nachgefragt
Goto Top

Antivirus Endpointprotection für Unternehmen

Hallo Administratoren,

da wir seit drei Jahren den gleichen Virenschutz einsetzen möchte ich die damalige Entscheidung kritisch in Frage stellen um herauszufinden, ob es "bessere" Alternativen gibt.

Aufgaben
  • Endpointprotection
  • zyklischer Scan (nach Gruppen sortiert)
  • Sperre von Software
  • Sperre von Schnittstellen (USB, WLAN, DVD,...)
  • Software-Firewall (Notebooks)
  • Windows 10
  • Windows Server 2016
  • Windows Server 2019

Welche Internetseite liefert zuverlässige Tests?
https://lmgtfy.com/?q=antivirus+f%C3%BCr+unternehmen&s=d
https://lmgtfy.com/?q=endpointprotection+f%C3%BCr+unternehmen&s=d

Mit welche Produkten habt ihr
  • gute Erfahrungen?
  • schlechte Erfahrungen?

Vielen Dank für Euren Input!

Content-ID: 574394

Url: https://administrator.de/contentid/574394

Printed on: December 12, 2024 at 18:12 o'clock

chiefteddy
chiefteddy May 25, 2020 updated at 09:02:08 (UTC)
Goto Top
Hallo,

greifen Deine Fragen/Anforderungen nicht zu kurz?

- Keine Anforderungen bezüglich zentralem Management

- Keine Anforderungen bezüglich Zusammenspiel zw. Firewall (mit Virenschutz und Mail-Protection) und Endpoint-Protection auf den Clients.

- Keine Anforderungen bezüglich Erkennen von "ungewöhnlichen" Aktivitäten (Schutz vor Ransomware)

Eine klassischer Virenschutz über Signaturscanns ist heute nicht mehr "State of the Art". Das macht die in Windows integrierte Virenschutzlösung ausreichend gut. Heute geht es um Verhaltensanalyse, um ungewöhnliche/unerwünschte/gefährliche Aktivitäten auf dem Client zu erkennen und zu verhindern. Gleichzeitig muß die Verbreitung eines Virus im LAN unterbunden werden (Isolation - Corona läßt grüßen face-wink )

Ich bin vor einiger Zeit von Symantec (und Sonicwall Firewall) auf eine Komplett-Lösung von Sophos (XG-Firewall und EndpointProtection, incl. Sophos Central und Intercept X) gewechselt.

https://www.sophos.com/de-de/products/intercept-x.aspx
https://www.sophos.com/de-de/products/next-gen-firewall.aspx
https://www.sophos.com/de-de/products/sophos-central.aspx

Habe bis jetzt nur positive Erfahrungen gemacht.

Besonders die Isolation eines infizierten Clients im Zusammenspiel mit der Firewall ist interessant.

Jürgen

PS. Welche Lösung wird denn bis jetzt eingesetzt?
Looser27
Looser27 May 25, 2020 at 09:20:45 (UTC)
Goto Top
Moin,

wir setzen als Endpoint-Lösung TrendMicro WFBS ein.
Erkennungsrate ist sehr gut und vor allem leidet die Performance der Clients nicht.

Gruß

Looser
nachgefragt
nachgefragt May 25, 2020 at 10:35:06 (UTC)
Goto Top
Zitat von @chiefteddy:
- Keine Anforderungen bezüglich zentralem Management
- Keine Anforderungen bezüglich Zusammenspiel zw. Firewall (mit Virenschutz und Mail-Protection) und Endpoint-Protection auf den Clients.
- Keine Anforderungen bezüglich Erkennen von "ungewöhnlichen" Aktivitäten (Schutz vor Ransomware)
Heute geht es um Verhaltensanalyse, um ungewöhnliche/unerwünschte/gefährliche Aktivitäten auf dem Client zu erkennen und zu verhindern.
Vielen Dank Jürgen,
natürlich, und selbstverständlich; das hätte ich erwähnen können, danke.

Ich bin vor einiger Zeit von Symantec (und Sonicwall Firewall) auf eine Komplett-Lösung von Sophos (XG-Firewall und EndpointProtection, incl. Sophos Central und Intercept X) gewechselt.
Was genau war euer Beweggrund?
Symantec bzw. Norton hat oder hatte (?) keinen guten Ruf, da sich die Software tiefs ins System "bohrt". Solch "alte Kammellen" werden ja immer gern nachgeprabbelt (Gerüchte halten sich bekanntlich hartnäckig face-wink), anscheinend ist da aber noch was dran, oder?

