14
DB-Server und AV-Lösung
Hallo werte Adminas und werte Admins,
kurz und knapp:
Datenbankserver (SQL Srv 2019) + AV(nicht Defender)-Lösung?
Wie verhaltet Ihr euch da? Wie ist hier die Best Practise?
Ein Kunde meint, sein ERP-System hätte teils einige Gedenksekunden nach dem ein AV auf seinem DB-Only Server installiert wurde. Die AV-Lösung prüft nur lesende und schreibende Vorgänge. Keine Heuristik, keine Archive, keine Mails, kein Webtraffic. Auch sind die Datenbanken selbst in den Ausnahmen definiert (Pfad, Prozess sowie Datei [*.exe] und dbs)
Ich kann das auch so bestätigen. Scrollen wir durch die Angebote, flutschen die ersten 10 Angebote problemlos, dann gibts ein 2-3 Sekunden Freeze, dann gehts von vorne los.
Nun die Frage: Ob es sinnvoll ist, nur den Defender auf der Büchse laufen zu lassen. (zuvor, ohne AV - nur Defender, war das System sehr zügig und reaktiv) und ob es mich anschließend noch ruhig schlafen lässt.
IOPS sind kein Thema.
Für ein paar Anregungen bin ich dankbar.
Viele Grüße,
Edit: Forensuche brachte keine sinnvollen Ergebnisse.
Edit²: Eigene Meinung: AV ist sicherlich auf eine Art kontraproduktiv auf einem DB System. Andererseits sorgt es für ein besseres Gefühl beim einschlafen. Was ist nun der goldene oder empfohlene Mittelweg?
kurz und knapp:
Datenbankserver (SQL Srv 2019) + AV(nicht Defender)-Lösung?
Wie verhaltet Ihr euch da? Wie ist hier die Best Practise?
Ein Kunde meint, sein ERP-System hätte teils einige Gedenksekunden nach dem ein AV auf seinem DB-Only Server installiert wurde. Die AV-Lösung prüft nur lesende und schreibende Vorgänge. Keine Heuristik, keine Archive, keine Mails, kein Webtraffic. Auch sind die Datenbanken selbst in den Ausnahmen definiert (Pfad, Prozess sowie Datei [*.exe] und dbs)
Ich kann das auch so bestätigen. Scrollen wir durch die Angebote, flutschen die ersten 10 Angebote problemlos, dann gibts ein 2-3 Sekunden Freeze, dann gehts von vorne los.
Nun die Frage: Ob es sinnvoll ist, nur den Defender auf der Büchse laufen zu lassen. (zuvor, ohne AV - nur Defender, war das System sehr zügig und reaktiv) und ob es mich anschließend noch ruhig schlafen lässt.
IOPS sind kein Thema.
Für ein paar Anregungen bin ich dankbar.
Viele Grüße,
Edit: Forensuche brachte keine sinnvollen Ergebnisse.
Edit²: Eigene Meinung: AV ist sicherlich auf eine Art kontraproduktiv auf einem DB System. Andererseits sorgt es für ein besseres Gefühl beim einschlafen. Was ist nun der goldene oder empfohlene Mittelweg?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 82960742819
Url: https://administrator.de/contentid/82960742819
Printed on: April 27, 2024 at 08:04 o'clock
14 Comments
Latest comment
Moin,
ich hatte früher nur den Defender auf dem DB-Server. Da lief das CRM schön smooth.
Bei meinem aktuellen AG haben wir McAffee (Trellix) auf den Servern....läuft auch.
Gibt es für die eingesetzte AV-Lösung keine BestPractice Anleitung bzgl. Datenbanken?
Gruß
Looser
ich hatte früher nur den Defender auf dem DB-Server. Da lief das CRM schön smooth.
Bei meinem aktuellen AG haben wir McAffee (Trellix) auf den Servern....läuft auch.
Gibt es für die eingesetzte AV-Lösung keine BestPractice Anleitung bzgl. Datenbanken?
Gruß
Looser
1
Moin @Looser27,
VG
Gibt es für die eingesetzte AV-Lösung keine BestPractice Anleitung bzgl. Datenbanken?
Hrm, ausgesprochen gute Frage! Ich werde mal nachhaken, danke!VG
Oft empfeheln Hersteller (ERP, CRM Systeme...) das auf dem Datenbankserver kein AV läuft.
