it-heilt-nie
Goto Top

Best practice - Endpoint protection auf Windows Server, Sicherheitscenter, Defender An, Aus, Passiv?

Hallo an alle,

ich habe da ein Thema, bei dem ich gern wissen würde, wie Ihr das so handhabt bzw. ob ich richtig recherchiert habe.

Wir verwenden Sophos Central mit Sophos Intercept X für Clients und Server, für die Frage jedoch unwichtig, wie ich festgestellt habe, ist das Verhalten bei allen Endpoint-Protection Lösungen, die ich testen konnte gleich (Sophos, ESET, McAffee).

Ich habe einen Unterschied im Windows-Sicherheitscenter festgestellt:
  • Die Clients zeigen Sophos Intercept X als Bedrohungsschutz an.
  • Die Server zeigen nur den Windows Defender an?

Hier mal ein paar Screenshots zum Vergleich:
xodk9z2xgh
20220524_163717 - applicationframehost_fsdjj7aqcf

20220524_163303 - vmrc_twu8jw9mjs
20220524_163632 - vmrc_bspdqbiyzp


Als erster wundert mich, warum auf Win10 Clients die Endpoint-Lösung integriert wird und auf Servern nicht?

Nach etwas Recherche bei Microsoft konnte ich dazu finden, dass bei Servern der Defender manuell abgeschaltet werden muss, wenn ein Drittanbieter eingesetzt wird!
Das haben wir noch nie so gehandhabt und sind wie auch beim Client davon ausgegangen, dass es ähnlich funktioniert.

20220525_100404 - firefox_lx3jox7lgy
20220525_100332 - firefox_ksatu6yi1e

Über PowerShell habe ich daher mal den Status abgefragt und in der Tat sind beide Endpoint-Lösungen gleichzeitig aktiv - was durchaus zu Problemen führen kann.
Der Passive-Modus scheint aber nur im Zusammenhang mit "Defender for Endpoint" zu funktionieren. Also bleibt nur das Deinstallieren des Defenders.
Ich finde es irgendwie seltsam, dass keine der eingesetzten Anbieter darauf hinweist?

Jetzt die eigentliche Frage an euch. Wie handhabt Ihr das auf euren Windows Servern? Habe ich einen Denkfehler?

Content-ID: 2893483408

Url: https://administrator.de/forum/best-practice-endpoint-protection-auf-windows-server-sicherheitscenter-defender-an-aus-passiv-2893483408.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

Coreknabe
Coreknabe 25.05.2022 um 15:07:08 Uhr
Goto Top
Moin,

huch, ist mir nie aufgefallen, aber ist bei uns genauso. Sophos sagt allerdings dies:
https://support.sophos.com/support/s/article/KB-000042286?language=en_US

Gruß
Doskias
Doskias 25.05.2022 um 15:24:01 Uhr
Goto Top
Moin,
Jetzt die eigentliche Frage an euch. Wie handhabt Ihr das auf euren Windows Servern? Habe ich einen Denkfehler?
Nur einen kleinen face-wink

Wir haben bei uns auf den Servern ebenfalls einen Vireschutz installiert, mit Ausnahme des File-Servers. Das hat zu Performance-Problemen geführt. Durchaus denkbar, dass dies auf den doppelten Virenschutz zurück zu führen ist.

Nach etwas Recherche bei Microsoft konnte ich dazu finden, dass bei Servern der Defender manuell abgeschaltet werden muss, wenn ein Drittanbieter eingesetzt wird!
Magst du den Link zu MS einmal posten?

Ansonsten setzen wir auf den anderen Servern ebenfalls eine AV-Software ein, allerdings bin ich mir sicher, dass meine Kollegen das manuelle deaktivieren ebenfalls nicht kennen. Es würde zumindest auf dem Exchange-Server das teilweise verspätete Update von Virenpattern des Drittanbeiters erklären können.

So.. jetzt zu der Antwort welchen kleinen Fehler du machst:
Wir verwenden Sophos Central mit Sophos Intercept X für Clients und Server...
Nur bedingt unwichtig. Zur erhöhten Sicherheit würde ich empfehlen verschiedene Scanner zu nutzen, zumindest auf Server und Client. Mal ist der eine schneller, mal der andere Besser. Mit zwei Scannern kann es sein, dass der Client die gefährliche Datei aus dem Internet auf den Server speichern kann, der Server-Scanner diese dann aber entdeckt.

Bei uns sieht es so aus:
Firewall nutzt Bitdefender
Server Trendmicro
Client Sophos

Gruß
Doskias
IT-heilt-NIE
IT-heilt-NIE 25.05.2022 um 15:27:33 Uhr
Goto Top
Das deckt sich mit meiner Recherche und betrifft wie gesagt nicht nur Sophos, sondern anscheinend auch andere Endpoint-Lösungen. Daher wollte ich mal wissen wie Ihr das so handhabt.

