Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Richtlinien bei Virenbefall

Frage Sicherheit Viren und Trojaner

Mitglied: Alchimedes

Alchimedes (Level 2) - Jetzt verbinden

05.06.2012 um 13:41 Uhr, 4594 Aufrufe, 9 Kommentare

Hallo Admins ,

Mich wuerde interessieren nach welchen Richtlinien Ihr ,in eurem Arbeitsumfeld ,bei einem Befall eines Rechners mit Viren/Trojaner vorgeht.

Folgender Hintergrund:

Unser Unternehmen rund 70 Leute, verschiedene Abteilung , davon 2 die ne Menge Webresearch machen.
Zum Beispiel kommt es hier hin und wieder zu einem Befall durch den Besuch einer infizierten Webseite.

Wir gehen dann wie folgt vor:
1) Rechner vom Netz trennen. (Mitarbeiter bekommt ein Notfallnotebook)
2) Intensiver Scan des Rechners
3) Analyse der Bedrohung (z.B wo kam der her und hat der schon nach Hause telefoniert und Kameraden zu
sich eingeladen?)
4) Bereinigung des Rechners ( auch schon mal plattmachen und neu )
5) Protokollierung

Schult und informiert Ihr die Mitarbeiter z.B ueber Aktuelle Bedrohungen?
Wie handhabt Ihr Mobiledevices ? ( Hier hat mal ein Blackberry als Wirt gedient und beim Aufladen am Rechner
diesen dann infiziert...)


Gruss
Mitglied: Mister-Wrong
05.06.2012 um 13:52 Uhr
Was verwendet Ihr den für einen Virusschutz?
Bitte warten ..
Mitglied: TuXHunt3R
05.06.2012 um 14:08 Uhr
Tag

Tönt grundsätzlich gut, aber bei Punkt 4 wäre ich für ein generelles Plattmachen, egal ob sich das Ding (teilweise) entfernen liess.

Gruss
TuXHunT3R
Bitte warten ..
Mitglied: Alchimedes
05.06.2012 um 14:12 Uhr
Hallo ,

Wir verwenden Sophos mit Onaccess und Web Scan.
Ausserdem werden jede Woche saemtliche Abteilung
zu Unterschiedlichen Zeiten ueber die Sophos Enterprise Console
gescannt.
Bitte warten ..
Mitglied: Alchimedes
05.06.2012 um 14:15 Uhr
Hallo,

das machen wir nur bei schwerwiegenden Befall wenn Sophos dieses nicht verhindern konnte.

Gruss
Bitte warten ..
Mitglied: DerWoWusste
07.06.2012, aktualisiert um 01:49 Uhr
Hi.

Ich geh Dein Vorgehen mal kritisch mit ein paar Fragen an.
-habt Ihr die Zeit für solche Analysen (Scan, woher, Bereinigung)?
-habt Ihr das Wissen für solche Beurteilungen wie "wo kam der her" oder "plattmachen oder nicht?" oder "haben wir ihn wirklich entfernt?" ?
Ich behaupte, dass jemand, der das Wissen und die Zeit dafür tatsächlich hat, in der Lage sein sollte, Infektionen zu verhindern und besser fährt, als jemand, der auf diese Weise Infektionen bereinigt (oder es zumindest versucht...).

Mitarbeiter zu schulen ist prinzipiell richtig, aber bestimmt nicht über aktuelle Bedrohungen. Wie oft müsste man das bitte machen? Bald wöchentlich. Mobile Devices sind, wenn Privateigentum, bei uns verboten. Was per USB angesteckt wird, erzeugt Meldungen. Autostart ist sowieso aus (bei Vista/win7 eh default). Wenn bei uns ein Rechner infiziert würde (ist in den letzten 10 Jahren nicht vorgekommen), würde er plattgemacht. Da wir immer für alle PCs (Fat clients) aktuelle Images haben, ist ein Wiederherstellen auf einen Stand, der maximal 2 Wochen alt ist, jederzeit binnen 1 Std. möglich.
Bitte warten ..
Mitglied: Alchimedes
07.06.2012 um 12:35 Uhr
Hallo,

Danke fuer die Gedanken und Ansaetze!

@DerWoWusste

Im Prinzip haben wir keine Zeit. Nur wenn die Malware nicht geblockt wurde und zur Ausfuehrung kam
dann gehen wir die Sache an. Da wir hier zur Beweisfuehrung (wg. z.B Datenschutzverletzung)
verpflichtet sind. Das Know How ist vorhanden.

Wir nehmen dann z.B nen Rechner mit 2 Netzwerkkarten, da luebbt dann nen bsd und snort.
Dann sehen wir ja wohin der Rechner connectet.
Falls es noch keine Analyse der Malware gibt schicken wir ein Sample an die Antiviren-labs
oder wenn Zeit, gehen wir selbt an die Analyse.
Uns waere es auch nur Recht USB und Mobiledevices zu verbieten.Geht aber leider nicht.
Immerhin haben wir Devicecontroll so das nur zugelassene USB Sticks verwendet werden duerfen.

Und 10 Jahr kein Virus? Dann benutzt Ihr wohl kein Internet.
Wie schuetzt Ihr euch z.B vor 'Drive by Download' ?
Welche Antivirensoftware kommt bei euch zum Einsatz?

Danke und Gruss
Bitte warten ..
Mitglied: DerWoWusste
07.06.2012 um 14:03 Uhr
Und 10 Jahr kein Virus? Dann benutzt Ihr wohl kein Internet.
Türlich.
Welche Antivirensoftware kommt bei euch zum Einsatz?
Früher McAfee VSE (4-8.7), jetzt KAV 6/KES 7 - tut aber nichts zur Sache, denn es hat seit über 10 Jahren kein Scanner mehr angeschlagen und somit auch nichts für uns getan.
Wie schuetzt Ihr euch z.B vor 'Drive by Download' ?
Internetzugang über Remotezugang (früher mittels nx nach Linux, jetzt seit 2 Jahren via RemoteApp nach 2008R2. Auf 2008R2 läuft applocker - sichere Sache.)
Bitte warten ..
Mitglied: C.R.S.
07.06.2012, aktualisiert um 14:42 Uhr
Zitat von Alchimedes:
das machen wir nur bei schwerwiegenden Befall wenn Sophos dieses nicht verhindern konnte.

Hallo,

es führt unter wirtschaftlichen Gesichtspunkten kein Weg an der Neueinrichtung vorbei.
Man kann sich glücklich schätzen, wenn ein Virenscanner eine Kompromittierung anzeigt. Hingegen kann man auf die Identifikation nicht vertrauen und logischerweise auch nicht darauf, dass der Scanner irgendwas erfolgreich verhindert hätte.
Wenn einer "Analyse" und dem Bereinigen gegenüber der Neueinrichtung der Vorzug gegeben wird, spricht das in der Regel dafür, dass das Know How für eine fachgerechte Analyse eher nicht vorhanden ist, weil ansonsten der Aufwand der Neuinstallation geringer ist.

Grüße
Richard
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
Server2012 R2 Radius Richtlinien bestimmten Clients zuordnen (6)

Frage von MichaelW84 zum Thema Windows Server ...

Windows Server
gelöst GPO: Richtlinien überwachen auf Veränderung (2)

Frage von atk691 zum Thema Windows Server ...

Erkennung und -Abwehr
Richtlinien für Softwareeinschränkungen (3)

Frage von 127944 zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...