Antivirus - Konzepte für kleine LANs - 1 Scanner pro Gerät sinnvoll?
Lan basiert auf 4-5 Win 2003 Servern, die demnächst durch einige virtuelle Linux Server (Backup, Monitoring, Mail) ergänzt werden
ca. 10 XP-Client's + Igel auf Win2k3 Terminalserver
Wie machen es die Profi's?
Da wir gerade eine Umstrukturierung konzeptionieren wird auch das Thema Antivirus neu durchdacht.
Laut einem (Linux-) Experten sei es ja nicht sinnvoll, auf jedem Gerät einen Scanner laufen zu lassen (Stichwort Performance), sondern diesen lieber an den kritischen Punkten, also in erster Linie dem Mailserver, unterzubringen.
Tatsächlich könne man ja von einem Server aus das gesamte LAN scannen.
Alle anderen Server wie Datenbanken etc. sollten über Firewalls sowieso entsprechend abgesichert sein.
Die Win-XP Clients sollten natürlich ebenfalls abgesichet sein, da die Nutzer direkt im Internet serven äh surfen.
Diese werden jedoch demnächst gegen einen Terminalserver ausgestauscht.
Was haltet ihr davon?
Einen Scanner auf jeden Server und jeden Client oder lediglich auf den Mailserver und Terminalserver und von hier den Rest des LAN's scannen lassen?
Deshalb auch meine Frage nach schlüssigen Gesamtkonzepten.
Was sollte ich noch beachten? Also z.B. vpn oder andere Sicherheitsbedrohungen.
Vielen Dank!!!
ca. 10 XP-Client's + Igel auf Win2k3 Terminalserver
Wie machen es die Profi's?
Da wir gerade eine Umstrukturierung konzeptionieren wird auch das Thema Antivirus neu durchdacht.
Laut einem (Linux-) Experten sei es ja nicht sinnvoll, auf jedem Gerät einen Scanner laufen zu lassen (Stichwort Performance), sondern diesen lieber an den kritischen Punkten, also in erster Linie dem Mailserver, unterzubringen.
Tatsächlich könne man ja von einem Server aus das gesamte LAN scannen.
Alle anderen Server wie Datenbanken etc. sollten über Firewalls sowieso entsprechend abgesichert sein.
Die Win-XP Clients sollten natürlich ebenfalls abgesichet sein, da die Nutzer direkt im Internet serven äh surfen.
Diese werden jedoch demnächst gegen einen Terminalserver ausgestauscht.
Was haltet ihr davon?
Einen Scanner auf jeden Server und jeden Client oder lediglich auf den Mailserver und Terminalserver und von hier den Rest des LAN's scannen lassen?
Deshalb auch meine Frage nach schlüssigen Gesamtkonzepten.
Was sollte ich noch beachten? Also z.B. vpn oder andere Sicherheitsbedrohungen.
Vielen Dank!!!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 148795
Url: https://administrator.de/contentid/148795
Ausgedruckt am: 26.11.2024 um 04:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
also wir machen es immer so, dass auch die Clients einen Scanner bekommen. Da man sonst probleme mit Wechseldatenträgern bekommt. Und wenn man diese verbietet dauert es nicht lange bis der erste schreit.
Jeder größere Antivirenhersteller bietet eigentlich Client-Server Lösungen an. Wir setzen momentan Dr.Web ein und sind sehr zufrieden damit.
Und da wir ja auch nicht mehr in den 80gern sind sehe ich die Performance-Sache nicht so Kritisch. Man muss ja nicht jeden Tag einen Vollen Scan absolvieren.
Gruß
-Tobias
also wir machen es immer so, dass auch die Clients einen Scanner bekommen. Da man sonst probleme mit Wechseldatenträgern bekommt. Und wenn man diese verbietet dauert es nicht lange bis der erste schreit.
Jeder größere Antivirenhersteller bietet eigentlich Client-Server Lösungen an. Wir setzen momentan Dr.Web ein und sind sehr zufrieden damit.
Und da wir ja auch nicht mehr in den 80gern sind sehe ich die Performance-Sache nicht so Kritisch. Man muss ja nicht jeden Tag einen Vollen Scan absolvieren.
