Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Immer wieder Viren trotz Symantec Endpoint Protection

Frage Sicherheit Sicherheits-Tools

Mitglied: HPC-Roman

HPC-Roman (Level 1) - Jetzt verbinden

26.06.2012, aktualisiert 14.02.2014, 6377 Aufrufe, 13 Kommentare

Hallo zusammen,

ich habe in einem Kundennetzwerk immer wieder Vieren auf PCs trotz Symantec Endpoint Protection 11.0.7200.

Meist handelt es sich um Fake Antivirus Programme, die richtig schaden anrichten z.B. alle Dateien auf der Festplatte verstecken auf die der Benutzer Zugriff hat.

Ich habe überall den Virenschutz und Antispyware-Schutz, E-Mail Schutz und den Proaktiver Bedrohungsschutz auf den Clients aktiviert. Die User sind nur Benutzer, aber immer wieder schaffen es die Mitarbeiter sich so einen Dreck einzufangen.

Wie kann ich dem Vorbeugen bzw. gibt es in SEP Einstellungen um die Sicherheit zu erhöhen, damit diese Fake Programme zuverlässig erkannt werden?

Die Verwaltung der Clients über den Manager ist einfach Klasse, aber was hilft es mir wenn ich alle 2-3 Wochen nen verseuchten PC habe.

Danke und Gruß

Roman


Mitglied: catachan
26.06.2012 um 10:43 Uhr
Hi

wie siehts mit Updates aus ? Nicht nur vom Betriebsystem sondern auch Adobe Reader, Flash, FIrefox etc..
Alles am letzten Stand ? Normalerweise ist da ein ziemlicher Wildwuchs, was auch die Virenproblematik nicht gerade verbessert.
Sieh dir mal Secunia CSI an, falls ihr da Bedarf habt.

LG
Bitte warten ..
Mitglied: Penny.Cilin
26.06.2012 um 10:44 Uhr
Hallo Roman,

vielleicht zunächst die Mitarbeiter schulen, damit diese nicht jeden Dreck anklicken der in eine E-Mail angehängt ist?
Meist sitzt das Problem 30cm vor dem Bildschirm/Tastatur. Mir scheint die Anwender sind nicht genug sensibilisiert bzgl. diesem Thema.

Gruss Penny
Bitte warten ..
Mitglied: MiljanCH
26.06.2012 um 10:45 Uhr
Hallo Roman,

In unserem Betrieb haben wir sehr schlechte Erfahrungen gemacht mit Symantec und haben auf Kaspersky gewechselt.
Ich glaube aber nicht dass du so schnell wechselst.
Diese Viren werden von Usern heruntergeladen, da wäre ein Rundmail gut, dass User nicht alles installieren sollten oder einfach mal die Administratoren Rechte entfernen.

Ich empfehle dir Kaspersky, hat genau so eine gute Verwaltungskonsole und viele zusätzliche Features.

Gruss Miljan
Bitte warten ..
Mitglied: SlainteMhath
26.06.2012 um 11:03 Uhr
Moin,

wenn der Virus/die Malware auf dem Client ankommt ist m.E. schon was falsch gelaufen. Gerade bei Rogue AVs sind die "echten" AV Hersteller immer hinterher.

Bei uns im Netzwerk wird der Download jeglicher ZIP/EXE/COM/CMD/BAT per Webfilter an der Firewall unterbunden, das hilft auch gegen 0-Days

Und gegen PDF/Flash Exploits hilft nur patchen, patchen, patchen!

lg,
Slainte
Bitte warten ..
Mitglied: ColdZero89
26.06.2012 um 11:10 Uhr
Moin,

Fehler 1 (aus meiner Erfahrung mit SEP) weg von SEP! Privat würde ich Kaspersky nie nutzen und auch firmlich nicht, da es mir zuviele ressourcen frisst, aber es ist ein gutes Programm.
Ansonsten würde ich die Avast ans herzchen legen - damit habe ich seid jahren NIE probleme.
Ich lass auch ab und zu von anderen Programmen suchen, die finden auch nichts.

