77282
Goto Top

Virenscanner auf Server

Hallo,

wieder einmal ist bei mir im Unternehmen die Frage aufgekommen: Ist ein Virenscanner auf einem Server sinnvoll?
laut Microsoft und heise bringt dies ja keinen Sicherheitsgewinn.

Wie seht ihr das?
Wann macht es sinn und wann macht es keinen Sinn einen Virenscanner-Client auf einem Server zu installieren?

Content-Key: 303832

Url: https://administrator.de/contentid/303832

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: transocean
transocean 06.05.2016 um 08:58:50 Uhr
Goto Top
Moin,

für mich macht es immer dann Sinn, wenn die Kiste aus dem Internet erreichbar ist.

Gruß

Uwe
Mitglied: 77282
77282 06.05.2016 um 09:08:49 Uhr
Goto Top
Das ist bei uns z.B. nicht der Fall, der Einzigsteder ins www darf ist der WSUS.
Mitglied: Chonta
Chonta 06.05.2016 um 09:15:18 Uhr
Goto Top
Hallo,

es kommt immer drauf an, was ist das für ein Server und was macht dieser Server.
Bestimmte dienste brauchen eine andere Art von Scanner als man vom Desktop gewohnt ist.
Für AD und Datenbanken müssen z.B. Ausschlüsse definiert werden können oder der Scanner muss selbst checken das es ein DC ist und die AD Verzeichnisse in Ruhe lassen.
Eine Exchangedatenbank braucht spezielle scanner und und und.

Auf einem Dateiserver macht es durchaus sin, aber nicht nur Viren sondern auch Malwarescanner und die Daten die dort liegen zu schützen.

Mit ja oder nein kann man die Frage nicht beantworten. Es kommt immer drauf an was für ein Server (auch OS) und welch Dienste laufen darauf.
Und dann ein Sicherheitskonzept für die Spezielle Aufgabe.

Gruß

Chonta
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.05.2016 um 09:39:25 Uhr
Goto Top
Zitat von @77282:

laut Microsoft und heise bringt dies ja keinen Sicherheitsgewinn.

Wie seht ihr das?


Man köntne sich natürlich darüber auslassen, ob Schlangenöl überhaupt ein Sicherheitsgewinn ist oder ob man damit wenigstens eine Fliegenklatsche hat, mit der man (nur) die langsamen Fliegen erwischt.

Man muß beim Einsatz eines Virenscanners vieles berücksichtigen:

  • Reiße ich mir dadruch eher ein Loch in meine Sicherheitsarchitektur? Denn imemr öfter sind auch Virenscanner Ansatzpunkte für Exploits.
  • Wie doof sind meine User? Klicken die auf alles, was bei drei nicht von der Platte runter ist? Da kann es sinnvoll sein, Virenscanner zu installieren, damit das wenigstens den groben Dreck wegfängt.
  • Kommt mein System überhaupt mit "potentieller Malware" in Berührung? Isolierte System brauchen seltenst einen Malware-schutz.
  • usw.

Lage Rede kurzer Sinn: Jeder der fragen muß, ob er überhaupt einen Virenscanne rbraucht, soltle sich einen installieren. Denn der weiß i.d.R. nicht, welche Alternativen Methoden (Applocker, Stark eingeschränkt Userrechte und ACLs etc.) wie anzuwenden sind.

lks
Mitglied: departure69
departure69 06.05.2016 um 09:47:18 Uhr
Goto Top
Hallo.

Auf allen unseren Windows-Servern ist der gleiche AV-Schutz (hier: Trend Micro) drauf wie auf allen Clients. Grund: Alle Server können auf's Internet zugreifen, obendrein kann mal eine verseuchte Datei den Weg auf den Fileserver gefunden haben, weil das Pattern am Client nicht schnell genug aktualisert wurde, in diesen Fällen wird er dann beim nächsten Scan, wenn spätestens dann am Fileserver das Pattern aktuell ist, gefunden.

Wer ohnehin einen Business-/Enterprise-AV-Schutz verwendet, wird die paar Mark für die zusätzlichen Lics. auf den Servern vermutlich auch noch haben.


