McAfee Internet Security 2009 Einstellungen

[Gast_Nightwatch_*]

@all
Vielen Dank ! Freut mich, dass es interessant war.

Wenn ich Deinen Ausführungen richtig folgen kann, liegen die Defizite zunächst in den fehlenden Signaturen. Ohne Artemis würde man sich die Plagegeister unbedarft (und ungeschützt) auf den Rechner laden.

Ja. In diesem Fall schien es genau so. Mir fiel im Nachhinein ein, dass die Artemis-Erkennung ja eigentlich nichts anderes ist, als ein Zugriff auf eine erweiterte Datenbank von McAfee. Vielleicht (und das ist jetzt wirklich nur eine Vermutung) sind die ganzen Samples, die über das SiteAdvisor-System gefunden und analysiert werden Bestandteil dieser großen Datenbank. Damit könnte man eventuell auch erklären, dass Artemis bei sämtlichen Samples ansprang.

Andererseits ist der standardmäßige SiteAdvisor nur eingeschränkt dazu geeignet, die User vor "Feindseiten" zu beschützen. Lediglich die Pro-Version (für 19.95 €) des SiteAdvisors bietet Einstellmöglichkeiten, um das Aufrufen von malwareinfizierter Seiten konsequent zu unterbinden.

Das müsste nochmal genauer überprüft werden, inwieweit die Standard-Version gegenüber der Pro-Version wirklich weniger wirksam ist. Die Linkanalysen, Statistiken und Bewertungen sollten zumindest gleich sein. So wie ich es verstanden habe, existiert nur der angesprochene passwortgeschützte Schutzmodus nicht in der Standard-Version. Natürlich ist er sehr nett, weil er dadurch u.a. auch Drive-By-Downloads filtern kann.

Zum Kostenpunkt:
Soweit ich weiß, gibt es nur beim Kauf der Total-Protection die Plus-Variante "kostenlos" dazu ( http://de.mcafee.com/root/product.asp?productid=comparison )
Allerdings ist der Preis für dieses Paket auch beinah absurd: 79,95€ . Gilt jedoch für 3 PC´s.

Zum persönlichen Fazit:
McAfee hat sich hier recht gut geschlagen. Daran hatten aber vor allem Artemis und das Advisor-Plus-Feature den maßgeblichen Anteil.
Aber ich habe ja auch den direkten Kontakt zur Malware gesucht. Hätte ich den roten Link nicht angeglickt, wäre auch nichts passiert. Und diese Meldung gibt die Standard-Version ja auch raus.

Zu McAfee, ich habe durchaus nichts gegen zusätzliche Schutzmaßnahmen, aber die signaturbasierende Erkennung sollte schon ok sein.

Sehe ich genauso. Die reine Signaturenerkennung ist imo einfach noch deutlich zu gering. Im letzten AV-C-Test war sie ja auch nur knapp um die 90% rum. In Verbindung mit Artemis und SiteAdvisor wird´s natürlich deutlich besser.

Also: Auch hier gibt´s noch ein paar Baustellen


Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 01.02.2009, 20:22

[chris30duew]

also mich würde interessieren, was artemis wirklich so erkennt. vll hat ja nightwatch die chance mit seinen sample datenbanken und kenntnissen von solchen "netten" malware seiten, via VM artemis mal auf herz und nieren zu testen und uns mal ein feedback zu geben ob die letzten 99,1 % von CB realistisch sind oder eher nicht!
wie gesagt ich selber habe artemis auf den seiten die ich hier so zu lesen bekomme getestet und es schlägt seltenst an. sowohl bei der final 2009 mit active protection oder auch der beta TP 3.3 mit artemis schon integiert....


danke und gruss

[Gast_Nightwatch_*]

also mich würde interessieren, was artemis wirklich so erkennt. vll hat ja nightwatch die chance mit seinen sample datenbanken und kenntnissen von solchen "netten" malware seiten, via VM artemis mal auf herz und nieren zu testen und uns mal ein feedback zu geben ob die letzten 99,1 % von CB realistisch sind oder eher nicht!

Hey Chris!

Das was ich hier ansatzweise und hobbymäßig "teste", lässt natürlich in keinster Weise verallgemeinerbare Schlüsse zu. Ich denke, da sollten und müssen wir uns einfach auf IBK & Co verlassen.
Aber natürlich werde ich McAfee weiter mit solchen Seiten und mit den Samples aus unseren Threads konfrontieren.
Zumindest hat Artemis seit der Installation von McAfee am Freitag bei mir recht häufig angeschlagen. Allerdings deutlich mehr im Trojaner-Bereich, als bei Rogue- oder Fake-Software. Allein auf der oben genannten Website z.B. mehr als 10 mal...und auf den dort verlinkten Seiten ebenfalls.

