Bootbarer AV-Scanner für Unternehmen
Hallo zusammen!
Ich arbeite in einem mittelgroßen Unternehmen. Wenn sich bei uns ein Sicherheitsvorfall ereignet müssen wir als IT das untersuchen.
Wie agiert ihr in euren Unternehmen, wenn so etwas passiert? (Bsp.: Benutzer klickt auf gefährlichen E-Mail-Anhang)
Wir benutzen momentan die Desinfect-CD der Zeitschrift c't. Diese ist mMn aber nicht wirklich zu gebrauchen...
Ich würde mich über reichlich Feedback freuen!
Danke.
Ich arbeite in einem mittelgroßen Unternehmen. Wenn sich bei uns ein Sicherheitsvorfall ereignet müssen wir als IT das untersuchen.
Wie agiert ihr in euren Unternehmen, wenn so etwas passiert? (Bsp.: Benutzer klickt auf gefährlichen E-Mail-Anhang)
Wir benutzen momentan die Desinfect-CD der Zeitschrift c't. Diese ist mMn aber nicht wirklich zu gebrauchen...
Ich würde mich über reichlich Feedback freuen!
Danke.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 330910
Url: https://administrator.de/forum/bootbarer-av-scanner-fuer-unternehmen-330910.html
Ausgedruckt am: 24.12.2024 um 18:12 Uhr
22 Kommentare
Neuester Kommentar
Hallo,
Gruß
Zitat von @veniplex:
Wir benutzen momentan die Desinfect-CD der Zeitschrift c't. Diese ist mMn aber nicht wirklich zu gebrauchen...
Und wie kommst du dieser Erkenntnis?Wir benutzen momentan die Desinfect-CD der Zeitschrift c't. Diese ist mMn aber nicht wirklich zu gebrauchen...
Gruß
Die Frage nach einem bootbaren Virenscanner erübrigt sich meiner Meinung nach!
Zum einen hoffe ich, dass "Virenangriffe" sehr selten auftreten und diese vom Scanner geblockt werden.
Ein System welches infiziert wurde gehört nicht geprüft/gereinigt sondern muss neu aufgesetzt werden.
Das System ist nicht mehr vertrauenswürdig..fertig.
Zum einen hoffe ich, dass "Virenangriffe" sehr selten auftreten und diese vom Scanner geblockt werden.
Ein System welches infiziert wurde gehört nicht geprüft/gereinigt sondern muss neu aufgesetzt werden.
Das System ist nicht mehr vertrauenswürdig..fertig.
Ich arbeite ebenfalls in einem mittelständischem Unternehmen. Mein Plan ist es, vorher schon den ganzen Mist abzufangen.
Wir setzen bei uns Kaspersky Security 9.0 ein und haben eine strikte Anlagenfilterung festgesetzt. Bedeutet sämtlicher "Dreck" wird vorher schon abgefangen.
Außerdem setzten wir eine Gateprotect Firewall ein, die zusätzlich die Emails filtert und SPAM Mails an ein einzelnen SPAM Verzeichnis übermittelt. Was ich dann einsehe kann und zusätzlich dazu, gibt es keine lokalen Administratoren Accounts.
Das wichtigestes ist aber das man die Mitarbeiter erzieht. Falls Sie sich unsicher sind, sollen sie mich anrufen.
Aber sollte doch was durchkommen würde ich halt die typischen Boot CDs von c't und kaspersky nutzen.
Zur not alles platt machen und aus dem Backup zurückholen ;)
Wir setzen bei uns Kaspersky Security 9.0 ein und haben eine strikte Anlagenfilterung festgesetzt. Bedeutet sämtlicher "Dreck" wird vorher schon abgefangen.
Außerdem setzten wir eine Gateprotect Firewall ein, die zusätzlich die Emails filtert und SPAM Mails an ein einzelnen SPAM Verzeichnis übermittelt. Was ich dann einsehe kann und zusätzlich dazu, gibt es keine lokalen Administratoren Accounts.
Das wichtigestes ist aber das man die Mitarbeiter erzieht. Falls Sie sich unsicher sind, sollen sie mich anrufen.
Aber sollte doch was durchkommen würde ich halt die typischen Boot CDs von c't und kaspersky nutzen.
Zur not alles platt machen und aus dem Backup zurückholen ;)
Hallo,
alle großen AV-Hersteller bieten doch Rescue-CDs als ISO-Image zum Download an:
https://www.f-secure.com/en/web/labs_global/rescue-cd
https://www.avira.com/de/download/product/avira-rescue-system
https://security.symantec.com/nbrt/overview.aspx?NUCLANG=de-de
https://www.eset.com/int/support/sysrescue/
https://support.kaspersky.com/de/viruses/rescuedisk
Und das ist nur eine Auswahl, es gibt sicher noch mehr.
