Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Immer wieder Viren trotz Symantec Endpoint Protection

Frage Sicherheit Sicherheits-Tools

Mitglied: HPC-Roman

HPC-Roman (Level 1) - Jetzt verbinden

26.06.2012, aktualisiert 14.02.2014, 6139 Aufrufe, 13 Kommentare

Hallo zusammen,

ich habe in einem Kundennetzwerk immer wieder Vieren auf PCs trotz Symantec Endpoint Protection 11.0.7200.

Meist handelt es sich um Fake Antivirus Programme, die richtig schaden anrichten z.B. alle Dateien auf der Festplatte verstecken auf die der Benutzer Zugriff hat.

Ich habe überall den Virenschutz und Antispyware-Schutz, E-Mail Schutz und den Proaktiver Bedrohungsschutz auf den Clients aktiviert. Die User sind nur Benutzer, aber immer wieder schaffen es die Mitarbeiter sich so einen Dreck einzufangen.

Wie kann ich dem Vorbeugen bzw. gibt es in SEP Einstellungen um die Sicherheit zu erhöhen, damit diese Fake Programme zuverlässig erkannt werden?

Die Verwaltung der Clients über den Manager ist einfach Klasse, aber was hilft es mir wenn ich alle 2-3 Wochen nen verseuchten PC habe.

Danke und Gruß

Roman


Mitglied: catachan
26.06.2012 um 10:43 Uhr
Hi

wie siehts mit Updates aus ? Nicht nur vom Betriebsystem sondern auch Adobe Reader, Flash, FIrefox etc..
Alles am letzten Stand ? Normalerweise ist da ein ziemlicher Wildwuchs, was auch die Virenproblematik nicht gerade verbessert.
Sieh dir mal Secunia CSI an, falls ihr da Bedarf habt.

LG
Bitte warten ..
Mitglied: Penny.Cilin
26.06.2012 um 10:44 Uhr
Hallo Roman,

vielleicht zunächst die Mitarbeiter schulen, damit diese nicht jeden Dreck anklicken der in eine E-Mail angehängt ist?
Meist sitzt das Problem 30cm vor dem Bildschirm/Tastatur. Mir scheint die Anwender sind nicht genug sensibilisiert bzgl. diesem Thema.

Gruss Penny
Bitte warten ..
Mitglied: MiljanCH
26.06.2012 um 10:45 Uhr
Hallo Roman,

In unserem Betrieb haben wir sehr schlechte Erfahrungen gemacht mit Symantec und haben auf Kaspersky gewechselt.
Ich glaube aber nicht dass du so schnell wechselst.
Diese Viren werden von Usern heruntergeladen, da wäre ein Rundmail gut, dass User nicht alles installieren sollten oder einfach mal die Administratoren Rechte entfernen.

Ich empfehle dir Kaspersky, hat genau so eine gute Verwaltungskonsole und viele zusätzliche Features.

Gruss Miljan
Bitte warten ..
Mitglied: SlainteMhath
26.06.2012 um 11:03 Uhr
Moin,

wenn der Virus/die Malware auf dem Client ankommt ist m.E. schon was falsch gelaufen. Gerade bei Rogue AVs sind die "echten" AV Hersteller immer hinterher.

Bei uns im Netzwerk wird der Download jeglicher ZIP/EXE/COM/CMD/BAT per Webfilter an der Firewall unterbunden, das hilft auch gegen 0-Days

Und gegen PDF/Flash Exploits hilft nur patchen, patchen, patchen!

lg,
Slainte
Bitte warten ..
Mitglied: ColdZero89
26.06.2012 um 11:10 Uhr
Moin,

Fehler 1 (aus meiner Erfahrung mit SEP) weg von SEP! Privat würde ich Kaspersky nie nutzen und auch firmlich nicht, da es mir zuviele ressourcen frisst, aber es ist ein gutes Programm.
Ansonsten würde ich die Avast ans herzchen legen - damit habe ich seid jahren NIE probleme.
Ich lass auch ab und zu von anderen Programmen suchen, die finden auch nichts.

Allgemein ist bei sowas aber Fehler30 der gesuchte Fehler. Sensibilisiere deine Mitarbeiter durch ein DOkument/Bericht aus dem INet o.ä. das hilft schon oft ein stückweit!

Gruß Zero
Bitte warten ..
Mitglied: DerWoWusste
26.06.2012, aktualisiert um 11:17 Uhr
Hi.

Der Titel sagt eigentlich schon alles: "...Viren trotz "superduper"-Protection".

Ein Scanner ist nur ein Teil eines Schutzkonzeptes. Du wirst mit keinem Scanner verlässlich gegen Viren schützen können. Viren kommen in x Varianten vor und Symantec und andere hecheln hinter den neuen hinterher - für ein paar Tage werden diese nicht erkannt, ganz einfach. Allenfalls die Aktivierung/Verschärfung einer Heuristik kann am Scanner noch was bringen.

