nordicmike
Goto Top

Defender soll eine SMB Freigabe scannen

Moin zusammen,

ich möchte eine SMB Freigabe durch den Microsoft Defender scannen lassen. Der Defender wird ja als SYSTEM gestartet, da kann man schlecht ein SMB Laufwerk mit Username / Passwort mappen. Wie erreiche ich, dass Defender auf die SMB Daten zugreifen kann? Kann ich den Defender Dienst evtl als einen bestimmten User starten lassen?

Danke Euch and keep rockin'

Der Mike

Content-ID: 669138

Url: https://administrator.de/forum/defender-soll-eine-smb-freigabe-scannen-669138.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 30.10.2024 um 15:09:47 Uhr
Goto Top
Moin,

für den Defender gibt es eine GPO die das scannen von Freigaben ermöglicht. Das wäre der sinvolle Weg.

Gruß
Spirit
NordicMike
NordicMike 30.10.2024 um 15:14:23 Uhr
Goto Top
Meinst du diese hier?

https://www.pcwelt.de/article/1193440/netzwerklaufwerke-mit-windows-defe ...

Wo kann man dann die Zugangsdaten für das SMB Share hinterlegen?
Spirit-of-Eli
Spirit-of-Eli 30.10.2024 um 15:16:19 Uhr
Goto Top
Genau die.
Das Laufwerk dazu muss nur unter dem angemeldeten User gemounted sein.
NordicMike
NordicMike 30.10.2024 aktualisiert um 15:20:20 Uhr
Goto Top
Ziel ist es eben nicht unter einem angemeldeten User laufen zu lassen. Es ist ja ein Server. Als angemeldeter User kann ich bereits ohne GPO herum scannen, auch die Netzwerklaufwerke.
Nils02
Nils02 30.10.2024 um 15:23:05 Uhr
Goto Top
Hallo Mike,

der Admin für den Server hat ja dann vermutlich Zugriff darauf.
Das könnte funktionieren.

LG
NordicMike
NordicMike 30.10.2024 um 15:24:26 Uhr
Goto Top
Wenn der Admin das Laufwerk gemappt hat, bedeutet es doch nicht, dass Defender, dessen Dienst als SYSTEM gestartet ist, auch das Laufwerk sieht und sogar die Zugangsdaten vom Admin verwenden kann.
Spirit-of-Eli
Spirit-of-Eli 30.10.2024 um 15:25:44 Uhr
Goto Top
Was soll das für ein Konstrukt sein? Dann lass den Defender auf dem Fileserver selbst laufen oder eben jeden Client scannen.
Nils02
Nils02 30.10.2024 aktualisiert um 15:27:10 Uhr
Goto Top
Genau so müsste es ja aber funktionieren, sonst würde diese Funktion ja kaum Sinn ergeben.
Es werden dort ja die gemappten Laufwerke gescannt. Und diese sind mit gewissen User-Informationen gemountet.

Edit:
Zudem bin ich davon ausgegangen, dass es auf dem File Server läuft.
Spirit-of-Eli
Spirit-of-Eli 30.10.2024 um 15:26:52 Uhr
Goto Top
wenn das Laufwerk in irgend einer Forum für den User gemapped ist, dann wird dies durch die GPO gescannt.
NordicMike
NordicMike 30.10.2024 aktualisiert um 15:32:21 Uhr
Goto Top
Dann lass den Defender auf dem Fileserver selbst laufen oder eben jeden Client scannen.
Das ist ein FreeBSD, der einen anderen Virenscanner bekommt, wir mochten zwei unabhängige Virenscanner scannen lassen. Natürlich nicht parallel auf dem FreeBSD installiert, zumahl es die guten Antivirus Programme für FreeBSD gar nicht gibt.

Genau so müsste es ja aber funktionieren, sonst würde diese Funktion ja kaum Sinn ergeben.
Und wie scannt dann der Dienst, wenn niemand angemeldet ist und mehrere Admins existieren, die verschiedene Laufwerke gemappt haben? Wessen Zugangsdaten nimmt er dann her? Oder verweigert er den Dienst bis sich ein Admin anmeldet? Das klingt für mich nicht schlüssig.
Spirit-of-Eli
Spirit-of-Eli 30.10.2024 um 15:33:53 Uhr
Goto Top
Für den Defender muss so oder so irgend ein User angemeldet sein wenn das von einem Windows Host aus laufen soll.

