gelöst Windows Server "mit" oder "ohne" Antivirensoftware

Mitglied: Dr.Mabuse

Dr.Mabuse (Level 1) - Jetzt verbinden

12.08.2020 um 11:24 Uhr, 2884 Aufrufe, 23 Kommentare, 3 Danke

Antiviren-Software: Fluch oder Segen?

Die Frage der Sinnhaftigkeit von Antiviren-Software ist nicht neu
Die Software kostet Performance, sorgt oft für Inkompatibilitäten
und kann niemals wirklich jede Schadsoftware abhalten.

Ich habe bisher in Betrieben gearbeitet, in denen jeder Server (auch der Exchange) mit einer AV Software gesichert war.
Nun bin ich in einer Firma gelandet, die sich da weigert, entsprechende AV Software zu installieren.
... und gefüllt sind die Informationen die man mir zu dem Thema gibt von Anno xxxx bzw. die gleichen wie oben schon erwähnt.

Mein Frage an Euch ist da, nach Euren Erfahrungen mit AV Software auf den Servern.

Wir haben inzwischen alle Server auf virtuell umgestellt (Windows Server 2008 bis 2016)

(Es geht um die AV Software auf Servern, nicht um die auf den Clients!)

Beste Grüße


@Forumsadministrator: Habe gesucht, aber keine vergleichbare Frage hier im Forum gefunden.
Mitglied: Looser27
12.08.2020 um 11:31 Uhr
Moin,

seit Windows 2016 reicht m.M.n. der Defender aus, solange eine gescheite Firewall Lösung nach aussen absichert.
In letzten Vergleichen lag der Defender ausserdem immer auf den vorderen Plätzen, was ihn zumindest auf unseren Servern für mich zur ersten Wahl macht.

Gruß

Looser
Bitte warten ..
Mitglied: SeaStorm
12.08.2020 um 11:38 Uhr
Hi

das ist meiner Meinung nach Situationsabhängig. Ein reiner Server der irgendeinen Dienst anbietet wie SQL, der braucht das nicht.
Ein File oder Terminalserver macht da durchaus Sinn, weil hier einfach der User Dateien hochladen und beim Terminalserver auch ausführen kann.

Ansonsten nehme ich bei Server2019 einfach den Defender, wenn da auf dem Server noch dritte Zugriff haben. Fachabteilung, Dienstleister oÄ.

Meine persönliche Meinung zu AV Scannern ist ganz pauschal: Für Endanwender installieren, weil die einfach alles anklicken. Lieber etwas Schutz als gar keinen. Die Dinger sind zwar Snakeoil und bringen bei einem echten Angreifer gar nichts, aber zumindest das allgemeine "Virenrauschen" bekommen sie halbwegs abgefangen
Bitte warten ..
Mitglied: VGem-e
12.08.2020 um 11:55 Uhr
Moin,

bei uns haben (Vorgabe!) alle Server einen AV zu verwenden.
Wie die Kollegen schon schrieben, abhängig vom Serverzweck entweder MS-eigen oder Fremdhersteller.

Gruß
Bitte warten ..
Mitglied: Dr.Mabuse
12.08.2020 um 12:07 Uhr
Erst einmal danke an die ersten Antworten.

Einschränkungen z.B. beim Exchange und Datenbankfehler oder crashes beim Exchange habt Ihr bisher noch nicht erlebt, oder?
Es heißt ja immer wieder, dass die gekauften AV immer wieder mal die Exchange Datenbank zersemmelt, selbst bei einem Exclude der Bereiche.
Bitte warten ..
Mitglied: WienersC
12.08.2020 um 12:13 Uhr
ESET z.B. bietet getrennte Module für Clients, Exchange- und Fileserver an. Nie Probleme mit gehabt seit Jahren.
Bitte warten ..
Mitglied: Tezzla
12.08.2020 um 12:14 Uhr
Bei einigen Herstellern gibt es für Mailserver, speziell Exchange, angepasste Produktversionen, bspw. die ESET Mail Security.
Hier würde ich sogar sagen, dass es weit über den klassischen AV Schutz hinaus geht, da der Mailverkehr überprüft wird, bevor der User das Objekt in seinem Postfach hat.