Ich kann zur Hilfe nur ein paar Maßnahmen aufzählen, die ich für lohnend halte:
-schriftlich vereinbaren, dass nur dienstlich relevante Websites aufgesucht werden und in keinem Fall irgendwelche Softwares installiert oder benutzt werden, die den Admins unbekannt sind
-E-mailprogramme bei den default-Sicherheitseinstellungen belassen, nämlich so, dass keine ausführbaren Anhänge zugreifbar sind ->wer sowas braucht, vereinbare mit dem Absender, dass dieser ein .7z-Archiv schicke.
-Mitarbeiter einmal pro Jahr/alle zwei Jahre über die Gefahren aufklären
-Anwendungen und Windows zeitnah patchen
-ggf. Wechseldatenträger sperren
-evtl. Internetzugang in eine virtuelle Maschine kapseln
-evtl. Internetzugang auf einen Browser als RemoteApp beschränken
-heftigste aber wirkungsvollste Maßnahme: Softwareeinschränkungsrichtlinien oder applocker aktivieren und eine Whitelist aufsetzen (alles Bordmittel!).
Bitte warten ..
Mitglied: HPC-Roman
26.06.2012 um 12:10 Uhr
Hallo,

Danke für so viele Antworten.

Wir haben ja zusätzlich noch eine Firewall mit Proxy und zusätzlichem Virenscanner im Einsatz.

Das die Antivirus Hersteller ein paar Tage brauchen bis Sie die neuen Viren blocken können, wusste ich schon. Ist ja auch verständlich. Nur das sich meine User immer die neusten einfangen ist schon komisch.

Ein Wechsel auf einen anderen Hersteller kommt derzeit nicht in Frage.

Der Vorschlag mit dem APPLocker finde ich persönlich super, da wir nicht viele Anwendungen haben. Würde sich ja auch relativ schnell umsetzten lassen über die GPO.

Ich glaube da muss ich mich mal nen Vormittag mit der GL zusammensetzten.

Nochmals Vielen Dank.

Gruß Roman
Bitte warten ..
Mitglied: DerWoWusste
26.06.2012 um 12:53 Uhr
Bedenke aber, was Du Dir mit Applocker für Ungemach einhandeln kannst.
Stell Dir vor, wie böse Nutzer werden können, wenn eine Anwendung nicht läuft und keiner da ist, diese zu entsperren. Die PCs sind dynamische Systeme - änderst Du eine Anwendung (Updates beispielsweise), muss die Applocker Whitelist evtl. nachgepflegt werden.

Noch wichtiger: applocker läuft nur auf win7 enterprise und ultimate.
Softwareeinschr.richtlinien hingegen selbst auf xp und vista/win7 pro.
Bitte warten ..
Mitglied: HPC-Roman
26.06.2012 um 13:01 Uhr
Ich würde nicht direkt applocker nutzen sondern das ganze über die Gruppenrichtlinien der Domäne regeln.
Da geht das auch und Greift für alle Systeme.

Aber das geht natürlich nur wenn es von GL genehmigt wird.
Bitte warten ..
Mitglied: DerWoWusste
26.06.2012 um 13:09 Uhr
Was meinst Du damit? Die GPOs sind doch für applocker - das meine ich doch auch.
Bitte warten ..
Mitglied: HPC-Roman
26.06.2012 um 13:17 Uhr
Ich mein die Richtlinien für Softwareeinschränkung. Für Applocker gibts extra Einstellungen, meines Wissens.
Bitte warten ..
Mitglied: DerWoWusste
26.06.2012, aktualisiert um 13:26 Uhr
Ja. Extraeinst. per GPO. Ergo: genau das Selbe in grün.
Applocker ist sicherer, da es sogar einem im Browser ausgeführten Schadcode das Erstellen von Kindprozessen verweigert - kann nur Applocker.
Bitte warten ..
Mitglied: Alchimedes
LÖSUNG 26.06.2012, aktualisiert 14.02.2014
Hallo HPC-Roman,

die Fake AV's werden durch "Drive by Download" auf den Rechner installiert.
Daher spielt es überhaupt keine Rolle welche Softwaredownloads gesperrt werden.
Der Besuch einer infizierten Seite reicht aus.

Leider nützt auch ein Proxy nichts, da ja Webseiten eben auch erlaubt werden und was ist
wenn ausgerechnet diese Infiziert sind?
Die Antivirenhersteller haben diese Fake AV's auf der Uhr.
Das FBI hat hier mit der Ukrainischen Behoerde, oder auch mit der Lettischen Polizei diverse Fake AVs Hersteller einkassiert.

http://www.eweek.com/c/a/Midmarket/FBI-Busts-Two-Scareware-Fake-AV-Gang ...

Millionengeschäft.... ich glaub ich wechsle die Seiten....

Leider hat die Organisierte Internetkriminalität darauf reagiert und "bessere" Fake AV's geschrieben die sogar verschlüsselte Container erstellen für die man über den UKASH Bezahldienst einen Entschluesselungscode erhält.

Schutzmaßnahmen sind aktuelle Antivirensignaturen, den Webbrowser abhärten durch das addon noscript oder oder wie beschrieben der addlocker.

Hier findest Du noch Informationen vom Sophoslab mit nem link für Virus Removal Tool.

http://www.sophos.com/en-us/security-news-trends/security-trends/fake-a ...

hier aktuelle infos:

http://nakedsecurity.sophos.com/

Wir arbeiten mit Sophos, Du kannst dir das ja mal in ruhe anschauen.

http://www.sophos.com/de-de/

Da gibt es unter anderem Deviceschutz, Manipulationsschutz e.t.c

Die Schulung und Sensibilisierung der Mitarbeiter ist bestimmt auch eine gute Sache.

Viel Erfolg und Gruss
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...