Einziger, aber wichtiger Unterschied zu den Clients: Ausgenommene (ausgenommen vom AV-San) Pfade lt. dieser Microsoft-Anleitung:

https://support.microsoft.com/de-de/kb/822158

Die Ausnahmen dienen dazu, Performanceengpässe zu verhindern oder Prozesse nicht zu stören, bei denen ein AV-Scan entweder stört und/oder nichts bringt.

Beispiel: Es bringt nichts, die Exchange-Datenbank durchscannen zu lassen, selbst bei positivem Virenbefall in einer E-Mail würde der Scanner dies in der DB nicht bemerken, dafür reißt der Scan aber die Performance runter.

Dafür unter Exchange natürlich eine entsprechende Messaging-Security einsetzen, die wirklich die Mails am Exchangeserver durchscannt.


Mein Fazit: Virenscan auf allen Servern, jedoch Ausnahmepfade beachten!


Viele Grüße

von

departure69
Mitglied: GuentherH
GuentherH 06.05.2016 aktualisiert um 10:50:06 Uhr
Goto Top
selbst bei positivem Virenbefall in einer E-Mail würde der Scanner dies in der DB nicht bemerken

Sei dir da mal nicht so sicher. face-wink Ich hatte durchaus schon Supportfälle bei denen der Virenscanner einen Virus in der DB erkannte und dann die DB zerstörte oder genauso schlimm das Transaktionslog löschte.

LG Günther
Mitglied: 77282
77282 06.05.2016 um 10:52:01 Uhr
Goto Top
@Chonta : Warum macht es deiner Meinung nach sinn einen Virenscanner auf einem Dateiserver laufen zu lassen?

Auf dem Dateiserver wird ja die Datei nicht ausgeführt, sondern erst wenn der Client diese Datei öffnen will, so sollte der Client den Virus erkennen. Dem Server ist dies doch relativ egal oder?
Mitglied: departure69
departure69 06.05.2016 um 10:59:14 Uhr
Goto Top
Zitat von @77282:

@Chonta : Warum macht es deiner Meinung nach sinn einen Virenscanner auf einem Dateiserver laufen zu lassen?

Auf dem Dateiserver wird ja die Datei nicht ausgeführt, sondern erst wenn der Client diese Datei öffnen will, so sollte der Client den Virus erkennen. Dem Server ist dies doch relativ egal oder?


Es geht doch nicht darum, daß sie ausgeführt wird oder werden muß.

Der User tätigt einen Download und speichert die Datei in seinem zugewiesenen Homelaufwerk ab, das im Dateiserver residiert. Die Datei enthält Schadcode neuester Art.. Das Clientpattern war zum Zeitpunkt des DL nicht aktuell. Stunden später ist das Pattern dann aber auf dem Fileserver aktuell. Der nächste Vollscan (auf meinem Fileserver jeden Mittag um 12.00 Uhr) findet die schadcodebehaftete Datei und behandelt sie entsprechend (säubern, Quarantäne, löschen usw.). Wüßte jetzt nicht, was daran falsch sein soll. Sie muß nicht ausgeführt werden, die schiere Existenz von Schadcode genügt ja wohl, denke ich. Und irgendwann wird der User den Download vermutlich mal benutzen wollen.


Viele Grüße

von

departure69
Mitglied: departure69
departure69 06.05.2016 um 11:00:40 Uhr
Goto Top
Zitat von @GuentherH:

selbst bei positivem Virenbefall in einer E-Mail würde der Scanner dies in der DB nicht bemerken

Sei dir da mal nicht so sicher. face-wink Ich hatte durchaus schon Supportfälle bei denen der Virenscanner einen Virus in der DB erkannte und dann die DB zerstörte oder genauso schlimm das Transaktionslog löschte.

Deshalb sind die Ausnahmepfade ja so wichtig, wie ich schrieb.


LG Günther


Viele Grüße

von

departure69
Mitglied: Chonta
Chonta 06.05.2016 um 11:05:37 Uhr
Goto Top
Hallo,

die Daten werden aber auch auf den Server geschrieben und jeh nachdem könnte ein auf dem Server installierter Scanner dann eine befallene Datei erkennen.
Wenn Client und Server denselben Scanner haben dann wird der Server vermutlich nix finden was der Client nicht gefunden hat.
Der Scanner auf dem Server kann den Datenbestand am Wochenende scannen und somit befallene Dateien erkennen die beim schreiben noch nicht gefunden wurden und in der Zwischenzeit auch nicht angefasst wurden.

