accessviolation
Goto Top

DB-Server und AV-Lösung

Hallo werte Adminas und werte Admins,

kurz und knapp:

Datenbankserver (SQL Srv 2019) + AV(nicht Defender)-Lösung?

Wie verhaltet Ihr euch da? Wie ist hier die Best Practise?

Ein Kunde meint, sein ERP-System hätte teils einige Gedenksekunden nach dem ein AV auf seinem DB-Only Server installiert wurde. Die AV-Lösung prüft nur lesende und schreibende Vorgänge. Keine Heuristik, keine Archive, keine Mails, kein Webtraffic. Auch sind die Datenbanken selbst in den Ausnahmen definiert (Pfad, Prozess sowie Datei [*.exe] und dbs)

Ich kann das auch so bestätigen. Scrollen wir durch die Angebote, flutschen die ersten 10 Angebote problemlos, dann gibts ein 2-3 Sekunden Freeze, dann gehts von vorne los.

Nun die Frage: Ob es sinnvoll ist, nur den Defender auf der Büchse laufen zu lassen. (zuvor, ohne AV - nur Defender, war das System sehr zügig und reaktiv) und ob es mich anschließend noch ruhig schlafen lässt.

IOPS sind kein Thema.

Für ein paar Anregungen bin ich dankbar.

Viele Grüße,

Edit: Forensuche brachte keine sinnvollen Ergebnisse.
Edit²: Eigene Meinung: AV ist sicherlich auf eine Art kontraproduktiv auf einem DB System. Andererseits sorgt es für ein besseres Gefühl beim einschlafen. Was ist nun der goldene oder empfohlene Mittelweg?

Content-Key: 82960742819

Url: https://administrator.de/contentid/82960742819

Printed on: April 13, 2024 at 12:04 o'clock

Member: Looser27
Looser27 Feb 13, 2024 at 14:41:00 (UTC)
Goto Top
Moin,
ich hatte früher nur den Defender auf dem DB-Server. Da lief das CRM schön smooth.
Bei meinem aktuellen AG haben wir McAffee (Trellix) auf den Servern....läuft auch.
Gibt es für die eingesetzte AV-Lösung keine BestPractice Anleitung bzgl. Datenbanken?

Gruß

Looser
Member: accessViolation
accessViolation Feb 13, 2024 at 14:42:27 (UTC)
Goto Top
Moin @Looser27,

Gibt es für die eingesetzte AV-Lösung keine BestPractice Anleitung bzgl. Datenbanken?
Hrm, ausgesprochen gute Frage! Ich werde mal nachhaken, danke!

VG
Member: ThePinky777
ThePinky777 Feb 13, 2024 at 16:25:35 (UTC)
Goto Top
Oft empfeheln Hersteller (ERP, CRM Systeme...) das auf dem Datenbankserver kein AV läuft.
Wenn dus laufen lässt würde ich definitiv ein Ruleset anpassen so das Verzeichnisse des DB Servers und DB Dateien und Tasks des SQL Servers ausgenommen sind...
Member: mbehrens
mbehrens Feb 13, 2024 at 17:03:37 (UTC)
Goto Top
Zitat von @accessViolation:

Wie verhaltet Ihr euch da? Wie ist hier die Best Practise?

Welchem Angriffsszenario soll denn entgegengewirkt werden und kann die zusätzlich Software dies überhaupt leisten?
Member: accessViolation
accessViolation Feb 13, 2024 at 17:50:02 (UTC)
Goto Top
Welchem Angriffsszenario soll denn entgegengewirkt werden und kann die zusätzlich Software dies überhaupt leisten?
Im Grunde geht es mir primär um Antiransomware, antimalware. Zudem denk ich da an Lateral Movement und so Geschichten.

die zusätzlich Software dies überhaupt leisten?
Ich gehe davon aus. :D Natürlich immer nur soweit, wie es die Signaturen hergeben.

Ruleset anpassen
Habe ich das im Eingangstext nicht erwähnt?

Gruß
Member: jsysde
jsysde Feb 13, 2024 at 20:39:12 (UTC)
Goto Top
Moin.

Schwieriges Thema. Wenn du ne Cyber-Security-Versicherung abgeschlossen hast oder abschließen willst, geht kein daran vorbei, auf _allen!_ Systemen eine gemanagte "Security-Lösung" aktiv zu haben. Einfach Defender im Autopilot würde dir dann im Falle eines Falles auf die Füße fallen.