Wenn dus laufen lässt würde ich definitiv ein Ruleset anpassen so das Verzeichnisse des DB Servers und DB Dateien und Tasks des SQL Servers ausgenommen sind...
Wenn dus laufen lässt würde ich definitiv ein Ruleset anpassen so das Verzeichnisse des DB Servers und DB Dateien und Tasks des SQL Servers ausgenommen sind...
Zitat von @accessViolation:
Wie verhaltet Ihr euch da? Wie ist hier die Best Practise?
Welchem Angriffsszenario soll denn entgegengewirkt werden und kann die zusätzlich Software dies überhaupt leisten?
Welchem Angriffsszenario soll denn entgegengewirkt werden und kann die zusätzlich Software dies überhaupt leisten?
Im Grunde geht es mir primär um Antiransomware, antimalware. Zudem denk ich da an Lateral Movement und so Geschichten.die zusätzlich Software dies überhaupt leisten?
Ich gehe davon aus. :D Natürlich immer nur soweit, wie es die Signaturen hergeben. Ruleset anpassen
Habe ich das im Eingangstext nicht erwähnt?Gruß
Moin.
Schwieriges Thema. Wenn du ne Cyber-Security-Versicherung abgeschlossen hast oder abschließen willst, geht kein daran vorbei, auf _allen!_ Systemen eine gemanagte "Security-Lösung" aktiv zu haben. Einfach Defender im Autopilot würde dir dann im Falle eines Falles auf die Füße fallen.
Was die Performance angeht: Viele dieser Lösungen bestehen ja aus mehreren Modulen. Hier ist, neben den Best Practices des Herstellers, immer ein wenig Trial&Error angesagt. Also mal ein Modul abschalten, gezielte Ausnahmen definieren etc. und weiter testen und messen. Letzteres ergibt natürlich nur Sinn, wenn man eine Messung vom Zeitpunkt vor der Installation der Security-Lösung hat, mit der man dann vergleichen kann. Und Messung meint hier: Über mehrere Tage oder gar Wochen hinweg. Geduld ist nunmal eine Tugend...
Cheers,
jsysde
Schwieriges Thema. Wenn du ne Cyber-Security-Versicherung abgeschlossen hast oder abschließen willst, geht kein daran vorbei, auf _allen!_ Systemen eine gemanagte "Security-Lösung" aktiv zu haben. Einfach Defender im Autopilot würde dir dann im Falle eines Falles auf die Füße fallen.
Was die Performance angeht: Viele dieser Lösungen bestehen ja aus mehreren Modulen. Hier ist, neben den Best Practices des Herstellers, immer ein wenig Trial&Error angesagt. Also mal ein Modul abschalten, gezielte Ausnahmen definieren etc. und weiter testen und messen. Letzteres ergibt natürlich nur Sinn, wenn man eine Messung vom Zeitpunkt vor der Installation der Security-Lösung hat, mit der man dann vergleichen kann. Und Messung meint hier: Über mehrere Tage oder gar Wochen hinweg. Geduld ist nunmal eine Tugend...
Cheers,
jsysde
Moin,
Gruß,
Dani
Wie verhaltet Ihr euch da? Wie ist hier die Best Practise?
https://learn.microsoft.com/en-us/troubleshoot/sql/database-engine/secur ...Ob es sinnvoll ist, nur den Defender auf der Büchse laufen zu lassen. (zuvor, ohne AV - nur Defender, war das System sehr zügig und reaktiv) und ob es mich anschließend noch ruhig schlafen lässt.
Meiner Meinung nach ist es egal wie das Produkt heißt. Die Ausnahmen werden bei uns anstandslos in Absprache mit den Security Leuten gesetzt. Denn ohne diese wird es schwierig bei Microsoft und vermutlich auf dem Hersteller der Applikation vernünftigen Support zu erhalten - sei es bei Probleme noch bei Performance Issues.Gruß,
Dani
Was läuft denn außer der DB auf dem Server? Denn eine Firewall mit Ausnahmen für die DB auf einem OS das nur eine DB bereit stellt wäre extrem sinnfrei. Ransomware geht ja über NTFS Freigaben auf Dateien auf einem Fileserver, das ist ja i.d.R. nicht der DB Server, kann aber natürlich sein wenn da alles vom ERP System auf einer VM liegt.
