10
Best practice - Endpoint protection auf Windows Server, Sicherheitscenter, Defender An, Aus, Passiv?
Hallo an alle,
ich habe da ein Thema, bei dem ich gern wissen würde, wie Ihr das so handhabt bzw. ob ich richtig recherchiert habe.
Wir verwenden Sophos Central mit Sophos Intercept X für Clients und Server, für die Frage jedoch unwichtig, wie ich festgestellt habe, ist das Verhalten bei allen Endpoint-Protection Lösungen, die ich testen konnte gleich (Sophos, ESET, McAffee).
Ich habe einen Unterschied im Windows-Sicherheitscenter festgestellt:
Hier mal ein paar Screenshots zum Vergleich:
Als erster wundert mich, warum auf Win10 Clients die Endpoint-Lösung integriert wird und auf Servern nicht?
Nach etwas Recherche bei Microsoft konnte ich dazu finden, dass bei Servern der Defender manuell abgeschaltet werden muss, wenn ein Drittanbieter eingesetzt wird!
Das haben wir noch nie so gehandhabt und sind wie auch beim Client davon ausgegangen, dass es ähnlich funktioniert.
Über PowerShell habe ich daher mal den Status abgefragt und in der Tat sind beide Endpoint-Lösungen gleichzeitig aktiv - was durchaus zu Problemen führen kann.
Der Passive-Modus scheint aber nur im Zusammenhang mit "Defender for Endpoint" zu funktionieren. Also bleibt nur das Deinstallieren des Defenders.
Ich finde es irgendwie seltsam, dass keine der eingesetzten Anbieter darauf hinweist?
Jetzt die eigentliche Frage an euch. Wie handhabt Ihr das auf euren Windows Servern? Habe ich einen Denkfehler?
ich habe da ein Thema, bei dem ich gern wissen würde, wie Ihr das so handhabt bzw. ob ich richtig recherchiert habe.
Wir verwenden Sophos Central mit Sophos Intercept X für Clients und Server, für die Frage jedoch unwichtig, wie ich festgestellt habe, ist das Verhalten bei allen Endpoint-Protection Lösungen, die ich testen konnte gleich (Sophos, ESET, McAffee).
Ich habe einen Unterschied im Windows-Sicherheitscenter festgestellt:
- Die Clients zeigen Sophos Intercept X als Bedrohungsschutz an.
- Die Server zeigen nur den Windows Defender an?
Hier mal ein paar Screenshots zum Vergleich:
Als erster wundert mich, warum auf Win10 Clients die Endpoint-Lösung integriert wird und auf Servern nicht?
Nach etwas Recherche bei Microsoft konnte ich dazu finden, dass bei Servern der Defender manuell abgeschaltet werden muss, wenn ein Drittanbieter eingesetzt wird!
Das haben wir noch nie so gehandhabt und sind wie auch beim Client davon ausgegangen, dass es ähnlich funktioniert.
Über PowerShell habe ich daher mal den Status abgefragt und in der Tat sind beide Endpoint-Lösungen gleichzeitig aktiv - was durchaus zu Problemen führen kann.
Der Passive-Modus scheint aber nur im Zusammenhang mit "Defender for Endpoint" zu funktionieren. Also bleibt nur das Deinstallieren des Defenders.
Ich finde es irgendwie seltsam, dass keine der eingesetzten Anbieter darauf hinweist?
Jetzt die eigentliche Frage an euch. Wie handhabt Ihr das auf euren Windows Servern? Habe ich einen Denkfehler?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2893483408
Url: https://administrator.de/contentid/2893483408
Printed on: April 26, 2024 at 16:04 o'clock
10 Comments
Latest comment
Moin,
huch, ist mir nie aufgefallen, aber ist bei uns genauso. Sophos sagt allerdings dies:
https://support.sophos.com/support/s/article/KB-000042286?language=en_US
Gruß
huch, ist mir nie aufgefallen, aber ist bei uns genauso. Sophos sagt allerdings dies:
https://support.sophos.com/support/s/article/KB-000042286?language=en_US
Gruß
Moin,
Wir haben bei uns auf den Servern ebenfalls einen Vireschutz installiert, mit Ausnahme des File-Servers. Das hat zu Performance-Problemen geführt. Durchaus denkbar, dass dies auf den doppelten Virenschutz zurück zu führen ist.