Kaspersky ist ebenfalls etwas in Mitleidenschaft...
Durch ein Datenleck konnten Dritte die Nutzer allerdings jahrelang beim Surfen ausspionieren.
https://www.heise.de/ct/artikel/Kasper-Spy-Kaspersky-Virenschutz-gefaehr ...
... und daher nicht wirklich meine Wahl, aus dem Bauch heraus.

Habe bis jetzt nur positive Erfahrungen gemacht.
Welche? Oder nur gegenüber Symantec's Norton?

Besonders die Isolation eines infizierten Clients im Zusammenspiel mit der Firewall ist interessant.
Wie sieht das Szenario im Falle des Falles aus?

PS. Welche Lösung wird denn bis jetzt eingesetzt?
Hauptsächlich Bitdefender Gravity Zone, zentrales Management,... sind also längst gegeben: https://www.bitdefender.de/business/smb-products/business-security.html# ...

Wir sind damit nicht unzufrieden, dennoch möchten wir regelmäßig das "Gewohnte" überprüfen, sachlich kritisch wenn möglich.
chiefteddy
chiefteddy May 25, 2020 at 12:05:18 (UTC)
Goto Top
Hallo,

Hintergrund war das Auslaufen der Wartungsverträge mit den Anbietern. Da bei der Firewall auch die Hardware getauscht werden mußte (EOL), war das der primäre Grund. Unser betreuendes Systemhaus empfahl mir dann die Sophos-Firewall (auch in Hinblick auf die Anbindung einer neuen Außenstelle über eine RED - https://www.sophos.com/de-de/medialibrary/pdfs/factsheets/sophos-sd-red- ... - als VPN-Router/Firewall). Bei der näheren Beschäftigung mit Sophos hat mich dann die XG-Firewall und Intercept X als Client-Schutz überzeugt. Wie ich bereits schrieb, kommuniziert hier der Client-Agent mit der Firewall und dem zentralen Management, so dass im Fall der Fälle eine Isolation des infizierten Clients im Netzwerk erfolgt - bis das "Problem" behoben ist. Auch die weiteren Funktionen überzeugten mich. https://www.sophos.com/de-de/medialibrary/PDFs/factsheets/sophos-interce ...

Das zentrale Management von der Firewall bis zur EndpointProtection im gesamten LAN, incl. Außenstellen war dann ausschlaggebend für meine Entscheidung, auch den Vertrag mit Symantec abzulösen (privat habe ich aber immer noch Symantec/Norton im Einsatz und bin zufrieden).

Vergleichstests bezüglich Erkennungsrate usw. sind für mich nur bedingt Entscheidungsgrundlage. Bei diesen Tests hat jedes Jahr ein anderer Anbieter die Nase vorn und der Unterschied ist marginal.


Besonders die Isolation eines infizierten Clients im Zusammenspiel mit der Firewall ist interessant.
Wie sieht das Szenario im Falle des Falles aus?

Beim Erkennen einer Bedrohung auf dem Client, die durch den "Virenschutz" nicht lokal beseitigt werden kann, kommuniziert der Client-Agent mit dem Management (Sophos Central), das dann dafür sorgt, das der Client lokal im LAN nur noch mit dem Management kommunizieren kann (Maßnahmen der Problemlösung können über das Management durchgeführt werden, ohne dass der Client im LAN mit weiteren Ressourcen kommunizieren kann), die Firewall blockiert die Kommunikation des Clients nach Außen (kein "nachladen" von Code usw. möglich) und die Agenten der anderen PCs werden über die Isolation "informiert" und können auch nicht mehr mit dem betroffenen Client kommunizieren.
Wenn die Bedrohung beseitigt wurde, wird die Isolation wieder aufgehoben.

Habe bis jetzt nur positive Erfahrungen gemacht.
Welche? Oder nur gegenüber Symantec's Norton?

Das System tut was es soll; ich habe eine zentrale Management-Oberfläche, die mir ein gesamtes Bild der "Sicherheitslage" in meinem Netz anzeigt und ich kann auch die Außenstelle (inclusive HomeOffice-Verbindungen) zentral administrieren (auch aus meinem HomeOffice).

