9
Richtlinien bei Virenbefall
Hallo Admins ,
Mich wuerde interessieren nach welchen Richtlinien Ihr ,in eurem Arbeitsumfeld ,bei einem Befall eines Rechners mit Viren/Trojaner vorgeht.
Folgender Hintergrund:
Unser Unternehmen rund 70 Leute, verschiedene Abteilung , davon 2 die ne Menge Webresearch machen.
Zum Beispiel kommt es hier hin und wieder zu einem Befall durch den Besuch einer infizierten Webseite.
Wir gehen dann wie folgt vor:
1) Rechner vom Netz trennen. (Mitarbeiter bekommt ein Notfallnotebook)
2) Intensiver Scan des Rechners
3) Analyse der Bedrohung (z.B wo kam der her und hat der schon nach Hause telefoniert und Kameraden zu
sich eingeladen?)
4) Bereinigung des Rechners ( auch schon mal plattmachen und neu )
5) Protokollierung
Schult und informiert Ihr die Mitarbeiter z.B ueber Aktuelle Bedrohungen?
Wie handhabt Ihr Mobiledevices ? ( Hier hat mal ein Blackberry als Wirt gedient und beim Aufladen am Rechner
diesen dann infiziert...)
Gruss
Folgender Hintergrund:
Unser Unternehmen rund 70 Leute, verschiedene Abteilung , davon 2 die ne Menge Webresearch machen.
Zum Beispiel kommt es hier hin und wieder zu einem Befall durch den Besuch einer infizierten Webseite.
Wir gehen dann wie folgt vor:
1) Rechner vom Netz trennen. (Mitarbeiter bekommt ein Notfallnotebook)
2) Intensiver Scan des Rechners
3) Analyse der Bedrohung (z.B wo kam der her und hat der schon nach Hause telefoniert und Kameraden zu
sich eingeladen?)
4) Bereinigung des Rechners ( auch schon mal plattmachen und neu )
5) Protokollierung
Schult und informiert Ihr die Mitarbeiter z.B ueber Aktuelle Bedrohungen?
Wie handhabt Ihr Mobiledevices ? ( Hier hat mal ein Blackberry als Wirt gedient und beim Aufladen am Rechner
diesen dann infiziert...)
Gruss
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 185958
Url: https://administrator.de/contentid/185958
Printed on: April 19, 2024 at 02:04 o'clock
9 Comments
Latest comment
Was verwendet Ihr den für einen Virusschutz?
Tag
Tönt grundsätzlich gut, aber bei Punkt 4 wäre ich für ein generelles Plattmachen, egal ob sich das Ding (teilweise) entfernen liess.
Gruss
TuXHunT3R
Tönt grundsätzlich gut, aber bei Punkt 4 wäre ich für ein generelles Plattmachen, egal ob sich das Ding (teilweise) entfernen liess.
Gruss
TuXHunT3R
Hallo ,
Wir verwenden Sophos mit Onaccess und Web Scan.
Ausserdem werden jede Woche saemtliche Abteilung
zu Unterschiedlichen Zeiten ueber die Sophos Enterprise Console
gescannt.
Wir verwenden Sophos mit Onaccess und Web Scan.
Ausserdem werden jede Woche saemtliche Abteilung
zu Unterschiedlichen Zeiten ueber die Sophos Enterprise Console
gescannt.
Hallo,
das machen wir nur bei schwerwiegenden Befall wenn Sophos dieses nicht verhindern konnte.
Gruss
das machen wir nur bei schwerwiegenden Befall wenn Sophos dieses nicht verhindern konnte.
Gruss
Hi.
Ich geh Dein Vorgehen mal kritisch mit ein paar Fragen an.
-habt Ihr die Zeit für solche Analysen (Scan, woher, Bereinigung)?
-habt Ihr das Wissen für solche Beurteilungen wie "wo kam der her" oder "plattmachen oder nicht?" oder "haben wir ihn wirklich entfernt?" ?
Ich behaupte, dass jemand, der das Wissen und die Zeit dafür tatsächlich hat, in der Lage sein sollte, Infektionen zu verhindern und besser fährt, als jemand, der auf diese Weise Infektionen bereinigt (oder es zumindest versucht...).
Mitarbeiter zu schulen ist prinzipiell richtig, aber bestimmt nicht über aktuelle Bedrohungen. Wie oft müsste man das bitte machen? Bald wöchentlich. Mobile Devices sind, wenn Privateigentum, bei uns verboten. Was per USB angesteckt wird, erzeugt Meldungen. Autostart ist sowieso aus (bei Vista/win7 eh default). Wenn bei uns ein Rechner infiziert würde (ist in den letzten 10 Jahren nicht vorgekommen), würde er plattgemacht. Da wir immer für alle PCs (Fat clients) aktuelle Images haben, ist ein Wiederherstellen auf einen Stand, der maximal 2 Wochen alt ist, jederzeit binnen 1 Std. möglich.
Ich geh Dein Vorgehen mal kritisch mit ein paar Fragen an.
-habt Ihr die Zeit für solche Analysen (Scan, woher, Bereinigung)?