Ansonsten setzen wir auf den anderen Servern ebenfalls eine AV-Software ein, allerdings bin ich mir sicher, dass meine Kollegen das manuelle deaktivieren ebenfalls nicht kennen. Es würde zumindest auf dem Exchange-Server das teilweise verspätete Update von Virenpattern des Drittanbeiters erklären können.
So.. jetzt zu der Antwort welchen kleinen Fehler du machst:
Bei uns sieht es so aus:
Firewall nutzt Bitdefender
Server Trendmicro
Client Sophos
Gruß
Doskias
Jetzt die eigentliche Frage an euch. Wie handhabt Ihr das auf euren Windows Servern? Habe ich einen Denkfehler?
Nur einen kleinen Wir haben bei uns auf den Servern ebenfalls einen Vireschutz installiert, mit Ausnahme des File-Servers. Das hat zu Performance-Problemen geführt. Durchaus denkbar, dass dies auf den doppelten Virenschutz zurück zu führen ist.
Nach etwas Recherche bei Microsoft konnte ich dazu finden, dass bei Servern der Defender manuell abgeschaltet werden muss, wenn ein Drittanbieter eingesetzt wird!
Magst du den Link zu MS einmal posten?Ansonsten setzen wir auf den anderen Servern ebenfalls eine AV-Software ein, allerdings bin ich mir sicher, dass meine Kollegen das manuelle deaktivieren ebenfalls nicht kennen. Es würde zumindest auf dem Exchange-Server das teilweise verspätete Update von Virenpattern des Drittanbeiters erklären können.
So.. jetzt zu der Antwort welchen kleinen Fehler du machst:
Wir verwenden Sophos Central mit Sophos Intercept X für Clients und Server...
Nur bedingt unwichtig. Zur erhöhten Sicherheit würde ich empfehlen verschiedene Scanner zu nutzen, zumindest auf Server und Client. Mal ist der eine schneller, mal der andere Besser. Mit zwei Scannern kann es sein, dass der Client die gefährliche Datei aus dem Internet auf den Server speichern kann, der Server-Scanner diese dann aber entdeckt.Bei uns sieht es so aus:
Firewall nutzt Bitdefender
Server Trendmicro
Client Sophos
Gruß
Doskias
Das deckt sich mit meiner Recherche und betrifft wie gesagt nicht nur Sophos, sondern anscheinend auch andere Endpoint-Lösungen. Daher wollte ich mal wissen wie Ihr das so handhabt.
Ich überlege, ob ich für unsere Kunden sonst einen Leitfaden zusammenschreibe, dass der Defender standardmäßig deaktiviert werden sollte (bei Einsatz einer anderen Lösung).
Ich überlege, ob ich für unsere Kunden sonst einen Leitfaden zusammenschreibe, dass der Defender standardmäßig deaktiviert werden sollte (bei Einsatz einer anderen Lösung).
Magst du den Link zu MS einmal posten?
Aussagen dazu konnte ich hier finden:
docs.microsoft.com/de-de/microsoft-365/security/defender-endpoint/microsoft-defender-antivirus-compatibility?view=o365-worldwide#microsoft-defender-antivirus-and-non-microsoft-antivirusantimalware-solutions
docs.microsoft.com/de-de/microsoft-365/security/defender-endpoint/configure-server-endpoints?view=o365-worldwide#prerequisites-for-running-with-third-party-security-solutions
1
Gleich mal nachsehen wie es bei uns aussieht, da läuft McAfee nebenbei.....ja, ich weiß.... 
Wird sowieso bei nächster Möglichkeit ausgetauscht da es keinen Anti-Spam-Support mehr bietet.
Allerdings ist die Web-Control schon echt gut für die unbeholfenen User.
Auf den Clients wird McAfee Endpoint Security angezeigt
Auf den Servern widerrum tatsächlich auch nicht....
Wird sowieso bei nächster Möglichkeit ausgetauscht da es keinen Anti-Spam-Support mehr bietet.
Allerdings ist die Web-Control schon echt gut für die unbeholfenen User.
Auf den Clients wird McAfee Endpoint Security angezeigt
Auf den Servern widerrum tatsächlich auch nicht....
Moin IT-heilt-NIE,
Sophos verwenden wir bei uns und unseren Kunden auch.
Und ja, der Defender mang nicht wirklich andere AV-Scanner neben sich leiden.
Den Rest überspringe ich jetzt mal, so dass wir gleich zum Wesentlichen kommen.
Ganz einfach.