Allgemein ist bei sowas aber Fehler30 der gesuchte Fehler. Sensibilisiere deine Mitarbeiter durch ein DOkument/Bericht aus dem INet o.ä. das hilft schon oft ein stückweit!

Gruß Zero
Bitte warten ..
Mitglied: DerWoWusste
26.06.2012, aktualisiert um 11:17 Uhr
Hi.

Der Titel sagt eigentlich schon alles: "...Viren trotz "superduper"-Protection".

Ein Scanner ist nur ein Teil eines Schutzkonzeptes. Du wirst mit keinem Scanner verlässlich gegen Viren schützen können. Viren kommen in x Varianten vor und Symantec und andere hecheln hinter den neuen hinterher - für ein paar Tage werden diese nicht erkannt, ganz einfach. Allenfalls die Aktivierung/Verschärfung einer Heuristik kann am Scanner noch was bringen.

Ich kann zur Hilfe nur ein paar Maßnahmen aufzählen, die ich für lohnend halte:
-schriftlich vereinbaren, dass nur dienstlich relevante Websites aufgesucht werden und in keinem Fall irgendwelche Softwares installiert oder benutzt werden, die den Admins unbekannt sind
-E-mailprogramme bei den default-Sicherheitseinstellungen belassen, nämlich so, dass keine ausführbaren Anhänge zugreifbar sind ->wer sowas braucht, vereinbare mit dem Absender, dass dieser ein .7z-Archiv schicke.
-Mitarbeiter einmal pro Jahr/alle zwei Jahre über die Gefahren aufklären
-Anwendungen und Windows zeitnah patchen
-ggf. Wechseldatenträger sperren
-evtl. Internetzugang in eine virtuelle Maschine kapseln
-evtl. Internetzugang auf einen Browser als RemoteApp beschränken
-heftigste aber wirkungsvollste Maßnahme: Softwareeinschränkungsrichtlinien oder applocker aktivieren und eine Whitelist aufsetzen (alles Bordmittel!).
Bitte warten ..
Mitglied: HPC-Roman
26.06.2012 um 12:10 Uhr
Hallo,

Danke für so viele Antworten.

Wir haben ja zusätzlich noch eine Firewall mit Proxy und zusätzlichem Virenscanner im Einsatz.

Das die Antivirus Hersteller ein paar Tage brauchen bis Sie die neuen Viren blocken können, wusste ich schon. Ist ja auch verständlich. Nur das sich meine User immer die neusten einfangen ist schon komisch.

Ein Wechsel auf einen anderen Hersteller kommt derzeit nicht in Frage.

Der Vorschlag mit dem APPLocker finde ich persönlich super, da wir nicht viele Anwendungen haben. Würde sich ja auch relativ schnell umsetzten lassen über die GPO.

Ich glaube da muss ich mich mal nen Vormittag mit der GL zusammensetzten.

Nochmals Vielen Dank.

Gruß Roman
Bitte warten ..
Mitglied: DerWoWusste
26.06.2012 um 12:53 Uhr
Bedenke aber, was Du Dir mit Applocker für Ungemach einhandeln kannst.
Stell Dir vor, wie böse Nutzer werden können, wenn eine Anwendung nicht läuft und keiner da ist, diese zu entsperren. Die PCs sind dynamische Systeme - änderst Du eine Anwendung (Updates beispielsweise), muss die Applocker Whitelist evtl. nachgepflegt werden.

Noch wichtiger: applocker läuft nur auf win7 enterprise und ultimate.
Softwareeinschr.richtlinien hingegen selbst auf xp und vista/win7 pro.
Bitte warten ..
Mitglied: HPC-Roman
26.06.2012 um 13:01 Uhr
Ich würde nicht direkt applocker nutzen sondern das ganze über die Gruppenrichtlinien der Domäne regeln.
Da geht das auch und Greift für alle Systeme.