Jürgen
PS. Was hast Du eigentlich gegen ctDesinfekt??
alle großen AV-Hersteller bieten doch Rescue-CDs als ISO-Image zum Download an:
https://www.f-secure.com/en/web/labs_global/rescue-cd
https://www.avira.com/de/download/product/avira-rescue-system
https://security.symantec.com/nbrt/overview.aspx?NUCLANG=de-de
https://www.eset.com/int/support/sysrescue/
https://support.kaspersky.com/de/viruses/rescuedisk
Und das ist nur eine Auswahl, es gibt sicher noch mehr.
Jürgen
PS. Was hast Du eigentlich gegen ctDesinfekt??
Zitat von @veniplex:
Wir benutzen momentan die Desinfect-CD der Zeitschrift c't. Diese ist mMn aber nicht wirklich zu gebrauchen...
Wir benutzen momentan die Desinfect-CD der Zeitschrift c't. Diese ist mMn aber nicht wirklich zu gebrauchen...
Ich benutze genau diese seit "Jahrzehnten". Kann man auf Stick installieren und die Signaturen sogar offline aktuell halten. Und wenn ein Kunde Hilfe schreit, steckt man das Ding rein und läßt losscannen. Und nach einiger Zeit (wenige Minuten bis einige Stunden) hat man dann das Ergebnis.
Zum reparieren oder udn daten z uretten funtkioniert die desinfect wudnerbar.
Würde mich als interessieren, wie Du dazu kommst desinfect nichts taugt.
lks
kein problem, kann eingestellt werden.
Wir brauchen ímmer aktuelle Signaturen (da sonst Sinn = 0).
Macht ein Cronjob.
Wir müssen die Ergebnisse (Logfiles) wegsichern.
Einfach Log-verzeichnis auf Server kopieren.
Das alles zu bewerkstelligen ist zwar möglich, aber sehr aufwändig, da die Desinfect an sich schon ein sehr verbasteltes System ist.
Du muß doch desinfect nur einmal auf Deine bedürfnisse anpassen.
Des Weiteren muss man so immer mit einem Stick an einen Rechner gehen und diesen scannen -> nochmal mehr Aufwand.
Man kann desinfect per pxe booten.
Zudem ist das (blöderweise) ja auch ein Sicherheitsrisiko, da man einen persistenten Stick benutzt...
PXE?
lks
Zitat von @Knorkator:
Die Frage nach einem bootbaren Virenscanner erübrigt sich meiner Meinung nach!
Zum einen hoffe ich, dass "Virenangriffe" sehr selten auftreten und diese vom Scanner geblockt werden.
Die Frage nach einem bootbaren Virenscanner erübrigt sich meiner Meinung nach!
Zum einen hoffe ich, dass "Virenangriffe" sehr selten auftreten und diese vom Scanner geblockt werden.
Hoffen kan nman vieles. Aber damit kommst Du nicht weit.
Ein System welches infiziert wurde gehört nicht geprüft/gereinigt sondern muss neu aufgesetzt werden.
Das System ist nicht mehr vertrauenswürdig..fertig.
Das System ist nicht mehr vertrauenswürdig..fertig.
Erstmal muß festgestellt werden, ob das system infiziert ist. Auf gut Glück bei jedem verdacht die System neu aufzusetzen ist eine Arbeitsbeschaffungsmaßnahme, die kein kunde zahlt.
lks
Dafür gibst es "rote" Zonen, d.h. ein switch, an dem jeder Anschluß separiert ist und nur zur Firewall geht und einem pxe-server.
Zitat von @veniplex:
Generell zielt meine Frage auch nur darauf ab, wie andere Unternehmen sowas bewerkstelligen. Wenn du sagst -> Desinfect ist das Beste, okay dann weiß ich wie ihr es macht.
Generell zielt meine Frage auch nur darauf ab, wie andere Unternehmen sowas bewerkstelligen. Wenn du sagst -> Desinfect ist das Beste, okay dann weiß ich wie ihr es macht.
Also ich bin IT-Dienstleister und handhabe das folgendermaßen:
Wenn der Kunde sein Gerät zu mir bringt, hänge ich das Ding in die rote zone udn scanne per pxe.
Für Außendienst habe ich "jungfräuliche Sticks" mit aktuellen Signaturen (per cronjob).
Wenn ich dann so einen Stick beim Kunden hatte, kommt der daheim zum speichern der Logs an einen linuxrechner, der dann anschließend das Ding mit einem frische desinfect "betankt".
lks
PS. Die Kunden bekommen dann auch eine c't mit der desinfect in die Hand gedrückt, damit sie das nächste mal selbst etwas dahaben.