Ich würde maximal den Defender laufen lassen es sei denn, es kommt tatsächlich auch eine professionellere Lösung in dem Kundennetz zum Einsatz. Aber das Bedrohungsszenario Ransomware ist ja nicht wirklich gut per Defender auf dem Fileserver zu erkennen, der Schreibvorgang vom Client kann ja absolut legitim sein. Ich weiß wirklich nicht ob Defender hier überhaupt einen Schutz bietet z.B. durch Erkennung von massenhaften Schreibvorgängen, also ohne konkretes Bedrohungsszenario keine konkrete Lösung, dann kann man es auch einfach lassen.
@jsysde
Früher war das mit den Versicherern so. Wir haben Ende letzten Jahres eine abgeschlossen und, abgesehen davon das wir gar keine gemanagte AV-Lösung einsetzen, habe ich mir mehrfach versichern lassen, dass ich "technisch sinnvoll" handeln kann. Wenn eine AV-Lösung an der Stelle nicht sinnvoll ist, wird das auch nicht verlangt. Ich hatte z.B. schon Zertifizierer hier sitzen die mir auf meinem Android Handy eine AV Lösung vorgeschrieben haben weil "es das ja gibt". Dementsprechend skeptisch war ich bei der Versicherung. Angeblich alles kein Problem...
Ich würde maximal den Defender laufen lassen es sei denn, es kommt tatsächlich auch eine professionellere Lösung in dem Kundennetz zum Einsatz. Aber das Bedrohungsszenario Ransomware ist ja nicht wirklich gut per Defender auf dem Fileserver zu erkennen, der Schreibvorgang vom Client kann ja absolut legitim sein. Ich weiß wirklich nicht ob Defender hier überhaupt einen Schutz bietet z.B. durch Erkennung von massenhaften Schreibvorgängen, also ohne konkretes Bedrohungsszenario keine konkrete Lösung, dann kann man es auch einfach lassen.
@jsysde
Früher war das mit den Versicherern so. Wir haben Ende letzten Jahres eine abgeschlossen und, abgesehen davon das wir gar keine gemanagte AV-Lösung einsetzen, habe ich mir mehrfach versichern lassen, dass ich "technisch sinnvoll" handeln kann. Wenn eine AV-Lösung an der Stelle nicht sinnvoll ist, wird das auch nicht verlangt. Ich hatte z.B. schon Zertifizierer hier sitzen die mir auf meinem Android Handy eine AV Lösung vorgeschrieben haben weil "es das ja gibt". Dementsprechend skeptisch war ich bei der Versicherung. Angeblich alles kein Problem...
1Was läuft denn außer der DB auf dem Server?
Nichts. Stumpfer DB Server.professionellere Lösung
Ist eine bekannte, deutsche Businesslösung. Was Du unter Professionell verstehst, weiß ich nicht. Ich würde diese aber als solche definieren.also ohne konkretes Bedrohungsszenario keine konkrete Lösung, dann kann man es auch einfach lassen.
ZeroTrust?Zertifizierer
Das ists halt.. zwischen Theorie und Praxis liegen halt doch Welten. Nen AV aufm Smartphone ... :facepalm:Danke Dir
Viele Grüße
Dann würde ich sagen, sofern dein OS up to date ist, steigt dein Risiko mit jeder installierten AV eher durch mögliche false positive Erkennung. Ansonsten verbraucht sie nur Ressourcen.
ZeroTrust hat nichts mit AV-Schutz zu tun.
also ohne konkretes Bedrohungsszenario keine konkrete Lösung, dann kann man es auch einfach lassen.
ZeroTrust?1Dann würde ich sagen, sofern dein OS up to date ist, steigt dein Risiko mit jeder installierten AV eher durch mögliche false positive Erkennung. Ansonsten verbraucht sie nur Ressourcen.
An dem Punkt ich auch. AV heute Morgen deinstalliert, alles wieder schmuck.
ZeroTrust hat nichts mit AV-Schutz zu tun.
Für mich schon. Auch wenn "kein" Angriff Szenario vorliegt, vertraue ich der Sache(kein Angriff Szenario) nicht -> AntiRansomware, Antimalwarestuff etc.Danke für euren Input!
Viele Grüße
also realistisch betrachtet erkennen antivirenlösungen sowieso nur 60% der Viren...
man muss die security auch mal nicht vollkommen übertreiben.
Bedeutet, wenns wegen ner versicherung notwendig ist, kannste dem DB Server auch ne extra rule bauen
wo eben wie schon erwähnt: Deinst Prozesse, Datenbank Dateien/Verzeichnisse vom Scan ausgenommen werden.
Wenn man Glück hat klappt das ja.
