
77282
06.05.2016
Virenscanner auf Server
Hallo,
wieder einmal ist bei mir im Unternehmen die Frage aufgekommen: Ist ein Virenscanner auf einem Server sinnvoll?
laut Microsoft und heise bringt dies ja keinen Sicherheitsgewinn.
Wie seht ihr das?
Wann macht es sinn und wann macht es keinen Sinn einen Virenscanner-Client auf einem Server zu installieren?
wieder einmal ist bei mir im Unternehmen die Frage aufgekommen: Ist ein Virenscanner auf einem Server sinnvoll?
laut Microsoft und heise bringt dies ja keinen Sicherheitsgewinn.
Wie seht ihr das?
Wann macht es sinn und wann macht es keinen Sinn einen Virenscanner-Client auf einem Server zu installieren?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 303832
Url: https://administrator.de/forum/virenscanner-auf-server-303832.html
Ausgedruckt am: 06.04.2025 um 00:04 Uhr
24 Kommentare
Neuester Kommentar
Hallo,
es kommt immer drauf an, was ist das für ein Server und was macht dieser Server.
Bestimmte dienste brauchen eine andere Art von Scanner als man vom Desktop gewohnt ist.
Für AD und Datenbanken müssen z.B. Ausschlüsse definiert werden können oder der Scanner muss selbst checken das es ein DC ist und die AD Verzeichnisse in Ruhe lassen.
Eine Exchangedatenbank braucht spezielle scanner und und und.
Auf einem Dateiserver macht es durchaus sin, aber nicht nur Viren sondern auch Malwarescanner und die Daten die dort liegen zu schützen.
Mit ja oder nein kann man die Frage nicht beantworten. Es kommt immer drauf an was für ein Server (auch OS) und welch Dienste laufen darauf.
Und dann ein Sicherheitskonzept für die Spezielle Aufgabe.
Gruß
Chonta
es kommt immer drauf an, was ist das für ein Server und was macht dieser Server.
Bestimmte dienste brauchen eine andere Art von Scanner als man vom Desktop gewohnt ist.
Für AD und Datenbanken müssen z.B. Ausschlüsse definiert werden können oder der Scanner muss selbst checken das es ein DC ist und die AD Verzeichnisse in Ruhe lassen.
Eine Exchangedatenbank braucht spezielle scanner und und und.
Auf einem Dateiserver macht es durchaus sin, aber nicht nur Viren sondern auch Malwarescanner und die Daten die dort liegen zu schützen.
Mit ja oder nein kann man die Frage nicht beantworten. Es kommt immer drauf an was für ein Server (auch OS) und welch Dienste laufen darauf.
Und dann ein Sicherheitskonzept für die Spezielle Aufgabe.
Gruß
Chonta
Zitat von @77282:
laut Microsoft und heise bringt dies ja keinen Sicherheitsgewinn.
Wie seht ihr das?
laut Microsoft und heise bringt dies ja keinen Sicherheitsgewinn.
Wie seht ihr das?
Man köntne sich natürlich darüber auslassen, ob Schlangenöl überhaupt ein Sicherheitsgewinn ist oder ob man damit wenigstens eine Fliegenklatsche hat, mit der man (nur) die langsamen Fliegen erwischt.
Man muß beim Einsatz eines Virenscanners vieles berücksichtigen:
- Reiße ich mir dadruch eher ein Loch in meine Sicherheitsarchitektur? Denn imemr öfter sind auch Virenscanner Ansatzpunkte für Exploits.
- Wie doof sind meine User? Klicken die auf alles, was bei drei nicht von der Platte runter ist? Da kann es sinnvoll sein, Virenscanner zu installieren, damit das wenigstens den groben Dreck wegfängt.
- Kommt mein System überhaupt mit "potentieller Malware" in Berührung? Isolierte System brauchen seltenst einen Malware-schutz.
- usw.
Lage Rede kurzer Sinn: Jeder der fragen muß, ob er überhaupt einen Virenscanne rbraucht, soltle sich einen installieren. Denn der weiß i.d.R. nicht, welche Alternativen Methoden (Applocker, Stark eingeschränkt Userrechte und ACLs etc.) wie anzuwenden sind.
lks
Hallo.
