Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)
-   -   Welchen Virenscanner für große gemischte Umgebungen einsetzen? (https://www.trojaner-board.de/171693-welchen-virenscanner-grosse-gemischte-umgebungen-einsetzen.html)

dslthomas 01.10.2015 07:50

Welchen Virenscanner für große gemischte Umgebungen einsetzen?
 
Moin, Moin und Gruß aus Hamburg,

nach einem wiederholtem Virenbefall welcher mal wieder nicht identifiziert werden konnte, wird nach einer Alternative gesucht. Erst mal zu unserer Umgebung:
  • mehrere ESXi 5.1 die durch TrendMicro Deep-Security agentless abgesichert sind. 2,-3 Hardwareserver welche ebenfalls durch den Deep-Security aber mit Agent abgesichert werden.
  • Clients werden durch TrendMicro Officescan abgesichert wobei der zusätzliche IDF-Filter nicht nutzbar ist weil dieser kaum auszurollen geht (viele Clients sind nicht in der Domäne und über den schon installierten OfficeScan-Client kann der IDF-Filter nicht sauber verteilt werden)
  • Clients welche KEINEN Kontakt ins Unternehmensnetzwerk haben, sind durch TrendMicoro Worry Free Security Services abgesichert.
  • Der Exchange ist durch ScanMail for Microsoft Exchange abgesichert.

Alles zusammen haben wir 4 verschiedene Konsolen (für jedes Produkt eine) da noch nicht alle Produkte in einer Konsole abbildbar sind.

Als gemeinnütziges Soziales Unternehmen haben wir nicht das Personal damit sich eine Person nur um den Virenpart kümmern kann. Entsprechend sind wir auf einfache, aber wirksame Tools angewiesen die nach Möglichkeit auch Intuitiv zu Administrieren sind.

Für TrendMicro hat man sich damals entschieden weil die Virtuelle Umgebung agentless abzusichern geht und dadurch Ressourcen spart.

Wir haben zwar eine gut funktionierende Datensicherung,- wenn jedoch auf einen schlag unzählige Dateien verschlüsselt und somit unbrauchbar sind,- ist das nicht mehr witzig. Selbst ein Vollscan ALLER Server und Clients brachte nur "Kleinvieh" zu tage aber nicht das, was dafür verantwortlich ist. Kurze Zeit vorher ging Konzernweit gar nichts weil seitens TrendMicro ein "schlechtes" Update geliefert wurde. Anfang des Jahres waren einige Rechner durch den sog. Bundestrojaner befallen. Bein letzten Vorfall wurde seitens unseres Dienstleisters ein Update empfohlen welches natürlich sofort umgesetzt wurde. Jetzt heißt es aber: "ohhhhh,- das ist gar nicht gut weil diese Version nicht für den ESXi 5.x geeignet ist" ....

Kurz um,- ich suche eine brauchbare Alternative. Sicherlich kann ich zu allen Herstellen gehen und mir deren Produkte anschauen aber da wird natürlich jeder sein eigenes Produkt verkaufen wollen und sicher nichts von Nachteilen erzählen.

Eine neue Lösung kommt zudem nur in Frage wenn das ganze ohne Turnschuh-Administration umgesetzt werden kann. Knackpunkt bei uns ist die Tatsache, dass viele Rechner NICHT in der Domäne sind und daher nicht per GPO administriert werden können.

Nun meine Frage in den Raum (ich hoffe ich bin hier richtig im Forum)..... wer kennt brauchbare Alternativen?

Danke und Gruß aus Hamburg

cosinus 01.10.2015 08:26

Hi

Zitat:

Zitat von dslthomas (Beitrag 1521241)
Knackpunkt bei uns ist die Tatsache, dass viele Rechner NICHT in der Domäne sind und daher nicht per GPO administriert werden können.

Dann fallen Lösungen, die man direkt auf den Client installieren muss ja schon mal im Prinzip raus. Es sei denn ihr verwendet einfach Microsoft Security Essentials auf den Windows-Rechnern. Das reicht schon. Ist bei Windows ab 8.1 fest eingebaut.


Zitat:

Zitat von dslthomas (Beitrag 1521241)
Wir haben zwar eine gut funktionierende Datensicherung,- wenn jedoch auf einen schlag unzählige Dateien verschlüsselt und somit unbrauchbar sind,- ist das nicht mehr witzig.

Ist schon klar. Neue Verschlüsselungzecken werden aber so nicht erkannt, bis sie per Signatur erkannt werden ist es idR zu spät. Was du dann willst ist ein Scanner mit einer guten Engine für das Behaviour. Lt. schrauber ließ Emsisoft AM keine Verschlüsselungszecke bisher passieren.
Trotzdem ist kein Virenscanner keine Garantie dafür, dass kein Schädling mehr durchkommen kann. Ich seh mehr Abwehrpotential in einem zentralen Gateway, welches u.a. als Web-, SMTP-, und meinetwegen auch POP3-Proxy fungiert. Damit kannst du sehr viel Müll aussortieren, zB illegale, virulente und zweifelte sites sperren, Werbebanner und Tracker blockieren, E-Mails zentral scannen und solche mit potentiell gefährlichen Anhänge blockieren. Und das alles schon zentral am Gateway bevor es zum Client oder hinter dem Gateway liegenden Server geht...dann ist im Prinzip auf dem Client ein installierter lokaler Virenscanner nicht mehr nötig, aber MSE schadet ja nicht und wird über das Windows-Update gepflegt.

dslthomas 01.10.2015 08:36

Zitat:

Zitat von cosinus (Beitrag 1521243)
Hi
Es sei denn ihr verwendet einfach Microsoft Security Essentials auf den Windows-Rechnern. Das reicht schon. Ist bei Windows ab 8.1 fest eingebaut.

