13
Immer wieder Viren trotz Symantec Endpoint Protection
Hallo zusammen,
ich habe in einem Kundennetzwerk immer wieder Vieren auf PCs trotz Symantec Endpoint Protection 11.0.7200.
Meist handelt es sich um Fake Antivirus Programme, die richtig schaden anrichten z.B. alle Dateien auf der Festplatte verstecken auf die der Benutzer Zugriff hat.
Ich habe überall den Virenschutz und Antispyware-Schutz, E-Mail Schutz und den Proaktiver Bedrohungsschutz auf den Clients aktiviert. Die User sind nur Benutzer, aber immer wieder schaffen es die Mitarbeiter sich so einen Dreck einzufangen.
Wie kann ich dem Vorbeugen bzw. gibt es in SEP Einstellungen um die Sicherheit zu erhöhen, damit diese Fake Programme zuverlässig erkannt werden?
Die Verwaltung der Clients über den Manager ist einfach Klasse, aber was hilft es mir wenn ich alle 2-3 Wochen nen verseuchten PC habe.
Danke und Gruß
Roman
ich habe in einem Kundennetzwerk immer wieder Vieren auf PCs trotz Symantec Endpoint Protection 11.0.7200.
Meist handelt es sich um Fake Antivirus Programme, die richtig schaden anrichten z.B. alle Dateien auf der Festplatte verstecken auf die der Benutzer Zugriff hat.
Ich habe überall den Virenschutz und Antispyware-Schutz, E-Mail Schutz und den Proaktiver Bedrohungsschutz auf den Clients aktiviert. Die User sind nur Benutzer, aber immer wieder schaffen es die Mitarbeiter sich so einen Dreck einzufangen.
Wie kann ich dem Vorbeugen bzw. gibt es in SEP Einstellungen um die Sicherheit zu erhöhen, damit diese Fake Programme zuverlässig erkannt werden?
Die Verwaltung der Clients über den Manager ist einfach Klasse, aber was hilft es mir wenn ich alle 2-3 Wochen nen verseuchten PC habe.
Danke und Gruß
Roman
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 187063
Url: https://administrator.de/contentid/187063
Printed on: April 24, 2024 at 06:04 o'clock
13 Comments
Latest comment
Hi
wie siehts mit Updates aus ? Nicht nur vom Betriebsystem sondern auch Adobe Reader, Flash, FIrefox etc..
Alles am letzten Stand ? Normalerweise ist da ein ziemlicher Wildwuchs, was auch die Virenproblematik nicht gerade verbessert.
Sieh dir mal Secunia CSI an, falls ihr da Bedarf habt.
LG
wie siehts mit Updates aus ? Nicht nur vom Betriebsystem sondern auch Adobe Reader, Flash, FIrefox etc..
Alles am letzten Stand ? Normalerweise ist da ein ziemlicher Wildwuchs, was auch die Virenproblematik nicht gerade verbessert.
Sieh dir mal Secunia CSI an, falls ihr da Bedarf habt.
LG
Hallo Roman,
vielleicht zunächst die Mitarbeiter schulen, damit diese nicht jeden Dreck anklicken der in eine E-Mail angehängt ist?
Meist sitzt das Problem 30cm vor dem Bildschirm/Tastatur. Mir scheint die Anwender sind nicht genug sensibilisiert bzgl. diesem Thema.
Gruss Penny
vielleicht zunächst die Mitarbeiter schulen, damit diese nicht jeden Dreck anklicken der in eine E-Mail angehängt ist?
Meist sitzt das Problem 30cm vor dem Bildschirm/Tastatur. Mir scheint die Anwender sind nicht genug sensibilisiert bzgl. diesem Thema.
Gruss Penny
Hallo Roman,
In unserem Betrieb haben wir sehr schlechte Erfahrungen gemacht mit Symantec und haben auf Kaspersky gewechselt.
Ich glaube aber nicht dass du so schnell wechselst.
Diese Viren werden von Usern heruntergeladen, da wäre ein Rundmail gut, dass User nicht alles installieren sollten oder einfach mal die Administratoren Rechte entfernen.
Ich empfehle dir Kaspersky, hat genau so eine gute Verwaltungskonsole und viele zusätzliche Features.
Gruss Miljan
In unserem Betrieb haben wir sehr schlechte Erfahrungen gemacht mit Symantec und haben auf Kaspersky gewechselt.
Ich glaube aber nicht dass du so schnell wechselst.