Auf allen unseren Windows-Servern ist der gleiche AV-Schutz (hier: Trend Micro) drauf wie auf allen Clients. Grund: Alle Server können auf's Internet zugreifen, obendrein kann mal eine verseuchte Datei den Weg auf den Fileserver gefunden haben, weil das Pattern am Client nicht schnell genug aktualisert wurde, in diesen Fällen wird er dann beim nächsten Scan, wenn spätestens dann am Fileserver das Pattern aktuell ist, gefunden.
Wer ohnehin einen Business-/Enterprise-AV-Schutz verwendet, wird die paar Mark für die zusätzlichen Lics. auf den Servern vermutlich auch noch haben.
Einziger, aber wichtiger Unterschied zu den Clients: Ausgenommene (ausgenommen vom AV-San) Pfade lt. dieser Microsoft-Anleitung:
https://support.microsoft.com/de-de/kb/822158
Die Ausnahmen dienen dazu, Performanceengpässe zu verhindern oder Prozesse nicht zu stören, bei denen ein AV-Scan entweder stört und/oder nichts bringt.
Beispiel: Es bringt nichts, die Exchange-Datenbank durchscannen zu lassen, selbst bei positivem Virenbefall in einer E-Mail würde der Scanner dies in der DB nicht bemerken, dafür reißt der Scan aber die Performance runter.
Dafür unter Exchange natürlich eine entsprechende Messaging-Security einsetzen, die wirklich die Mails am Exchangeserver durchscannt.
Mein Fazit: Virenscan auf allen Servern, jedoch Ausnahmepfade beachten!
Viele Grüße
von
departure69
Auf allen unseren Windows-Servern ist der gleiche AV-Schutz (hier: Trend Micro) drauf wie auf allen Clients. Grund: Alle Server können auf's Internet zugreifen, obendrein kann mal eine verseuchte Datei den Weg auf den Fileserver gefunden haben, weil das Pattern am Client nicht schnell genug aktualisert wurde, in diesen Fällen wird er dann beim nächsten Scan, wenn spätestens dann am Fileserver das Pattern aktuell ist, gefunden.
Wer ohnehin einen Business-/Enterprise-AV-Schutz verwendet, wird die paar Mark für die zusätzlichen Lics. auf den Servern vermutlich auch noch haben.
Einziger, aber wichtiger Unterschied zu den Clients: Ausgenommene (ausgenommen vom AV-San) Pfade lt. dieser Microsoft-Anleitung:
https://support.microsoft.com/de-de/kb/822158
Die Ausnahmen dienen dazu, Performanceengpässe zu verhindern oder Prozesse nicht zu stören, bei denen ein AV-Scan entweder stört und/oder nichts bringt.
Beispiel: Es bringt nichts, die Exchange-Datenbank durchscannen zu lassen, selbst bei positivem Virenbefall in einer E-Mail würde der Scanner dies in der DB nicht bemerken, dafür reißt der Scan aber die Performance runter.
Dafür unter Exchange natürlich eine entsprechende Messaging-Security einsetzen, die wirklich die Mails am Exchangeserver durchscannt.
Mein Fazit: Virenscan auf allen Servern, jedoch Ausnahmepfade beachten!
Viele Grüße
von
departure69
selbst bei positivem Virenbefall in einer E-Mail würde der Scanner dies in der DB nicht bemerken
Sei dir da mal nicht so sicher.
LG Günther
Zitat von @77282:
@Chonta : Warum macht es deiner Meinung nach sinn einen Virenscanner auf einem Dateiserver laufen zu lassen?
Auf dem Dateiserver wird ja die Datei nicht ausgeführt, sondern erst wenn der Client diese Datei öffnen will, so sollte der Client den Virus erkennen. Dem Server ist dies doch relativ egal oder?
@Chonta : Warum macht es deiner Meinung nach sinn einen Virenscanner auf einem Dateiserver laufen zu lassen?