An deiner Stelle würde ich den Enterprise Defender auf dem BSD installieren.
NordicMike
NordicMike 30.10.2024 um 15:42:13 Uhr
Goto Top
Ich finde keinen Enterprise Defender für BSD.
Spirit-of-Eli
Spirit-of-Eli 30.10.2024 um 15:53:12 Uhr
Goto Top
NordicMike
NordicMike 30.10.2024 um 15:57:23 Uhr
Goto Top
Schade, kein FreeBSD auf der Supportliste. Für BSD habe ich echt nur den Clamav gefunden, der war auch geplant um drauf zu kommen, aber dem Clamav alleine traue ich nur so weit, wie ich ihn werfen kann. Ich möchte einen zweiten Antivirus eines anderen Herstellers, der über SMB auf dem selben Server herum kratzt.
niveade
niveade 30.10.2024 um 16:23:40 Uhr
Goto Top
Frage: Wie kommen die Daten auf den Server? Wäre es nicht sinnvollerdie Daten zu scannen bevor sie auf dem Server landen?
NordicMike
NordicMike 30.10.2024 um 16:30:50 Uhr
Goto Top
Nur auf dem Client? Das wäre ja fatal, ein Fileserver ohne Antivirus. Und wenn ein Client eben doch infiziert wird, gibt es freie Fahrt face-smile
Spirit-of-Eli
Spirit-of-Eli 30.10.2024 um 18:44:11 Uhr
Goto Top
Zitat von @NordicMike:

Schade, kein FreeBSD auf der Supportliste. Für BSD habe ich echt nur den Clamav gefunden, der war auch geplant um drauf zu kommen, aber dem Clamav alleine traue ich nur so weit, wie ich ihn werfen kann. Ich möchte einen zweiten Antivirus eines anderen Herstellers, der über SMB auf dem selben Server herum kratzt.

Dort soll das anscheinend auch klappen.
https://learn.microsoft.com/en-us/answers/questions/1128484/onboard-pfse ...
NordicMike
NordicMike 31.10.2024 aktualisiert um 06:55:34 Uhr
Goto Top
Auch in dem Link kein Support. Wir sind schon im Bereich "hätte, müsste, sollte, könnte". Irgendwelche Verbiegungen und Experimente mache ich sicherlich nicht. Entweder es wird ordentlich supported mit automatischen Updates und bewährter guter Trefferquote usw oder ich plane was anderes, z.B. ein Microsoft Fileserver statt FreeBSD.
150940
150940 31.10.2024 aktualisiert um 07:11:47 Uhr
Goto Top
Wenn der Computer-Account auf dem der Defender läuft entsprechende Zugriffsrechte auf das Share hat (Share- und NTFS-Acls), sollte der auch ohne Anmeldung scannen können, unabhängig von irgendwelchen Mappings.

Gruß catrell
NordicMike
NordicMike 31.10.2024 um 07:37:19 Uhr
Goto Top
SMB Shares von FreeBSD kennen keine Computer-Accounts. Somit wären wir wieder bei einem Windows Fileserver.
150940
150940 31.10.2024 aktualisiert um 07:44:46 Uhr
Goto Top
Zitat von @NordicMike:

SMB Shares von FreeBSD kennen keine Computer-Accounts.

Doch, der Computer-Account ist auch nur ein Domain-Account mit Dollarzeichen am Ende, wenn dein FreeBSD also in die Domäne eingebunden ist kann dort auch der Computer-Account als Principle hinterlegt werden.
NordicMike
NordicMike 31.10.2024 um 07:53:46 Uhr
Goto Top
Der FreeBSD Server ist leider nicht in der Domäne face-sad
150940
150940 31.10.2024 um 08:00:59 Uhr
Goto Top
Autsch. Wieso nicht beheben?
NordicMike
NordicMike 31.10.2024 um 08:14:00 Uhr
Goto Top
Warum autsch? Das war Absicht, sonst wäre es ja ein Microsoft Server geworden ;)
Nils02
Nils02 31.10.2024 um 09:22:49 Uhr
Goto Top
Und warum dann nicht auf den Endpunkten, wo die User arbeiten, das Netzlaufwerk scannen lassen? So werden auch alle Laufwerke gescannt.
NordicMike
NordicMike 31.10.2024 aktualisiert um 09:35:12 Uhr
Goto Top
Weil die Daten nicht nur von Office Laptops gelesen werden, die einen Defender hätten. Bei einem infizierten Client oder Ransomware ist der FileServer dann ebenfalls hinüber. Du bist somit bereits der Zweite, der der Meinung ist, dass ein FileServer kein Antivirus benötigt. Es reicht wohl wenn die Clients einen Antivirus haben. Ich finde das sehr bedenklich, oder habe ich irgendwas an der aktuellen Entwicklung verpasst?
pebcak7123
pebcak7123 31.10.2024 um 10:01:44 Uhr
Goto Top
Inwiefern wäre denn der BSD- Fileserver "hinüber" wenn ein Client da einen Virus/Trojaner oä. auf dem share ablegt?
Der führt ja nichts aus was da abgelegt wird, klar der Client könnte mit den nötigen Rechten Dateien die im Share liegen manipulieren , löschen etc, aber das würde auch kein Antivirus auf dem Fileserver verhindern da das ja das normale Verhalten von Clients ist.
NordicMike
NordicMike 31.10.2024 aktualisiert um 10:30:50 Uhr
Goto Top
Sein Inhalt wäre hinüber, ja. Und damit auch eine Virenschleuder für alle Clients, die darauf zugreifen.

Das steht jedoch gar nicht zur Diskussion. Die Aufgabenstellung vom Vorgesetzten ist eben den FileServer Inhalt mit zwei verschiedenen und guten Scannern zu scannen.
Dani
Dani 01.11.2024 um 10:19:49 Uhr
Goto Top
Moin,
wir machen das mit einem PowerShell Skript und einer Scheduled Task + mit einem dedizierten Service Account, der auf das SMB Share Schreib/Modify-Rechte hat.


Gruß,
Dani
NordicMike
NordicMike 04.11.2024 um 09:53:32 Uhr
Goto Top
Ist das ein Domänen-Account? Startest du also den Defender mit dem Domänen-Account im Script?
Dani
Dani 04.11.2024 um 09:58:59 Uhr
Goto Top
Moin,
Ist das ein Domänen-Account? Startest du also den Defender mit dem Domänen-Account im Script?
Sowohl als auch. In der DMZ werden lokale Accounts verwendet. Im LAN ein AD Account.


Gruß,
Dani
NordicMike
NordicMike 04.11.2024 aktualisiert um 10:04:51 Uhr
Goto Top
Also, die Aufgabenplanung startet das Powershell Script mit einem lokalen Account. Dieser lokale Account hat ein SMB Laufwerk gemappt, der sich mit Domänencredentials am NAS authentifiziert hat. Im Script wird Defender angetriggert.

Soweit richtig so?
Dani
Dani 04.11.2024 um 10:14:40 Uhr
Goto Top
Moin,
Dieser lokale Account hat ein SMB Laufwerk gemappt, der sich mit Domänencredentials am NAS authentifiziert hat.
SMB Laufwerk nicht. Wir gehen auf den UNC Pfad.


Gruß,
Dani
NordicMike
NordicMike 04.11.2024 um 11:41:32 Uhr
Goto Top
Wie authentisiert sich dieser Account oder das Script gegenüber dem SMB Server?
Dani
Dani 04.11.2024 um 12:14:12 Uhr
Goto Top
Mit dem Account, welcher die Task ausführt.
NordicMike
NordicMike 04.11.2024 um 12:24:27 Uhr
Goto Top
Reicht es auf dem NAS und auf dem Server jeweils einen lokalen Account mit dem selben Login Namen und dem selben Passwort anzulegen? Also ohne Domainverbindung beider?
Dani
Dani 04.11.2024 um 16:00:09 Uhr
Goto Top
Müsste auch gehen.