Welchen Virenscanner für große gemischte Umgebungen einsetzen?
 

Moin, Moin und Gruß aus Hamburg,

nach einem wiederholtem Virenbefall welcher mal wieder nicht identifiziert werden konnte, wird nach einer Alternative gesucht. Erst mal zu unserer Umgebung:

• mehrere ESXi 5.1 die durch TrendMicro Deep-Security agentless abgesichert sind. 2,-3 Hardwareserver welche ebenfalls durch den Deep-Security aber mit Agent abgesichert werden.
• Clients werden durch TrendMicro Officescan abgesichert wobei der zusätzliche IDF-Filter nicht nutzbar ist weil dieser kaum auszurollen geht (viele Clients sind nicht in der Domäne und über den schon installierten OfficeScan-Client kann der IDF-Filter nicht sauber verteilt werden)
• Clients welche KEINEN Kontakt ins Unternehmensnetzwerk haben, sind durch TrendMicoro Worry Free Security Services abgesichert.
• Der Exchange ist durch ScanMail for Microsoft Exchange abgesichert.

Alles zusammen haben wir 4 verschiedene Konsolen (für jedes Produkt eine) da noch nicht alle Produkte in einer Konsole abbildbar sind.

Als gemeinnütziges Soziales Unternehmen haben wir nicht das Personal damit sich eine Person nur um den Virenpart kümmern kann. Entsprechend sind wir auf einfache, aber wirksame Tools angewiesen die nach Möglichkeit auch Intuitiv zu Administrieren sind.

Für TrendMicro hat man sich damals entschieden weil die Virtuelle Umgebung agentless abzusichern geht und dadurch Ressourcen spart.

Wir haben zwar eine gut funktionierende Datensicherung,- wenn jedoch auf einen schlag unzählige Dateien verschlüsselt und somit unbrauchbar sind,- ist das nicht mehr witzig. Selbst ein Vollscan ALLER Server und Clients brachte nur "Kleinvieh" zu tage aber nicht das, was dafür verantwortlich ist. Kurze Zeit vorher ging Konzernweit gar nichts weil seitens TrendMicro ein "schlechtes" Update geliefert wurde. Anfang des Jahres waren einige Rechner durch den sog. Bundestrojaner befallen. Bein letzten Vorfall wurde seitens unseres Dienstleisters ein Update empfohlen welches natürlich sofort umgesetzt wurde. Jetzt heißt es aber: "ohhhhh,- das ist gar nicht gut weil diese Version nicht für den ESXi 5.x geeignet ist" ....

Kurz um,- ich suche eine brauchbare Alternative. Sicherlich kann ich zu allen Herstellen gehen und mir deren Produkte anschauen aber da wird natürlich jeder sein eigenes Produkt verkaufen wollen und sicher nichts von Nachteilen erzählen.

Eine neue Lösung kommt zudem nur in Frage wenn das ganze ohne Turnschuh-Administration umgesetzt werden kann. Knackpunkt bei uns ist die Tatsache, dass viele Rechner NICHT in der Domäne sind und daher nicht per GPO administriert werden können.

Nun meine Frage in den Raum (ich hoffe ich bin hier richtig im Forum)..... wer kennt brauchbare Alternativen?

Danke und Gruß aus Hamburg

Hi

Dann fallen Lösungen, die man direkt auf den Client installieren muss ja schon mal im Prinzip raus. Es sei denn ihr verwendet einfach Microsoft Security Essentials auf den Windows-Rechnern. Das reicht schon. Ist bei Windows ab 8.1 fest eingebaut.


Ist schon klar. Neue Verschlüsselungzecken werden aber so nicht erkannt, bis sie per Signatur erkannt werden ist es idR zu spät. Was du dann willst ist ein Scanner mit einer guten Engine für das Behaviour. Lt. schrauber ließ Emsisoft AM keine Verschlüsselungszecke bisher passieren.
Trotzdem ist kein Virenscanner keine Garantie dafür, dass kein Schädling mehr durchkommen kann. Ich seh mehr Abwehrpotential in einem zentralen Gateway, welches u.a. als Web-, SMTP-, und meinetwegen auch POP3-Proxy fungiert. Damit kannst du sehr viel Müll aussortieren, zB illegale, virulente und zweifelte sites sperren, Werbebanner und Tracker blockieren, E-Mails zentral scannen und solche mit potentiell gefährlichen Anhänge blockieren. Und das alles schon zentral am Gateway bevor es zum Client oder hinter dem Gateway liegenden Server geht...dann ist im Prinzip auf dem Client ein installierter lokaler Virenscanner nicht mehr nötig, aber MSE schadet ja nicht und wird über das Windows-Update gepflegt.