Was die Performance angeht: Viele dieser Lösungen bestehen ja aus mehreren Modulen. Hier ist, neben den Best Practices des Herstellers, immer ein wenig Trial&Error angesagt. Also mal ein Modul abschalten, gezielte Ausnahmen definieren etc. und weiter testen und messen. Letzteres ergibt natürlich nur Sinn, wenn man eine Messung vom Zeitpunkt vor der Installation der Security-Lösung hat, mit der man dann vergleichen kann. Und Messung meint hier: Über mehrere Tage oder gar Wochen hinweg. Geduld ist nunmal eine Tugend... face-wink

Cheers,
jsysde
Member: Dani
Dani Feb 13, 2024 at 22:07:24 (UTC)
Goto Top
Moin,
Wie verhaltet Ihr euch da? Wie ist hier die Best Practise?
https://learn.microsoft.com/en-us/troubleshoot/sql/database-engine/secur ...

Ob es sinnvoll ist, nur den Defender auf der Büchse laufen zu lassen. (zuvor, ohne AV - nur Defender, war das System sehr zügig und reaktiv) und ob es mich anschließend noch ruhig schlafen lässt.
Meiner Meinung nach ist es egal wie das Produkt heißt. Die Ausnahmen werden bei uns anstandslos in Absprache mit den Security Leuten gesetzt. Denn ohne diese wird es schwierig bei Microsoft und vermutlich auf dem Hersteller der Applikation vernünftigen Support zu erhalten - sei es bei Probleme noch bei Performance Issues.


Gruß,
Dani
Member: ukulele-7
ukulele-7 Feb 14, 2024 updated at 09:53:52 (UTC)
Goto Top
Was läuft denn außer der DB auf dem Server? Denn eine Firewall mit Ausnahmen für die DB auf einem OS das nur eine DB bereit stellt wäre extrem sinnfrei. Ransomware geht ja über NTFS Freigaben auf Dateien auf einem Fileserver, das ist ja i.d.R. nicht der DB Server, kann aber natürlich sein wenn da alles vom ERP System auf einer VM liegt.

Ich würde maximal den Defender laufen lassen es sei denn, es kommt tatsächlich auch eine professionellere Lösung in dem Kundennetz zum Einsatz. Aber das Bedrohungsszenario Ransomware ist ja nicht wirklich gut per Defender auf dem Fileserver zu erkennen, der Schreibvorgang vom Client kann ja absolut legitim sein. Ich weiß wirklich nicht ob Defender hier überhaupt einen Schutz bietet z.B. durch Erkennung von massenhaften Schreibvorgängen, also ohne konkretes Bedrohungsszenario keine konkrete Lösung, dann kann man es auch einfach lassen.

@jsysde
Früher war das mit den Versicherern so. Wir haben Ende letzten Jahres eine abgeschlossen und, abgesehen davon das wir gar keine gemanagte AV-Lösung einsetzen, habe ich mir mehrfach versichern lassen, dass ich "technisch sinnvoll" handeln kann. Wenn eine AV-Lösung an der Stelle nicht sinnvoll ist, wird das auch nicht verlangt. Ich hatte z.B. schon Zertifizierer hier sitzen die mir auf meinem Android Handy eine AV Lösung vorgeschrieben haben weil "es das ja gibt". Dementsprechend skeptisch war ich bei der Versicherung. Angeblich alles kein Problem...
Member: accessViolation
accessViolation Feb 14, 2024 at 10:09:07 (UTC)
Goto Top
Was läuft denn außer der DB auf dem Server?
Nichts. Stumpfer DB Server.

professionellere Lösung
Ist eine bekannte, deutsche Businesslösung. Was Du unter Professionell verstehst, weiß ich nicht. Ich würde diese aber als solche definieren.

also ohne konkretes Bedrohungsszenario keine konkrete Lösung, dann kann man es auch einfach lassen.
ZeroTrust?

Zertifizierer
Das ists halt.. zwischen Theorie und Praxis liegen halt doch Welten. Nen AV aufm Smartphone ... :facepalm:

Danke Dir face-smile

Viele Grüße
Member: ukulele-7
ukulele-7 Feb 14, 2024 updated at 10:16:36 (UTC)
Goto Top
Zitat von @accessViolation:

Was läuft denn außer der DB auf dem Server?
Nichts. Stumpfer DB Server.
Dann würde ich sagen, sofern dein OS up to date ist, steigt dein Risiko mit jeder installierten AV eher durch mögliche false positive Erkennung. Ansonsten verbraucht sie nur Ressourcen.

also ohne konkretes Bedrohungsszenario keine konkrete Lösung, dann kann man es auch einfach lassen.
ZeroTrust?
ZeroTrust hat nichts mit AV-Schutz zu tun.
Member: accessViolation
accessViolation Feb 14, 2024 at 10:21:16 (UTC)
Goto Top
Dann würde ich sagen, sofern dein OS up to date ist, steigt dein Risiko mit jeder installierten AV eher durch mögliche false positive Erkennung. Ansonsten verbraucht sie nur Ressourcen.