Ich überlege, ob ich für unsere Kunden sonst einen Leitfaden zusammenschreibe, dass der Defender standardmäßig deaktiviert werden sollte (bei Einsatz einer anderen Lösung).
jstar5588
jstar5588 25.05.2022 um 19:51:23 Uhr
Goto Top
Gleich mal nachsehen wie es bei uns aussieht, da läuft McAfee nebenbei.....ja, ich weiß.... face-smile
Wird sowieso bei nächster Möglichkeit ausgetauscht da es keinen Anti-Spam-Support mehr bietet.
Allerdings ist die Web-Control schon echt gut für die unbeholfenen User.

Auf den Clients wird McAfee Endpoint Security angezeigt
Auf den Servern widerrum tatsächlich auch nicht....
MysticFoxDE
MysticFoxDE 26.05.2022 aktualisiert um 07:47:41 Uhr
Goto Top
Moin IT-heilt-NIE,

Wir verwenden Sophos Central mit Sophos Intercept X für Clients und Server, für die Frage jedoch unwichtig, wie ich festgestellt habe, ist das Verhalten bei allen Endpoint-Protection Lösungen, die ich testen konnte gleich (Sophos, ESET, McAffee).

Sophos verwenden wir bei uns und unseren Kunden auch.
Und ja, der Defender mang nicht wirklich andere AV-Scanner neben sich leiden.

Den Rest überspringe ich jetzt mal, so dass wir gleich zum Wesentlichen kommen.

Jetzt die eigentliche Frage an euch. Wie handhabt Ihr das auf euren Windows Servern? Habe ich einen Denkfehler?

Ganz einfach.
Remove-WindowsFeature -Name Windows-Defender

Dann den Server durchbooten und scho isch der Defender erlegt, tschuldigung ich meine natürlich erledigt. 🤪

Und bevor sich jetzt jemand zu sehr freut, nein, der Befehl funktioniert zwar auf allen Serverversionen ab 2016, aber leider nicht auf den Windows 10 oder 11 Clients. 😭

Beste Grüsse aus BaWü
Alex
Coreknabe
Coreknabe 27.05.2022 um 09:47:59 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin IT-heilt-NIE,

Wir verwenden Sophos Central mit Sophos Intercept X für Clients und Server, für die Frage jedoch unwichtig, wie ich festgestellt habe, ist das Verhalten bei allen Endpoint-Protection Lösungen, die ich testen konnte gleich (Sophos, ESET, McAffee).

Sophos verwenden wir bei uns und unseren Kunden auch.
Und ja, der Defender mang nicht wirklich andere AV-Scanner neben sich leiden.

Den Rest überspringe ich jetzt mal, so dass wir gleich zum Wesentlichen kommen.

Jetzt die eigentliche Frage an euch. Wie handhabt Ihr das auf euren Windows Servern? Habe ich einen Denkfehler?

Ganz einfach.
Remove-WindowsFeature -Name Windows-Defender
Dann den Server durchbooten und scho isch der Defender erlegt, tschuldigung ich meine natürlich erledigt. 🤪

Und bevor sich jetzt jemand zu sehr freut, nein, der Befehl funktioniert zwar auf allen Serverversionen ab 2016, aber leider nicht auf den Windows 10 oder 11 Clients. 😭


Moin,

unter Windows 10 / 11 wird ja zumindest Sophos als führender Virenschutz akzeptiert, nur die Serverversionen bestehen auf den Defender. Zeigt mal die Wertigkeit, für Server nehmen wir lieber den besseren Schutz *scnr*

Gruß
farddwalling
farddwalling 03.06.2022 um 12:20:06 Uhr
Goto Top
mh, kann es sein, das Trend Micro da anders agiert? Auf unseren scheint der Echtzeitschutz vom Windows Defender nicht aktiv zu sein.. Zumindest zeigt unsere Managementsoftware an, das der Defender deaktiviert sei.
IT-heilt-NIE
IT-heilt-NIE 03.06.2022 um 16:58:05 Uhr
Goto Top
Wäre interessant zu wissen ... welche Management-Software meldet dies denn?
farddwalling
farddwalling 03.06.2022 um 18:23:30 Uhr
Goto Top
DesktopCentral von ManageEngine.
Wenn ich auf dem einen Fileserver schaue, sagt mir die Powershell das der Defender gar nicht vorhanden ist. Parallel mit ACMP geschaut, der sagt auch, nicht vorhanden.
Auf anderen Servern ist der Defender im aktiv Modus vorhanden. Komische Kiste....