9697748851
13.02.2024, aktualisiert am 15.02.2024
1931
14
0
DB-Server und AV-Lösung
Hallo werte Adminas und werte Admins,
kurz und knapp:
Datenbankserver (SQL Srv 2019) + AV(nicht Defender)-Lösung?
Wie verhaltet Ihr euch da? Wie ist hier die Best Practise?
Ein Kunde meint, sein ERP-System hätte teils einige Gedenksekunden nach dem ein AV auf seinem DB-Only Server installiert wurde. Die AV-Lösung prüft nur lesende und schreibende Vorgänge. Keine Heuristik, keine Archive, keine Mails, kein Webtraffic. Auch sind die Datenbanken selbst in den Ausnahmen definiert (Pfad, Prozess sowie Datei [*.exe] und dbs)
Ich kann das auch so bestätigen. Scrollen wir durch die Angebote, flutschen die ersten 10 Angebote problemlos, dann gibts ein 2-3 Sekunden Freeze, dann gehts von vorne los.
Nun die Frage: Ob es sinnvoll ist, nur den Defender auf der Büchse laufen zu lassen. (zuvor, ohne AV - nur Defender, war das System sehr zügig und reaktiv) und ob es mich anschließend noch ruhig schlafen lässt.
IOPS sind kein Thema.
Für ein paar Anregungen bin ich dankbar.
Viele Grüße,
Edit: Forensuche brachte keine sinnvollen Ergebnisse.
Edit²: Eigene Meinung: AV ist sicherlich auf eine Art kontraproduktiv auf einem DB System. Andererseits sorgt es für ein besseres Gefühl beim einschlafen. Was ist nun der goldene oder empfohlene Mittelweg?
kurz und knapp:
Datenbankserver (SQL Srv 2019) + AV(nicht Defender)-Lösung?
Wie verhaltet Ihr euch da? Wie ist hier die Best Practise?
Ein Kunde meint, sein ERP-System hätte teils einige Gedenksekunden nach dem ein AV auf seinem DB-Only Server installiert wurde. Die AV-Lösung prüft nur lesende und schreibende Vorgänge. Keine Heuristik, keine Archive, keine Mails, kein Webtraffic. Auch sind die Datenbanken selbst in den Ausnahmen definiert (Pfad, Prozess sowie Datei [*.exe] und dbs)
Ich kann das auch so bestätigen. Scrollen wir durch die Angebote, flutschen die ersten 10 Angebote problemlos, dann gibts ein 2-3 Sekunden Freeze, dann gehts von vorne los.
Nun die Frage: Ob es sinnvoll ist, nur den Defender auf der Büchse laufen zu lassen. (zuvor, ohne AV - nur Defender, war das System sehr zügig und reaktiv) und ob es mich anschließend noch ruhig schlafen lässt.
IOPS sind kein Thema.
Für ein paar Anregungen bin ich dankbar.
Viele Grüße,
Edit: Forensuche brachte keine sinnvollen Ergebnisse.
Edit²: Eigene Meinung: AV ist sicherlich auf eine Art kontraproduktiv auf einem DB System. Andererseits sorgt es für ein besseres Gefühl beim einschlafen. Was ist nun der goldene oder empfohlene Mittelweg?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82960742819
Url: https://administrator.de/contentid/82960742819
Ausgedruckt am: 24.11.2024 um 02:11 Uhr
14 Kommentare
Neuester Kommentar
Moin.
Schwieriges Thema. Wenn du ne Cyber-Security-Versicherung abgeschlossen hast oder abschließen willst, geht kein daran vorbei, auf _allen!_ Systemen eine gemanagte "Security-Lösung" aktiv zu haben. Einfach Defender im Autopilot würde dir dann im Falle eines Falles auf die Füße fallen.
Was die Performance angeht: Viele dieser Lösungen bestehen ja aus mehreren Modulen. Hier ist, neben den Best Practices des Herstellers, immer ein wenig Trial&Error angesagt. Also mal ein Modul abschalten, gezielte Ausnahmen definieren etc. und weiter testen und messen. Letzteres ergibt natürlich nur Sinn, wenn man eine Messung vom Zeitpunkt vor der Installation der Security-Lösung hat, mit der man dann vergleichen kann. Und Messung meint hier: Über mehrere Tage oder gar Wochen hinweg. Geduld ist nunmal eine Tugend...
Cheers,
jsysde
Schwieriges Thema. Wenn du ne Cyber-Security-Versicherung abgeschlossen hast oder abschließen willst, geht kein daran vorbei, auf _allen!_ Systemen eine gemanagte "Security-Lösung" aktiv zu haben. Einfach Defender im Autopilot würde dir dann im Falle eines Falles auf die Füße fallen.