-habt Ihr das Wissen für solche Beurteilungen wie "wo kam der her" oder "plattmachen oder nicht?" oder "haben wir ihn wirklich entfernt?" ?
Ich behaupte, dass jemand, der das Wissen und die Zeit dafür tatsächlich hat, in der Lage sein sollte, Infektionen zu verhindern und besser fährt, als jemand, der auf diese Weise Infektionen bereinigt (oder es zumindest versucht...).
Mitarbeiter zu schulen ist prinzipiell richtig, aber bestimmt nicht über aktuelle Bedrohungen. Wie oft müsste man das bitte machen? Bald wöchentlich. Mobile Devices sind, wenn Privateigentum, bei uns verboten. Was per USB angesteckt wird, erzeugt Meldungen. Autostart ist sowieso aus (bei Vista/win7 eh default). Wenn bei uns ein Rechner infiziert würde (ist in den letzten 10 Jahren nicht vorgekommen), würde er plattgemacht. Da wir immer für alle PCs (Fat clients) aktuelle Images haben, ist ein Wiederherstellen auf einen Stand, der maximal 2 Wochen alt ist, jederzeit binnen 1 Std. möglich.
Hallo,
Danke fuer die Gedanken und Ansaetze!
@DerWoWusste
Im Prinzip haben wir keine Zeit. Nur wenn die Malware nicht geblockt wurde und zur Ausfuehrung kam
dann gehen wir die Sache an. Da wir hier zur Beweisfuehrung (wg. z.B Datenschutzverletzung)
verpflichtet sind. Das Know How ist vorhanden.
Wir nehmen dann z.B nen Rechner mit 2 Netzwerkkarten, da luebbt dann nen bsd und snort.
Dann sehen wir ja wohin der Rechner connectet.
Falls es noch keine Analyse der Malware gibt schicken wir ein Sample an die Antiviren-labs
oder wenn Zeit, gehen wir selbt an die Analyse.
Uns waere es auch nur Recht USB und Mobiledevices zu verbieten.Geht aber leider nicht.
Immerhin haben wir Devicecontroll so das nur zugelassene USB Sticks verwendet werden duerfen.
Und 10 Jahr kein Virus? Dann benutzt Ihr wohl kein Internet.
Wie schuetzt Ihr euch z.B vor 'Drive by Download' ?
Welche Antivirensoftware kommt bei euch zum Einsatz?
Danke und Gruss
Danke fuer die Gedanken und Ansaetze!
@DerWoWusste
Im Prinzip haben wir keine Zeit. Nur wenn die Malware nicht geblockt wurde und zur Ausfuehrung kam
dann gehen wir die Sache an. Da wir hier zur Beweisfuehrung (wg. z.B Datenschutzverletzung)
verpflichtet sind. Das Know How ist vorhanden.
Wir nehmen dann z.B nen Rechner mit 2 Netzwerkkarten, da luebbt dann nen bsd und snort.
Dann sehen wir ja wohin der Rechner connectet.
Falls es noch keine Analyse der Malware gibt schicken wir ein Sample an die Antiviren-labs
oder wenn Zeit, gehen wir selbt an die Analyse.
Uns waere es auch nur Recht USB und Mobiledevices zu verbieten.Geht aber leider nicht.
Immerhin haben wir Devicecontroll so das nur zugelassene USB Sticks verwendet werden duerfen.
Und 10 Jahr kein Virus? Dann benutzt Ihr wohl kein Internet.
Wie schuetzt Ihr euch z.B vor 'Drive by Download' ?
Welche Antivirensoftware kommt bei euch zum Einsatz?
Danke und Gruss
Und 10 Jahr kein Virus? Dann benutzt Ihr wohl kein Internet.
Türlich.Welche Antivirensoftware kommt bei euch zum Einsatz?
Früher McAfee VSE (4-8.7), jetzt KAV 6/KES 7 - tut aber nichts zur Sache, denn es hat seit über 10 Jahren kein Scanner mehr angeschlagen und somit auch nichts für uns getan.Wie schuetzt Ihr euch z.B vor 'Drive by Download' ?
Internetzugang über Remotezugang (früher mittels nx nach Linux, jetzt seit 2 Jahren via RemoteApp nach 2008R2. Auf 2008R2 läuft applocker - sichere Sache.)
Zitat von @Alchimedes:
das machen wir nur bei schwerwiegenden Befall wenn Sophos dieses nicht verhindern konnte.
das machen wir nur bei schwerwiegenden Befall wenn Sophos dieses nicht verhindern konnte.
Hallo,
es führt unter wirtschaftlichen Gesichtspunkten kein Weg an der Neueinrichtung vorbei.
Man kann sich glücklich schätzen, wenn ein Virenscanner eine Kompromittierung anzeigt. Hingegen kann man auf die Identifikation nicht vertrauen und logischerweise auch nicht darauf, dass der Scanner irgendwas erfolgreich verhindert hätte.
Wenn einer "Analyse" und dem Bereinigen gegenüber der Neueinrichtung der Vorzug gegeben wird, spricht das in der Regel dafür, dass das Know How für eine fachgerechte Analyse eher nicht vorhanden ist, weil ansonsten der Aufwand der Neuinstallation geringer ist.
Grüße
Richard
