37
Defender soll eine SMB Freigabe scannen
Moin zusammen,
ich möchte eine SMB Freigabe durch den Microsoft Defender scannen lassen. Der Defender wird ja als SYSTEM gestartet, da kann man schlecht ein SMB Laufwerk mit Username / Passwort mappen. Wie erreiche ich, dass Defender auf die SMB Daten zugreifen kann? Kann ich den Defender Dienst evtl als einen bestimmten User starten lassen?
Danke Euch and keep rockin'
Der Mike
ich möchte eine SMB Freigabe durch den Microsoft Defender scannen lassen. Der Defender wird ja als SYSTEM gestartet, da kann man schlecht ein SMB Laufwerk mit Username / Passwort mappen. Wie erreiche ich, dass Defender auf die SMB Daten zugreifen kann? Kann ich den Defender Dienst evtl als einen bestimmten User starten lassen?
Danke Euch and keep rockin'
Der Mike
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669138
Url: https://administrator.de/contentid/669138
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
37 Kommentare
Neuester Kommentar
Moin,
für den Defender gibt es eine GPO die das scannen von Freigaben ermöglicht. Das wäre der sinvolle Weg.
Gruß
Spirit
für den Defender gibt es eine GPO die das scannen von Freigaben ermöglicht. Das wäre der sinvolle Weg.
Gruß
Spirit
Meinst du diese hier?
https://www.pcwelt.de/article/1193440/netzwerklaufwerke-mit-windows-defe ...
Wo kann man dann die Zugangsdaten für das SMB Share hinterlegen?
https://www.pcwelt.de/article/1193440/netzwerklaufwerke-mit-windows-defe ...
Wo kann man dann die Zugangsdaten für das SMB Share hinterlegen?
Genau die.
Das Laufwerk dazu muss nur unter dem angemeldeten User gemounted sein.
Das Laufwerk dazu muss nur unter dem angemeldeten User gemounted sein.
Ziel ist es eben nicht unter einem angemeldeten User laufen zu lassen. Es ist ja ein Server. Als angemeldeter User kann ich bereits ohne GPO herum scannen, auch die Netzwerklaufwerke.
Hallo Mike,
der Admin für den Server hat ja dann vermutlich Zugriff darauf.
Das könnte funktionieren.
LG
der Admin für den Server hat ja dann vermutlich Zugriff darauf.
Das könnte funktionieren.
LG
Wenn der Admin das Laufwerk gemappt hat, bedeutet es doch nicht, dass Defender, dessen Dienst als SYSTEM gestartet ist, auch das Laufwerk sieht und sogar die Zugangsdaten vom Admin verwenden kann.
Was soll das für ein Konstrukt sein? Dann lass den Defender auf dem Fileserver selbst laufen oder eben jeden Client scannen.
4
Genau so müsste es ja aber funktionieren, sonst würde diese Funktion ja kaum Sinn ergeben.
Es werden dort ja die gemappten Laufwerke gescannt. Und diese sind mit gewissen User-Informationen gemountet.
Edit:
Zudem bin ich davon ausgegangen, dass es auf dem File Server läuft.
Es werden dort ja die gemappten Laufwerke gescannt. Und diese sind mit gewissen User-Informationen gemountet.
Edit:
Zudem bin ich davon ausgegangen, dass es auf dem File Server läuft.
wenn das Laufwerk in irgend einer Forum für den User gemapped ist, dann wird dies durch die GPO gescannt.
1Dann lass den Defender auf dem Fileserver selbst laufen oder eben jeden Client scannen.
Das ist ein FreeBSD, der einen anderen Virenscanner bekommt, wir mochten zwei unabhängige Virenscanner scannen lassen. Natürlich nicht parallel auf dem FreeBSD installiert, zumahl es die guten Antivirus Programme für FreeBSD gar nicht gibt.Genau so müsste es ja aber funktionieren, sonst würde diese Funktion ja kaum Sinn ergeben.
Und wie scannt dann der Dienst, wenn niemand angemeldet ist und mehrere Admins existieren, die verschiedene Laufwerke gemappt haben? Wessen Zugangsdaten nimmt er dann her? Oder verweigert er den Dienst bis sich ein Admin anmeldet? Das klingt für mich nicht schlüssig.
Für den Defender muss so oder so irgend ein User angemeldet sein wenn das von einem Windows Host aus laufen soll.
An deiner Stelle würde ich den Enterprise Defender auf dem BSD installieren.
An deiner Stelle würde ich den Enterprise Defender auf dem BSD installieren.
Ich finde keinen Enterprise Defender für BSD.
Schade, kein FreeBSD auf der Supportliste. Für BSD habe ich echt nur den Clamav gefunden, der war auch geplant um drauf zu kommen, aber dem Clamav alleine traue ich nur so weit, wie ich ihn werfen kann. Ich möchte einen zweiten Antivirus eines anderen Herstellers, der über SMB auf dem selben Server herum kratzt.
Frage: Wie kommen die Daten auf den Server? Wäre es nicht sinnvollerdie Daten zu scannen bevor sie auf dem Server landen?
Nur auf dem Client? Das wäre ja fatal, ein Fileserver ohne Antivirus. Und wenn ein Client eben doch infiziert wird, gibt es freie Fahrt 
Zitat von @NordicMike:
Schade, kein FreeBSD auf der Supportliste. Für BSD habe ich echt nur den Clamav gefunden, der war auch geplant um drauf zu kommen, aber dem Clamav alleine traue ich nur so weit, wie ich ihn werfen kann. Ich möchte einen zweiten Antivirus eines anderen Herstellers, der über SMB auf dem selben Server herum kratzt.