Liebe Grüße,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 01.02.2009, 20:51

[Sasser]

Man sollte die praktikable Seite von WOT und McAffee`s Site Advisitor mal beleuchten.
Klar der Grundgedanke ist gut, eine User-Gemeinde bewertet und die Allgemeinheit profitiert.
Wobei Webseiten natürlich auch geprüft sein können und somit ein wunderbares Ziel sein können diese zu manipulieren, einen "sauberen" Angriff somit ermöglichen.
Wenn man nun das eigendliche Ziel, den Browser absichert, durch "NoScripts" und/oder auch "Geswall", dann ist McAffee`s Site Advisitor jedoch nicht mehr
praktikabel, denn nun lassen sich die Seiten nicht mehr kontrollieren, bei zugelassenem Scriptblocker auf Google und Googleanalystik wirds besser
aber weit entfernt von flüssig und schnell sofern man die Cookies von Google deaktiviert hat auch noch langsam...Bei WOT läufts ähnlich aber geringfügig besser wobei es auch hier nur den langsamen Seitenaufbau gibt.
Somit bleibt die Frage auf welche Sicherheit bauen wir...Red Lable von WOT oder doch lieber den Scriptblocker und die Geswall...ich habe mich von WOT verabschiedet.

[Gast_Nightwatch_*]

Wenn man nun das eigendliche Ziel, den Browser absichert, durch "NoScripts" und/oder auch "Geswall", dann ist McAffee`s Site Advisitor jedoch nicht mehr praktikabel, denn nun lassen sich die Seiten nicht mehr kontrollieren [...]

Hi Sasser

Irgendwie konnte ich Dir hier nicht folgen. Benutze auch NoScript. Was aber hat das mit dem SiteAdvisor oder WOT zutun?

Klar der Grundgedanke ist gut, eine User-Gemeinde bewertet und die Allgemeinheit profitiert.

McAfee bietet mehr als nur eine "User-Bewertung" der Links an. Es handelt sich hierbei um "In-Depth-Analysen", die u.a. auf der Grundlage diverser technischer Verfahren basieren (siehe meine Screens im Beitrag #77).
Natürlich heißt das nicht, dass dabei keine Fehlbewertungen etc. vorkommen können. Habe vorhin beispielsweise eine gefunden und eingeschickt.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 02.02.2009, 00:21

[Sasser]

Nun, wenn du die Browser Identifikation deaktivierst um Angriffe ins Leere laufen zu lassen und den Firefox maskierst,
Referrer ausschaltest und Cookies deaktivierst für Google, so fehlt ebenfalls über NoScript abgesichert und virtuell über Geswall
gestartet dem Site Advisitor die Identifizierung des Users und seinem Surfverhaltens, dass wie ich vermute in eine Gesamtbewertung
a la Benutzerprofile wie bei Googleanalystiks einfließen soll.
Mag sein das die Begründung nicht trifft, aber ein Seitenaufbau ohne den _Site Advisitor, gelingt unter den oben genannten Parametern sehr schnell und flüssig.

[Gast_Nightwatch_*]

@Sasser

Oki. Danke . Jetzt hab ich den Punkt.

Da sich das Konzept vom SiteAdvisor nicht aus einem Geflecht von IP-bezogenen Nutzerprofilen hochzieht (die Verbindung läuft eher anders herum/ man tätigt aktiv Bewertungen; also keine gesammelte "collective intelligence"), sollte es keine Probleme mit einer solchen Browser-Identifikationsdeaktivierung geben. Der Zugriff erfolgt über eine SSL-Verbindung und stellt ausschließlich einen Einweg-Transfer dar. Sollte es nicht so sein (eventuell über ein verstecktes Community-Watch-System), so hat dann halt McAfee Pech ). Der Sicherheit und dem Konzept schadet das aber nicht. Die angesprochenen technischen Analysen der Webseiten genießen die größte Priorität. Hier werden ganz viele verschiedene Parameter herangezogen, die mit einer User-Endbewertung nichts mehr zutun haben.

Mal ein paar verschiedene Beispiele für eine technische Vorab-Analyse (hier sieht man die Unterschiedlichkeit der Gründe) :

Spam-Verteilung


Traffic-holder-Problematik


Malware


Und es gibt noch eine Reihe anderer.

Der langsame Seitenaufbau könnte an der SSL-Verbindung zu McAfee liegen. Gerade in Verbindung mit NoScript kann es zu Verzögerungen kommen, weil die SSL-Überwachung doch etwas komplizierter ist:
http://it-republik.de/php/news/Security-Hi...%27-045142.html


Gruß,
Nightwatch

[Aasblume]

Hallo....

die CB 4/2009 hat McAfee "schlagartig" auf Platz 2 seiner Testliste gesetzt. Mit 99,7% Erkennung, Steigerung von satten 2,00% und grade mal "Durchgelassenen" 575. Ob mit oder ohne Artemis getestet, Fragezeichen. (Aber muß wohl MIT sein) GData Platz 1 mit gewohnten 99,9%, keine Steigerung und 385. Norton nur noch auf Platz 8 mit 97,7, -0,9% und 9803.....was geht denn jetzt ab? Norton und McAfee haben fast die Plätze getauscht!

Eine Frage zum Thema WOT und SiteAdvisor: Was haltet Ihr von

http://securebrowsing.finjan.com/ ?