Auf dem Dateiserver wird ja die Datei nicht ausgeführt, sondern erst wenn der Client diese Datei öffnen will, so sollte der Client den Virus erkennen. Dem Server ist dies doch relativ egal oder?
Es geht doch nicht darum, daß sie ausgeführt wird oder werden muß.
Der User tätigt einen Download und speichert die Datei in seinem zugewiesenen Homelaufwerk ab, das im Dateiserver residiert. Die Datei enthält Schadcode neuester Art.. Das Clientpattern war zum Zeitpunkt des DL nicht aktuell. Stunden später ist das Pattern dann aber auf dem Fileserver aktuell. Der nächste Vollscan (auf meinem Fileserver jeden Mittag um 12.00 Uhr) findet die schadcodebehaftete Datei und behandelt sie entsprechend (säubern, Quarantäne, löschen usw.). Wüßte jetzt nicht, was daran falsch sein soll. Sie muß nicht ausgeführt werden, die schiere Existenz von Schadcode genügt ja wohl, denke ich. Und irgendwann wird der User den Download vermutlich mal benutzen wollen.
Viele Grüße
von
departure69
Zitat von @GuentherH:
Sei dir da mal nicht so sicher.
Ich hatte durchaus schon Supportfälle bei denen der Virenscanner einen Virus in der DB erkannte und dann die DB zerstörte oder genauso schlimm das Transaktionslog löschte.
selbst bei positivem Virenbefall in einer E-Mail würde der Scanner dies in der DB nicht bemerken
Sei dir da mal nicht so sicher.
Deshalb sind die Ausnahmepfade ja so wichtig, wie ich schrieb.
LG Günther
Viele Grüße
von
departure69
Hallo,
die Daten werden aber auch auf den Server geschrieben und jeh nachdem könnte ein auf dem Server installierter Scanner dann eine befallene Datei erkennen.
Wenn Client und Server denselben Scanner haben dann wird der Server vermutlich nix finden was der Client nicht gefunden hat.
Der Scanner auf dem Server kann den Datenbestand am Wochenende scannen und somit befallene Dateien erkennen die beim schreiben noch nicht gefunden wurden und in der Zwischenzeit auch nicht angefasst wurden.
Sicherheit ist halt immer ein ganzes Konzept und nicht nur ein Scanner.
Gruß
Chonta
die Daten werden aber auch auf den Server geschrieben und jeh nachdem könnte ein auf dem Server installierter Scanner dann eine befallene Datei erkennen.
Wenn Client und Server denselben Scanner haben dann wird der Server vermutlich nix finden was der Client nicht gefunden hat.
Der Scanner auf dem Server kann den Datenbestand am Wochenende scannen und somit befallene Dateien erkennen die beim schreiben noch nicht gefunden wurden und in der Zwischenzeit auch nicht angefasst wurden.
Sicherheit ist halt immer ein ganzes Konzept und nicht nur ein Scanner.
Gruß
Chonta
Servus Kollegen,
ich handhabe die Thematik ähnlich wie viele Kollegen.
D.h. ein Server benötigt/verfügt über Internetzugriff, ist ein Virenscanner installiert; entsprechende Ausnahmeregelungen sind natürlich auch eingetragen.
Ein weiterer Grund für AV-Scanner auf Servern ist die seit einigen Monaten vorhandene Möglichkeit, sog. Verhaltensauffälligkeiten in Bezug auf diese Ransomware zu erkennen (und hoffentlich an weiterem Befall zu hindern!).
Gruß
VGem-e
ich handhabe die Thematik ähnlich wie viele Kollegen.
D.h. ein Server benötigt/verfügt über Internetzugriff, ist ein Virenscanner installiert; entsprechende Ausnahmeregelungen sind natürlich auch eingetragen.
Ein weiterer Grund für AV-Scanner auf Servern ist die seit einigen Monaten vorhandene Möglichkeit, sog. Verhaltensauffälligkeiten in Bezug auf diese Ransomware zu erkennen (und hoffentlich an weiterem Befall zu hindern!).
Gruß
VGem-e
Ergänzend würde ich noch zwei Dinge in den Raum stellen auch wenn sie vieleicht klar sind:
- Terminal Server sind zu behandeln wie Clients.
