Virenprüfung von Datenträgern
Hallo zusammen,
ich hätte mal eine Frage, wie Ihr das so handhabt mit Virenprüfungen von externen Daten - also Daten, die per USB oder CD ins Unternehmen kommen.
Gibt es hier charmante Umsetzungen?
mir fällt spontan folgendes ein:
extra PC nicht verbunden mit dem Firmennetz
mehr als eine Antivirensofttware auf diesem Rechner
vielleicht den Rechner in der DMZ
wie funktionieren dann Virendefinitionsupdates
Diesen Rechner dann jedesmal beim Neustart zurücksetzen lassen
Vielleicht hat jemand ja ein kleines Best Practice für mich...
Vielen Dank
Gruß
André
ich hätte mal eine Frage, wie Ihr das so handhabt mit Virenprüfungen von externen Daten - also Daten, die per USB oder CD ins Unternehmen kommen.
Gibt es hier charmante Umsetzungen?
mir fällt spontan folgendes ein:
extra PC nicht verbunden mit dem Firmennetz
mehr als eine Antivirensofttware auf diesem Rechner
vielleicht den Rechner in der DMZ
wie funktionieren dann Virendefinitionsupdates
Diesen Rechner dann jedesmal beim Neustart zurücksetzen lassen
Vielleicht hat jemand ja ein kleines Best Practice für mich...
Vielen Dank
Gruß
André
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 283507
Url: https://administrator.de/contentid/283507
Ausgedruckt am: 08.11.2024 um 11:11 Uhr
15 Kommentare
Neuester Kommentar
Wie handhabst du denn wenn Mitarbeite sich ihre privaten Laptops mitbringen oder Smartphones ins Unternehmens WLAN hängen. Oder den 10 Eiro AP im Büro installieren um per WLAN das Firmennetz zu nutzen.
Sorry aber die etwas laienhafte Art und Weise deiner Fragestellung zeigt doch ganz klar das du oder ihr keinerlei Sicherheits Policy für die Firma habt.
Bzw. ziemlich dillettantisch an das Thema geht indem du mit Halbwissen versuchst einen kleinen Teilaspekt einer Sicherheitsstrategie über ein Forum mit anderen Halbwissenden zu klären.
Genau der falsche Weg so ein wichtiges Problem anzugehen. Darüber solltest du mal in Ruhe nachdenken !
Sorry aber die etwas laienhafte Art und Weise deiner Fragestellung zeigt doch ganz klar das du oder ihr keinerlei Sicherheits Policy für die Firma habt.
Bzw. ziemlich dillettantisch an das Thema geht indem du mit Halbwissen versuchst einen kleinen Teilaspekt einer Sicherheitsstrategie über ein Forum mit anderen Halbwissenden zu klären.
Genau der falsche Weg so ein wichtiges Problem anzugehen. Darüber solltest du mal in Ruhe nachdenken !
Hallo,
Wieso, macht deine Antiviren Software denn kein Scan von diesen Datenträgern wenn darauf zugegriffen wird? Ein Dir *.* /S reicht doch schon aus um den Datenträger zu scannen....Aber auch von der Antiviren Software sollte doch ein Scan angestoßen werden können...
Gruß,
Peter
Wieso, macht deine Antiviren Software denn kein Scan von diesen Datenträgern wenn darauf zugegriffen wird? Ein Dir *.* /S reicht doch schon aus um den Datenträger zu scannen....Aber auch von der Antiviren Software sollte doch ein Scan angestoßen werden können...
mehr als eine Antivirensofttware auf diesem Rechner
Das ist eine der schlechtesten Ideen, mehr als ein Antiviren Programm im OS zu fahren...wie funktionieren dann Virendefinitionsupdates
Internet?Diesen Rechner dann jedesmal beim Neustart zurücksetzen lassen
Wenn du möchtest.Vielleicht hat jemand ja ein kleines Best Practice für mich...
Deine eingesetzte Antiviren Lösung sowie dein Konzept wird es dir sagen....Gruß,
Peter
Hi.
-Virenscanner scannen per se alles, was in den RAM gelangt, also auch wenn man es von externen Datenträgern startet.
-Mehrere Virenscannern nutzen zu wollen wird kaum klappen - ab wann willst Du Dich sicher fühlen, bei 2 Scannern, oder bei 10? Wird endlos dauern, bevor Deine Dateien aufgehen. Also begnüg Dich mit einem oder nimm einen anderen Ansatz, zum Beispiel Whitelisting von Applikationen (Applocker/Software restriction Policies/device guard), dann braucht überhaupt nicht gescannt zu werden.
-man kann auf Wechseldatenträgern generell das Ausführen von Executables per GPO verbieten (natürlich kann man noch Makroviren von dortigen Dokumenten starten oder Executables runterkopieren und von Platte starten)
-Virenscanner scannen per se alles, was in den RAM gelangt, also auch wenn man es von externen Datenträgern startet.
-Mehrere Virenscannern nutzen zu wollen wird kaum klappen - ab wann willst Du Dich sicher fühlen, bei 2 Scannern, oder bei 10? Wird endlos dauern, bevor Deine Dateien aufgehen. Also begnüg Dich mit einem oder nimm einen anderen Ansatz, zum Beispiel Whitelisting von Applikationen (Applocker/Software restriction Policies/device guard), dann braucht überhaupt nicht gescannt zu werden.