Schade, kein FreeBSD auf der Supportliste. Für BSD habe ich echt nur den Clamav gefunden, der war auch geplant um drauf zu kommen, aber dem Clamav alleine traue ich nur so weit, wie ich ihn werfen kann. Ich möchte einen zweiten Antivirus eines anderen Herstellers, der über SMB auf dem selben Server herum kratzt.
Dort soll das anscheinend auch klappen.
https://learn.microsoft.com/en-us/answers/questions/1128484/onboard-pfse ...
Auch in dem Link kein Support. Wir sind schon im Bereich "hätte, müsste, sollte, könnte". Irgendwelche Verbiegungen und Experimente mache ich sicherlich nicht. Entweder es wird ordentlich supported mit automatischen Updates und bewährter guter Trefferquote usw oder ich plane was anderes, z.B. ein Microsoft Fileserver statt FreeBSD.
Wenn der Computer-Account auf dem der Defender läuft entsprechende Zugriffsrechte auf das Share hat (Share- und NTFS-Acls), sollte der auch ohne Anmeldung scannen können, unabhängig von irgendwelchen Mappings.
Gruß catrell
Gruß catrell
SMB Shares von FreeBSD kennen keine Computer-Accounts. Somit wären wir wieder bei einem Windows Fileserver.
Doch, der Computer-Account ist auch nur ein Domain-Account mit Dollarzeichen am Ende, wenn dein FreeBSD also in die Domäne eingebunden ist kann dort auch der Computer-Account als Principle hinterlegt werden.
1
Der FreeBSD Server ist leider nicht in der Domäne 
Autsch. Wieso nicht beheben?
2
Warum autsch? Das war Absicht, sonst wäre es ja ein Microsoft Server geworden ;)
Und warum dann nicht auf den Endpunkten, wo die User arbeiten, das Netzlaufwerk scannen lassen? So werden auch alle Laufwerke gescannt.
Weil die Daten nicht nur von Office Laptops gelesen werden, die einen Defender hätten. Bei einem infizierten Client oder Ransomware ist der FileServer dann ebenfalls hinüber. Du bist somit bereits der Zweite, der der Meinung ist, dass ein FileServer kein Antivirus benötigt. Es reicht wohl wenn die Clients einen Antivirus haben. Ich finde das sehr bedenklich, oder habe ich irgendwas an der aktuellen Entwicklung verpasst?
Inwiefern wäre denn der BSD- Fileserver "hinüber" wenn ein Client da einen Virus/Trojaner oä. auf dem share ablegt?
Der führt ja nichts aus was da abgelegt wird, klar der Client könnte mit den nötigen Rechten Dateien die im Share liegen manipulieren , löschen etc, aber das würde auch kein Antivirus auf dem Fileserver verhindern da das ja das normale Verhalten von Clients ist.
Der führt ja nichts aus was da abgelegt wird, klar der Client könnte mit den nötigen Rechten Dateien die im Share liegen manipulieren , löschen etc, aber das würde auch kein Antivirus auf dem Fileserver verhindern da das ja das normale Verhalten von Clients ist.
1
Sein Inhalt wäre hinüber, ja. Und damit auch eine Virenschleuder für alle Clients, die darauf zugreifen.
Das steht jedoch gar nicht zur Diskussion. Die Aufgabenstellung vom Vorgesetzten ist eben den FileServer Inhalt mit zwei verschiedenen und guten Scannern zu scannen.
Das steht jedoch gar nicht zur Diskussion. Die Aufgabenstellung vom Vorgesetzten ist eben den FileServer Inhalt mit zwei verschiedenen und guten Scannern zu scannen.
Moin,
wir machen das mit einem PowerShell Skript und einer Scheduled Task + mit einem dedizierten Service Account, der auf das SMB Share Schreib/Modify-Rechte hat.
Gruß,
Dani
wir machen das mit einem PowerShell Skript und einer Scheduled Task + mit einem dedizierten Service Account, der auf das SMB Share Schreib/Modify-Rechte hat.
Gruß,
Dani
1
Ist das ein Domänen-Account? Startest du also den Defender mit dem Domänen-Account im Script?
Moin,
Gruß,
Dani
Ist das ein Domänen-Account? Startest du also den Defender mit dem Domänen-Account im Script?
Sowohl als auch. In der DMZ werden lokale Accounts verwendet. Im LAN ein AD Account.Gruß,
Dani
Also, die Aufgabenplanung startet das Powershell Script mit einem lokalen Account. Dieser lokale Account hat ein SMB Laufwerk gemappt, der sich mit Domänencredentials am NAS authentifiziert hat. Im Script wird Defender angetriggert.
Soweit richtig so?
Soweit richtig so?
Moin,
Gruß,
Dani
Dieser lokale Account hat ein SMB Laufwerk gemappt, der sich mit Domänencredentials am NAS authentifiziert hat.
SMB Laufwerk nicht. Wir gehen auf den UNC Pfad.Gruß,
Dani
Wie authentisiert sich dieser Account oder das Script gegenüber dem SMB Server?
Mit dem Account, welcher die Task ausführt.
Reicht es auf dem NAS und auf dem Server jeweils einen lokalen Account mit dem selben Login Namen und dem selben Passwort anzulegen? Also ohne Domainverbindung beider?
Müsste auch gehen.