Diese Viren werden von Usern heruntergeladen, da wäre ein Rundmail gut, dass User nicht alles installieren sollten oder einfach mal die Administratoren Rechte entfernen.
Ich empfehle dir Kaspersky, hat genau so eine gute Verwaltungskonsole und viele zusätzliche Features.
Gruss Miljan
Moin,
wenn der Virus/die Malware auf dem Client ankommt ist m.E. schon was falsch gelaufen. Gerade bei Rogue AVs sind die "echten" AV Hersteller immer hinterher.
Bei uns im Netzwerk wird der Download jeglicher ZIP/EXE/COM/CMD/BAT per Webfilter an der Firewall unterbunden, das hilft auch gegen 0-Days
Und gegen PDF/Flash Exploits hilft nur patchen, patchen, patchen!
lg,
Slainte
wenn der Virus/die Malware auf dem Client ankommt ist m.E. schon was falsch gelaufen. Gerade bei Rogue AVs sind die "echten" AV Hersteller immer hinterher.
Bei uns im Netzwerk wird der Download jeglicher ZIP/EXE/COM/CMD/BAT per Webfilter an der Firewall unterbunden, das hilft auch gegen 0-Days
Und gegen PDF/Flash Exploits hilft nur patchen, patchen, patchen!
lg,
Slainte
Moin,
Fehler 1 (aus meiner Erfahrung mit SEP) weg von SEP! Privat würde ich Kaspersky nie nutzen und auch firmlich nicht, da es mir zuviele ressourcen frisst, aber es ist ein gutes Programm.
Ansonsten würde ich die Avast ans herzchen legen - damit habe ich seid jahren NIE probleme.
Ich lass auch ab und zu von anderen Programmen suchen, die finden auch nichts.
Allgemein ist bei sowas aber Fehler30 der gesuchte Fehler. Sensibilisiere deine Mitarbeiter durch ein DOkument/Bericht aus dem INet o.ä. das hilft schon oft ein stückweit!
Gruß Zero
Fehler 1 (aus meiner Erfahrung mit SEP) weg von SEP! Privat würde ich Kaspersky nie nutzen und auch firmlich nicht, da es mir zuviele ressourcen frisst, aber es ist ein gutes Programm.
Ansonsten würde ich die Avast ans herzchen legen - damit habe ich seid jahren NIE probleme.
Ich lass auch ab und zu von anderen Programmen suchen, die finden auch nichts.
Allgemein ist bei sowas aber Fehler30 der gesuchte Fehler. Sensibilisiere deine Mitarbeiter durch ein DOkument/Bericht aus dem INet o.ä. das hilft schon oft ein stückweit!
Gruß Zero
Hi.
Der Titel sagt eigentlich schon alles: "...Viren trotz "superduper"-Protection".
Ein Scanner ist nur ein Teil eines Schutzkonzeptes. Du wirst mit keinem Scanner verlässlich gegen Viren schützen können. Viren kommen in x Varianten vor und Symantec und andere hecheln hinter den neuen hinterher - für ein paar Tage werden diese nicht erkannt, ganz einfach. Allenfalls die Aktivierung/Verschärfung einer Heuristik kann am Scanner noch was bringen.
Ich kann zur Hilfe nur ein paar Maßnahmen aufzählen, die ich für lohnend halte:
-schriftlich vereinbaren, dass nur dienstlich relevante Websites aufgesucht werden und in keinem Fall irgendwelche Softwares installiert oder benutzt werden, die den Admins unbekannt sind
-E-mailprogramme bei den default-Sicherheitseinstellungen belassen, nämlich so, dass keine ausführbaren Anhänge zugreifbar sind ->wer sowas braucht, vereinbare mit dem Absender, dass dieser ein .7z-Archiv schicke.
-Mitarbeiter einmal pro Jahr/alle zwei Jahre über die Gefahren aufklären
-Anwendungen und Windows zeitnah patchen
-ggf. Wechseldatenträger sperren
-evtl. Internetzugang in eine virtuelle Maschine kapseln
-evtl. Internetzugang auf einen Browser als RemoteApp beschränken
-heftigste aber wirkungsvollste Maßnahme: Softwareeinschränkungsrichtlinien oder applocker aktivieren und eine Whitelist aufsetzen (alles Bordmittel!).
Der Titel sagt eigentlich schon alles: "...Viren trotz "superduper"-Protection".