-man kann auf Wechseldatenträgern generell das Ausführen von Executables per GPO verbieten (natürlich kann man noch Makroviren von dortigen Dokumenten starten oder Executables runterkopieren und von Platte starten)
Hallo,
- Sollten es doch einmal Datenträger von Kunden oder Geschäftspartnern sein
werden sie vorher gescannt, bevor sie freigegeben werden.
Auf jedem Server, jedem Klient sei es WLAN oder LAN angebunden ist ein AV Scanner
installiert, als Firewall dient eine UTM und mittels BYOD WLAN Klienten darf niemand
auf das Firmennetzwerk zugreifen, fertig.
sie dann auf Servern frei.
Gruß
Dobby
ich hätte mal eine Frage, wie Ihr das so handhabt mit Virenprüfungen von externen Daten -
also Daten, die per USB oder CD ins Unternehmen kommen.
- USB und CDs sind nicht erlaubt und die Nutzung via GPOs unterbunden.also Daten, die per USB oder CD ins Unternehmen kommen.
- Sollten es doch einmal Datenträger von Kunden oder Geschäftspartnern sein
werden sie vorher gescannt, bevor sie freigegeben werden.
Gibt es hier charmante Umsetzungen?
Nein nur rigorose Umsetzungen denn sonst macht jeder was er will.extra PC nicht verbunden mit dem Firmennetz
und was soll der dann scannen?Auf jedem Server, jedem Klient sei es WLAN oder LAN angebunden ist ein AV Scanner
installiert, als Firewall dient eine UTM und mittels BYOD WLAN Klienten darf niemand
auf das Firmennetzwerk zugreifen, fertig.
mehr als eine Antivirensofttware auf diesem Rechner
Ist eh verpönt und sollte nicht gemacht werdenvielleicht den Rechner in der DMZ
Was soll der da bei den Servern?wie funktionieren dann Virendefinitionsupdates
InternetDiesen Rechner dann jedesmal beim Neustart zurücksetzen lassen
Man kann auch einen Intel NUC nehmen und dort dann die c´t disinfec´t drauf installierenVielleicht hat jemand ja ein kleines Best Practice für mich...
Verbiete USB und CD und wenn das von Kunden kommt scanne sie vorher ab und gibtsie dann auf Servern frei.
Gruß
Dobby
Was hier nichts zum Thema beiträgt. Es hat schon seinen Grund, warum Microsoft inzwischen Windows standardmäßig mit eingebautem Virenscanner (Windows Defender) ausliefertn.
Die Empfehlung eines mittelmäßigen bis schlechten Virenscanners, führt den Leser hier in die Irre, da eine Zwei-Engine-Strategie von vorne rein als "besser" angesehen wurde, nach den Vorpostern. Wenn also dein Beitrag hier als hilfreich angesehen wird, dann war es meiner tatsächlich nicht.
Davon ab:
Jedes Unternehmen sollte einen IT Security Leitfaden haben. Quasi ein funktionierendes Sicherheitskonzept. Dabei gibt es dann eine Menge Strategien die es ermöglichen auf Kundendaten zu zugreifen ohne das eigene Netzwerk einer Gefahr auszusetzen.
Wenn ich das nicht überlesen habe würde ich mich freuen hier das Sicherheitskonzept von dem ersten Poster zu lesen. Gemeinsam können wir es dann ja optimieren.
Davon ab:
Jedes Unternehmen sollte einen IT Security Leitfaden haben. Quasi ein funktionierendes Sicherheitskonzept. Dabei gibt es dann eine Menge Strategien die es ermöglichen auf Kundendaten zu zugreifen ohne das eigene Netzwerk einer Gefahr auszusetzen.
Wenn ich das nicht überlesen habe würde ich mich freuen hier das Sicherheitskonzept von dem ersten Poster zu lesen. Gemeinsam können wir es dann ja optimieren.
Die Empfehlung eines mittelmäßigen bis schlechten Virenscanners, führt den Leser hier
in die Irre, da eine Zwei-Engine-Strategie von vorne rein als "besser" angesehen wurde,
Wer will das denn entscheiden wollen und vor allen Dingen von wem lasse ich mir als Adminin die Irre, da eine Zwei-Engine-Strategie von vorne rein als "besser" angesehen wurde,
das denn abnehmen! das muss und kann nur jeder für sich alleine entscheiden oder aber
er bekommt es per "Direktive A" aufoktroyiert, von einem Vorgesetzten.
Wenn ich vorne am WAN Interface eine UTM mit AV & Malware Scann einsetze und auf
den Servern und Klienten eine Server gestützte AV Lösung installieren und sogar auf
Linux Servern einen AV Schutz installiert habe reicht mir das zur Verwaltung auch erst
einmal aus und so eine Scann Station mit heise disinfec´t Vollinstallation oder vom USB
Stick ist auch schnell erledigt also was solle es denn, ein kleiner Intel NUC reicht dafür
völlig aus.
Gruß
Dobby