- Diverse Versicherungen oder ISO-Zertifizierungen erwarten einen "aktuellen Virenschutz". Hat man ihn nicht, wird einem Fahlässigkeit oder sonstwas unterstellt. Hat man ihn und er taugt nichts kümmert es keinen.
Meine persönliche Meinung geht eher Richtung Schlangenöl und auf ein False-Positive im Systempfad auf einem Domänenkontroller oder einem Exchange hab ich ja mal sowas von keinen Bock. Ich würde sagen meistens wird die Sicherheit nicht verbessert, die Performance verschlechtert und Betrieb und Wartung erschwert. Ich rufe aber auf einem Server auch keinen Browser auf (wenn er überhaupt Internet hat) und meine User haben nur auf sehr wenigen Systemen Schreibrechte. Fileserver und Terminal Server sind natürlich was besonderes.
- Terminal Server sind zu behandeln wie Clients.
- Diverse Versicherungen oder ISO-Zertifizierungen erwarten einen "aktuellen Virenschutz". Hat man ihn nicht, wird einem Fahlässigkeit oder sonstwas unterstellt. Hat man ihn und er taugt nichts kümmert es keinen.
Meine persönliche Meinung geht eher Richtung Schlangenöl und auf ein False-Positive im Systempfad auf einem Domänenkontroller oder einem Exchange hab ich ja mal sowas von keinen Bock. Ich würde sagen meistens wird die Sicherheit nicht verbessert, die Performance verschlechtert und Betrieb und Wartung erschwert. Ich rufe aber auf einem Server auch keinen Browser auf (wenn er überhaupt Internet hat) und meine User haben nur auf sehr wenigen Systemen Schreibrechte. Fileserver und Terminal Server sind natürlich was besonderes.

Ich denke, es hängt auch davon ab, um was für einen Server es sich handelt.
Einen SBS-Server z.B., der über seine Kernfunktion (AD, Exchange, WSUS, ggf. noch Sharepoint) hinaus noch Dinge erledigt, die einen Virenscanner erfordern, betrachte ich grundsätzlich erst einmal als überfordert und versaubeutelt
Einen SBS-Server z.B., der über seine Kernfunktion (AD, Exchange, WSUS, ggf. noch Sharepoint) hinaus noch Dinge erledigt, die einen Virenscanner erfordern, betrachte ich grundsätzlich erst einmal als überfordert und versaubeutelt
- AD/DC
- Exchange
- SQL
- File
- CAD
- Print
- Sharepoint
- CRM
Schützen wir mit Eset File/Exchange Security
Die entsprechenden Ausnahmen und schon gibt es keinerlei Problem mehr.
Der Kauf hat schon mehr als rentiert, denn wenn ein Client User etwas speichern will, so scannt Eset Serverseitig und verweigert wenn schadhaft oder nicht erlaubt, halt den Zugriff auf den Server.
Nachteile gibt es weniger als keine und Performanceeinbussen existieren auch keine. Wenn man den Scanner korrekt konfiguriert und anpasst an den Server.
- Exchange
- SQL
- File
- CAD
- Sharepoint
- CRM
Schützen wir mit Eset File/Exchange Security
Die entsprechenden Ausnahmen und schon gibt es keinerlei Problem mehr.
Der Kauf hat schon mehr als rentiert, denn wenn ein Client User etwas speichern will, so scannt Eset Serverseitig und verweigert wenn schadhaft oder nicht erlaubt, halt den Zugriff auf den Server.
Nachteile gibt es weniger als keine und Performanceeinbussen existieren auch keine. Wenn man den Scanner korrekt konfiguriert und anpasst an den Server.
Zitat von @AlFalcone:
Schützen wir mit Eset File/Exchange Security
Die entsprechenden Ausnahmen und schon gibt es keinerlei Problem mehr.
Schützen wir mit Eset File/Exchange Security
Die entsprechenden Ausnahmen und schon gibt es keinerlei Problem mehr.
Das schützt aber nur solange, solange nicht jemand direkt ausnutzt, daß Ihr Eset verwendet.
