veniplex
Goto Top

Bootbarer AV-Scanner für Unternehmen

Hallo zusammen!

Ich arbeite in einem mittelgroßen Unternehmen. Wenn sich bei uns ein Sicherheitsvorfall ereignet müssen wir als IT das untersuchen.

Wie agiert ihr in euren Unternehmen, wenn so etwas passiert? (Bsp.: Benutzer klickt auf gefährlichen E-Mail-Anhang)

Wir benutzen momentan die Desinfect-CD der Zeitschrift c't. Diese ist mMn aber nicht wirklich zu gebrauchen...

Ich würde mich über reichlich Feedback freuen!
Danke.

Content-ID: 330910

Url: https://administrator.de/forum/bootbarer-av-scanner-fuer-unternehmen-330910.html

Ausgedruckt am: 24.12.2024 um 18:12 Uhr

michi1983
michi1983 02.03.2017 um 11:49:49 Uhr
Goto Top
Hallo,

Zitat von @veniplex:
Wir benutzen momentan die Desinfect-CD der Zeitschrift c't. Diese ist mMn aber nicht wirklich zu gebrauchen...
Und wie kommst du dieser Erkenntnis?

Gruß
Knorkator
Knorkator 02.03.2017 um 12:01:38 Uhr
Goto Top
Die Frage nach einem bootbaren Virenscanner erübrigt sich meiner Meinung nach!
Zum einen hoffe ich, dass "Virenangriffe" sehr selten auftreten und diese vom Scanner geblockt werden.

Ein System welches infiziert wurde gehört nicht geprüft/gereinigt sondern muss neu aufgesetzt werden.
Das System ist nicht mehr vertrauenswürdig..fertig.
obliterator
obliterator 02.03.2017 aktualisiert um 12:05:33 Uhr
Goto Top
Ich arbeite ebenfalls in einem mittelständischem Unternehmen. Mein Plan ist es, vorher schon den ganzen Mist abzufangen.

Wir setzen bei uns Kaspersky Security 9.0 ein und haben eine strikte Anlagenfilterung festgesetzt. Bedeutet sämtlicher "Dreck" wird vorher schon abgefangen.

Außerdem setzten wir eine Gateprotect Firewall ein, die zusätzlich die Emails filtert und SPAM Mails an ein einzelnen SPAM Verzeichnis übermittelt. Was ich dann einsehe kann und zusätzlich dazu, gibt es keine lokalen Administratoren Accounts.

Das wichtigestes ist aber das man die Mitarbeiter erzieht. Falls Sie sich unsicher sind, sollen sie mich anrufen.

Aber sollte doch was durchkommen würde ich halt die typischen Boot CDs von c't und kaspersky nutzen.
Zur not alles platt machen und aus dem Backup zurückholen ;)
chiefteddy
chiefteddy 02.03.2017 um 12:05:07 Uhr
Goto Top
Hallo,

alle großen AV-Hersteller bieten doch Rescue-CDs als ISO-Image zum Download an:

https://www.f-secure.com/en/web/labs_global/rescue-cd

https://www.avira.com/de/download/product/avira-rescue-system

https://security.symantec.com/nbrt/overview.aspx?NUCLANG=de-de

https://www.eset.com/int/support/sysrescue/

https://support.kaspersky.com/de/viruses/rescuedisk

Und das ist nur eine Auswahl, es gibt sicher noch mehr.

Jürgen

PS. Was hast Du eigentlich gegen ctDesinfekt??
Lochkartenstanzer
Lochkartenstanzer 02.03.2017 um 12:10:08 Uhr
Goto Top
Zitat von @veniplex:

Wir benutzen momentan die Desinfect-CD der Zeitschrift c't. Diese ist mMn aber nicht wirklich zu gebrauchen...

Ich benutze genau diese seit "Jahrzehnten". Kann man auf Stick installieren und die Signaturen sogar offline aktuell halten. Und wenn ein Kunde Hilfe schreit, steckt man das Ding rein und läßt losscannen. Und nach einiger Zeit (wenige Minuten bis einige Stunden) hat man dann das Ergebnis.

Zum reparieren oder udn daten z uretten funtkioniert die desinfect wudnerbar.