Was die Performance angeht: Viele dieser Lösungen bestehen ja aus mehreren Modulen. Hier ist, neben den Best Practices des Herstellers, immer ein wenig Trial&Error angesagt. Also mal ein Modul abschalten, gezielte Ausnahmen definieren etc. und weiter testen und messen. Letzteres ergibt natürlich nur Sinn, wenn man eine Messung vom Zeitpunkt vor der Installation der Security-Lösung hat, mit der man dann vergleichen kann. Und Messung meint hier: Über mehrere Tage oder gar Wochen hinweg. Geduld ist nunmal eine Tugend...
Cheers,
jsysde
Moin,
Gruß,
Dani
Wie verhaltet Ihr euch da? Wie ist hier die Best Practise?
https://learn.microsoft.com/en-us/troubleshoot/sql/database-engine/secur ...Ob es sinnvoll ist, nur den Defender auf der Büchse laufen zu lassen. (zuvor, ohne AV - nur Defender, war das System sehr zügig und reaktiv) und ob es mich anschließend noch ruhig schlafen lässt.
Meiner Meinung nach ist es egal wie das Produkt heißt. Die Ausnahmen werden bei uns anstandslos in Absprache mit den Security Leuten gesetzt. Denn ohne diese wird es schwierig bei Microsoft und vermutlich auf dem Hersteller der Applikation vernünftigen Support zu erhalten - sei es bei Probleme noch bei Performance Issues.Gruß,
Dani
Was läuft denn außer der DB auf dem Server? Denn eine Firewall mit Ausnahmen für die DB auf einem OS das nur eine DB bereit stellt wäre extrem sinnfrei. Ransomware geht ja über NTFS Freigaben auf Dateien auf einem Fileserver, das ist ja i.d.R. nicht der DB Server, kann aber natürlich sein wenn da alles vom ERP System auf einer VM liegt.
Ich würde maximal den Defender laufen lassen es sei denn, es kommt tatsächlich auch eine professionellere Lösung in dem Kundennetz zum Einsatz. Aber das Bedrohungsszenario Ransomware ist ja nicht wirklich gut per Defender auf dem Fileserver zu erkennen, der Schreibvorgang vom Client kann ja absolut legitim sein. Ich weiß wirklich nicht ob Defender hier überhaupt einen Schutz bietet z.B. durch Erkennung von massenhaften Schreibvorgängen, also ohne konkretes Bedrohungsszenario keine konkrete Lösung, dann kann man es auch einfach lassen.
@jsysde
Früher war das mit den Versicherern so. Wir haben Ende letzten Jahres eine abgeschlossen und, abgesehen davon das wir gar keine gemanagte AV-Lösung einsetzen, habe ich mir mehrfach versichern lassen, dass ich "technisch sinnvoll" handeln kann. Wenn eine AV-Lösung an der Stelle nicht sinnvoll ist, wird das auch nicht verlangt. Ich hatte z.B. schon Zertifizierer hier sitzen die mir auf meinem Android Handy eine AV Lösung vorgeschrieben haben weil "es das ja gibt". Dementsprechend skeptisch war ich bei der Versicherung. Angeblich alles kein Problem...
Ich würde maximal den Defender laufen lassen es sei denn, es kommt tatsächlich auch eine professionellere Lösung in dem Kundennetz zum Einsatz. Aber das Bedrohungsszenario Ransomware ist ja nicht wirklich gut per Defender auf dem Fileserver zu erkennen, der Schreibvorgang vom Client kann ja absolut legitim sein. Ich weiß wirklich nicht ob Defender hier überhaupt einen Schutz bietet z.B. durch Erkennung von massenhaften Schreibvorgängen, also ohne konkretes Bedrohungsszenario keine konkrete Lösung, dann kann man es auch einfach lassen.
@jsysde
Früher war das mit den Versicherern so. Wir haben Ende letzten Jahres eine abgeschlossen und, abgesehen davon das wir gar keine gemanagte AV-Lösung einsetzen, habe ich mir mehrfach versichern lassen, dass ich "technisch sinnvoll" handeln kann. Wenn eine AV-Lösung an der Stelle nicht sinnvoll ist, wird das auch nicht verlangt. Ich hatte z.B. schon Zertifizierer hier sitzen die mir auf meinem Android Handy eine AV Lösung vorgeschrieben haben weil "es das ja gibt". Dementsprechend skeptisch war ich bei der Versicherung. Angeblich alles kein Problem...
Zitat von @9697748851:
Dann würde ich sagen, sofern dein OS up to date ist, steigt dein Risiko mit jeder installierten AV eher durch mögliche false positive Erkennung. Ansonsten verbraucht sie nur Ressourcen.Was läuft denn außer der DB auf dem Server?
Nichts. Stumpfer DB Server.also ohne konkretes Bedrohungsszenario keine konkrete Lösung, dann kann man es auch einfach lassen.
ZeroTrust?
also realistisch betrachtet erkennen antivirenlösungen sowieso nur 60% der Viren...
man muss die security auch mal nicht vollkommen übertreiben.