Wie ich schon oben sagte. Durch AV-Software handelt man sich einen zusätzlichen Angriffsvektor ein, den man bei der Planung berücksichtigen muß.
lks

Warum? Oder war das jetzt ironisch gemeint?
Nein, nicht ironisch.
Auf einem SBS laufen alle Dienste und ist ggf auch direkt über das Internet erreichbar.
Entweder auf dem Server selber oder noch vor dem Server muss ein Scanner für die Mails hin.
Da der SBS auch Fileserver ist gilt auch das was schon vorher zu Fileserver gesagt wurde.
Die Mehrleistung die jetzt noch ein Scanner auf dem System zieht, sollte nicht weiter auffallen (wenns ein guter ist und der Server nicht unterdimensioniert wurde)
Gruß
Chonta
Auf einem SBS laufen alle Dienste und ist ggf auch direkt über das Internet erreichbar.
Entweder auf dem Server selber oder noch vor dem Server muss ein Scanner für die Mails hin.
Da der SBS auch Fileserver ist gilt auch das was schon vorher zu Fileserver gesagt wurde.
Die Mehrleistung die jetzt noch ein Scanner auf dem System zieht, sollte nicht weiter auffallen (wenns ein guter ist und der Server nicht unterdimensioniert wurde)
Gruß
Chonta

Gut, dann habe ich tatsächlich eine andere Strategie.
Ich bastel da in der Regel eine Firewall und eine Linux-Maschine davor, die die Portforwardings bekommt und den Server abschirmt (reverser Proxy für 's OWA bzw. Autodiscover und POP3-Abruf via fetchmail).
Funktioniert übrigens wunderbar
Datei- und Druckserver kommt bei mir auf eine andere VM.
Wobei ich mal behaupte, dass Angriffe sowieso nicht vom Virenscanner erfasst werden. Letztendlich zielen die ja eher auf Sicherheitslöcher als auf Malware.
Ein Virenscanner gehört dorthin, wo die Logik des Virus aktiv ist. In meinen Augen sind das der Terminalserver und die Arbeitsplatzrechner.
Aber ich denke, das ist ein Thema, dass man leidenschaftlich diskutieren kann ohne zu einem Ergebnis zu kommen. Mein Einwand wäre nur: Wenn Dir der Virenscanner eine Komponente deines Exchange / SBS / Sharepoint wegbombt und es ganz dumm läuft und der Server u.U. ein Wochenende mit den beschädigten Komponenten weiterläuft, dann ist das Teil definitiv "im Popo".
Ich bastel da in der Regel eine Firewall und eine Linux-Maschine davor, die die Portforwardings bekommt und den Server abschirmt (reverser Proxy für 's OWA bzw. Autodiscover und POP3-Abruf via fetchmail).
Funktioniert übrigens wunderbar
Datei- und Druckserver kommt bei mir auf eine andere VM.
Wobei ich mal behaupte, dass Angriffe sowieso nicht vom Virenscanner erfasst werden. Letztendlich zielen die ja eher auf Sicherheitslöcher als auf Malware.
Ein Virenscanner gehört dorthin, wo die Logik des Virus aktiv ist. In meinen Augen sind das der Terminalserver und die Arbeitsplatzrechner.
Aber ich denke, das ist ein Thema, dass man leidenschaftlich diskutieren kann ohne zu einem Ergebnis zu kommen. Mein Einwand wäre nur: Wenn Dir der Virenscanner eine Komponente deines Exchange / SBS / Sharepoint wegbombt und es ganz dumm läuft und der Server u.U. ein Wochenende mit den beschädigten Komponenten weiterläuft, dann ist das Teil definitiv "im Popo".

Ja. Dennoch hat sich in der IT häufig bewahrheitet, dass die schlimmste Vermutung auch die Treffendste ist
Meiner würde sich vermutlich auch nicht beschweren. Fairerweise muss man allerdings sagen, dass RAM und CPU-Leistung vor 5 Jahren deutlich spärlicher gesät waren. Heutzutage virtualisiert man so etwas weg...