Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Antivirus - Konzepte für kleine LANs - 1 Scanner pro Gerät sinnvoll?

Frage Sicherheit Sicherheits-Tools

Mitglied: jackpott

jackpott (Level 1) - Jetzt verbinden

11.08.2010 um 14:54 Uhr, 5074 Aufrufe, 9 Kommentare

Lan basiert auf 4-5 Win 2003 Servern, die demnächst durch einige virtuelle Linux Server (Backup, Monitoring, Mail) ergänzt werden
ca. 10 XP-Client's + Igel auf Win2k3 Terminalserver
Wie machen es die Profi's?

Da wir gerade eine Umstrukturierung konzeptionieren wird auch das Thema Antivirus neu durchdacht.
Laut einem (Linux-) Experten sei es ja nicht sinnvoll, auf jedem Gerät einen Scanner laufen zu lassen (Stichwort Performance), sondern diesen lieber an den kritischen Punkten, also in erster Linie dem Mailserver, unterzubringen.
Tatsächlich könne man ja von einem Server aus das gesamte LAN scannen.
Alle anderen Server wie Datenbanken etc. sollten über Firewalls sowieso entsprechend abgesichert sein.
Die Win-XP Clients sollten natürlich ebenfalls abgesichet sein, da die Nutzer direkt im Internet serven äh surfen.
Diese werden jedoch demnächst gegen einen Terminalserver ausgestauscht.

Was haltet ihr davon?
Einen Scanner auf jeden Server und jeden Client oder lediglich auf den Mailserver und Terminalserver und von hier den Rest des LAN's scannen lassen?
Deshalb auch meine Frage nach schlüssigen Gesamtkonzepten.

Was sollte ich noch beachten? Also z.B. vpn oder andere Sicherheitsbedrohungen.

Vielen Dank!!!
Mitglied: tobi83
11.08.2010 um 15:21 Uhr
Hi,

also wir machen es immer so, dass auch die Clients einen Scanner bekommen. Da man sonst probleme mit Wechseldatenträgern bekommt. Und wenn man diese verbietet dauert es nicht lange bis der erste schreit.

Jeder größere Antivirenhersteller bietet eigentlich Client-Server Lösungen an. Wir setzen momentan Dr.Web ein und sind sehr zufrieden damit.

Und da wir ja auch nicht mehr in den 80gern sind sehe ich die Performance-Sache nicht so Kritisch. Man muss ja nicht jeden Tag einen Vollen Scan absolvieren.

Gruß


-Tobias
Bitte warten ..
Mitglied: it-frosch
11.08.2010 um 15:37 Uhr
Hallo jackpott,

die Haupteinfallstore für Viren sind bei uns.

1. Internetseiten die Sicherheitslücken ausnutzen
2. Software aus suspekter Quelle
3. Emailanhänge
4. Sicherheitslücken in Programmen

Für 1 - 3 nimmst du ein Antivirusprogramm auf jedem Client und Server sowie eine Firewall mit Antivirus und Contentfilter.
4 bekommst du mit z.B. CSI (Secunia) und WSUS geregelt.

Wenn ihr irgendwann nur Thinclients habt die auf TS arbeiten und der File und Mailserver unter Linux laufen, dann sieht es u.U.
anderes aus. Ich würde trotzdem auf jedem Windowssystem einen VIrenscanner laufen lassen.
Und die Zeit der Linuxviren kommt auch noch.

grüße vom IT-Frosch

PS: Als Empfehlung TrendMicro oder Kaspersky.
Bitte warten ..
Mitglied: wiedenmann
11.08.2010 um 16:34 Uhr
Hallo,

jedes Gerät sollte mindestens gegen Viren geschützt werden.
Wir haben Antivirus auf jedem Server, Workstation und Laptop.
Eine personal Firewall ist auf jedem Laptop und Workstation zusätzlich installiert.
Und das ganze Netzwerk wird von einer ASA Firewall abgesichert mit einem CSC AntiVirus Modul.
Der Mailverkehr wird zusätzlich mit GFI kontrolliert.

Da gibt es mehrer Arten wie man das macht.

McAfee Total Protection ist ein sehr guter Service.
GFI Mail Security und GFI Mail Essentials.

Damit ist das ganze netzwerk sicher und auch alle Clients.

Mit freundlichen Grüßen
George
Bitte warten ..
Mitglied: inspiration-is-gone
11.08.2010 um 17:09 Uhr
Hallo,

auf jeden Fall auf jedem Client eine Antivirus-Software installieren!!! Ihr solltet darauf achten, einen AV zu verwenden, die von einem Rechner aus zentral gesteuert werden kann, von wo Berechtigungen vergeben werden können und Updates verteilt werden können (z.B. McAfee EPO). Ansonsten würde sich jeder Client ggf mehrmals pro Woche einige MB an Updates aus dem Internet ziehen, was ab einer bestimmten Größenordnung spürbar auf die Performance geht.
Auf Servern verwendet man üblicherweise aus Rücksicht auf die Leistung keinen (!) AV, da ja sowieso nur Admins mit Umsicht und Erfahrung direkt daran tätig sind. Auf Firewall/Proxy- und Email Servern sollte per se keinen AV-Client laufen lassen (kann enorme Komplikationen mit sich bringen), wenn dann eher Web- und Email-basierte Lösungen (z.B, von GFI Webmonitor, Mailsecurity o.ä.) verwenden.