Zitat von @Lochkartenstanzer:
Zuerst muss man doch beachten, dass im Business Umfeld schon viel passieren muss, damit ein Rechner überhaupt infiziert wird!Zitat von @Knorkator:
Die Frage nach einem bootbaren Virenscanner erübrigt sich meiner Meinung nach!
Zum einen hoffe ich, dass "Virenangriffe" sehr selten auftreten und diese vom Scanner geblockt werden.
Hoffen kann man vieles. Aber damit kommst Du nicht weit.Die Frage nach einem bootbaren Virenscanner erübrigt sich meiner Meinung nach!
Zum einen hoffe ich, dass "Virenangriffe" sehr selten auftreten und diese vom Scanner geblockt werden.
Ein typischer Web/Mail/Download - Virus muss ja erstmal einige Hürden überstehen:
Gateway-AV
Client-AV
Dateiausführungsverhinderung pro Benutzer
User ohne Adminrechte
Ggf. sperren von USB Sticks
Wenn trotz dieser Punkte eine Infektion vorliegt, kann man doch nicht davon ausgehen, dass man sich einen 0815 Virus eingefangen hat der sich mit einer Offline-Virenbereinigung entfernen lässt.
Zitat von @Lochkartenstanzer:
War von einem Verdacht die Rede?Ein System welches infiziert wurde gehört nicht geprüft/gereinigt sondern muss neu aufgesetzt werden.
Das System ist nicht mehr vertrauenswürdig..fertig.
Erstmal muß festgestellt werden, ob das system infiziert ist. Auf gut Glück bei jedem verdacht die System neu aufzusetzen ist eine Arbeitsbeschaffungsmaßnahme, die kein kunde zahlt.Das System ist nicht mehr vertrauenswürdig..fertig.
Ich dachte wir sprechen hier von bestätigten Infektionen.
Die Sicherung von Protokollen lasse ich noch gelten, aber dem Kunden zu suggerieren, dass sein System nach einer Prüfung wieder zu 100% sauber werden kann.... na ja.
Da ich schon länger keine Infektion mehr hatte (jaja.. vielleicht hab ich es nur nicht bemerkt.. *g*), kenne ich die aktuellen Symptome nicht, aber nach einer Offline-Bereinigung muss das System doch weiter geprüft und bereinigt werden.
Dann müssen noch Tools wie Malwarebytes und Spybot laufen, danach nochmal Antivirus usw usw.
Da gehen doch meist mehr Stunden bei drauf als bei der Neuinstallation - Und eine Garantie kannst Du dem Kunden auch nicht geben.
Die 0815 Rechner habe ich hier nach max 1,5h neu aufgesetzt, da fang ich doch nicht mit einer Bereinigung an bei der ich nicht zu 100% garantieren kann, dass die Kiste sauber ist.
Die spezielleren Systeme werden mit Veeam Endpoint Backup gesichert und darüber wiederhergestellt.. Theoretisch.. ist ja zum Glück schon lange nichts passiert.
Wenn ich den TO richti gverstanden habe, sagt der User, daß er irgendwas komisches geklickt hat oder sich sein kiste komisch verhjält und damit hat man aber noch keine gesicherte Infektion.
Falls man vor dem scan schon weiß, daß man sich die Infektion eingefangen hat, ist die erste Frage, ob man ein backup hat, das man einspielen kann. meistens haben die leute aber noch daten auf der Platte, die noch nicht auf dem Backup sind, so denn überhaupt eins da ist (Nach einem Virenbefall funktioniert der backup wieder eine weile ordentlich. )
Ich dachte wir sprechen hier von bestätigten Infektionen.
Und ich dachte, wir wir sprechen von sich "komisch verhaltenden rechnern".
Die Sicherung von Protokollen lasse ich noch gelten, aber dem Kunden zu suggerieren, dass sein System nach einer Prüfung wieder zu 100% sauber werden kann.... na ja.
Das suggeriere ich keinem Kunden , Der Scan dient auschließlich dazu mit einer gewissen Restwahrscheinlichkeit eine Infektion auszuschließen.Denn die meisten Kunden haben keine "Standardumgebung" und ein neuaufsetzen wäre für den Kunden mit deutlich mehr Aufwand verbunden, Die Installation des OS ist noch das kleinste Problem.
Der scan dient dazu, den grad und die Art des Befalls festzustellen, so denn möglich. Außerdem kann man damit auch die Daten die noch nicht im backup sind in Sicherheit bringen.
meine Ansage an Kunden ist, daß eine neuinstallation imer mangeraten ist, wenn eine Infektion festgestellt wird. Aber manche Kunde scheuen das und die müssen dan mit dem restrisiko leben.