Das habe ich auch schon gedacht, aber ist das denn Lizenzrechtlich möglich? Ich meine als Privatperson ist das wohl OK aber als Unternehmen dachte ich immer das man den Security Essentials nicht so ohne weiteres im Unternehmen einsetzen darf?


Ja,.... das ist so ne Sache.... eigentlich haben wir das in der Firewall mit inkludiert,- jedoch nicht aktiviert weil die Firewall schon sehr speziell ist und sich hier eine Fehlkonfiguration mal eben auf das gesamte Unternehmensnetzwerk auswirkt.

Grundsätzlich ist aber die Kombination aus Security Essentials und der Firewall als Erstfilter eine Überlegung wert. .....

Bis zu zehn Rechner können in Kleinunternehmen mit Microsoft Security Essentials bestückt werden:
Quelle: MICROSOFT-SOFTWARELIZENZBEDINGUNGEN - Microsoft Windows

Also diesen Einwand versteh ich jetzt nicht :( mal kurz zusammenfassen:

- du hast gesagt, dass eure Rechner nicht einheitlich sind und auch nicht alle in einer Domäne
- der Aufwand jeden Rechner so zu administrieren ist dadurch hoch
- extra Person einstellen wollte/könnt ihr nicht

Fazit: dann bleibt doch nur der zentrale Schutz über ein Gateway!!
Wenn du keine Turnschuh-Administration willst musst du den Zustand auf jeden Fall ändern, aber das Meckern wie sich eine zentrale Konfig auswirken kann versteh ich jetzt nicht wirklich

Mal davon abgesehen, dass man zum Testen die verschiedenen Proxies ja erstmal nur auf ein paar Testrechner beschränken könnte und wenn alles glatt läuft die Richtlinie auf alle im Netzwerk.

Der Beitrag ist etwas älter aber ich wollte doch darauf antworten. Ich halte einen Virenscanner auf jeden Windows-Client für Pflicht. Ob Microsoft Security Essentials als Virenscanner durchgeht oder als ausreichend angesehen werden kann weiß ich nicht.
Wer annimmt auf irgendeinem Gateway könnte irgendeine angebliche Virenschutzsoftware die Clients schützen liegt vollkommen falsch. Wenn die Clients das Internet nutzen kann das Gateway von SSL-Verbindungen rein gar nichts analysieren und auch bei unverschlüsselten Webseiten kann durch clientseitige Verschlüsselung (z.B. JavaScript) der Datentransfer so manipuliert sein, dass das Gateway nur Datenmüll analysieren kann. Nur bei reinem HTTP kann ein entsprechender Proxy z.B. schadhaftes JavaScript bzw. Webseiten entdecken und evtl. blockieren.
Auch das E-Mail-Scannen an Gateways halte ich für unzureichend. Natürlich ist es gut wenn 99% aller Spam-Mails aussortiert werden und auch Anhänge mit Schadcode erkannt werden. Aber vor allem HTML-EMails laden den Anwender dann doch gerne mal ein auf Anhänge zu klicken, die dann wie oben beschrieben per Browser direkt auf verseuchte Internetseiten zugreifen. Nun hilft evtl. noch eine Filterung der Webseite (z.B. Firefox Safebrowsing oder der Proxy mit einer Blacklist) aber vor allem der lokal installierte Echtzeit-Virenscanner.
Insgesamt würde ich am wenigsten auf den immer möglichst aktuellen Client-Virenscanner verzichten wollen auch wenn ich weiß, dass auch dieser Fehler machen kann. Auch hilft es den einzelnen Client möglichst gut abzusichern und den Anwender so weit wie möglich einzuschränken. Besser wäre natürlich ein Umstieg gleich auf Linux.

iceweasel, was du da schreibst ist so nicht ganz richtig. Es gibt zentrale gateways/firewalls, die als Proxy fungieren und auch SSL können.

Natürlich ist das reine Scannen auf Malware in E-Mails am Gateway nicht alleine ausreichend. Das aber kombiniert man mit weiteren Maßnahmen, zB dass man generell keine Mails mit ZIP-Datei oder anderen Archivdateien im Anhang erlaubt.