Bedeutet, wenns wegen ner versicherung notwendig ist, kannste dem DB Server auch ne extra rule bauen
wo eben wie schon erwähnt: Deinst Prozesse, Datenbank Dateien/Verzeichnisse vom Scan ausgenommen werden.
Wenn man Glück hat klappt das ja.
Wenn man ne grosse firma ist einfach kostenanalyse und entscheidung der chefs abwarten.
bedeutet nen doppeltsoleistungsstarker SQL Server kann schon mal ganz schön ans bare gehen.
Und nicht missverstehen, ich bin eigentlich auch ein auch für 100% Security, aber man muss halt auch mal die kirche im dorf lassen, datenbank server sind einfach ein kritisches clientel... und wenn der lahm gelegt wird durch sowas ist aus mit lustig, wenn die AV Software mehr schaden verursacht als ein angriff wirds dann sehr witzig...
Bedeutet:
- Whitepaper deines CRM/ERP System lesen was da empfohlen wird
- Experimentieren mit ausnahmen und abgeschwächten rules
- Wenn garnix bringt >> Security Kosten Nutzen Analyse und alternative absicherungsmassnahmen machen.
Alternative könnte sein wenns einen Applikations Server gibt das eben nur dieser mit dem SQL kommunizieren darf, und ansonsten auch die Zugriffe im LAN minimieren (Lokale Firewall des Servers), immer aktuellen Patch Stand etc....
man muss die security auch mal nicht vollkommen übertreiben.
Bedeutet, wenns wegen ner versicherung notwendig ist, kannste dem DB Server auch ne extra rule bauen
wo eben wie schon erwähnt: Deinst Prozesse, Datenbank Dateien/Verzeichnisse vom Scan ausgenommen werden.
Wenn man Glück hat klappt das ja.
Wenn man ne grosse firma ist einfach kostenanalyse und entscheidung der chefs abwarten.
bedeutet nen doppeltsoleistungsstarker SQL Server kann schon mal ganz schön ans bare gehen.
Und nicht missverstehen, ich bin eigentlich auch ein auch für 100% Security, aber man muss halt auch mal die kirche im dorf lassen, datenbank server sind einfach ein kritisches clientel... und wenn der lahm gelegt wird durch sowas ist aus mit lustig, wenn die AV Software mehr schaden verursacht als ein angriff wirds dann sehr witzig...
Bedeutet:
- Whitepaper deines CRM/ERP System lesen was da empfohlen wird
- Experimentieren mit ausnahmen und abgeschwächten rules
- Wenn garnix bringt >> Security Kosten Nutzen Analyse und alternative absicherungsmassnahmen machen.
Alternative könnte sein wenns einen Applikations Server gibt das eben nur dieser mit dem SQL kommunizieren darf, und ansonsten auch die Zugriffe im LAN minimieren (Lokale Firewall des Servers), immer aktuellen Patch Stand etc....
Zitat von @ThePinky777:
wenn die AV Software mehr schaden verursacht als ein angriff wirds dann sehr witzig...
Davon muss man eigentlich ausgehen.wenn die AV Software mehr schaden verursacht als ein angriff wirds dann sehr witzig...
- Ressourcen Verbrauch
- Aufwand für Installation und Wartung
- Lizenzkosten
~Risiko durch False Positive Erkennung
./. gegen
~Schutz vor Viren die durch den Admin ausgeführt werden
~oder einem Angreifer, der schon Zugriff auf das System hat
Alternative könnte sein wenns einen Applikations Server gibt das eben nur dieser mit dem SQL kommunizieren darf, und ansonsten auch die Zugriffe im LAN minimieren (Lokale Firewall des Servers), immer aktuellen Patch Stand etc....
Richtig, wenn nur ein Application Server mit der DB kommuniziert und nicht jeder Client direkt dann haben die Clients keinen Zugang zum DB Server. Beide Server stehen ja vermutlich eh in einem entsprechenden VLAN. Authentifizierung am Application Server kann dann ZeroTrust sein und auch noch darüber hinaus beschränkt werden, z.B. nur auf Zugriffe aus dem LAN.Zitat von @9697748851:
Im Grunde geht es mir primär um Antiransomware, antimalware.
Im Grunde geht es mir primär um Antiransomware, antimalware.
Und du machst das Gegenteil, in dem du die Angriffsfläche durch Antivirenscanner noch vergrößerst: https://www.heise.de/news/Mitsubishi-Hack-Sicherheitsluecke-in-Anti-Vire ...
Effektiver wäre weg von Windows und das auf GNU/Linux laufen lassen. Unterstützt seit einer Weile auch der proprietäre MSSQL Server, wenn es unbedingt der sein soll/muss. Zusätzlich gängige Sicherungsmaßnahmen wie z.B. Netzwerkverkehr einschränken. Ein 0815 Nutzer sollte gar nicht erst direkt auf einen DB Server kommen können.