cjmatsel 10 Geschrieben 28. August 2009 Melden Teilen Geschrieben 28. August 2009 Hi, ich höre immer wieder von verheerenden Auswirkungen wenn ein Virus mal in ein Windows-Netz eingedrungen ist. Das grösste Problem ist m.E. zwischen den Windows-Systemen; die "Randbereiche" eines Netzes sind meist recht gut gesichert, aber man hat ja auch nicht zwischen Flur und Badezimmer eine Stahltür zu Hause... Verschiedene Anbieter versuchen hier eine ganze Menge Geld zu verdienen mit speziellen Maßnahmen. Angefangen von Virenscannern mit Firewallfunktionen bis hin zu "besonderen" Switchen. Daher suche ich Möglichkeiten mit einfachen Mitteln (teilweise Bordmittel) eine Lösung für einen eventuellen Angriff herbeizuführen. Meine Idee: Wenn der Virenscanner Alarm schlägt, wird sämtlicher Verkehr blockiert (bis auf vielleicht RDP oder so) oder die Netzwerkkarte sogar deaktiviert. Damit könnte man Windows-Systeme beim ersten Eindringen vom Rest des Netzes abschotten und so eine Weiterverbreitung einschränken. Eine Alternative wäre das Erkennen der Ablage von ausführbaren Dateien im Windows-Verzeichnis (bei R2 gabs sowas für Freigaben) oder das Prüfsummentool von Microsoft (welches verm. bei Windows-Updates Probleme machen dürfte). Wie könnte man solche Ideen umsetzen? Habt ihr ähnliche Lösungen? Mich interessieren Praxistipps von kleineren bis mittleren Unternehmen (wo das enge Budget an der Tagesordnung ist)... Zitieren Link zu diesem Kommentar
Deejablo 10 Geschrieben 28. August 2009 Melden Teilen Geschrieben 28. August 2009 Ganz ehrlich... Der beste Schutz vor Viren und anderem Getier ist die Schulung der Mitarbeiter. Denn wie du ja sagst... Von Außen sind die Netzwerke meist gut geschützt. Also droht eine Verbreitung meist von innen. Und wenn deine Leute wissen wie man mit Anhängen umgeht und sich im Internet verhält, dann ist das schon mal ein wichtiger Teil. Und dann kommt natürlich eine ordentliche Anti-Viren-Software und die obligatorische Firewall (und bei Vista oder Win7 natürlich die UAC) und schon kannst du relativ ruhig schlafen. Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 28. August 2009 Autor Melden Teilen Geschrieben 28. August 2009 (bearbeitet) Ich sehe eine Schulung der Mitarbeiter zwar als äußerst effektiv, jedoch hilft diese Schulung nur als Präventivmassnahme. Was tue ich aber, wenn ein Virus schon eingedrungen ist und wie hindere ich ihn an einer Verbreitung?! Gerade hierbei sind in letzter Zeit interessante Viren erschienen. Das Aushebeln der UAC oder das Eintragen in das Autoplay-Menü der CD-Laufwerke sind da wohl noch die leichtesten Übungen; viele webseitenbetreiber wissen nicht einmal, dass über deren Seiten Viren verbreitet werden. Ich selbst habe schon einmal das Vergnügen gehabt; und die typischen Schutzmechanismen (Virenscanner, Firewall, Windows-Updates) haben nicht wirklich gut geholfen. Ich gehe felsenfest davon aus, dass ein guter Virenscanner (oder eine Kombination mehrerer Scan-Engines) maximal nur 80-95% der Viren finden kann; die besten Viren werden gar nicht erst durch einen Scanner erfasst sondern sind schon auf dem System und verändern ausführbare Dateien (diese wiederum fallen dem Scanner erst auf). Leider gibt es genügend Netze, welche nicht oder nur sehr eingeschränkt mit Vista und Windows7 arbeiten; das UAC gibts auf anderen Systemen nicht (und hilft sowieso nur bei vorhandenen Admin-Rechten, da ohne Adminrechte "runas" sowieso aufgerufen werden muss). Ich kann mir nicht vorstellen, dass auf einem kleineren mittelständischen Unternehmen der Server (die typische eierlegende Wollmilchsau, vielleicht sogar SBS) eine Firewall für das interne Netzwerk aktiv hat... Nicht umsonst gibt es Überlegungen wie Jericho (iX 7/2009, S. 112); es fehlt aber an genügend Dokumentationen der jew. Softwareentwickler um solch ein Konzept in einem Netzwerk umzusetzen... Mir geht es darum, Überlegungen aufzubauen und zu erörtern, wie man einen eingedrungenen Virus einfach an seiner Verbreitung verhindern kann... edit: http://www.heise.de/newsticker/Bericht-Phishing-kommt-aus-der-Mode--/meldung/144444 bearbeitet 28. August 2009 von cjmatsel Link hinzugenommen Zitieren Link zu diesem Kommentar
killtux 11 Geschrieben 28. August 2009 Melden Teilen Geschrieben 28. August 2009 Oder du suchst nach einer Lösung namens "NAC/NAP = Network Access Control/Network Access Protection". Damit kannst du solche "Wenn Ausbruch dann" Regeln erstellen. Das ist allerdings sehr kopmplext und kostet auch etwas. Jedoch kannst du infizierte Rechner damit in einen "Isolierten Bereich" etc und bla bla verschieben. Die Möglichkeiten sind fast unbegrenzt. Hängt alleine vom Aufwand ab. Sophos bietet da zB. eine Attraktive Lösung. Aber wie gesagt, kostet Geld und ist ohne Schulungsmaßnahmen deinerseits in der Software kaum umsetzbar. cya Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 29. August 2009 Melden Teilen Geschrieben 29. August 2009 Ich benutze vernünftige Layer 7 Firewalls und vernünftige, zentral gesteuerte Virenschutzprogramme, die einen Ausbruch verhindern können (also den Verkehr eines solchen Rechners blockieren). Ein weiterer wichtiger Punkt ist natürlich auch, dass in den meisten Installationen die Privilegien der Benutzer viel zu hoch sind, was Ausbrüche natürlich sehr begünstigt. Und solange jeder überall mitgebrachte USB-Sticks einstecken oder zu Hause gebrannte CDs einlegen kann. So eine Layer 7 Firewall mit Unified Threat Management kann schon sehr fein gesteuert werden, so dass die Benutzer in den allermeisten Fällen nicht in blosse Berührung mit irgendwelcher Schadsoftware kommen ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.