Grüße,
inspi
Bitte warten ..
Mitglied: it-frosch
11.08.2010 um 19:36 Uhr
@inspi,

>Auf Servern verwendet man üblicherweise aus Rücksicht auf die Leistung keinen (!) AV, da ja sowieso nur Admins mit Umsicht und Erfahrung direkt daran tätig sind.

Ups, irgendwie muss ich als Admin wohl meine Heiligsprechung verpasst haben.

Es ist ja schön wenn du annimmt dass Admins unfehlbar sind. Das halte ich für ziemlich gefährlich. Denn jeder Admin sollte eigentlich wissen, dass er nicht perfekt ist,
wo sein Schwächen liegen und das selbst ein aktueller Virenscanner keine 100%ige Sicherheit bietet.

Es mag ja ganz vereinzelt Server geben auf denen keine AV Client installiert wird. Das sind aber die absoluten Ausnahmen.
Der das Antivirussystem betreuende Admin sollte den Virenscanner so konfigurieren können das er prüfen kann und es nur zu einer minimalen Belastung des Servers kommt.

grüße vom it-frosch
Bitte warten ..
Mitglied: 51705
11.08.2010 um 21:26 Uhr
Zitat von jackpott:
Laut einem (Linux-) Experten sei es ja nicht sinnvoll, auf jedem Gerät einen Scanner laufen zu lassen (Stichwort
Performance), sondern diesen lieber an den kritischen Punkten, also in erster Linie dem Mailserver, unterzubringen.

Hallo Jackpott,

der Wächter auf den Geräten ist doch die letzte Linie in der Verteidigung. Kommt da was an, hat dein Experte wohl was übersehen. Rein zum Reporting sollte der Wächter aber laufen - und sei es nur, um zu Reporten, dass nichts ankommt ...

Grüße, Steffen
Bitte warten ..
Mitglied: sysad
11.08.2010 um 22:02 Uhr
Zitat von it-frosch:
@inspi,

>Auf Servern verwendet man üblicherweise aus Rücksicht auf die Leistung keinen (!) AV, da ja sowieso nur Admins mit
Umsicht und Erfahrung direkt daran tätig sind.

Ups, irgendwie muss ich als Admin wohl meine Heiligsprechung verpasst haben.


Ich auch... Bin aber gern dabei wenn das jemand nachholen will. Ohne Alleinseligmachungsanspruch mach ich es so:

Kein AV auf den Servern (W2003 und OSX), nur auf den Windows-Clients.

Voraussetzung ist, dass mit den Servern niemand ausser dem 'umsichtigen' Admin online geht (Updates etc.). Bei uns werden deswegen konsequent alle online-Dienste über als halbfette TS-Clients eingesetzte Macs gemacht, auch da ist kein AV drauf (gibt es zwar, aber mir ist noch nichts untergekommen). D.h. aber auch, dass die online-TCs nicht zu 'dünn' sein dürfen, weil sonst Email und Internet nicht gehen, da braucht man dann wieder Surfen über den Server per RDV, und genau das soll vermieden werden. Jeder Mitarbeiter, der Email braucht, arbeitet an einem Mac, die anderen am IGEL, und alles über RDV.

Es gibt bestimmt andere Lösungen, aber diese ist i.d.R. besonders einfach zu warten und der Admin kann gut schlafen. Gute Nacht!
Bitte warten ..
Mitglied: harald21
12.08.2010 um 08:32 Uhr
Hallo,

ihr solltet auf jeden Fall ein mehrstufiges Konzept des Virenscans aufbauen:
1. Firewall mit Virenscanner (fast jeder Virus muß hier durch, Ausnahmen sind viren, die sich über USB-Sticks verbreiten oder Notebooks von Außendienstmitarbeitern).
2. Jeder Server (egal ob File-, Mail- oder SQL-Server, egal, ob Windows oder Linux) sollte einen Virenscanner haben, da hier (normalerweise) die wichtigen Unternehmensdaten liegen.
3. Jedes "infizierbare" Usersystem (Windows-PC oder Terminalserver) sollte einen Virenscanner haben.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: inspiration-is-gone
12.08.2010 um 09:53 Uhr
Wenn der Internetverkehr über eine ordentliche Firewall läuft und ein Proxy mit Webfilter und AV-Engine vorgeschaltet ist, auf jedem Arbeitsplatz-PC ein AV-Client läuft und sowohl auf den PCs als auch auf den Servern die lokalen Firewalls vernünftig eingerichtet sind, regelmässig Updates durchgeführt werden, kein PC und kein Server direkten Zugang zum Internet haben und niemand an den Servern rumpfuscht, dann bleibe ich mal dabei, dass die meißten Server keinen eigenen AV-Client benötigen.

Wenn man aber nicht ausschliessen kann, dass Leute im Unternehmen unheilige Dinge auf den Servern tun, die Server unseligerweise direkt mit dem Internet verbunden sind und vielleicht noch der ein oder andere höllische Port offen ist, dann sei es meinetwegen so, dass besser mal auf allen Servern ein AV-Client laufen sollte. Gerne aber auch wenn es auf Leistung nicht so sehr ankommt.

Grüße,
inspi
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (4)

Frage von griss0r zum Thema Windows Netzwerk ...

TK-Netze & Geräte
PfSense auf welcher Hardware sinnvoll nutzbar? (7)

Frage von cerberus90 zum Thema TK-Netze & Geräte ...

Drucker und Scanner
gelöst Scanner Software pls schnelle Hilfe (5)

Frage von TheScanner zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...