Gruß
-Tobias
Hallo jackpott,
die Haupteinfallstore für Viren sind bei uns.
1. Internetseiten die Sicherheitslücken ausnutzen
2. Software aus suspekter Quelle
3. Emailanhänge
4. Sicherheitslücken in Programmen
Für 1 - 3 nimmst du ein Antivirusprogramm auf jedem Client und Server sowie eine Firewall mit Antivirus und Contentfilter.
4 bekommst du mit z.B. CSI (Secunia) und WSUS geregelt.
Wenn ihr irgendwann nur Thinclients habt die auf TS arbeiten und der File und Mailserver unter Linux laufen, dann sieht es u.U.
anderes aus. Ich würde trotzdem auf jedem Windowssystem einen VIrenscanner laufen lassen.
Und die Zeit der Linuxviren kommt auch noch.
grüße vom IT-Frosch
PS: Als Empfehlung TrendMicro oder Kaspersky.
die Haupteinfallstore für Viren sind bei uns.
1. Internetseiten die Sicherheitslücken ausnutzen
2. Software aus suspekter Quelle
3. Emailanhänge
4. Sicherheitslücken in Programmen
Für 1 - 3 nimmst du ein Antivirusprogramm auf jedem Client und Server sowie eine Firewall mit Antivirus und Contentfilter.
4 bekommst du mit z.B. CSI (Secunia) und WSUS geregelt.
Wenn ihr irgendwann nur Thinclients habt die auf TS arbeiten und der File und Mailserver unter Linux laufen, dann sieht es u.U.
anderes aus. Ich würde trotzdem auf jedem Windowssystem einen VIrenscanner laufen lassen.
Und die Zeit der Linuxviren kommt auch noch.
grüße vom IT-Frosch
PS: Als Empfehlung TrendMicro oder Kaspersky.
Hallo,
jedes Gerät sollte mindestens gegen Viren geschützt werden.
Wir haben Antivirus auf jedem Server, Workstation und Laptop.
Eine personal Firewall ist auf jedem Laptop und Workstation zusätzlich installiert.
Und das ganze Netzwerk wird von einer ASA Firewall abgesichert mit einem CSC AntiVirus Modul.
Der Mailverkehr wird zusätzlich mit GFI kontrolliert.
Da gibt es mehrer Arten wie man das macht.
McAfee Total Protection ist ein sehr guter Service.
GFI Mail Security und GFI Mail Essentials.
Damit ist das ganze netzwerk sicher und auch alle Clients.
mfg
George
jedes Gerät sollte mindestens gegen Viren geschützt werden.
Wir haben Antivirus auf jedem Server, Workstation und Laptop.
Eine personal Firewall ist auf jedem Laptop und Workstation zusätzlich installiert.
Und das ganze Netzwerk wird von einer ASA Firewall abgesichert mit einem CSC AntiVirus Modul.
Der Mailverkehr wird zusätzlich mit GFI kontrolliert.
Da gibt es mehrer Arten wie man das macht.
McAfee Total Protection ist ein sehr guter Service.
GFI Mail Security und GFI Mail Essentials.
Damit ist das ganze netzwerk sicher und auch alle Clients.
mfg
George
Hallo,
auf jeden Fall auf jedem Client eine Antivirus-Software installieren!!! Ihr solltet darauf achten, einen AV zu verwenden, die von einem Rechner aus zentral gesteuert werden kann, von wo Berechtigungen vergeben werden können und Updates verteilt werden können (z.B. McAfee EPO). Ansonsten würde sich jeder Client ggf mehrmals pro Woche einige MB an Updates aus dem Internet ziehen, was ab einer bestimmten Größenordnung spürbar auf die Performance geht.
Auf Servern verwendet man üblicherweise aus Rücksicht auf die Leistung keinen (!) AV, da ja sowieso nur Admins mit Umsicht und Erfahrung direkt daran tätig sind. Auf Firewall/Proxy- und Email Servern sollte per se keinen AV-Client laufen lassen (kann enorme Komplikationen mit sich bringen), wenn dann eher Web- und Email-basierte Lösungen (z.B, von GFI Webmonitor, Mailsecurity o.ä.) verwenden.