Aber das geht natürlich nur wenn es von GL genehmigt wird.
Bitte warten ..
Mitglied: DerWoWusste
26.06.2012 um 13:09 Uhr
Was meinst Du damit? Die GPOs sind doch für applocker - das meine ich doch auch.
Bitte warten ..
Mitglied: HPC-Roman
26.06.2012 um 13:17 Uhr
Ich mein die Richtlinien für Softwareeinschränkung. Für Applocker gibts extra Einstellungen, meines Wissens.
Bitte warten ..
Mitglied: DerWoWusste
26.06.2012, aktualisiert um 13:26 Uhr
Ja. Extraeinst. per GPO. Ergo: genau das Selbe in grün.
Applocker ist sicherer, da es sogar einem im Browser ausgeführten Schadcode das Erstellen von Kindprozessen verweigert - kann nur Applocker.
Bitte warten ..
Mitglied: Alchimedes
LÖSUNG 26.06.2012, aktualisiert 14.02.2014
Hallo HPC-Roman,

die Fake AV's werden durch "Drive by Download" auf den Rechner installiert.
Daher spielt es überhaupt keine Rolle welche Softwaredownloads gesperrt werden.
Der Besuch einer infizierten Seite reicht aus.

Leider nützt auch ein Proxy nichts, da ja Webseiten eben auch erlaubt werden und was ist
wenn ausgerechnet diese Infiziert sind?
Die Antivirenhersteller haben diese Fake AV's auf der Uhr.
Das FBI hat hier mit der Ukrainischen Behoerde, oder auch mit der Lettischen Polizei diverse Fake AVs Hersteller einkassiert.

http://www.eweek.com/c/a/Midmarket/FBI-Busts-Two-Scareware-Fake-AV-Gang ...

Millionengeschäft.... ich glaub ich wechsle die Seiten....

Leider hat die Organisierte Internetkriminalität darauf reagiert und "bessere" Fake AV's geschrieben die sogar verschlüsselte Container erstellen für die man über den UKASH Bezahldienst einen Entschluesselungscode erhält.

Schutzmaßnahmen sind aktuelle Antivirensignaturen, den Webbrowser abhärten durch das addon noscript oder oder wie beschrieben der addlocker.

Hier findest Du noch Informationen vom Sophoslab mit nem link für Virus Removal Tool.

http://www.sophos.com/en-us/security-news-trends/security-trends/fake-a ...

hier aktuelle infos:

http://nakedsecurity.sophos.com/

Wir arbeiten mit Sophos, Du kannst dir das ja mal in ruhe anschauen.

http://www.sophos.com/de-de/

Da gibt es unter anderem Deviceschutz, Manipulationsschutz e.t.c

Die Schulung und Sensibilisierung der Mitarbeiter ist bestimmt auch eine gute Sache.

Viel Erfolg und Gruss
Bitte warten ..
Ähnliche Inhalte
Windows Server
Symantec Endpoint Protection deinstallieren
Frage von r00t-1337Windows Server1 Kommentar

Hallo zusammen, kennt jemand eine brauchbare Lösung um Symantec Endpoint Protection v 12.1.671.4971 via GPO bzw. automatisiert zu deinstallieren. ...

Sicherheits-Tools
Symantec Endpoint Protection Manager 12.1.6MP1a
Frage von Henning32Sicherheits-Tools2 Kommentare

Moin moin liebe "Administrator- Gemeinde" habe eine frage zu SEPM 12.1.6MP1a bzw. zum LUA. Ich möchte gerne einen eigenen ...

Erkennung und -Abwehr
Symantec Endpoint Protection und Mc Afee gleichzeitig betreiben
Frage von KarlariaErkennung und -Abwehr1 Kommentar

Hallo zusammen, Zur Zeit benutzen wir zum Schutz vor mal/spyware Symantec endpoint protection. Wir wollen jedoch auch Mc Afee ...

Sicherheits-Tools
Symantec Endpoint Protection Manager auf neuen Server schieben
gelöst Frage von Bl0ckS1z3Sicherheits-Tools5 Kommentare

Hallo, wir arbeitern mit der SEP in Version 12.1.5 (aktuelle Version). Der Manager läuft noch auf einem W2K3 Server ...

Neue Wissensbeiträge
Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 5 StundenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 5 StundenSicherheit6 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 6 StundenSicherheit5 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 6 StundenSicherheit12 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Heiß diskutierte Inhalte
Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1031 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell29 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen19 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...