Probleme mit dieser Anwendung hatten wir auf diversen Servern noch keine.

VG
Tezzla
Bitte warten ..
Mitglied: Fabezz
12.08.2020 um 12:36 Uhr
Hi,
es sollte immer und überall ein AV installiert sein sonst bringt es nichts. Bei einem Befall würde es in deinem Fall schlecht aussehen denn hier ist dann die Verseuchungsgefahr der Server sehr groß. Noch dazu erschwert es zu Analysieren da hier dann weitere Logdateien einfach nicht vorhanden sind.
Des Weiteren würde ich hier auch noch die Rechtsabteilung der Firma mit ins Boot holen denn im Fall der Fälle kann die Versicherung sagen dass grobfahrlässige Handlung besteht und diese den Schaden nicht übernehmen. -> sprich die sollen das mit der Verischerung klären bzw. das Kleingedruckte lesen.

Grüße.
Bitte warten ..
Mitglied: NetzwerkDude
12.08.2020 um 12:37 Uhr
Für Exchange gibts von MS einen Aritkel was man vom AV Krempel ausschließen sollte:
https://docs.microsoft.com/de-de/exchange/antispam-and-antimalware/windo ...
Bitte warten ..
Mitglied: nachgefragt
12.08.2020, aktualisiert um 13:08 Uhr
Zitat von Dr.Mabuse:
Wir haben inzwischen alle Server auf virtuell umgestellt (Windows Server 2008 bis 2016)
Wenn ihr noch 2008 einsetzt dann... .

Sobald Benutzer auf die Kisten kommen ist eine AV-Software an, und auch ein Windows Defender fällt für mich darunter. Bei allen anderen Servern frage ich den Softwarehersteller um Rat... kurios trifft es nicht ansatzweise was da erzählt wird.

Exchange ist wieder speziell, z.B:
GRAVITYZONE SECURITY FOR EXCHANGE
Sophos PureMessage für Microsoft Exchange
...

Wenn deine neue Firma bisher noch keinen Fall hatte und damit keinen Grund zur Installation sieht, ist hoffentlich das Backup nach GFS gesichert . Oder die Segmentierung schottet die Systeme ab, oder oder oder...
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
12.08.2020 um 13:40 Uhr
also Virenscanner oder nicht das sollte keine Frage sein, aber welcher?

Defender und co (z.B. Smartscreen) sind immer dann besser, wenn es drum geht Server mit Microsoft-Serverprodukten abzusichern. Man geht davon aus daß ein Microsoft-Virenscanner Microsoft-Produkte kennt und damit minimiert sich der Administrationsaufwand.

Bei anderen Herstellern muß man z.T. extrem aufpassen, weil die z.T. userbasierte Reputationssysteme mit in die Risikobewertung von Software einfließen lassen, und wenn man dann eine Spartensoftware hat die weltweit nur 20.000 mal installiert ist dann kennt das Votingsystem von dem AV Hersteller X und Y die angemeckerte Datei nicht und schickt die in Quarantäne.

Ist eine nevern ending Story, aber ganz ohne... nun ja no risk no fun. Den defender gibts für 2008 ohne R2 nicht
Bitte warten ..
Mitglied: Dr.Mabuse
12.08.2020 um 15:28 Uhr
Also seit Ihr, genauso wie ich selbst ja auch, der einhelligen Meinung dass es so nicht geht
Da bin ich schon mal ein klein wenig beruhigter, ich dachte schon, irgendeine neue Informationswelle ist an mir vorbeigerauscht

Euch allen meinen herzlichen Dank, für eure Zahlreichen Hinweise.