Grüße,
inspi
auf jeden Fall auf jedem Client eine Antivirus-Software installieren!!! Ihr solltet darauf achten, einen AV zu verwenden, die von einem Rechner aus zentral gesteuert werden kann, von wo Berechtigungen vergeben werden können und Updates verteilt werden können (z.B. McAfee EPO). Ansonsten würde sich jeder Client ggf mehrmals pro Woche einige MB an Updates aus dem Internet ziehen, was ab einer bestimmten Größenordnung spürbar auf die Performance geht.
Auf Servern verwendet man üblicherweise aus Rücksicht auf die Leistung keinen (!) AV, da ja sowieso nur Admins mit Umsicht und Erfahrung direkt daran tätig sind. Auf Firewall/Proxy- und Email Servern sollte per se keinen AV-Client laufen lassen (kann enorme Komplikationen mit sich bringen), wenn dann eher Web- und Email-basierte Lösungen (z.B, von GFI Webmonitor, Mailsecurity o.ä.) verwenden.
Grüße,
inspi
@inspi,
Ups, irgendwie muss ich als Admin wohl meine Heiligsprechung verpasst haben.
Es ist ja schön wenn du annimmt dass Admins unfehlbar sind. Das halte ich für ziemlich gefährlich. Denn jeder Admin sollte eigentlich wissen, dass er nicht perfekt ist,
wo sein Schwächen liegen und das selbst ein aktueller Virenscanner keine 100%ige Sicherheit bietet.
Es mag ja ganz vereinzelt Server geben auf denen keine AV Client installiert wird. Das sind aber die absoluten Ausnahmen.
Der das Antivirussystem betreuende Admin sollte den Virenscanner so konfigurieren können das er prüfen kann und es nur zu einer minimalen Belastung des Servers kommt.
grüße vom it-frosch
Auf Servern verwendet man üblicherweise aus Rücksicht auf die Leistung keinen (!) AV, da ja sowieso nur Admins mit Umsicht und Erfahrung direkt daran tätig sind.
Ups, irgendwie muss ich als Admin wohl meine Heiligsprechung verpasst haben.
Es ist ja schön wenn du annimmt dass Admins unfehlbar sind. Das halte ich für ziemlich gefährlich. Denn jeder Admin sollte eigentlich wissen, dass er nicht perfekt ist,
wo sein Schwächen liegen und das selbst ein aktueller Virenscanner keine 100%ige Sicherheit bietet.
Es mag ja ganz vereinzelt Server geben auf denen keine AV Client installiert wird. Das sind aber die absoluten Ausnahmen.
Der das Antivirussystem betreuende Admin sollte den Virenscanner so konfigurieren können das er prüfen kann und es nur zu einer minimalen Belastung des Servers kommt.
grüße vom it-frosch
Zitat von @jackpott:
Laut einem (Linux-) Experten sei es ja nicht sinnvoll, auf jedem Gerät einen Scanner laufen zu lassen (Stichwort
Performance), sondern diesen lieber an den kritischen Punkten, also in erster Linie dem Mailserver, unterzubringen.
Laut einem (Linux-) Experten sei es ja nicht sinnvoll, auf jedem Gerät einen Scanner laufen zu lassen (Stichwort
Performance), sondern diesen lieber an den kritischen Punkten, also in erster Linie dem Mailserver, unterzubringen.
Hallo Jackpott,
der Wächter auf den Geräten ist doch die letzte Linie in der Verteidigung. Kommt da was an, hat dein Experte wohl was übersehen. Rein zum Reporting sollte der Wächter aber laufen - und sei es nur, um zu Reporten, dass nichts ankommt ...
Grüße, Steffen
Zitat von @it-frosch:
@inspi,
>Auf Servern verwendet man üblicherweise aus Rücksicht auf die Leistung keinen (!) AV, da ja sowieso nur Admins mit
Umsicht und Erfahrung direkt daran tätig sind.
Ups, irgendwie muss ich als Admin wohl meine Heiligsprechung verpasst haben.
