, dass Sie alle Daten gespeichert haben, da diese Befehle den Neustart von Internet Information Services (IIS) erzwingen und die Verbindung abgebrochen wird.
Alternativ können Sie das AMSI mithilfe eines speziellen PowerShell-Skripts deaktivieren:
- Laden Sie das Skript Test-AMSI.ps1 aus dem Microsoft-Repository herunter.
- Speichern Sie das Skript im Ordner C:\scripts auf dem Rechner, auf dem Microsoft Exchange Server installiert ist. Falls der Ordner „scripts“ fehlt, legen Sie einen Ordner mit diesem Namen an. Stellen Sie sicher, dass die Datei nicht gesperrt ist, um Fehler bei der Ausführung des Skripts zu vermeiden.
- Führen Sie folgende Befehle nacheinander aus:
[PS] C:\scripts>.\Test-AMSI.ps1 -DisableAMSI [PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
Um das AMSI auf einem Microsoft Exchange Server wieder zu aktivieren, führen Sie folgende Befehle nacheinander aus:
[PS] C:\scripts>.\Test-AMSI.ps1 -EnableAMSI
[PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
Nichts gefunden