Zu WOT in Bezug auf Warnungen vor Phishing oder infizierten Seiten allgemein wollte ich noch sagen: Läd man sich mal eine Seite von Phishtank.com, schlägt WOT mehr Alarm als so mancher Phish-Schutz in kommerziellen AV-Programmen. Und das kostenlos!

Gruß, Aasblume

[Gast_teddy247_*]

Hallo

kann ich nur bestätigen. habe in meinem firefox auch wot und noscript installiert, bei den infizierten seiten warnt wot meistens schon als erstes

da brauch man den quatsch von norton nicht mehr von wegen safe web, ich denke das ist doch ne ähnliche funktion. zumal der normale phishing pluggin von norton sich bei mir noch nie gerührt hat

[Gast_Poulsen_*]

da brauch man den quatsch von norton nicht mehr von wegen safe web, ich denke das ist doch ne ähnliche funktion. zumal der normale phishing pluggin von norton sich bei mir noch nie gerührt hat

Wie kannst Du es wagen.................

[Aasblume]

Am interessantesten finde ich aber noch immer die unterschiedlichen Ergebnise von WOT, SiteAdvisor, Safe Web, Finjan, das Ding von TrendMicro und wie sie alle heißen. Bei WOT ist wenigstens manchmal auch was ROTES dabei.

Am besten man hat....ganz auf NUMMERSICHER....drei von der Sorte und somit 'ne Ampel im Ergebnis

Gruß, Aasblume

[Gast_malangao_*]

Weiss jemand die Einschränkungen von McAfee Total Protection 2009 unter Vista 64-Bit ?? Danke

[Gast_Nightwatch_*]

@malangao

Ja. Sie ist vollfunktionsfähig unter Vista x64.
http://community.mcafee.com/showpost.php?p...amp;postcount=4

Gruß,
Nightwatch

[Gast_malangao_*]

@Nightwatch

Das hört sich gut an. Dann werde ich mal McAfee TP 2009 mit Artemis-AddOn auf mein neues Vista 64-Bit klatschen ...Also bis später !

Noch was: Was ist den der Unterschied zwischen SiteAdvisor Plus und der SiteAdvisor Enterprise Edition ???

Der Beitrag wurde von malangao bearbeitet: 02.02.2009, 13:51

[Gast_Nightwatch_*]

Noch was: Was ist den der Unterschied zwischen SiteAdvisor Plus und der SiteAdvisor Enterprise Edition ???

Es sollte qualitativ keine Unterschiede geben. Bei der Enterprise-Version gibt es natürlich eine ePO-Einbettung (McAfee ePolicy Orchestrator) zur zentralen Verwaltung. Da Du die TotalProtection testest, kommt der SiteAdvisor-Plus automatisch per Download.
Allerdings nicht zwangsläufig in der neuesten Version. Ich musste manuell updaten und nachrüsten:


Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 02.02.2009, 14:28

[Gast_malangao_*]

So McAfee ist installiert und Artemis laut Systemsteuerung auch, beim Durchlesen dieses Threades habe ich diese Einstellungs-Empfehlung gefunden und übernommen: http://www.rokop-security.de/index.php?s=&...st&p=253455 aber das Testfile wird nicht erkannt. Hast Du eine Idee ? Danke

Der Beitrag wurde von malangao bearbeitet: 02.02.2009, 16:00

[Gast_Nightwatch_*]

aber das Testfile wird nicht erkannt. Hast Du eine Idee ?

Hi

Hm. Das ist merkwürdig. Wenn Du die Benachrichtigungsoptionen so übernommen hast (wie in deinem geposteten Link) müsste das schon einmal richtig sein. Mal ein paar mögliche Fehlerquellen:

1.) Wie sehen Deine Einstellungen hier aus?


2.) Welche Engine-Version läuft bei Dir?


3.) Hattest Du beim Test eine bestehende Internet-Verbindung? Oder kann es sein, dass ein zusätzliches Schutzprogramm eine Verbindung blockiert?

4.) Hört sich jetzt blöd an (aber ist nicht so gemeint): Hast Du das Archiv komplett entpackt (nach der Psw-Eingabe) ?


Gruß,
Nightwatch

[Gast_malangao_*]

Bei Bild 1 fehlt bei meiner Version der Pufferüberlaufschutz. Ansonsten stimmt alles.
Bei Bild 2: AV-Engine stimmen exact überein.

Wenn ich den Test mache, kommt nur so was:



Der Beitrag wurde von malangao bearbeitet: 02.02.2009, 16:22

[Gast_malangao_*]

Ich ahne etwas Kann es sein, da ich ja schon an Bild 1 merke, das etwas fehlt, das es doch problematisch ist unter Vista 64 ??

[Gast_Nightwatch_*]

Vielleicht ist das Testsample nicht lauffähig unter x64

Schicke Dir mal per PM einen Link zu einem Sample, das hier von Artemis erkannt worden ist.
Bitte aber nur downloaden, wenn Du eine Sandbox oder VM besitzt. Ist kein nettes Teil
Und lieber auch nicht ausführen. Muss schon beim Download erkannt werden.

Und: Der SiteAdvisor Plus muss ausgeschaltet sein.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 02.02.2009, 16:37