Defense+ -> warum werden automatisch gelernte Aktionen eingetragen?

Meine letzte Frage für heute ich schwör! :slight_smile:

Was für einen Sinn macht es bei den als sicher erkannten Programmen (wie z.B. den Explorer) die automatisch gelernten Aktionen in deren Zugriffprofile einzutragen?

Weil: die Aktionen werden ja eh jedesmal ausgeführt (und leider nicht protokolliert) und bräuchten somit keinen Eintrag. Das würde die Registry nicht so aufblähen und die Zugriffsprotokolle wäre deutlich übersichtlicher.

Am Rande gefragt: als was habt ihr den Explorer eingestellt in Defence+? Als “Windows Systemanwendung”? Oder “Eigene Richtlinie”?

Also deine erste Frage verstehen ich nicht so recht.

Zur 2. Frage: Explorer.exe steht auf eigene Richlinien. Es ist alles erlaubt, außer Start eines Programms wird nachgefragt.

Zur Frage 1: ich meine z.B. den Explorer. Wenn dort z.B. “Geschützte Dateien/Ordner” auf Frage steht und dann ein Zugriff auf so einen geschützten Ordner erfolgt, dann wird nicht wirklich nachgefragt (ausser, man ist im paranoiden Modus), sondern der Zugriff wird automatisch gerlernt (weil der Explorer ja eine sichere Anwendung ist), was bedeutet, dass dieser Ordner in die Liste der erlaubten Ordner eingetragen wird.
Diese Liste kann dann im Laufe der Zeit beträchtlich anwachsen, aber eben: warum wird da was eingetragen? Jeder erneute Zugriff auf so einen geschützten Ordner löst ja eh keine Frage aus, aber die Liste wächst und diese Liste wird ja in der Registry eingetragen und so wächst und wächst für jedes sichere Programm die Liste an (und wird irgendwann vielleicht auch zu Performanceeinbussen führen), die eigentlich sowieso nicht gebraucht wird.

das wird deshalb gemacht, damit man, wenn man asu dem Training oder Suaberen Modus in einen höheren wechseln will, diese Liste nicht neu anlegen muss.

Diese Liste hat schon ihre berechtigung. Wenn bspw ein neuese Proramm installiert wird, fragt CIS anch ob der Explorer es ausführen darf. Danach weiß er ob er dar oder nicht. Das muss er aber beim nächsten Mal auch wieder wissen.

Du könntest das ganz umgehen mit einer Wildcard.

Ist allerdings nciht zu emfpehlen, da man dann CIS auch wieder deinstallieren kann, weils dann für den Ar*** ist.

Der Punkt ist ja, dass das genannte Programme zwar sicher ist, aber vllt die neue Exe nicht, die dann eventuell nicht ausgeführt werden soll, was der nutzer nun entscheiden muss.

Ich stimme dir vllt zu, dass man diese Liste schlecht aktuell halten kann, wenn man programme deinstalliert. Aber das ist wohl ein anderes Problem.

Das mit er Registry ist wohl richtig, macht aber eigentlich nichts aus, außer das CIS langsamer wird, wobei dieses Problem mit CIS 3.9 behoben wurde.

Das macht Sinn, was du das schreibst, daran hatte ich noch gar nicht gedacht, danke fürs Augen öffnen :slight_smile: