jackpott
Goto Top

Antivirus - Konzepte für kleine LANs - 1 Scanner pro Gerät sinnvoll?

Lan basiert auf 4-5 Win 2003 Servern, die demnächst durch einige virtuelle Linux Server (Backup, Monitoring, Mail) ergänzt werden
ca. 10 XP-Client's + Igel auf Win2k3 Terminalserver
Wie machen es die Profi's?

Da wir gerade eine Umstrukturierung konzeptionieren wird auch das Thema Antivirus neu durchdacht.
Laut einem (Linux-) Experten sei es ja nicht sinnvoll, auf jedem Gerät einen Scanner laufen zu lassen (Stichwort Performance), sondern diesen lieber an den kritischen Punkten, also in erster Linie dem Mailserver, unterzubringen.
Tatsächlich könne man ja von einem Server aus das gesamte LAN scannen.
Alle anderen Server wie Datenbanken etc. sollten über Firewalls sowieso entsprechend abgesichert sein.
Die Win-XP Clients sollten natürlich ebenfalls abgesichet sein, da die Nutzer direkt im Internet serven äh surfen.
Diese werden jedoch demnächst gegen einen Terminalserver ausgestauscht.

Was haltet ihr davon?
Einen Scanner auf jeden Server und jeden Client oder lediglich auf den Mailserver und Terminalserver und von hier den Rest des LAN's scannen lassen?
Deshalb auch meine Frage nach schlüssigen Gesamtkonzepten.

Was sollte ich noch beachten? Also z.B. vpn oder andere Sicherheitsbedrohungen.

Vielen Dank!!!

Content-Key: 148795

Url: https://administrator.de/contentid/148795

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: tobi83
tobi83 11.08.2010 um 15:21:53 Uhr
Goto Top
Hi,

also wir machen es immer so, dass auch die Clients einen Scanner bekommen. Da man sonst probleme mit Wechseldatenträgern bekommt. Und wenn man diese verbietet dauert es nicht lange bis der erste schreit.

Jeder größere Antivirenhersteller bietet eigentlich Client-Server Lösungen an. Wir setzen momentan Dr.Web ein und sind sehr zufrieden damit.

Und da wir ja auch nicht mehr in den 80gern sind sehe ich die Performance-Sache nicht so Kritisch. Man muss ja nicht jeden Tag einen Vollen Scan absolvieren.

Gruß


-Tobias
Mitglied: it-frosch
it-frosch 11.08.2010 um 15:37:10 Uhr
Goto Top
Hallo jackpott,

die Haupteinfallstore für Viren sind bei uns.

1. Internetseiten die Sicherheitslücken ausnutzen
2. Software aus suspekter Quelle
3. Emailanhänge
4. Sicherheitslücken in Programmen

Für 1 - 3 nimmst du ein Antivirusprogramm auf jedem Client und Server sowie eine Firewall mit Antivirus und Contentfilter.
4 bekommst du mit z.B. CSI (Secunia) und WSUS geregelt.

Wenn ihr irgendwann nur Thinclients habt die auf TS arbeiten und der File und Mailserver unter Linux laufen, dann sieht es u.U.
anderes aus. Ich würde trotzdem auf jedem Windowssystem einen VIrenscanner laufen lassen.
Und die Zeit der Linuxviren kommt auch noch.

grüße vom IT-Frosch

PS: Als Empfehlung TrendMicro oder Kaspersky.
Mitglied: wiedenmann
wiedenmann 11.08.2010 um 16:34:44 Uhr
Goto Top
Hallo,

jedes Gerät sollte mindestens gegen Viren geschützt werden.
Wir haben Antivirus auf jedem Server, Workstation und Laptop.
Eine personal Firewall ist auf jedem Laptop und Workstation zusätzlich installiert.
Und das ganze Netzwerk wird von einer ASA Firewall abgesichert mit einem CSC AntiVirus Modul.
Der Mailverkehr wird zusätzlich mit GFI kontrolliert.

Da gibt es mehrer Arten wie man das macht.

McAfee Total Protection ist ein sehr guter Service.
GFI Mail Security und GFI Mail Essentials.

Damit ist das ganze netzwerk sicher und auch alle Clients.

mfg
George
Mitglied: inspiration-is-gone
inspiration-is-gone 11.08.2010 um 17:09:42 Uhr
Goto Top
Hallo,

auf jeden Fall auf jedem Client eine Antivirus-Software installieren!!! Ihr solltet darauf achten, einen AV zu verwenden, die von einem Rechner aus zentral gesteuert werden kann, von wo Berechtigungen vergeben werden können und Updates verteilt werden können (z.B. McAfee EPO). Ansonsten würde sich jeder Client ggf mehrmals pro Woche einige MB an Updates aus dem Internet ziehen, was ab einer bestimmten Größenordnung spürbar auf die Performance geht.
Auf Servern verwendet man üblicherweise aus Rücksicht auf die Leistung keinen (!) AV, da ja sowieso nur Admins mit Umsicht und Erfahrung direkt daran tätig sind. Auf Firewall/Proxy- und Email Servern sollte per se keinen AV-Client laufen lassen (kann enorme Komplikationen mit sich bringen), wenn dann eher Web- und Email-basierte Lösungen (z.B, von GFI Webmonitor, Mailsecurity o.ä.) verwenden.

Grüße,
inspi
Mitglied: it-frosch
it-frosch 11.08.2010 um 19:36:59 Uhr
Goto Top
@inspi,

Auf Servern verwendet man üblicherweise aus Rücksicht auf die Leistung keinen (!) AV, da ja sowieso nur Admins mit Umsicht und Erfahrung direkt daran tätig sind.

Ups, irgendwie muss ich als Admin wohl meine Heiligsprechung verpasst haben. face-wink

Es ist ja schön wenn du annimmt dass Admins unfehlbar sind. Das halte ich für ziemlich gefährlich. Denn jeder Admin sollte eigentlich wissen, dass er nicht perfekt ist,
wo sein Schwächen liegen und das selbst ein aktueller Virenscanner keine 100%ige Sicherheit bietet.

Es mag ja ganz vereinzelt Server geben auf denen keine AV Client installiert wird. Das sind aber die absoluten Ausnahmen.
Der das Antivirussystem betreuende Admin sollte den Virenscanner so konfigurieren können das er prüfen kann und es nur zu einer minimalen Belastung des Servers kommt.

grüße vom it-frosch
Mitglied: 51705
51705 11.08.2010 um 21:26:37 Uhr
Goto Top
Zitat von @jackpott:
Laut einem (Linux-) Experten sei es ja nicht sinnvoll, auf jedem Gerät einen Scanner laufen zu lassen (Stichwort
Performance), sondern diesen lieber an den kritischen Punkten, also in erster Linie dem Mailserver, unterzubringen.

Hallo Jackpott,

der Wächter auf den Geräten ist doch die letzte Linie in der Verteidigung. Kommt da was an, hat dein Experte wohl was übersehen. Rein zum Reporting sollte der Wächter aber laufen - und sei es nur, um zu Reporten, dass nichts ankommt ...

Grüße, Steffen
Mitglied: sysad
sysad 11.08.2010 um 22:02:43 Uhr
Goto Top
Zitat von @it-frosch:
@inspi,

>Auf Servern verwendet man üblicherweise aus Rücksicht auf die Leistung keinen (!) AV, da ja sowieso nur Admins mit
Umsicht und Erfahrung direkt daran tätig sind.

Ups, irgendwie muss ich als Admin wohl meine Heiligsprechung verpasst haben. face-wink


Ich auch... Bin aber gern dabei wenn das jemand nachholen will. Ohne Alleinseligmachungsanspruch mach ich es so:

Kein AV auf den Servern (W2003 und OSX), nur auf den Windows-Clients.

Voraussetzung ist, dass mit den Servern niemand ausser dem 'umsichtigen' Admin online geht (Updates etc.). Bei uns werden deswegen konsequent alle online-Dienste über als halbfette TS-Clients eingesetzte Macs gemacht, auch da ist kein AV drauf (gibt es zwar, aber mir ist noch nichts untergekommen). D.h. aber auch, dass die online-TCs nicht zu 'dünn' sein dürfen, weil sonst Email und Internet nicht gehen, da braucht man dann wieder Surfen über den Server per RDV, und genau das soll vermieden werden. Jeder Mitarbeiter, der Email braucht, arbeitet an einem Mac, die anderen am IGEL, und alles über RDV.

Es gibt bestimmt andere Lösungen, aber diese ist i.d.R. besonders einfach zu warten und der Admin kann gut schlafen. Gute Nacht!
Mitglied: harald21
harald21 12.08.2010 um 08:32:44 Uhr
Goto Top
Hallo,

ihr solltet auf jeden Fall ein mehrstufiges Konzept des Virenscans aufbauen:
1. Firewall mit Virenscanner (fast jeder Virus muß hier durch, Ausnahmen sind viren, die sich über USB-Sticks verbreiten oder Notebooks von Außendienstmitarbeitern).
2. Jeder Server (egal ob File-, Mail- oder SQL-Server, egal, ob Windows oder Linux) sollte einen Virenscanner haben, da hier (normalerweise) die wichtigen Unternehmensdaten liegen.
3. Jedes "infizierbare" Usersystem (Windows-PC oder Terminalserver) sollte einen Virenscanner haben.

mfg
Harald
Mitglied: inspiration-is-gone
inspiration-is-gone 12.08.2010 um 09:53:19 Uhr
Goto Top
Wenn der Internetverkehr über eine ordentliche Firewall läuft und ein Proxy mit Webfilter und AV-Engine vorgeschaltet ist, auf jedem Arbeitsplatz-PC ein AV-Client läuft und sowohl auf den PCs als auch auf den Servern die lokalen Firewalls vernünftig eingerichtet sind, regelmässig Updates durchgeführt werden, kein PC und kein Server direkten Zugang zum Internet haben und niemand an den Servern rumpfuscht, dann bleibe ich mal dabei, dass die meißten Server keinen eigenen AV-Client benötigen.

Wenn man aber nicht ausschliessen kann, dass Leute im Unternehmen unheilige Dinge auf den Servern tun, die Server unseligerweise direkt mit dem Internet verbunden sind und vielleicht noch der ein oder andere höllische Port offen ist, dann sei es meinetwegen so, dass besser mal auf allen Servern ein AV-Client laufen sollte. Gerne aber auch wenn es auf Leistung nicht so sehr ankommt.

Grüße,
inspi