Jürgen
nachgefragt
nachgefragt May 25, 2020 at 12:36:08 (UTC)
Goto Top
Zitat von @chiefteddy:
Hintergrund war das Auslaufen der Wartungsverträge mit den Anbietern. Da bei der Firewall auch die Hardware getauscht werden mußte (EOL), war das der primäre Grund.
Vielen Dank Jürgen,
zusammenfassend hatte es bei dir in die Umgebung gepasst, unter Berücksichtigung dieser Aspekte.

Der Funktionsumfang ist ähnlich dem zur Bitdefender Gravity Zone.

Was bei Bitdefender ggf. noch interessant wird ist das "Risiko-Management", quasi Aufzeigen von Schwachstellen (z.B. wo darf ein Powershell-Script ausgeführt werden, ...).

Sophos werde ich aber mal prüfen/testen.

Danke für deinen Input!
maxblank
maxblank May 25, 2020 updated at 17:07:55 (UTC)
Goto Top
Achte bei Sophos drauf, dass du Intercept X Advanced with EDR nimmst. Sonst wird es mit der virtuellen Clientisolation, wenn du keine XG einsetzt, schwierig.

Außerdem fehlt sonst die genaue Analyse des Vorfalls und ob Daten abgeflossen sind, Stichwort DSGVO.

https://www.sophos.com/de-de/medialibrary/PDFs/factsheets/intercept-x-ed ...
nachgefragt
nachgefragt May 26, 2020 at 07:10:45 (UTC)
Goto Top
Zitat von @maxblank:
Außerdem fehlt sonst die genaue Analyse des Vorfalls und ob Daten abgeflossen sind, Stichwort DSGVO.

Guten Morgen maxblank,

das wäre mir in dem Zusammenhang mit der DSGVO neu, eher fallen mir dazu Tools wie Access Rights Manager ein um wirklich den Datenfluss zu protokollieren, eine freiwillige Option soweit mir bekannt.

Das Thema Clientisolation ist dennoch neu udn interessant, gerade im Falle eines "False Positiv".

Bei Bitdefender beispielsweise wird über die thread control selbige überwacht und kann (wenn gewünscht) so eingestellt werden, dass eben (nur) die Anwendugn blockiert wird - aber nicht gleich der ganze Client.

bf1
chiefteddy
chiefteddy May 26, 2020 at 08:23:03 (UTC)
Goto Top
Bei Bitdefender beispielsweise wird über die thread control selbige überwacht und kann (wenn gewünscht) so eingestellt werden,
dass eben (nur) die Anwendugn blockiert wird - aber nicht gleich der ganze Client.

Hallo,

auch das ist bei Sophos Intercept X möglich. Die Frage ist doch immer: Was ist die Bedrohungslage und welche Gegen-Maßnahme ist die richtige.

Mir ist es lieber, ein infizierter Client wird vollständig isoliert und der Mitarbeiter kann erstmal nicht mehr arbeiten (psychologische Wirkung: Du hast nicht aufgepaßt und einen Virus eingeschleppt!). Wir sind nicht soviele, als dass ich nicht sofort reagieren kann und das Problem löse.
Wenn der Mitarbeiter nicht mitbekommt, dass er sich einen Virus eingefangen hat, wird er auch nicht sensibilisiert, besser aufzupassen. Und wenn nur eine Applikation nicht mehr geht (zB. das Mail-Programm) kommt er doch erstmal nicht auf die Idee, dass er einen Virus auf seinem PC hat. Für ihn funktioniert einfach das Mail-Programm nicht mehr.

Jürgen
nachgefragt
nachgefragt May 26, 2020 at 09:32:11 (UTC)
Goto Top
Zitat von @chiefteddy:
Mir ist es lieber, ein infizierter Client wird vollständig isoliert und der Mitarbeiter kann erstmal nicht mehr arbeiten (psychologische Wirkung: Du hast nicht aufgepaßt und einen Virus eingeschleppt!). Wir sind nicht soviele, als dass ich nicht sofort reagieren kann und das Problem löse.
Danke Jürgen,
da bin ich auch bei dir.

Meine Praxis: Ich hatte mal einen Fall, bei dem sich ein False Positiv auf alle Clients (PC und Terminalserver) ausgewirkt hatte, in dem Fall wäre somit quasi alles zum Erliegen gekommen, 100% Stillwand wäre die Konsequenz.

Interessant finde ich die Clientisolation dennoch, daher schön über diesen Weg solche Informationen zu erhalten face-smile!