Wenn man ne grosse firma ist einfach kostenanalyse und entscheidung der chefs abwarten.
bedeutet nen doppeltsoleistungsstarker SQL Server kann schon mal ganz schön ans bare gehen.
Und nicht missverstehen, ich bin eigentlich auch ein auch für 100% Security, aber man muss halt auch mal die kirche im dorf lassen, datenbank server sind einfach ein kritisches clientel... und wenn der lahm gelegt wird durch sowas ist aus mit lustig, wenn die AV Software mehr schaden verursacht als ein angriff wirds dann sehr witzig...
Bedeutet:
- Whitepaper deines CRM/ERP System lesen was da empfohlen wird
- Experimentieren mit ausnahmen und abgeschwächten rules
- Wenn garnix bringt >> Security Kosten Nutzen Analyse und alternative absicherungsmassnahmen machen.
Alternative könnte sein wenns einen Applikations Server gibt das eben nur dieser mit dem SQL kommunizieren darf, und ansonsten auch die Zugriffe im LAN minimieren (Lokale Firewall des Servers), immer aktuellen Patch Stand etc....
man muss die security auch mal nicht vollkommen übertreiben.
Bedeutet, wenns wegen ner versicherung notwendig ist, kannste dem DB Server auch ne extra rule bauen
wo eben wie schon erwähnt: Deinst Prozesse, Datenbank Dateien/Verzeichnisse vom Scan ausgenommen werden.
Wenn man Glück hat klappt das ja.
Wenn man ne grosse firma ist einfach kostenanalyse und entscheidung der chefs abwarten.
bedeutet nen doppeltsoleistungsstarker SQL Server kann schon mal ganz schön ans bare gehen.
Und nicht missverstehen, ich bin eigentlich auch ein auch für 100% Security, aber man muss halt auch mal die kirche im dorf lassen, datenbank server sind einfach ein kritisches clientel... und wenn der lahm gelegt wird durch sowas ist aus mit lustig, wenn die AV Software mehr schaden verursacht als ein angriff wirds dann sehr witzig...
Bedeutet:
- Whitepaper deines CRM/ERP System lesen was da empfohlen wird
- Experimentieren mit ausnahmen und abgeschwächten rules
- Wenn garnix bringt >> Security Kosten Nutzen Analyse und alternative absicherungsmassnahmen machen.
Alternative könnte sein wenns einen Applikations Server gibt das eben nur dieser mit dem SQL kommunizieren darf, und ansonsten auch die Zugriffe im LAN minimieren (Lokale Firewall des Servers), immer aktuellen Patch Stand etc....
1Zitat von @ThePinky777:
wenn die AV Software mehr schaden verursacht als ein angriff wirds dann sehr witzig...
Davon muss man eigentlich ausgehen.wenn die AV Software mehr schaden verursacht als ein angriff wirds dann sehr witzig...
- Ressourcen Verbrauch
- Aufwand für Installation und Wartung
- Lizenzkosten
~Risiko durch False Positive Erkennung
./. gegen
~Schutz vor Viren die durch den Admin ausgeführt werden
~oder einem Angreifer, der schon Zugriff auf das System hat
Alternative könnte sein wenns einen Applikations Server gibt das eben nur dieser mit dem SQL kommunizieren darf, und ansonsten auch die Zugriffe im LAN minimieren (Lokale Firewall des Servers), immer aktuellen Patch Stand etc....
Richtig, wenn nur ein Application Server mit der DB kommuniziert und nicht jeder Client direkt dann haben die Clients keinen Zugang zum DB Server. Beide Server stehen ja vermutlich eh in einem entsprechenden VLAN. Authentifizierung am Application Server kann dann ZeroTrust sein und auch noch darüber hinaus beschränkt werden, z.B. nur auf Zugriffe aus dem LAN.
Und du machst das Gegenteil, in dem du die Angriffsfläche durch Antivirenscanner noch vergrößerst: https://www.heise.de/news/Mitsubishi-Hack-Sicherheitsluecke-in-Anti-Vire ...
Effektiver wäre weg von Windows und das auf GNU/Linux laufen lassen. Unterstützt seit einer Weile auch der proprietäre MSSQL Server, wenn es unbedingt der sein soll/muss. Zusätzlich gängige Sicherungsmaßnahmen wie z.B. Netzwerkverkehr einschränken. Ein 0815 Nutzer sollte gar nicht erst direkt auf einen DB Server kommen können.