HIPS - Anwendungskontrolle, was taugt das? Einstellungen

[Habakuck]

Halli hallo ihr Lieben.

Ich mache mir momentan viele Gedanken ob ein HIPS eigentlich sinnvoll ist oder nicht.
Eigentlich habe ich die letzte Zeit über immer die Meinung verfochten ein HIPS wäre der einzig sinnvolle Schutz vor Malware da die Signaturen bedingte Erkennung immer Meilen hinterher hinkt.
Allerdings zweifle ich mitlerweile am Sinn und Zweck des Ganzen.
Auf einem aktuellen System führt sich nichts von alleine aus. Und wenn ich selber ein Prog ausführe dann füge ich es logischer Weise zur vertrauenswürdigen Zone hinzu da es sonst nicht funktioniert oder ich andauernd mit nervigen PopUps zugespammt werde.
Wo also liegt der Schutz begründet den mir ein HIPS bietet?
Da meine KIS Lizenz noch ziemlich lange läuft lasse ich mich gerne überzeugen, dass ein HIPS durchaus sinnvoll ist.

Die Diskussion sei hiermit eröffnet.

[Gast_ravu_*]

In diesem Fall wäre zB Comodo Defense+ umsonst gewesen: Man erkennt nicht dass ein anderer Prozess eine vertrauenswürdige Anwendung missbraucht! Auch Malwaredefender konnte keine entsprechende Warnung liefern

Mein Fazit: Mehr Schein als sein.

[Julian]

In diesem Fall wäre zB Comodo Defense+ umsonst gewesen: Man erkennt nicht dass ein anderer Prozess eine vertrauenswürdige Anwendung missbraucht! Auch Malwaredefender konnte keine entsprechende Warnung liefern

Mein Fazit: Mehr Schein als sein.

Comodo hat da gar nichts vorbeigehen lassen, man darf nur die rundll32.exe nicht alles starten lassen, per default wird auch nachgefragt.
Hab ich aber auch schon mehrmals gesagt

@habakuck: Ich kann den Adobe Reader mit den HIPSen von KIS und Comodo so stark es geht einschränken und er scheint immer noch zu funktionieren, was ja irgendwie deiner Behauptung im ersten Post widerspricht.

[raman]

Ich kann den Adobe Reader mit den HIPSen von KIS und Comodo so stark es geht einschränken und er scheint immer noch zu funktionieren,

Hast du schon mal ein exploit gegen AR laufen lassen, wenn du es so eingeschraenkt hast?

[Julian]

Hast du schon mal ein exploit gegen AR laufen lassen, wenn du es so eingeschraenkt hast?

Nein, aber das würde wohl nur Sinn machen, wenn die Exploits noch nicht gefixte Lücken auch wirklich ausnutzen könnten.
Es sollte dann eigentlich nicht viel passieren können.

Edit:

Danke ihr Beiden! So sehe ich das im großen ganzen auch!

Das Wissen um ein HIPS zu bedienen habe ich durchaus. Und gelernt habe ich dadurch wirklich eine ganze Menge!
Die 6ser von KIS war da super. Da hat man im paranoid Modus wirklich jede kritische Aktion mitbekommen die auf dem System ausgeführt wurde.
Nur finde ich den Sinn des KIS HIPS 2010 nicht...

Wieso das denn? Du kannst doch genau wie früher erstmal alles Suspekte blocken, wofür muss man dafür direkt über das Pop Up eine Regel erstellen können?


Der Beitrag wurde von Julian bearbeitet: 14.06.2009, 10:00

[Habakuck]

Nein, aber das würde wohl nur Sinn machen, wenn die Exploits noch nicht gefixte Lücken auch wirklich ausnutzen könnten.
Es sollte dann eigentlich nicht viel passieren können.

Edit:

Wieso das denn? Du kannst doch genau wie früher erstmal alles Suspekte blocken, wofür muss man dafür direkt über das Pop Up eine Regel erstellen können?

Weil ich ohne die Option "diese Aktion immer erlauben" nur einstellen kann, dass der Adobe alle versteckten Treiber installieren darf. (Und das muss ich sogar umständlich über die GUI machen.) Das ist doch Blödsinn. Bisher konnte ich genau einstellen, dass er nur den Treiber XY installieren bzw. starten darf. Das macht für mich Sinn.

Dieses alle über einen Kamm scheren der 2010 ist für mich irgendwie sinnfrei.

Der Beitrag wurde von Habakuck bearbeitet: 14.06.2009, 10:25