Wenn der Mitarbeiter nicht mitbekommt, dass er sich einen Virus eingefangen hat, wird er auch nicht sensibilisiert, besser aufzupassen. Und wenn nur eine Applikation nicht mehr geht (zB. das Mail-Programm) kommt er doch erstmal nicht auf die Idee, dass er einen Virus auf seinem PC hat. Für ihn funktioniert einfach das Mail-Programm nicht mehr.
Bitdefender macht sich in dem Fall bemerkbar, also warum eine Anwendung blockiert wird.

Aber die Sensibilisierung ist ein zyklischer Akt welchen man regelmäßig vornehmen sollte, da stimme ich dir zu.
Die berühmte E-Mail...
"Hey, deine Autoscheibe ist eingeschlagen! Ist das dein Auto - siehe Foto?
... um zu sehen wie viele den Anhang öffnen.
nachgefragt
nachgefragt Jun 15, 2020, updated at Jun 17, 2020 at 06:59:52 (UTC)
Goto Top
Hallo Administratoren,

meine Lösung
Die führenden Anbieter haben mehr oder weniger die gleichen Features, von großartigen + ausgereiften Neuerungen hatte kein Dienstleister berichten können.

Ich habe damit die Wahl:
  • Ein all-inclusive-Paket (z.B. Sophos-Firewall, Sophos-Endpoint-Protection,...), wenn es in die Umgebung passt; aber eine gewisse Abhängigkeit mit sich bringt
  • oder bestehendes System weiter nutzen

Für die anderen hier genannten Tools hatte ich den schlagkräftiges Argument ermitteln können.

Vielen Dank.
/closed
Uwe-Kernchen
Uwe-Kernchen Aug 11, 2020 at 09:20:16 (UTC)
Goto Top
Hallo,
ich möchte mich mal an diese Frage ran hängen.

Ich suche einen Virenschutz für 20 Plätze, Windows 10 Clients, Server 2012-2019.
Keine Firewall, kein Schnickschnack.
USB-Blocking wäre gut.
Gesucht wird eine Softwarelösung. Ein Proxy (Rohde&Schwarz) mit Virenscan, Sandbox +KI (Avira) ist vorhanden.

Wichtig ist mir:
- zentrale (lokale!) Verwaltung mit Monitoring und Signaturverteilung
- kein direkter Zugang von etwa 50% der Stationen zum Internet
- EU-Lösung wäre nett

Inzwischen wird ja alles in die Cloud gelegt und es ist aufwändig zu recherchieren, welche Lösung offline überhaupt noch funktioniert.
Darum frage ich euch.
Der Managementserver darf gerne eine KI in der Cloud fragen, aber die Clients müssen ohne Internet-Kontakt arbeiten.

Gruß Uwe
nachgefragt
nachgefragt Aug 11, 2020 at 10:13:21 (UTC)
Goto Top
Hallo.
In dem Webinar ist alles gut zusammengefasst, ab 13:35 beginnt die Demo: https://www.youtube.com/watch?v=fI7eBYOG1Og

So installierst du den lokal: https://www.youtube.com/watch?v=jcq4e-6tAos

Doku: https://www.bitdefender.de/support/manuelle-installation-von-bitdefender ...

- kein direkter Zugang von etwa 50% der Stationen zum Internet
GPO, Firewall, Segmentierung,...
Über Bitdefender könntest du Browser sperren wenn es darum geht.

Der Managementserver darf gerne eine KI in der Cloud fragen, aber die Clients müssen ohne Internet-Kontakt arbeiten.
Kann man per Richtlinie einrichten wo die Updates gezogen werden.
Uwe-Kernchen
Uwe-Kernchen Aug 11, 2020 at 10:41:16 (UTC)
Goto Top
Danke für die schnelle Antwort!

Die lokale Serverinstallation als VMDK sieht gut aus.

Das wäre bei meiner Größenordnung die Bitdefender GravityZone Business Security?
nachgefragt
nachgefragt Aug 11, 2020 at 12:08:22 (UTC)
Goto Top
Zitat von @Uwe-Kernchen:
Das wäre bei meiner Größenordnung die Bitdefender GravityZone Business Security?
Ich meine ja: https://www.bitdefender.com/business/compare.html
Uwe-Kernchen
Uwe-Kernchen Aug 11, 2020 at 12:41:12 (UTC)
Goto Top
Vielen Dank!