Wie unterscheide ich in Little Snitch autorisierte und nicht autorisierte Prozesse?
- Grundlage der Unterscheidung in Little Snitch
- Wie erkennt man autorisierte Prozesse?
- Wie erkennt man nicht autorisierte Prozesse?
- Praktische Vorgehensweise zur Unterscheidung
- Zusammenfassung
Grundlage der Unterscheidung in Little Snitch
Little Snitch überwacht ausgehende Netzwerkverbindungen auf einem macOS-System und ermöglicht es dem Benutzer, Verbindungsversuchen von Prozessen zu erlauben oder zu blockieren. Ob ein Prozess als autorisiert oder nicht autorisiert gilt, hängt dabei von den Regeln ab, die in Little Snitch für diesen Prozess definiert wurden. Diese Regeln sind Bedingungen, die festlegen, ob bestimmte Verbindungen zugelassen oder unterbunden werden sollen.
Wie erkennt man autorisierte Prozesse?
Ein Prozess ist autorisiert, wenn er zumindest eine gültige Regel besitzt, die seine ausgehenden Verbindungen erlaubt. Diese Erlaubnis kann temporär oder dauerhaft sein. In der Little Snitch Benutzeroberfläche werden autorisierte Prozesse häufig in der Verbindungsliste oder im Regelwerk angezeigt, wobei der Status der Verbindung als erlaubt markiert ist. Außerdem zeigt Little Snitch im Netzwerkmonitor die Verbindungen mit grünen Symbolen oder grünen Balken, die darauf hinweisen, dass der entsprechende Prozess berechtigt ist, die Verbindung aufzubauen.
Wie erkennt man nicht autorisierte Prozesse?
Im Gegensatz dazu sind nicht autorisierte Prozesse solche, für die es keine vorhandenen Regeln gibt oder für die explizit Verbindungsversuche geblockt werden. Wenn ein Prozess versucht, eine Verbindung herzustellen, die nicht durch bestehende Regeln gedeckt ist, fragt Little Snitch den Benutzer, ob die Verbindung erlaubt werden soll. Wird kein Zugriff gewährt oder eine Blockierungsregel angewendet, erscheint die Verbindung im Netzwerkmonitor mit roten Markierungen. Diese roten Indikatoren signalisieren, dass die Verbindung nicht autorisiert ist und vom Benutzer oder von dem Regelwerk blockiert wird.
Praktische Vorgehensweise zur Unterscheidung
Um autorisierte und nicht autorisierte Prozesse klar voneinander abzugrenzen, empfiehlt es sich, im Little Snitch Netzwerkmonitor die Liste der aktiven Verbindungen aufzurufen. Dort werden alle Prozesse samt Zieladressen und Verbindungsstatus angezeigt. Autorisierte Prozesse erkennen Sie an den grünen Kennzeichnungen, während Prozesse mit roten Statusfehlern oder Verbindungsversuchen ohne entsprechende Regeln als nicht autorisiert gelten. Darüber hinaus kann in der Regelübersicht durch die Suche nach einem Prozessname oder Pfad überprüft werden, ob entsprechende Erlaubnisregeln existieren. Prozesse ohne entsprechende Erlaubnis oder mit Blockierungsregeln werden dadurch als nicht autorisiert identifiziert.
Zusammenfassung
Im Wesentlichen basiert die Unterscheidung in Little Snitch darauf, ob für einen Prozess eine bestehende Regel die Netzwerkverbindung erlaubt oder nicht. Autorisierte Prozesse verfügen über entsprechende Regeln, die ihre Verbindungsversuche freigeben, was durch grüne Indikatoren und das Fehlen von Warnungen sichtbar wird. Nicht autorisierte Prozesse hingegen lösen Warnmeldungen aus und werden reflektiert durch rote Symbole oder unterbinden die Verbindung komplett, weil keine erlaubende Regel vorhanden ist oder eine explizite Sperrregel existiert.