@inspi,
>Auf Servern verwendet man üblicherweise aus Rücksicht auf die Leistung keinen (!) AV, da ja sowieso nur Admins mit
Umsicht und Erfahrung direkt daran tätig sind.
Ups, irgendwie muss ich als Admin wohl meine Heiligsprechung verpasst haben.
Ich auch... Bin aber gern dabei wenn das jemand nachholen will. Ohne Alleinseligmachungsanspruch mach ich es so:
Kein AV auf den Servern (W2003 und OSX), nur auf den Windows-Clients.
Voraussetzung ist, dass mit den Servern niemand ausser dem 'umsichtigen' Admin online geht (Updates etc.). Bei uns werden deswegen konsequent alle online-Dienste über als halbfette TS-Clients eingesetzte Macs gemacht, auch da ist kein AV drauf (gibt es zwar, aber mir ist noch nichts untergekommen). D.h. aber auch, dass die online-TCs nicht zu 'dünn' sein dürfen, weil sonst Email und Internet nicht gehen, da braucht man dann wieder Surfen über den Server per RDV, und genau das soll vermieden werden. Jeder Mitarbeiter, der Email braucht, arbeitet an einem Mac, die anderen am IGEL, und alles über RDV.
Es gibt bestimmt andere Lösungen, aber diese ist i.d.R. besonders einfach zu warten und der Admin kann gut schlafen. Gute Nacht!
Hallo,
ihr solltet auf jeden Fall ein mehrstufiges Konzept des Virenscans aufbauen:
1. Firewall mit Virenscanner (fast jeder Virus muß hier durch, Ausnahmen sind viren, die sich über USB-Sticks verbreiten oder Notebooks von Außendienstmitarbeitern).
2. Jeder Server (egal ob File-, Mail- oder SQL-Server, egal, ob Windows oder Linux) sollte einen Virenscanner haben, da hier (normalerweise) die wichtigen Unternehmensdaten liegen.
3. Jedes "infizierbare" Usersystem (Windows-PC oder Terminalserver) sollte einen Virenscanner haben.
mfg
Harald
ihr solltet auf jeden Fall ein mehrstufiges Konzept des Virenscans aufbauen:
1. Firewall mit Virenscanner (fast jeder Virus muß hier durch, Ausnahmen sind viren, die sich über USB-Sticks verbreiten oder Notebooks von Außendienstmitarbeitern).
2. Jeder Server (egal ob File-, Mail- oder SQL-Server, egal, ob Windows oder Linux) sollte einen Virenscanner haben, da hier (normalerweise) die wichtigen Unternehmensdaten liegen.
3. Jedes "infizierbare" Usersystem (Windows-PC oder Terminalserver) sollte einen Virenscanner haben.
mfg
Harald
Wenn der Internetverkehr über eine ordentliche Firewall läuft und ein Proxy mit Webfilter und AV-Engine vorgeschaltet ist, auf jedem Arbeitsplatz-PC ein AV-Client läuft und sowohl auf den PCs als auch auf den Servern die lokalen Firewalls vernünftig eingerichtet sind, regelmässig Updates durchgeführt werden, kein PC und kein Server direkten Zugang zum Internet haben und niemand an den Servern rumpfuscht, dann bleibe ich mal dabei, dass die meißten Server keinen eigenen AV-Client benötigen.
Wenn man aber nicht ausschliessen kann, dass Leute im Unternehmen unheilige Dinge auf den Servern tun, die Server unseligerweise direkt mit dem Internet verbunden sind und vielleicht noch der ein oder andere höllische Port offen ist, dann sei es meinetwegen so, dass besser mal auf allen Servern ein AV-Client laufen sollte. Gerne aber auch wenn es auf Leistung nicht so sehr ankommt.
Grüße,
inspi
Wenn man aber nicht ausschliessen kann, dass Leute im Unternehmen unheilige Dinge auf den Servern tun, die Server unseligerweise direkt mit dem Internet verbunden sind und vielleicht noch der ein oder andere höllische Port offen ist, dann sei es meinetwegen so, dass besser mal auf allen Servern ein AV-Client laufen sollte. Gerne aber auch wenn es auf Leistung nicht so sehr ankommt.
Grüße,
inspi