An dem Punkt ich auch. AV heute Morgen deinstalliert, alles wieder schmuck.

ZeroTrust hat nichts mit AV-Schutz zu tun.
Für mich schon. Auch wenn "kein" Angriff Szenario vorliegt, vertraue ich der Sache(kein Angriff Szenario) nicht -> AntiRansomware, Antimalwarestuff etc.

Danke für euren Input!

Viele Grüße
Member: ThePinky777
ThePinky777 Feb 14, 2024 at 14:34:14 (UTC)
Goto Top
also realistisch betrachtet erkennen antivirenlösungen sowieso nur 60% der Viren...
man muss die security auch mal nicht vollkommen übertreiben.
Bedeutet, wenns wegen ner versicherung notwendig ist, kannste dem DB Server auch ne extra rule bauen
wo eben wie schon erwähnt: Deinst Prozesse, Datenbank Dateien/Verzeichnisse vom Scan ausgenommen werden.
Wenn man Glück hat klappt das ja.
Wenn man ne grosse firma ist einfach kostenanalyse und entscheidung der chefs abwarten.
bedeutet nen doppeltsoleistungsstarker SQL Server kann schon mal ganz schön ans bare gehen.

Und nicht missverstehen, ich bin eigentlich auch ein auch für 100% Security, aber man muss halt auch mal die kirche im dorf lassen, datenbank server sind einfach ein kritisches clientel... und wenn der lahm gelegt wird durch sowas ist aus mit lustig, wenn die AV Software mehr schaden verursacht als ein angriff wirds dann sehr witzig...

Bedeutet:
- Whitepaper deines CRM/ERP System lesen was da empfohlen wird
- Experimentieren mit ausnahmen und abgeschwächten rules
- Wenn garnix bringt >> Security Kosten Nutzen Analyse und alternative absicherungsmassnahmen machen.

Alternative könnte sein wenns einen Applikations Server gibt das eben nur dieser mit dem SQL kommunizieren darf, und ansonsten auch die Zugriffe im LAN minimieren (Lokale Firewall des Servers), immer aktuellen Patch Stand etc....
Member: ukulele-7
ukulele-7 Feb 15, 2024 at 08:07:16 (UTC)
Goto Top
Zitat von @ThePinky777:

wenn die AV Software mehr schaden verursacht als ein angriff wirds dann sehr witzig...
Davon muss man eigentlich ausgehen.
- Ressourcen Verbrauch
- Aufwand für Installation und Wartung
- Lizenzkosten
~Risiko durch False Positive Erkennung
./. gegen
~Schutz vor Viren die durch den Admin ausgeführt werden
~oder einem Angreifer, der schon Zugriff auf das System hat
Alternative könnte sein wenns einen Applikations Server gibt das eben nur dieser mit dem SQL kommunizieren darf, und ansonsten auch die Zugriffe im LAN minimieren (Lokale Firewall des Servers), immer aktuellen Patch Stand etc....
Richtig, wenn nur ein Application Server mit der DB kommuniziert und nicht jeder Client direkt dann haben die Clients keinen Zugang zum DB Server. Beide Server stehen ja vermutlich eh in einem entsprechenden VLAN. Authentifizierung am Application Server kann dann ZeroTrust sein und auch noch darüber hinaus beschränkt werden, z.B. nur auf Zugriffe aus dem LAN.
Member: ASP.NET.Core
ASP.NET.Core Feb 15, 2024 updated at 08:44:12 (UTC)
Goto Top
Zitat von @accessViolation:
Im Grunde geht es mir primär um Antiransomware, antimalware.

Und du machst das Gegenteil, in dem du die Angriffsfläche durch Antivirenscanner noch vergrößerst: https://www.heise.de/news/Mitsubishi-Hack-Sicherheitsluecke-in-Anti-Vire ...

Effektiver wäre weg von Windows und das auf GNU/Linux laufen lassen. Unterstützt seit einer Weile auch der proprietäre MSSQL Server, wenn es unbedingt der sein soll/muss. Zusätzlich gängige Sicherungsmaßnahmen wie z.B. Netzwerkverkehr einschränken. Ein 0815 Nutzer sollte gar nicht erst direkt auf einen DB Server kommen können.