Der Hinweis mit der Versicherung ist schon mal gut, ich gehe aber jede Wette ein dass es keine gibt
Die Datensicherung kommt von meiner brain.exe und ist mit einer reverse incremental backup ausreichend nach dem Standard Verfahren abgesichert.

Wenn jetzt noch irgendjemand eine Artikel aus Ct, BSI, Heise oder so im Kopf hat (also den Link, nicht den gesamten Artikel)
bei dem Beispielsweise Pro und Contra abgewägt wird oder in dem man ganz klar (z.B. vom BSI) verpflichtet wird Server mit AV Software zu betanken, wäre ich absolut dankbar.

Ich habe Dr. Google und Heise schon durchsucht aber nichts adäquates gefunden.

Lieben Dank an euch alle.
Bitte warten ..
Mitglied: Fabezz
12.08.2020 um 15:45 Uhr
Vllt. hilft dir das weiter:
https://easyrechtssicher.de/dsgvo-backup/

Hinweise auf Privathaftung!
Bitte warten ..
Mitglied: Dr.Mabuse
12.08.2020 um 15:53 Uhr
hehehe... danke... aber es ging nicht um Backup, sondern um Antiviren Software auf dem Server.

Ich habe den Artikel kurz überflogen, jedoch kein Hinweis in Bezug auf AV Software gefunden
Bitte warten ..
Mitglied: Fabezz
12.08.2020 um 16:05 Uhr
Oh.
Sorry. Falsch abgebogen
Bitte warten ..
Mitglied: jsysde
12.08.2020 um 20:28 Uhr
N'Abend.

Ich bin da auch geteilter Meinung aufgrund diverser übler Zickereien in der Vergangenheit... wobei ich zugeben muss, dass ich in den letzten Jahren wenig Ärger mit AV auf dem Server hatte.

Letztlich sollte das Konzept der "Endpoint Protection" auch auf allen Endpoints zum Tragen kommen und da gehören die Server natürlich dazu. Es sollte aber klar sein, dass dies nur das "last resort" sein kann, Sicherheit erzeugt man nicht (nur) mit der Installation einer Software. Beispiel: Was nutzt der AV auf dem Server, wenn per GPO die Firewalls deaktiviert sind und die Kiste somit mit runtergelassener Hose im Netz steht?

Cheers,
jsysde
Bitte warten ..
Mitglied: Milord
12.08.2020 um 20:58 Uhr
Benutzen nur noch die Windows defender. Nach außen eine Firewall und gut ist. Haben aber nur noch 2019 und 2016 Server.
Bitte warten ..
Mitglied: TheMatzy
12.08.2020 um 22:25 Uhr
Also wir nutzen in unserer Firma auf unseren Windows 2016 Servern gar keine Virenscanner. Nichtmal auf den Terminalservern unserer Mitarbeitern.

Wir versuchen durch Windows Defender viel zu verhindern und durch APP Locker per Gruppenrichtlinie das Ausführen von jeglichen .EXE, .msi, .ps1 Dateien zu Verbieten, die nicht signiert oder in einem bestimmten Pfad installiert sind/wurden.

Auch haben auf den Systemen wie DC, FS, etc. das Internet für Surfen komplett gekappt, nur Updates dürfen noch vom Internet abgeholt werden. Desweiteren ist auch nur so viel Software wie nötig installiert. Was man nicht mehr braucht schmeisen wir auch wieder runter.
Bitte warten ..
Mitglied: Dr.Mabuse
13.08.2020 um 08:36 Uhr
Moin @ all,

vielen Dank für Eure Nachrichten und den Links.
Ich setze das Thema mal auf gelöst.

