alchimedes
Goto Top

Richtlinien bei Virenbefall

Hallo Admins ,

Mich wuerde interessieren nach welchen Richtlinien Ihr ,in eurem Arbeitsumfeld ,bei einem Befall eines Rechners mit Viren/Trojaner vorgeht.

Folgender Hintergrund:

Unser Unternehmen rund 70 Leute, verschiedene Abteilung , davon 2 die ne Menge Webresearch machen.
Zum Beispiel kommt es hier hin und wieder zu einem Befall durch den Besuch einer infizierten Webseite.

Wir gehen dann wie folgt vor:
1) Rechner vom Netz trennen. (Mitarbeiter bekommt ein Notfallnotebook)
2) Intensiver Scan des Rechners
3) Analyse der Bedrohung (z.B wo kam der her und hat der schon nach Hause telefoniert und Kameraden zu
sich eingeladen?)
4) Bereinigung des Rechners ( auch schon mal plattmachen und neu )
5) Protokollierung

Schult und informiert Ihr die Mitarbeiter z.B ueber Aktuelle Bedrohungen?
Wie handhabt Ihr Mobiledevices ? ( Hier hat mal ein Blackberry als Wirt gedient und beim Aufladen am Rechner
diesen dann infiziert...)


Gruss

Content-Key: 185958

Url: https://administrator.de/contentid/185958

Printed on: May 22, 2024 at 15:05 o'clock

Member: Mister-Wrong
Mister-Wrong Jun 05, 2012 at 11:52:03 (UTC)
Goto Top
Was verwendet Ihr den für einen Virusschutz?
Member: TuXHunt3R
TuXHunt3R Jun 05, 2012 at 12:08:31 (UTC)
Goto Top
Tag

Tönt grundsätzlich gut, aber bei Punkt 4 wäre ich für ein generelles Plattmachen, egal ob sich das Ding (teilweise) entfernen liess.

Gruss
TuXHunT3R
Member: Alchimedes
Alchimedes Jun 05, 2012 at 12:12:36 (UTC)
Goto Top
Hallo ,

Wir verwenden Sophos mit Onaccess und Web Scan.
Ausserdem werden jede Woche saemtliche Abteilung
zu Unterschiedlichen Zeiten ueber die Sophos Enterprise Console
gescannt.
Member: Alchimedes
Alchimedes Jun 05, 2012 at 12:15:07 (UTC)
Goto Top
Hallo,

das machen wir nur bei schwerwiegenden Befall wenn Sophos dieses nicht verhindern konnte.

Gruss
Member: Mister-Wrong
Mister-Wrong Jun 05, 2012 at 12:45:55 (UTC)
Goto Top
Member: DerWoWusste
DerWoWusste Jun 06, 2012 updated at 23:49:09 (UTC)
Goto Top
Hi.

Ich geh Dein Vorgehen mal kritisch mit ein paar Fragen an.
-habt Ihr die Zeit für solche Analysen (Scan, woher, Bereinigung)?
-habt Ihr das Wissen für solche Beurteilungen wie "wo kam der her" oder "plattmachen oder nicht?" oder "haben wir ihn wirklich entfernt?" ?
Ich behaupte, dass jemand, der das Wissen und die Zeit dafür tatsächlich hat, in der Lage sein sollte, Infektionen zu verhindern und besser fährt, als jemand, der auf diese Weise Infektionen bereinigt (oder es zumindest versucht...).

Mitarbeiter zu schulen ist prinzipiell richtig, aber bestimmt nicht über aktuelle Bedrohungen. Wie oft müsste man das bitte machen? Bald wöchentlich. Mobile Devices sind, wenn Privateigentum, bei uns verboten. Was per USB angesteckt wird, erzeugt Meldungen. Autostart ist sowieso aus (bei Vista/win7 eh default). Wenn bei uns ein Rechner infiziert würde (ist in den letzten 10 Jahren nicht vorgekommen), würde er plattgemacht. Da wir immer für alle PCs (Fat clients) aktuelle Images haben, ist ein Wiederherstellen auf einen Stand, der maximal 2 Wochen alt ist, jederzeit binnen 1 Std. möglich.
Member: Alchimedes
Alchimedes Jun 07, 2012 at 10:35:24 (UTC)
Goto Top
Hallo,

Danke fuer die Gedanken und Ansaetze!

@DerWoWusste

Im Prinzip haben wir keine Zeit. Nur wenn die Malware nicht geblockt wurde und zur Ausfuehrung kam
dann gehen wir die Sache an. Da wir hier zur Beweisfuehrung (wg. z.B Datenschutzverletzung)
verpflichtet sind. Das Know How ist vorhanden.

Wir nehmen dann z.B nen Rechner mit 2 Netzwerkkarten, da luebbt dann nen bsd und snort.
Dann sehen wir ja wohin der Rechner connectet.
Falls es noch keine Analyse der Malware gibt schicken wir ein Sample an die Antiviren-labs
oder wenn Zeit, gehen wir selbt an die Analyse.
Uns waere es auch nur Recht USB und Mobiledevices zu verbieten.Geht aber leider nicht.
Immerhin haben wir Devicecontroll so das nur zugelassene USB Sticks verwendet werden duerfen.

Und 10 Jahr kein Virus? Dann benutzt Ihr wohl kein Internet.
Wie schuetzt Ihr euch z.B vor 'Drive by Download' ?
Welche Antivirensoftware kommt bei euch zum Einsatz?

Danke und Gruss
Member: DerWoWusste
DerWoWusste Jun 07, 2012 at 12:03:56 (UTC)
Goto Top
Und 10 Jahr kein Virus? Dann benutzt Ihr wohl kein Internet.
Türlich.
Welche Antivirensoftware kommt bei euch zum Einsatz?
Früher McAfee VSE (4-8.7), jetzt KAV 6/KES 7 - tut aber nichts zur Sache, denn es hat seit über 10 Jahren kein Scanner mehr angeschlagen und somit auch nichts für uns getan.
Wie schuetzt Ihr euch z.B vor 'Drive by Download' ?
Internetzugang über Remotezugang (früher mittels nx nach Linux, jetzt seit 2 Jahren via RemoteApp nach 2008R2. Auf 2008R2 läuft applocker - sichere Sache.)
Member: C.R.S.
C.R.S. Jun 07, 2012 updated at 12:42:40 (UTC)
Goto Top
Zitat von @Alchimedes:
das machen wir nur bei schwerwiegenden Befall wenn Sophos dieses nicht verhindern konnte.

Hallo,

es führt unter wirtschaftlichen Gesichtspunkten kein Weg an der Neueinrichtung vorbei.
Man kann sich glücklich schätzen, wenn ein Virenscanner eine Kompromittierung anzeigt. Hingegen kann man auf die Identifikation nicht vertrauen und logischerweise auch nicht darauf, dass der Scanner irgendwas erfolgreich verhindert hätte.
Wenn einer "Analyse" und dem Bereinigen gegenüber der Neueinrichtung der Vorzug gegeben wird, spricht das in der Regel dafür, dass das Know How für eine fachgerechte Analyse eher nicht vorhanden ist, weil ansonsten der Aufwand der Neuinstallation geringer ist.

Grüße
Richard