Sicherheit ist halt immer ein ganzes Konzept und nicht nur ein Scanner.

Gruß

Chonta
Mitglied: VGem-e
VGem-e 06.05.2016 um 12:08:32 Uhr
Goto Top
Servus Kollegen,

ich handhabe die Thematik ähnlich wie viele Kollegen.

D.h. ein Server benötigt/verfügt über Internetzugriff, ist ein Virenscanner installiert; entsprechende Ausnahmeregelungen sind natürlich auch eingetragen.

Ein weiterer Grund für AV-Scanner auf Servern ist die seit einigen Monaten vorhandene Möglichkeit, sog. Verhaltensauffälligkeiten in Bezug auf diese Ransomware zu erkennen (und hoffentlich an weiterem Befall zu hindern!).

Gruß
VGem-e
Mitglied: ukulele-7
ukulele-7 06.05.2016 um 13:41:00 Uhr
Goto Top
Ergänzend würde ich noch zwei Dinge in den Raum stellen auch wenn sie vieleicht klar sind:

- Terminal Server sind zu behandeln wie Clients.
- Diverse Versicherungen oder ISO-Zertifizierungen erwarten einen "aktuellen Virenschutz". Hat man ihn nicht, wird einem Fahlässigkeit oder sonstwas unterstellt. Hat man ihn und er taugt nichts kümmert es keinen.

Meine persönliche Meinung geht eher Richtung Schlangenöl und auf ein False-Positive im Systempfad auf einem Domänenkontroller oder einem Exchange hab ich ja mal sowas von keinen Bock. Ich würde sagen meistens wird die Sicherheit nicht verbessert, die Performance verschlechtert und Betrieb und Wartung erschwert. Ich rufe aber auf einem Server auch keinen Browser auf (wenn er überhaupt Internet hat) und meine User haben nur auf sehr wenigen Systemen Schreibrechte. Fileserver und Terminal Server sind natürlich was besonderes.
Mitglied: pelzfrucht
pelzfrucht 06.05.2016 um 16:09:16 Uhr
Goto Top
Moin,

Auf einem Dateiserver würde ich ggf. empfehlen eine andere AntiViren Software als auf den Clients auszuführen.

Wenn einem AntiViren Produkt auf den Clients mal etwas durchrutscht, kann es sein dass die "Konkurrenzsoftware" auf dem Server Sie erkennt.

Viele Grüße
pelzfrucht
Mitglied: 117471
117471 06.05.2016 aktualisiert um 16:36:33 Uhr
Goto Top
Ich denke, es hängt auch davon ab, um was für einen Server es sich handelt.

Einen SBS-Server z.B., der über seine Kernfunktion (AD, Exchange, WSUS, ggf. noch Sharepoint) hinaus noch Dinge erledigt, die einen Virenscanner erfordern, betrachte ich grundsätzlich erst einmal als überfordert und versaubeutelt face-smile
Mitglied: Chonta
Chonta 06.05.2016 um 16:37:49 Uhr
Goto Top
Aber grade so ein Teil braucht den richtigen Scanner face-wink
Mitglied: AlFalcone
AlFalcone 06.05.2016 aktualisiert um 16:43:30 Uhr
Goto Top
- AD/DC
- Exchange
- SQL
- File
- CAD
- Print
- Sharepoint
- CRM
Schützen wir mit Eset File/Exchange Security
Die entsprechenden Ausnahmen und schon gibt es keinerlei Problem mehr.

Der Kauf hat schon mehr als rentiert, denn wenn ein Client User etwas speichern will, so scannt Eset Serverseitig und verweigert wenn schadhaft oder nicht erlaubt, halt den Zugriff auf den Server.

Nachteile gibt es weniger als keine und Performanceeinbussen existieren auch keine. Wenn man den Scanner korrekt konfiguriert und anpasst an den Server.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.05.2016 aktualisiert um 16:49:35 Uhr
Goto Top
Zitat von @AlFalcone:

Schützen wir mit Eset File/Exchange Security
Die entsprechenden Ausnahmen und schon gibt es keinerlei Problem mehr.