Ein Scanner ist nur ein Teil eines Schutzkonzeptes. Du wirst mit keinem Scanner verlässlich gegen Viren schützen können. Viren kommen in x Varianten vor und Symantec und andere hecheln hinter den neuen hinterher - für ein paar Tage werden diese nicht erkannt, ganz einfach. Allenfalls die Aktivierung/Verschärfung einer Heuristik kann am Scanner noch was bringen.
Ich kann zur Hilfe nur ein paar Maßnahmen aufzählen, die ich für lohnend halte:
-schriftlich vereinbaren, dass nur dienstlich relevante Websites aufgesucht werden und in keinem Fall irgendwelche Softwares installiert oder benutzt werden, die den Admins unbekannt sind
-E-mailprogramme bei den default-Sicherheitseinstellungen belassen, nämlich so, dass keine ausführbaren Anhänge zugreifbar sind ->wer sowas braucht, vereinbare mit dem Absender, dass dieser ein .7z-Archiv schicke.
-Mitarbeiter einmal pro Jahr/alle zwei Jahre über die Gefahren aufklären
-Anwendungen und Windows zeitnah patchen
-ggf. Wechseldatenträger sperren
-evtl. Internetzugang in eine virtuelle Maschine kapseln
-evtl. Internetzugang auf einen Browser als RemoteApp beschränken
-heftigste aber wirkungsvollste Maßnahme: Softwareeinschränkungsrichtlinien oder applocker aktivieren und eine Whitelist aufsetzen (alles Bordmittel!).
Hallo,
Danke für so viele Antworten.
Wir haben ja zusätzlich noch eine Firewall mit Proxy und zusätzlichem Virenscanner im Einsatz.
Das die Antivirus Hersteller ein paar Tage brauchen bis Sie die neuen Viren blocken können, wusste ich schon. Ist ja auch verständlich. Nur das sich meine User immer die neusten einfangen ist schon komisch.
Ein Wechsel auf einen anderen Hersteller kommt derzeit nicht in Frage.
Der Vorschlag mit dem APPLocker finde ich persönlich super, da wir nicht viele Anwendungen haben. Würde sich ja auch relativ schnell umsetzten lassen über die GPO.
Ich glaube da muss ich mich mal nen Vormittag mit der GL zusammensetzten.
Nochmals Vielen Dank.
Gruß Roman
Danke für so viele Antworten.
Wir haben ja zusätzlich noch eine Firewall mit Proxy und zusätzlichem Virenscanner im Einsatz.
Das die Antivirus Hersteller ein paar Tage brauchen bis Sie die neuen Viren blocken können, wusste ich schon. Ist ja auch verständlich. Nur das sich meine User immer die neusten einfangen ist schon komisch.
Ein Wechsel auf einen anderen Hersteller kommt derzeit nicht in Frage.
Der Vorschlag mit dem APPLocker finde ich persönlich super, da wir nicht viele Anwendungen haben. Würde sich ja auch relativ schnell umsetzten lassen über die GPO.
Ich glaube da muss ich mich mal nen Vormittag mit der GL zusammensetzten.
Nochmals Vielen Dank.
Gruß Roman
Bedenke aber, was Du Dir mit Applocker für Ungemach einhandeln kannst.
Stell Dir vor, wie böse Nutzer werden können, wenn eine Anwendung nicht läuft und keiner da ist, diese zu entsperren. Die PCs sind dynamische Systeme - änderst Du eine Anwendung (Updates beispielsweise), muss die Applocker Whitelist evtl. nachgepflegt werden.
Noch wichtiger: applocker läuft nur auf win7 enterprise und ultimate.
Softwareeinschr.richtlinien hingegen selbst auf xp und vista/win7 pro.
Stell Dir vor, wie böse Nutzer werden können, wenn eine Anwendung nicht läuft und keiner da ist, diese zu entsperren. Die PCs sind dynamische Systeme - änderst Du eine Anwendung (Updates beispielsweise), muss die Applocker Whitelist evtl. nachgepflegt werden.
Noch wichtiger: applocker läuft nur auf win7 enterprise und ultimate.
Softwareeinschr.richtlinien hingegen selbst auf xp und vista/win7 pro.
Ich würde nicht direkt applocker nutzen sondern das ganze über die Gruppenrichtlinien der Domäne regeln.
Da geht das auch und Greift für alle Systeme.
Aber das geht natürlich nur wenn es von GL genehmigt wird.