Das habe ich auch schon gedacht, aber ist das denn Lizenzrechtlich möglich? Ich meine als Privatperson ist das wohl OK aber als Unternehmen dachte ich immer das man den Security Essentials nicht so ohne weiteres im Unternehmen einsetzen darf?


Zitat:

Zitat von cosinus (Beitrag 1521243)
Ich seh mehr Abwehrpotential in einem zentralen Gateway, welches u.a. als Web-, SMTP-, und meinetwegen auch POP3-Proxy fungiert. Damit kannst du sehr viel Müll aussortieren, zB illegale, virulente und zweifelte sites sperren, Werbebanner und Tracker blockieren, E-Mails zentral scannen und solche mit potentiell gefährlichen Anhänge blockieren. Und das alles schon zentral am Gateway bevor es zum Client oder hinter dem Gateway liegenden Server geht...dann ist im Prinzip auf dem Client ein installierter lokaler Virenscanner nicht mehr nötig, aber MSE schadet ja nicht und wird über das Windows-Update gepflegt.

Ja,.... das ist so ne Sache.... eigentlich haben wir das in der Firewall mit inkludiert,- jedoch nicht aktiviert weil die Firewall schon sehr speziell ist und sich hier eine Fehlkonfiguration mal eben auf das gesamte Unternehmensnetzwerk auswirkt.

Grundsätzlich ist aber die Kombination aus Security Essentials und der Firewall als Erstfilter eine Überlegung wert. .....

cc207 01.10.2015 10:14

Bis zu zehn Rechner können in Kleinunternehmen mit Microsoft Security Essentials bestückt werden:
Zitat:

Kleinunternehmen. Wenn Sie ein Kleinunternehmen betreiben, sind Sie berechtigt, die Software auf bis zu zehn (10) Geräten in Ihrem Unternehmen zu installieren und zu nutzen.
Quelle: MICROSOFT-SOFTWARELIZENZBEDINGUNGEN - Microsoft Windows

cosinus 01.10.2015 11:22

Zitat:

Zitat von dslthomas (Beitrag 1521244)
Ja,.... das ist so ne Sache.... eigentlich haben wir das in der Firewall mit inkludiert,- jedoch nicht aktiviert weil die Firewall schon sehr speziell ist und sich hier eine Fehlkonfiguration mal eben auf das gesamte Unternehmensnetzwerk auswirkt.

Also diesen Einwand versteh ich jetzt nicht :( mal kurz zusammenfassen:

- du hast gesagt, dass eure Rechner nicht einheitlich sind und auch nicht alle in einer Domäne
- der Aufwand jeden Rechner so zu administrieren ist dadurch hoch
- extra Person einstellen wollte/könnt ihr nicht

Fazit: dann bleibt doch nur der zentrale Schutz über ein Gateway!!
Wenn du keine Turnschuh-Administration willst musst du den Zustand auf jeden Fall ändern, aber das Meckern wie sich eine zentrale Konfig auswirken kann versteh ich jetzt nicht wirklich

Mal davon abgesehen, dass man zum Testen die verschiedenen Proxies ja erstmal nur auf ein paar Testrechner beschränken könnte und wenn alles glatt läuft die Richtlinie auf alle im Netzwerk.

iceweasel 08.10.2015 12:29

Der Beitrag ist etwas älter aber ich wollte doch darauf antworten. Ich halte einen Virenscanner auf jeden Windows-Client für Pflicht. Ob Microsoft Security Essentials als Virenscanner durchgeht oder als ausreichend angesehen werden kann weiß ich nicht.
Wer annimmt auf irgendeinem Gateway könnte irgendeine angebliche Virenschutzsoftware die Clients schützen liegt vollkommen falsch. Wenn die Clients das Internet nutzen kann das Gateway von SSL-Verbindungen rein gar nichts analysieren und auch bei unverschlüsselten Webseiten kann durch clientseitige Verschlüsselung (z.B. JavaScript) der Datentransfer so manipuliert sein, dass das Gateway nur Datenmüll analysieren kann. Nur bei reinem HTTP kann ein entsprechender Proxy z.B. schadhaftes JavaScript bzw. Webseiten entdecken und evtl. blockieren.
Auch das E-Mail-Scannen an Gateways halte ich für unzureichend. Natürlich ist es gut wenn 99% aller Spam-Mails aussortiert werden und auch Anhänge mit Schadcode erkannt werden. Aber vor allem HTML-EMails laden den Anwender dann doch gerne mal ein auf Anhänge zu klicken, die dann wie oben beschrieben per Browser direkt auf verseuchte Internetseiten zugreifen. Nun hilft evtl. noch eine Filterung der Webseite (z.B. Firefox Safebrowsing oder der Proxy mit einer Blacklist) aber vor allem der lokal installierte Echtzeit-Virenscanner.
Insgesamt würde ich am wenigsten auf den immer möglichst aktuellen Client-Virenscanner verzichten wollen auch wenn ich weiß, dass auch dieser Fehler machen kann. Auch hilft es den einzelnen Client möglichst gut abzusichern und den Anwender so weit wie möglich einzuschränken. Besser wäre natürlich ein Umstieg gleich auf Linux.

cosinus 08.10.2015 17:09

iceweasel, was du da schreibst ist so nicht ganz richtig. Es gibt zentrale gateways/firewalls, die als Proxy fungieren und auch SSL können.

Natürlich ist das reine Scannen auf Malware in E-Mails am Gateway nicht alleine ausreichend. Das aber kombiniert man mit weiteren Maßnahmen, zB dass man generell keine Mails mit ZIP-Datei oder anderen Archivdateien im Anhang erlaubt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131