Würde mich als interessieren, wie Du dazu kommst desinfect nichts taugt.

lks
veniplex
veniplex 02.03.2017 um 13:23:53 Uhr
Goto Top
Wir müssen beispielsweise hinter einen Proxy & Firewall. Wir brauchen ímmer aktuelle Signaturen (da sonst Sinn = 0). Wir müssen die Ergebnisse (Logfiles) wegsichern. Das alles zu bewerkstelligen ist zwar möglich, aber sehr aufwändig, da die Desinfect an sich schon ein sehr verbasteltes System ist. Des Weiteren muss man so immer mit einem Stick an einen Rechner gehen und diesen scannen -> nochmal mehr Aufwand. Zudem ist das (blöderweise) ja auch ein Sicherheitsrisiko, da man einen persistenten Stick benutzt...
veniplex
veniplex 02.03.2017 um 13:24:57 Uhr
Goto Top
Im Unternehmensumfeld gehört sowas aber auch überprüft! Man muss wissen was da passiert ist und welche Teile vom System betroffen sind. Einfach neu aufsetzen ist die leichte aber ineffiziente Variante.
veniplex
veniplex 02.03.2017 um 13:27:48 Uhr
Goto Top
Zitat von @obliterator:

Ich arbeite ebenfalls in einem mittelständischem Unternehmen. Mein Plan ist es, vorher schon den ganzen Mist abzufangen.

Wir setzen bei uns Kaspersky Security 9.0 ein und haben eine strikte Anlagenfilterung festgesetzt. Bedeutet sämtlicher "Dreck" wird vorher schon abgefangen.

Außerdem setzten wir eine Gateprotect Firewall ein, die zusätzlich die Emails filtert und SPAM Mails an ein einzelnen SPAM Verzeichnis übermittelt. Was ich dann einsehe kann und zusätzlich dazu, gibt es keine lokalen Administratoren Accounts.

Das wichtigestes ist aber das man die Mitarbeiter erzieht. Falls Sie sich unsicher sind, sollen sie mich anrufen.

Aber sollte doch was durchkommen würde ich halt die typischen Boot CDs von c't und kaspersky nutzen.
Zur not alles platt machen und aus dem Backup zurückholen ;)

Ja, setzen wir auch alles ein. Dennoch kann (kam) es zu Vorfällen kommen. Man kann jeden Anwender erziehen, aber nur soweit er selbst glaubt es zu verstehen. Wenn ein Anwender eine Mail bekommt mit einer KLICKMICH.pdf, dann macht er das. Da kann man so viel Schutzsysteme vorhaben wie man will face-confused
Lochkartenstanzer
Lochkartenstanzer 02.03.2017 aktualisiert um 13:30:16 Uhr
Goto Top
Zitat von @veniplex:

Wir müssen beispielsweise hinter einen Proxy & Firewall.

kein problem, kann eingestellt werden.

Wir brauchen ímmer aktuelle Signaturen (da sonst Sinn = 0).

Macht ein Cronjob.

Wir müssen die Ergebnisse (Logfiles) wegsichern.

Einfach Log-verzeichnis auf Server kopieren.

Das alles zu bewerkstelligen ist zwar möglich, aber sehr aufwändig, da die Desinfect an sich schon ein sehr verbasteltes System ist.

Du muß doch desinfect nur einmal auf Deine bedürfnisse anpassen.

Des Weiteren muss man so immer mit einem Stick an einen Rechner gehen und diesen scannen -> nochmal mehr Aufwand.

Man kann desinfect per pxe booten.

Zudem ist das (blöderweise) ja auch ein Sicherheitsrisiko, da man einen persistenten Stick benutzt...

PXE?

lks
veniplex
veniplex 02.03.2017 um 13:30:27 Uhr
Goto Top
Gut, kenne ich. Hatte gehofft es gibt eine elegante Lösung für größere Unternehmen face-smile.. Die Desinfect ist von der Idee her super! Aber funktionieren tut sie nur halb so gut.
Proxy -> ist ne Qual.
Willst du Bitlocker verschlüsselte Systeme scannen -> ist ne Qual
Alles muss man selber basteln.

Wir haben eine funktionsfähige, für uns nutzbare Version gebastelt. Aber der Aufwand ist einfach nicht gerechtfertigt. Zumal immer wieder Probleme damit auftauchen. Und zu guter letzt bleibt ein persistentes System auf einem USB-Stick auch wieder ein Sicherheitsrisiko...
veniplex
veniplex 02.03.2017 um 13:32:24 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @veniplex:

Wir müssen beispielsweise hinter einen Proxy & Firewall.

kein problem, kann eingestellt werden.

Wir brauchen ímmer aktuelle Signaturen (da sonst Sinn = 0).

Macht ein Cronjob.

Wir müssen die Ergebnisse (Logfiles) wegsichern.

Einfach Log-verzeichnis auf Server kopieren.

Das alles zu bewerkstelligen ist zwar möglich, aber sehr aufwändig, da die Desinfect an sich schon ein sehr verbasteltes System ist.