Da geht das auch und Greift für alle Systeme.
Aber das geht natürlich nur wenn es von GL genehmigt wird.
Was meinst Du damit? Die GPOs sind doch für applocker - das meine ich doch auch.
Ich mein die Richtlinien für Softwareeinschränkung. Für Applocker gibts extra Einstellungen, meines Wissens.
Ja. Extraeinst. per GPO. Ergo: genau das Selbe in grün.
Applocker ist sicherer, da es sogar einem im Browser ausgeführten Schadcode das Erstellen von Kindprozessen verweigert - kann nur Applocker.
Applocker ist sicherer, da es sogar einem im Browser ausgeführten Schadcode das Erstellen von Kindprozessen verweigert - kann nur Applocker.
Hallo HPC-Roman,
die Fake AV's werden durch "Drive by Download" auf den Rechner installiert.
Daher spielt es überhaupt keine Rolle welche Softwaredownloads gesperrt werden.
Der Besuch einer infizierten Seite reicht aus.
Leider nützt auch ein Proxy nichts, da ja Webseiten eben auch erlaubt werden und was ist
wenn ausgerechnet diese Infiziert sind?
Die Antivirenhersteller haben diese Fake AV's auf der Uhr.
Das FBI hat hier mit der Ukrainischen Behoerde, oder auch mit der Lettischen Polizei diverse Fake AVs Hersteller einkassiert.
http://www.eweek.com/c/a/Midmarket/FBI-Busts-Two-Scareware-Fake-AV-Gang ...
Millionengeschäft.... ich glaub ich wechsle die Seiten....
Leider hat die Organisierte Internetkriminalität darauf reagiert und "bessere" Fake AV's geschrieben die sogar verschlüsselte Container erstellen für die man über den UKASH Bezahldienst einen Entschluesselungscode erhält.
Schutzmaßnahmen sind aktuelle Antivirensignaturen, den Webbrowser abhärten durch das addon noscript oder oder wie beschrieben der addlocker.
Hier findest Du noch Informationen vom Sophoslab mit nem link für Virus Removal Tool.
http://www.sophos.com/en-us/security-news-trends/security-trends/fake-a ...
hier aktuelle infos:
http://nakedsecurity.sophos.com/
Wir arbeiten mit Sophos, Du kannst dir das ja mal in ruhe anschauen.
http://www.sophos.com/de-de/
Da gibt es unter anderem Deviceschutz, Manipulationsschutz e.t.c
Die Schulung und Sensibilisierung der Mitarbeiter ist bestimmt auch eine gute Sache.
Viel Erfolg und Gruss
die Fake AV's werden durch "Drive by Download" auf den Rechner installiert.
Daher spielt es überhaupt keine Rolle welche Softwaredownloads gesperrt werden.
Der Besuch einer infizierten Seite reicht aus.
Leider nützt auch ein Proxy nichts, da ja Webseiten eben auch erlaubt werden und was ist
wenn ausgerechnet diese Infiziert sind?
Die Antivirenhersteller haben diese Fake AV's auf der Uhr.
Das FBI hat hier mit der Ukrainischen Behoerde, oder auch mit der Lettischen Polizei diverse Fake AVs Hersteller einkassiert.
http://www.eweek.com/c/a/Midmarket/FBI-Busts-Two-Scareware-Fake-AV-Gang ...
Millionengeschäft.... ich glaub ich wechsle die Seiten....
Leider hat die Organisierte Internetkriminalität darauf reagiert und "bessere" Fake AV's geschrieben die sogar verschlüsselte Container erstellen für die man über den UKASH Bezahldienst einen Entschluesselungscode erhält.
Schutzmaßnahmen sind aktuelle Antivirensignaturen, den Webbrowser abhärten durch das addon noscript oder oder wie beschrieben der addlocker.
Hier findest Du noch Informationen vom Sophoslab mit nem link für Virus Removal Tool.
http://www.sophos.com/en-us/security-news-trends/security-trends/fake-a ...
hier aktuelle infos:
http://nakedsecurity.sophos.com/
Wir arbeiten mit Sophos, Du kannst dir das ja mal in ruhe anschauen.
http://www.sophos.com/de-de/
Da gibt es unter anderem Deviceschutz, Manipulationsschutz e.t.c
Die Schulung und Sensibilisierung der Mitarbeiter ist bestimmt auch eine gute Sache.
Viel Erfolg und Gruss