@TheMatzy : Weißt Du denn aus welchen Gründen Ihr den Virenscanner nicht auf den Servern ausrollt?
Bitte warten ..
Mitglied: TheMatzy
LÖSUNG 13.08.2020, aktualisiert um 09:12 Uhr
@Dr.Mabuse Moin

Wir hatten mal auf allen Windows Server Systemen Avira laufen. Die wenn halt Nachts angelaufen sind, war halt erstmal der ganze ESXi Server total ausgelastet, was wir nicht mehr wollten. Weil irgendwie müssen die Backups ja auch richtig laufen.... Unterm Tag, wenn die mal angesprungen sind und eine hohe CPU Load erzeugt haben, sind halt die Terminalserver in Mitleidenschaft gezogen worden. Performance war dann echt schse. Und da 100 Mitarbeiter auf 3 Terminalservern arbeiten, ist natürlich das geschrei dann immer groß :D

Mein Chef hat damals auch entschieden, keine Virenscanner mehr um Ressourcen zu Schonen, aber nur, wenn wir durch andere Maßnahmen das Ausführen von Schädlichen Dateien verhindern können.

- Deshalb z.B. der APP Locker, der das Ausführen von nicht signierten Programmen oder in falschen Verzeichnissen wir appdata, temp, etc. sofort blockiert. Macht zwar arbeit das einzurichten, aber Lohnt sich schon.
- Es sind in der ganzen Firma Makros deaktiviert und wer diese braucht, bekommt von uns bestimmte Verzeichnisse zugeordnet die per GPO freigegeben werden und das Makro muss mit einem Zertifikat vorher auch noch signiert werden, bevor man es starten kann.
- Im Mailserver werden alle E-Mails mit den alten .doc, .xls, .zip, .gz sofort abgelehnt. Man muss dazu auch sagen, wir haben keinen Spam Ordner. Entweder die E-Mail schafft es durch unseren Spamfilter oder die E-Mail ist zu schlecht bewertet und Sie wird sofort abgewiesen. Wir kommunizieren das auch unseren Kunden so und dann funktioniert das auch echt gut
- Der Rest muss die Sophos/Pfsense machen, die verdächtige Webseiten etc. sperrt die Böse sind oder nicht kategorisiert sind. Diese geben wir auch per Hand frei nach einer kurzen Prüfung.
Usw. TierModel blablabla...

Zitat aus der Stellungsnahme des Chefs:
... man darf solchen Programmen/Viren erst gar nicht die Möglichkeiten geben, dass Sie sich ausführen lassen und im Unternehmen verbreiten können. Wir dürfen auch als IT die Entscheidung nicht den Mitarbeitern überlassen, ob Sie "verdächtige" Dateien ausführen können. Denn der Mitarbeiter hat nicht immer das Verständnis solche Situationen sachgemäß zu beurteilen und einzuschätzen ... Virenscanner sind für uns in diesem Fall überflüssig, da diese keinen deutlichen mehrwert bieten......
Bitte warten ..
Mitglied: Dr.Mabuse
13.08.2020 um 09:50 Uhr
Also bleibt zusammenfassend immer noch der alte Status für AV-Programmen auf Servern :
"man kann und sollte - aber nicht alles und immer"

Ich denke allerdings auch, dass der Aufwand für nicht vorhandene Antiviren Software doch ziemlich hoch ist.
Whitelist Application Server (kosten im übrigen auch Geld), GPO, User Schulung, etc. etc. etc.

In dem Bereich in dem ich zur Zeit arbeite, finde ich weit aus größere Probleme für nicht vorhandene Sicherheit
als ein nicht vorhandener Virenscanner auf einem Server.
(z.B. ist jeder User Lokaler Administrator, Firewall ist auf allen Rechnern ausgeschaltet usw.) Da ist es unerheblich
ob ein Virenscanner überall zur Verfügung steht.

Ich sage jetzt nicht wo ich arbeite
Ich glaube es wird ein langer weg werden hier ein wenig mehr Veränderungen im Bereich Security umzusetzen

Besten Dank an Euch alle...
Bitte warten ..
Mitglied: nachgefragt
13.08.2020, aktualisiert um 10:07 Uhr
Im Prinzip sind hier nun Punkte aufgeführt welche bei mir unter "Systemhärtung" laufen, darüber hinaus bietet eine guten Endpoint Protection mehr als nur den klassischen Virenscan, auf einer zentralen Oberfläche (Mailware, Exploit, Content Filter,...).