Du muß doch desinfect nur einmal auf Deine bedürfnisse anpassen.

Des Weiteren muss man so immer mit einem Stick an einen Rechner gehen und diesen scannen -> nochmal mehr Aufwand.

Man kann desinfect per pxe booten.

Zudem ist das (blöderweise) ja auch ein Sicherheitsrisiko, da man einen persistenten Stick benutzt...

PXE?

lks

Rechner sind nicht am Netz -> Ansonsten sehr großes Sicherheitsrisiko...
Lochkartenstanzer
Lochkartenstanzer 02.03.2017 um 13:32:25 Uhr
Goto Top
Zitat von @Knorkator:

Die Frage nach einem bootbaren Virenscanner erübrigt sich meiner Meinung nach!
Zum einen hoffe ich, dass "Virenangriffe" sehr selten auftreten und diese vom Scanner geblockt werden.

Hoffen kan nman vieles. Aber damit kommst Du nicht weit.

Ein System welches infiziert wurde gehört nicht geprüft/gereinigt sondern muss neu aufgesetzt werden.
Das System ist nicht mehr vertrauenswürdig..fertig.

Erstmal muß festgestellt werden, ob das system infiziert ist. Auf gut Glück bei jedem verdacht die System neu aufzusetzen ist eine Arbeitsbeschaffungsmaßnahme, die kein kunde zahlt.

lks
Lochkartenstanzer
Lochkartenstanzer 02.03.2017 um 13:37:04 Uhr
Goto Top
Zitat von @veniplex:

Rechner sind nicht am Netz -> Ansonsten sehr großes Sicherheitsrisiko...

Dafür gibst es "rote" Zonen, d.h. ein switch, an dem jeder Anschluß separiert ist und nur zur Firewall geht und einem pxe-server.
veniplex
veniplex 02.03.2017 um 13:43:03 Uhr
Goto Top
Ja, das wird mir aber mein Chef nicht genehmigen face-smile.
In einem Unternehmen wie meinem, wo die IT klein ist aber viele Anwender arbeiten, kommt es vor allem darauf an Kosten und Ressourcen zu sparen. Ich kann mich nicht jedes Jahr 2 Wochen mit der neuen Desinfect beschäftigen, um dann 1 Vorfall zu untersuchen. Der Kosten-Nutzen-Faktor ist da nicht gegeben. Genauso wenig können wir eine extra Zone dafür einrichten. Wir sind global vertreten und müssen die Möglichkeit haben an jedem Standort Sofortmaßnahmen durchführen zu können.

Ich will auch nicht die Desinfect an sich schlecht reden. Es ist eine gute Sache und eine gute Idee! Aber es ist halt auch eine Bastelei mit der nur Linux-Profis gut zurecht kommen. Und das bin ich nicht.

Generell zielt meine Frage auch nur darauf ab, wie andere Unternehmen sowas bewerkstelligen. Wenn du sagst -> Desinfect ist das Beste, okay dann weiß ich wie ihr es macht.
Lochkartenstanzer
Lochkartenstanzer 02.03.2017 um 13:49:10 Uhr
Goto Top
Zitat von @veniplex:

Generell zielt meine Frage auch nur darauf ab, wie andere Unternehmen sowas bewerkstelligen. Wenn du sagst -> Desinfect ist das Beste, okay dann weiß ich wie ihr es macht.

Also ich bin IT-Dienstleister und handhabe das folgendermaßen:

Wenn der Kunde sein Gerät zu mir bringt, hänge ich das Ding in die rote zone udn scanne per pxe.

Für Außendienst habe ich "jungfräuliche Sticks" mit aktuellen Signaturen (per cronjob).

Wenn ich dann so einen Stick beim Kunden hatte, kommt der daheim zum speichern der Logs an einen linuxrechner, der dann anschließend das Ding mit einem frische desinfect "betankt".

lks

PS. Die Kunden bekommen dann auch eine c't mit der desinfect in die Hand gedrückt, damit sie das nächste mal selbst etwas dahaben.
veniplex
veniplex 02.03.2017 um 14:06:52 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

PS. Die Kunden bekommen dann auch eine c't mit der desinfect in die Hand gedrückt, damit sie das nächste mal selbst etwas dahaben.

Nette Geste! :D
Knorkator
Knorkator 02.03.2017 um 15:05:37 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Zitat von @Knorkator:
Die Frage nach einem bootbaren Virenscanner erübrigt sich meiner Meinung nach!
Zum einen hoffe ich, dass "Virenangriffe" sehr selten auftreten und diese vom Scanner geblockt werden.
Hoffen kann man vieles. Aber damit kommst Du nicht weit.
Zuerst muss man doch beachten, dass im Business Umfeld schon viel passieren muss, damit ein Rechner überhaupt infiziert wird!
Ein typischer Web/Mail/Download - Virus muss ja erstmal einige Hürden überstehen:
Gateway-AV
Client-AV
Dateiausführungsverhinderung pro Benutzer
User ohne Adminrechte
Ggf. sperren von USB Sticks

Wenn trotz dieser Punkte eine Infektion vorliegt, kann man doch nicht davon ausgehen, dass man sich einen 0815 Virus eingefangen hat der sich mit einer Offline-Virenbereinigung entfernen lässt.


Zitat von @Lochkartenstanzer:
Ein System welches infiziert wurde gehört nicht geprüft/gereinigt sondern muss neu aufgesetzt werden.
Das System ist nicht mehr vertrauenswürdig..fertig.
Erstmal muß festgestellt werden, ob das system infiziert ist. Auf gut Glück bei jedem verdacht die System neu aufzusetzen ist eine Arbeitsbeschaffungsmaßnahme, die kein kunde zahlt.
War von einem Verdacht die Rede?
Ich dachte wir sprechen hier von bestätigten Infektionen.
Die Sicherung von Protokollen lasse ich noch gelten, aber dem Kunden zu suggerieren, dass sein System nach einer Prüfung wieder zu 100% sauber werden kann.... na ja.

Da ich schon länger keine Infektion mehr hatte (jaja.. vielleicht hab ich es nur nicht bemerkt.. *g*), kenne ich die aktuellen Symptome nicht, aber nach einer Offline-Bereinigung muss das System doch weiter geprüft und bereinigt werden.
Dann müssen noch Tools wie Malwarebytes und Spybot laufen, danach nochmal Antivirus usw usw.
Da gehen doch meist mehr Stunden bei drauf als bei der Neuinstallation - Und eine Garantie kannst Du dem Kunden auch nicht geben.

Die 0815 Rechner habe ich hier nach max 1,5h neu aufgesetzt, da fang ich doch nicht mit einer Bereinigung an bei der ich nicht zu 100% garantieren kann, dass die Kiste sauber ist.
Die spezielleren Systeme werden mit Veeam Endpoint Backup gesichert und darüber wiederhergestellt.. Theoretisch.. ist ja zum Glück schon lange nichts passiert.
Lochkartenstanzer
Lochkartenstanzer 02.03.2017 um 16:27:51 Uhr
Goto Top
Zitat von @Knorkator:

War von einem Verdacht die Rede?

Wenn ich den TO richti gverstanden habe, sagt der User, daß er irgendwas komisches geklickt hat oder sich sein kiste komisch verhjält und damit hat man aber noch keine gesicherte Infektion.

Falls man vor dem scan schon weiß, daß man sich die Infektion eingefangen hat, ist die erste Frage, ob man ein backup hat, das man einspielen kann. meistens haben die leute aber noch daten auf der Platte, die noch nicht auf dem Backup sind, so denn überhaupt eins da ist (Nach einem Virenbefall funktioniert der backup wieder eine weile ordentlich. face-smile)

Ich dachte wir sprechen hier von bestätigten Infektionen.

Und ich dachte, wir wir sprechen von sich "komisch verhaltenden rechnern".

Die Sicherung von Protokollen lasse ich noch gelten, aber dem Kunden zu suggerieren, dass sein System nach einer Prüfung wieder zu 100% sauber werden kann.... na ja.

Das suggeriere ich keinem Kunden , Der Scan dient auschließlich dazu mit einer gewissen Restwahrscheinlichkeit eine Infektion auszuschließen.Denn die meisten Kunden haben keine "Standardumgebung" und ein neuaufsetzen wäre für den Kunden mit deutlich mehr Aufwand verbunden, Die Installation des OS ist noch das kleinste Problem.

Der scan dient dazu, den grad und die Art des Befalls festzustellen, so denn möglich. Außerdem kann man damit auch die Daten die noch nicht im backup sind in Sicherheit bringen.

meine Ansage an Kunden ist, daß eine neuinstallation imer mangeraten ist, wenn eine Infektion festgestellt wird. Aber manche Kunde scheuen das und die müssen dan mit dem restrisiko leben.


Da ich schon länger keine Infektion mehr hatte (jaja.. vielleicht hab ich es nur nicht bemerkt.. *g*), kenne ich die aktuellen Symptome nicht, aber nach einer Offline-Bereinigung muss das System doch weiter geprüft und bereinigt werden.