Das schützt aber nur solange, solange nicht jemand direkt ausnutzt, daß Ihr Eset verwendet.

Wie ich schon oben sagte. Durch AV-Software handelt man sich einen zusätzlichen Angriffsvektor ein, den man bei der Planung berücksichtigen muß.

lks
Mitglied: 117471
117471 06.05.2016 um 16:50:22 Uhr
Goto Top
Zitat von @Chonta:

Aber grade so ein Teil braucht den richtigen Scanner face-wink

Warum? Oder war das jetzt ironisch gemeint?
Mitglied: Chonta
Chonta 06.05.2016 um 17:18:21 Uhr
Goto Top
Nein, nicht ironisch.

Auf einem SBS laufen alle Dienste und ist ggf auch direkt über das Internet erreichbar.

Entweder auf dem Server selber oder noch vor dem Server muss ein Scanner für die Mails hin.
Da der SBS auch Fileserver ist gilt auch das was schon vorher zu Fileserver gesagt wurde.
Die Mehrleistung die jetzt noch ein Scanner auf dem System zieht, sollte nicht weiter auffallen (wenns ein guter ist und der Server nicht unterdimensioniert wurde)

Gruß

Chonta
Mitglied: 117471
117471 06.05.2016 um 17:55:37 Uhr
Goto Top
Gut, dann habe ich tatsächlich eine andere Strategie.

Ich bastel da in der Regel eine Firewall und eine Linux-Maschine davor, die die Portforwardings bekommt und den Server abschirmt (reverser Proxy für 's OWA bzw. Autodiscover und POP3-Abruf via fetchmail).

Funktioniert übrigens wunderbar face-smile

Datei- und Druckserver kommt bei mir auf eine andere VM.

Wobei ich mal behaupte, dass Angriffe sowieso nicht vom Virenscanner erfasst werden. Letztendlich zielen die ja eher auf Sicherheitslöcher als auf Malware.

Ein Virenscanner gehört dorthin, wo die Logik des Virus aktiv ist. In meinen Augen sind das der Terminalserver und die Arbeitsplatzrechner.

Aber ich denke, das ist ein Thema, dass man leidenschaftlich diskutieren kann ohne zu einem Ergebnis zu kommen. Mein Einwand wäre nur: Wenn Dir der Virenscanner eine Komponente deines Exchange / SBS / Sharepoint wegbombt und es ganz dumm läuft und der Server u.U. ein Wochenende mit den beschädigten Komponenten weiterläuft, dann ist das Teil definitiv "im Popo".
Mitglied: keine-ahnung
keine-ahnung 06.05.2016 um 19:51:09 Uhr
Goto Top
Moin,
Einen SBS-Server ... betrachte ich grundsätzlich erst einmal als überfordert und versaubeutelt
meiner hat sich noch nie wegen Überforderung beschwert face-wink. Da läuft der normale worryfree-scanner nebst der email-security aus dem Paket - null problemo ...

LG, Thomas
Mitglied: Tastaturer16
Tastaturer16 06.05.2016 um 22:24:20 Uhr
Goto Top
Hallo,

wir haben auf unseren Fileservern entsprechende AV Programme installiert. Kurzum einfach um einen Sicherheitsfaktor mehr in der Hand zu haben. So werden entsprechende Datentransfers geprüft und wir können uns "soweit" sicher sein.

Gruß
Mitglied: AlFalcone
AlFalcone 06.05.2016 um 23:55:34 Uhr
Goto Top
Nur dass diese Lücken schon lange zu sind face-smile

Dann muss der mal erst durch die Firewalls und Proxys kommen, denn wir haben mehrstufiges Sicherheitskonzept aufgebaut face-wink
Mitglied: 117471
117471 06.05.2016 um 23:59:07 Uhr
Goto Top
Zitat von @keine-ahnung:

meiner hat sich noch nie wegen Überforderung beschwert face-wink

Ja. Dennoch hat sich in der IT häufig bewahrheitet, dass die schlimmste Vermutung auch die Treffendste ist face-smile

Meiner würde sich vermutlich auch nicht beschweren. Fairerweise muss man allerdings sagen, dass RAM und CPU-Leistung vor 5 Jahren deutlich spärlicher gesät waren. Heutzutage virtualisiert man so etwas weg... face-smile