Gar keine AV-Software zu verwenden heißt auch keinen Windows Defender aktiv zu haben. Dann muss die "Systemhärtung" aber schon spitze sein, was sehr viel Zeit kostet. Erfahrungsgemäß konnten Dienstleister beim "security check" dennoch immer wieder Lücken aufweisen welche die Administratoren übersehen hatte, daher spielt bei mir eine AV-Software im Sinne einer Endpoint Protection eine wichtige Rolle der IT-Sicherheit.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows 2008R2 SMB - Windows 10
Frage von schakaL-Windows Server4 Kommentare

Hallo miteinander, ich habe ein Problem mit dem Zugriff von Windows 10 auf einen Windows Server 2008R2 via Namen/IP, ...

Windows 7
Windows 7 Upgrade - Windows 10
gelöst Frage von MasterofblindWindows 74 Kommentare

Hallo Zusammen, wie würdet ihr eine Migration von ca. 150 PC's mit Windows 7 auf Windows 10 vorbereiten / ...

Windows 10

Windows Backp (Windows 10 - Versionierung)

gelöst Frage von 1410640014Windows 104 Kommentare

Hallo, finde leider wenig bis 0 dazu: Problem: ein einfacher Home-PC für den es sich nicht auszahlt, ein teures ...

Windows 10

Windows Server 2016 und Windows 10 Windows Search Indizierung

gelöst Frage von Sirius91Windows 101 Kommentar

Hallo liebes Forum, wie der Titel schon sagt besitze ich einen Windows Server 2016 FileServer und einige Windows 10 ...

Windows 7

Windows Updates - Windows Defender: Updates getrennt installieren unter Windows 7 ?

gelöst Frage von Critter-LBSWindows 73 Kommentare

Hallo, ich möchte auf einem einzelnen PC (Win 7 Enterprise 64) die "Windows Updates" regulär deaktivieren, weil es immer ...

Windows 10

Windows 10 LTSB und Windows Ink

gelöst Frage von Ralus67Windows 108 Kommentare

Hallo community Ich möchte auf Windows 10 LTSB, die Applikation Windows INK aktivieren. Leider funktioniert das nicht. Das heisst ...

Heiß diskutierte Inhalte
Notebook & Zubehör
Macbook oder Surface Book 3?
gelöst Frage von FamousDex089Notebook & Zubehör36 Kommentare

Hallo Zusammen :-), ich bin komplett neu in der IT Admin schiene und neu in diesem Forum. Ich habe ...

Outlook & Mail
Outlook App auf Android
gelöst Frage von PeterGygerOutlook & Mail21 Kommentare

Hallo Folgende Situation: Samsung S3 Samsung S5 Mini Die Microsoft Outlook App kann nicht mehr gestartet werden. Es waren ...

Windows Server
AD (virtualisiert) und alle angeschlossenen Clients fahren ungeplant herunter
Frage von tobitobsnWindows Server18 Kommentare

Ich habe aktuell ein Problem, dass ein frisch aufgesetzer Hyper-V mit einem virtualisierten AD regelmäßig 1x die Woche herunterfährt ...

Humor (lol)
So eine Art Jobangebot
Frage von Melvin.van.HorneHumor (lol)18 Kommentare

Moin, ich habe eben eine Zeit damit zugebracht eine GPO für eine Gruppe von Clients zu erstellen. Egal was ...

Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
Frage von ipzipzapSwitche und Hubs17 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

SAN, NAS, DAS
Probleme mit der GIGABIT Leitung - Finden der Krücke - Wer ist schuld ?
gelöst Frage von daswinimramSAN, NAS, DAS16 Kommentare

Hallo Community , folgender Aufbau : "erfolgreich" umgestellt auf Gigabit Tarif am 26.09.20 Speedtests wurden von allen PCs hinter ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT