Also ich habe das Gefühl das ein hoher Aufwand betrieben werden muss auf ein individuelles System um einen guten Schutz zu erreichen.
Im Umkehrschluss: Die höhe des Schutzes ist abhängig von der korrekten und genauen Konfiguartion des "Türstehers".
Ist das so in etwa richtig?

Zitat:

Zitat von BeRealm

Also ich habe das Gefühl das ein hoher Aufwand betrieben werden muss auf ein individuelles System um einen guten Schutz zu erreichen.
Im Umkehrschluss: Die höhe des Schutzes ist abhängig von der korrekten und genauen Konfiguartion des "Türstehers".
Ist das so in etwa richtig?

Ja, das ist so bei Whitelisting und Anti-EXE-Systemen: Du musst erst die ganzen Regeln (sauber) definieren, dann bringt es wirklich etwas.

Ich kenne Türsteher zwar (noch) nicht, sieht für mich aber aus wie AppGuard, No-Virus-Thanks EXE-Radar, Faronics Anti-EXE bzw. VoodooShield, nur eben von einer Firma aus Deutschland. Das sind alles mehr oder weniger Varianten der guten alten SRP (Software Restriction Policies). Eben etwas aufgebohrter und ggf. etwas flexibler beim Umgang. Ich persönlich finde AppLocker/SRPs okay, sind aber durchaus ein großes "Gefummel" im täglichen Betrieb und für den Laien offen gesagt kaum zu gebrauchen. Da können solche Lösungen durchaus hilfreich sein, weil man sich nicht mit GPOs etc. rumschlagen muss. Du hast dennoch einen großen Aufwand mit der initialen Konfiguration, das gilt aber auch für SRP/AppLocker. Wenn man es aber mal hat, dann ist es schon eine tolle Sache. Wie gesagt, das gilt auch für SRPs/Applocker, welches für bestimme Windows-Versionen ja kostenlos an Board ist.

Zitat:

Zitat von Darklord666

Nach dem was ich auf der Seite von dem Entwickler gelesen habe, nistet sich das Programm als Treiber im System ein. Das finde ich überhaupt nicht gut und führt oft zu Inkompatibilitäten, bzw. Systeminstabilität. Deshalb rate ich davon ab obwohl das Konzept an sich nicht verkehrt ist.

Nun, AppLocker/SRPs nutzen zur Durchsetzung der Regeln auch ein Kernel-Modul, EXE-Radar, AppGuard oder Faronics-Anti-EXE nutzen auch Treiber. Gleiches gilt übrigens auch für Firewalls und AV-Scanner, die benötigen alle einen Treiber, ohne wird es schwerlich (gut) funktionieren. Von daher sehe ich das nicht kritisch, sondern zeugt davon, dass hier state-of-the-art Technologie implementiert wird. Nichtsdestotrotz birgt natürlich jeder Treiber ein (Stabilitäts-)Risiko; das gilt aber auch schon für Grafikkarten-Treiber - wie oft hatte ich NVIDIA-Treiber, die mein System ins Nirvana geschickt haben.........

Ich muss Türsteher mal antesten, dann kann ich mehr dazu sagen.

Leider habe ich mit dem Türsteher auch noch keine Erfahrungen.

Als abgespeckte, kostenlose "Alternative" kann ich aber dieses Tool hier empfehlen:

"Simple Software-restriction Policy" (open source):
https://sourceforge.net/projects/softwarepolicy/

Ok, es arbeitet nicht auf Kernel Ebene, dafür wird das System nicht belastet. Es läuft auch unter windows HOME Editionen. Das Tool macht selber eigentlich nichts. Es setzt einfach software restrictions in der Windows Registry, den Rest macht Windows dann selber.

Danach beschränkt sich die Funktionalität darin, die Whitelist anzupassen oder die Restrictions einfach An- bzw. Abzuschalten (falls man z. B. mal eine neue Software installieren möchte).

Das ist natürlich nicht mit dem Türsteher vergleichbar (technische Umsetzung / Funktionsumfang), allerdings ist das Ergebnis ähnlich. Ohne Kosten und ohne eine nennenswerte Belastung des Systems erhält man mit SSRP ein deutliches Plus an Sicherheit. Das Verhältnis stimmt damit für mich! ;-)

PS: Whitelisting gehört meiner Meinung nach die Zukunft. Siehe dazu auch diesen informativen Artikel: hxxp://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.html

Ich hatte zwischen den Jahren nun etwas Zeit mich mit dem "Türsteher" zu beschäftigen. Es handelt sich um einen soliden Whitelisting/Anti-EXE-Ansatz. Man installiert die Software, konfiguriert die Regeln und dann fluppt es weitestgehend gut. Beim einen oder anderen Update von Software muss man ggf. die Regeln verfeinern oder anpassen, insgesamt klappt aber alles recht gut. Türsteher bietet ähnlich wie VoodoShield auch einen Installationsmodus, den kann man aktivieren während man neue Software installiert oder ein Update durchführt. Dann ist der Computer zwar nicht geschützt, aber man bekommt auch keine Warnmeldungen oder blockierten Prozesse von den Installern, die ja gemäß Whitelisting nicht erlaubt sind.

Türsteher bietet mit dem Parent-Checking und wie die es nennen Command-Line-Scanning zwei sehr mächtige Werkzeuge, den Rechner noch stärker abzusichern. So kann man mit Parent-Checking bestimmen, welcher Vater-Prozess welche Kindsprozesse starten darf. Ist recht kompliziert, bietet neben dem klassischen Whitelisting aber m.E. einen erheblichen Mehrwert in Bezug auf Absicherung. Beispiel wäre hier: Skype darf selbst keine Prozesse starten, oder Word auch nicht etc. So kann man verhindern, dass ein Exploit im Vaterprozess nachgelagerte Prozesse startet. Wie gesagt, das ist recht komplex und meiner Meinung nach nur was für Profis.

Mir hat das Programm eigentlich ganz gut gefallen. Es verbraucht keine nennenswerten Ressourcen, soll heißen: Der Rechner (bei mit VMs mit Windows 8.1 und 10) waren mit installiertem Türsteher gefühlt nicht langsamer. Bei mir lief das Ding auch stabil, Handbuch ist etwas langatmig, aber es lohnt, wenn man da mal einen Blick rein wirft. Die Software benötigt auch keine Internetverbindung, ich konnte in meinen VMs keinen Netzverkehr (transfer) zu irgendwelchen Servern des Herstellers ausfindig machen. Deinstallation klappt auch gut, da sich der Türsteher wohl nicht so dermaßen ins System hängt, bleiben auch keine Reste nach der Deinstallation über - das hat mir gut gefallen. Könnte sich der eine oder andere AV-Hersteller mal eine Scheibe von abschneiden.


Ich würde aber sagen: Für den Normalo-Anwender ist Türsteher wie auch SRPs nur bedingt geeignet, da doch ein erheblicher Aufwand für die Regeln aufgebracht werden muss und ich mir nicht sicher bin, ob jeder Anwender auch auf Anhieb versteht, was er auf die White/Blacklist setzen muss, geschweige denn wie das mit dem Whitelisting genau vonstatten geht. Hier braucht es komfortable Lösungen.

@kedanli: Danke für Deinen Hinweis auf SSRP und insb. den Artikel auf Golem, der ist wirklich sehr interessant.