Wenn am verhalten etwas auffällt, ist es meistens schon viel zu spät. Aktuelle malware versucht eher unauffällig zu sein. Ich rede hier dabei nciht von Werbetrojanern udn Browserhijackern. Die sind meisten harmlos und fallen recht schnell auf.

Dann müssen noch Tools wie Malwarebytes und Spybot laufen, danach nochmal Antivirus usw usw.
Da gehen doch meist mehr Stunden bei drauf als bei der Neuinstallation - Und eine Garantie kannst Du dem Kunden auch nicht geben.

Die Stunden die da drafu gehn sitze ich nicht vor der Kiste, sondern im Biergarten. face-smile Der wirkliche Aufwand ist nur kurz (Ab und zu mal auf dem Bildschirm schauen und klicken.) Wenn das der Kudne natürlich vor Ort gemacht haben will, mache ich ihm bewußt, daß auch das zuschauen vor irgendwelchen bunten Balken die von links nach rechts laufen kostenpflichtig ist. face-smile


Die 0815 Rechner habe ich hier nach max 1,5h neu aufgesetzt, da fang ich doch nicht mit einer Bereinigung an bei der ich nicht zu 100% garantieren kann, dass die Kiste sauber ist.

Ja, wenn man imerm 0815-rechner hätte. face-smile

Und wie gesagt, bei einer Infektion rate ich den Kunden davon ab, mit einem bereinigten System weiterarbeiten zu wollen.

Die spezielleren Systeme werden mit Veeam Endpoint Backup gesichert und darüber wiederhergestellt.. Theoretisch.. ist ja zum Glück schon lange nichts passiert.

Sei froh. Aber wie gesagt, nicht alle Kunden haben die Infrastruktur, daß man einfach ein backup wiedereinspielen kann (oder will).

lks
Knorkator
Knorkator 02.03.2017 um 16:50:37 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Sei froh. Aber wie gesagt, nicht alle Kunden haben die Infrastruktur, daß man einfach ein backup wiedereinspielen kann (oder will).
Das stimmt natürlich, aber der TO ist ja bei einem Mittelgroßen Unternehmen beschäftigt.. was immer das auch bedeutet.
face-smile

Ansonsten gibt es wie immer verschiedene Meinungen und falls Du auch Privatkunden hast, zieht die Masche mit der direkten Neuinstallation eh selten. Damit verscheucht man die Kunden höchstens..
face-smile
Da ist der Aufwand einer Neuinstallation deutlich höher weil der DAU weder Datensicherung noch Dokumentation kennt...
Ggf. ist die "Bereinigung" dann doch sinnvoller.. und wenn der Virus nicht zu entfernen ist, kann man die Zeit incl. Neuinstallation in Rechnung stellen.
face-smile
veniplex
veniplex 02.03.2017 um 16:55:23 Uhr
Goto Top
Zitat von @Knorkator:
Das stimmt natürlich, aber der TO ist ja bei einem Mittelgroßen Unternehmen beschäftigt.. was immer das auch bedeutet.
face-smile

Das bedeutet: >1.500 Mitarbeiter, weltweit Standorte, kleine IT

Wir sind zwar "Dienstleister", aber wir können nicht aus mehr Zeit mehr Geld schlagen face-smile. Zeit ist Geld.
tomolpi
tomolpi 03.03.2017 um 12:14:05 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
PS. Die Kunden bekommen dann auch eine c't mit der desinfect in die Hand gedrückt, damit sie das nächste mal selbst etwas dahaben.
Nur mal so aus Neugier: Wieviele c't s hast du denn dann auf Lager? face-smile
Lochkartenstanzer
Lochkartenstanzer 03.03.2017 um 12:42:33 Uhr
Goto Top
Zitat von @tomolpi:

Zitat von @Lochkartenstanzer:
PS. Die Kunden bekommen dann auch eine c't mit der desinfect in die Hand gedrückt, damit sie das nächste mal selbst etwas dahaben.
Nur mal so aus Neugier: Wieviele c't s hast du denn dann auf Lager? face-smile

Alle seit der [ftp://ftp.heise.de/pub/ct/dokument/ct8312.pdf ersten Ausgabe 1983] face-smile

Aber ich glaube, Du meinstest, wieviele Exemplare ich von der c't 12/2016 oder vom c't Security sonderheft 2016 habe.

Ich habe meistens zwei Exemplare des Heftes mit der jewils aktuellen desinfect vorrätig. Wenn ich eine rausgebe ordere ich einfach die aktuellste nach, je nachdem,. ob die reguläre Ausgabe oder das Sonderheft momentan aktuell sind. Sind innerhalb von 1-2 Tagen da und so muß ich keine größere Anzahl auf Lager legen.