Dann den Server durchbooten und scho isch der Defender erlegt, tschuldigung ich meine natürlich erledigt. 🤪
Und bevor sich jetzt jemand zu sehr freut, nein, der Befehl funktioniert zwar auf allen Serverversionen ab 2016, aber leider nicht auf den Windows 10 oder 11 Clients. 😭
Beste Grüsse aus BaWü
Alex
Wir verwenden Sophos Central mit Sophos Intercept X für Clients und Server, für die Frage jedoch unwichtig, wie ich festgestellt habe, ist das Verhalten bei allen Endpoint-Protection Lösungen, die ich testen konnte gleich (Sophos, ESET, McAffee).
Sophos verwenden wir bei uns und unseren Kunden auch.
Und ja, der Defender mang nicht wirklich andere AV-Scanner neben sich leiden.
Den Rest überspringe ich jetzt mal, so dass wir gleich zum Wesentlichen kommen.
Jetzt die eigentliche Frage an euch. Wie handhabt Ihr das auf euren Windows Servern? Habe ich einen Denkfehler?
Ganz einfach.
Remove-WindowsFeature -Name Windows-DefenderDann den Server durchbooten und scho isch der Defender erlegt, tschuldigung ich meine natürlich erledigt. 🤪
Und bevor sich jetzt jemand zu sehr freut, nein, der Befehl funktioniert zwar auf allen Serverversionen ab 2016, aber leider nicht auf den Windows 10 oder 11 Clients. 😭
Beste Grüsse aus BaWü
Alex
Zitat von @MysticFoxDE:
Moin IT-heilt-NIE,
Sophos verwenden wir bei uns und unseren Kunden auch.
Und ja, der Defender mang nicht wirklich andere AV-Scanner neben sich leiden.
Den Rest überspringe ich jetzt mal, so dass wir gleich zum Wesentlichen kommen.
Ganz einfach.
Dann den Server durchbooten und scho isch der Defender erlegt, tschuldigung ich meine natürlich erledigt. 🤪
Und bevor sich jetzt jemand zu sehr freut, nein, der Befehl funktioniert zwar auf allen Serverversionen ab 2016, aber leider nicht auf den Windows 10 oder 11 Clients. 😭
Moin IT-heilt-NIE,
Wir verwenden Sophos Central mit Sophos Intercept X für Clients und Server, für die Frage jedoch unwichtig, wie ich festgestellt habe, ist das Verhalten bei allen Endpoint-Protection Lösungen, die ich testen konnte gleich (Sophos, ESET, McAffee).
Sophos verwenden wir bei uns und unseren Kunden auch.
Und ja, der Defender mang nicht wirklich andere AV-Scanner neben sich leiden.
Den Rest überspringe ich jetzt mal, so dass wir gleich zum Wesentlichen kommen.
Jetzt die eigentliche Frage an euch. Wie handhabt Ihr das auf euren Windows Servern? Habe ich einen Denkfehler?
Ganz einfach.
Remove-WindowsFeature -Name Windows-DefenderUnd bevor sich jetzt jemand zu sehr freut, nein, der Befehl funktioniert zwar auf allen Serverversionen ab 2016, aber leider nicht auf den Windows 10 oder 11 Clients. 😭
Moin,
unter Windows 10 / 11 wird ja zumindest Sophos als führender Virenschutz akzeptiert, nur die Serverversionen bestehen auf den Defender. Zeigt mal die Wertigkeit, für Server nehmen wir lieber den besseren Schutz *scnr*
Gruß
mh, kann es sein, das Trend Micro da anders agiert? Auf unseren scheint der Echtzeitschutz vom Windows Defender nicht aktiv zu sein.. Zumindest zeigt unsere Managementsoftware an, das der Defender deaktiviert sei.
Wäre interessant zu wissen ... welche Management-Software meldet dies denn?
DesktopCentral von ManageEngine.
Wenn ich auf dem einen Fileserver schaue, sagt mir die Powershell das der Defender gar nicht vorhanden ist. Parallel mit ACMP geschaut, der sagt auch, nicht vorhanden.
Auf anderen Servern ist der Defender im aktiv Modus vorhanden. Komische Kiste....
Wenn ich auf dem einen Fileserver schaue, sagt mir die Powershell das der Defender gar nicht vorhanden ist. Parallel mit ACMP geschaut, der sagt auch, nicht vorhanden.
Auf anderen Servern ist der Defender im aktiv Modus vorhanden. Komische Kiste....