Da ich schon länger keine Infektion mehr hatte (jaja.. vielleicht hab ich es nur nicht bemerkt.. *g*), kenne ich die aktuellen Symptome nicht, aber nach einer Offline-Bereinigung muss das System doch weiter geprüft und bereinigt werden.
Wenn am verhalten etwas auffällt, ist es meistens schon viel zu spät. Aktuelle malware versucht eher unauffällig zu sein. Ich rede hier dabei nciht von Werbetrojanern udn Browserhijackern. Die sind meisten harmlos und fallen recht schnell auf.
Dann müssen noch Tools wie Malwarebytes und Spybot laufen, danach nochmal Antivirus usw usw.
Da gehen doch meist mehr Stunden bei drauf als bei der Neuinstallation - Und eine Garantie kannst Du dem Kunden auch nicht geben.
Da gehen doch meist mehr Stunden bei drauf als bei der Neuinstallation - Und eine Garantie kannst Du dem Kunden auch nicht geben.
Die Stunden die da drafu gehn sitze ich nicht vor der Kiste, sondern im Biergarten. Der wirkliche Aufwand ist nur kurz (Ab und zu mal auf dem Bildschirm schauen und klicken.) Wenn das der Kudne natürlich vor Ort gemacht haben will, mache ich ihm bewußt, daß auch das zuschauen vor irgendwelchen bunten Balken die von links nach rechts laufen kostenpflichtig ist.
Die 0815 Rechner habe ich hier nach max 1,5h neu aufgesetzt, da fang ich doch nicht mit einer Bereinigung an bei der ich nicht zu 100% garantieren kann, dass die Kiste sauber ist.
Ja, wenn man imerm 0815-rechner hätte.
Und wie gesagt, bei einer Infektion rate ich den Kunden davon ab, mit einem bereinigten System weiterarbeiten zu wollen.
Die spezielleren Systeme werden mit Veeam Endpoint Backup gesichert und darüber wiederhergestellt.. Theoretisch.. ist ja zum Glück schon lange nichts passiert.
Sei froh. Aber wie gesagt, nicht alle Kunden haben die Infrastruktur, daß man einfach ein backup wiedereinspielen kann (oder will).
lks
Zitat von @Lochkartenstanzer:
Sei froh. Aber wie gesagt, nicht alle Kunden haben die Infrastruktur, daß man einfach ein backup wiedereinspielen kann (oder will).
Das stimmt natürlich, aber der TO ist ja bei einem Mittelgroßen Unternehmen beschäftigt.. was immer das auch bedeutet.Sei froh. Aber wie gesagt, nicht alle Kunden haben die Infrastruktur, daß man einfach ein backup wiedereinspielen kann (oder will).
Ansonsten gibt es wie immer verschiedene Meinungen und falls Du auch Privatkunden hast, zieht die Masche mit der direkten Neuinstallation eh selten. Damit verscheucht man die Kunden höchstens..
Da ist der Aufwand einer Neuinstallation deutlich höher weil der DAU weder Datensicherung noch Dokumentation kennt...
Ggf. ist die "Bereinigung" dann doch sinnvoller.. und wenn der Virus nicht zu entfernen ist, kann man die Zeit incl. Neuinstallation in Rechnung stellen.
Zitat von @Lochkartenstanzer:
PS. Die Kunden bekommen dann auch eine c't mit der desinfect in die Hand gedrückt, damit sie das nächste mal selbst etwas dahaben.
Nur mal so aus Neugier: Wieviele c't s hast du denn dann auf Lager? PS. Die Kunden bekommen dann auch eine c't mit der desinfect in die Hand gedrückt, damit sie das nächste mal selbst etwas dahaben.
Zitat von @tomolpi:
Zitat von @Lochkartenstanzer:
PS. Die Kunden bekommen dann auch eine c't mit der desinfect in die Hand gedrückt, damit sie das nächste mal selbst etwas dahaben.
Nur mal so aus Neugier: Wieviele c't s hast du denn dann auf Lager? PS. Die Kunden bekommen dann auch eine c't mit der desinfect in die Hand gedrückt, damit sie das nächste mal selbst etwas dahaben.
Alle seit der [ftp://ftp.heise.de/pub/ct/dokument/ct8312.pdf ersten Ausgabe 1983]
Aber ich glaube, Du meinstest, wieviele Exemplare ich von der c't 12/2016 oder vom c't Security sonderheft 2016 habe.
Ich habe meistens zwei Exemplare des Heftes mit der jewils aktuellen desinfect vorrätig. Wenn ich eine rausgebe ordere ich einfach die aktuellste nach, je nachdem,. ob die reguläre Ausgabe oder das Sonderheft momentan aktuell sind. Sind innerhalb von 1-2 Tagen da und so muß ich keine größere Anzahl auf Lager legen.