StefanW schrieb:
Hi allerseits,
um nochmal zum ursprünglichen Thema zurück zu kommen. Einigen Leuten scheint es ja nicht zu gefallen und scheinen vielleicht auch nicht zu verstehen, dass und warum Norton manchmal Dateien "plötzlich" in Quarantäne verschiebt.
Ich habe hierfür eine Erklärung und auch eine Möglichkeit das abzuschalten für Euch:
Also ich muss dazu etwas ausholen, aber versuche mich trotzdem so kurz wie möglich zu fassen.
Diese Erkennungen um die es hier geht haben erstmal nix mit Signaturen, Heuristik oder SONAR zu tun, sondern basieren auf der Norton Reputationstechnologie, die wir mit NIS 2010 eingeführt haben. Wir nennen das auch Norton Insight-Netzwerk.
Diese Technologie schickt automatisch Infos zu allen ausführbaren Datein von allen Usern der Norton Community an unser Reputationssystem. Diese Infos (Filename, Prüfsumme, etc. aber nicht die Datei selber) werden an unseren Reputationserver geschickt und von diesem werden alle Kriterien dann immer wieder in Echtzeit neu ausgewertet. Aus diesen Infos wird dann der Ruf bzw. die Reputation jeder Datei über ein komplexes Verfahren immer wieder neu kalkuliert. Da ständig neue Infos zu jeder Datei eintreffen, kann sich die Bewertung bzw. Reputation sehr schnell änderen. Als Ergebnis kann eine Datei vertrauenswürdig, gut, unerpropbt oder verdächtig/schlecht sein. Wenn jetzt Dateien aktuell gerade einen schlechten Ruf haben, werden Sie beim nächsten Scan in Quarantäne verschoben. Da die Bewertung in Echtzeit abläuft und ständig neue Infos zu den Dateien eintreffen, kann sich die Reputation einer Datei kurzfristig ändern.
Der Vorteil der Reputationtechnologie ist es aber dass auch Dateien schon früher als böse identifiziert werden können, die man noch nicht im Labor hatte. Dadurch können die User früher geschützt werden. Es ist also eine zusätzliche Schutzschicht.
Ich würde bei Gelegenheit das Ganze mal noch detailierter in einem seperaten Post erklären, aber für heute muss dass als Erklärung ausreichen.
Das ganze lässt sich aber auch auschalten, indem man Insight-Schutz auf AUS stellt in der Produktkonfiguration. Dann ist das Reputationssystem AUS, alle anderen Schutztechnologien aber noch AN. Ich würde euch aber trotzdem empfehlen es AN zu lassen.
Ich hoffe das bringt ein wenig Aufklärung zu diesem Thema....
Gruss
Stefan
Das mag ja alles gut und schön sein
das ändert nichts an der tatsache, das programme ohne jede nachfrage gelöscht werden ( und dabei ist es egal, ob gelöscht oder in quarantaine, das wiederherstellen ist in beiden fällen mühselig).
wenn norton der meinung ist, das es aufgrund fadenscheiniger technologien datein ohne jede prüfung als unsicher einstufen muss, dann darf es den benutzer maximal FRAGEN was mit der datei zu passieren hat!
und das ist der einzige punkt um den es hier geht, nichts anderes
keine erkennung, keine technologie, keine FP
es geht nur um das willkürliche löschen ohne nachfrage.
und da das offensichtlich nicht abzustellen geht sondern zur vermeidung dieses verhaltens nur die möglichkeit besteht bestimmte teile der schutzkomponenten komplett abzuschalten oder ganze bereiche des dateisystems von der prüfung auszuschliessen, ist die gesamte suite fragwürdig, denn man muss löcher in das angeblich so durchdachte sicherheitskonzept reissen.
was die vorträge des CCC angeht: es ist richtig, das die teilweise von 2004 stammen, allerdings habt sich auch an den grundlegenden basisfunktionen der PFW noch nichts geändert, das ist systembedingt garnicht möglich. Die weiterentwicklungen basieren nicht auf der PFW, sondern auf anderen Bestandteilen der Suiten.
Den einzigen schutz bietet eine Firewall, die so konfiguriert wird, das generell jeder netzwerkverkehr gesperrt ist und nur das vom benutzer freigegeben wird was er braucht oder noch besser ein proxy, der nicht auf paketebene prüft sondern die komplette datei vor der weitergabe scannt.
alles andere ist und war augenwischerei. wer das nicht glaubt, soll sich skype anschauen.
