Grundsatzfrage: Virenschutz für Domänencontroller & Empfehlung

[mcdaniels 22]

Hallo,

mich würde interessieren, wie ihr zu dem Thema "Virenschutz" auf Domänencontrollern steht. Die Meisten sind ja der Meinung, dass ein Virenschutz (inkl. dem ganzen heutigen Drumherum) unbedingt nötig ist. Einige meinen aber auch, dass ein Virenschutz auf einem DC nichts verloren hat und nur für Probleme sorgt. Ich denke, dass -wenn der AV korrekt konfiguriert ist (z.b. Ausnahmen etc) - es durchaus Sinn macht auch auf einem DC einen AV einzusetzen.

 

Allerdings kenne ich auch Probleme in Zusammenhang mit AV Lösungen auf DCs, obwohl entsprechende Ausnahmen definiert waren.

 

Wie seht ihr das?

 

Welchen Virenschutz könnt ihr empfehlen?

 

Vielen Dank!

[zahni 521]

Rein aus technischer Sicht halte ich das auf DCs für überflüssig, wenn ein DC ist und sonst nichts. 

Warum? Ein Virenscanner durchsucht Dateien nach bekannten Viren. Die müsste dort also jemand einschleusen und zur Ausführung bringen.

Das Einschleusen geht nur über Sicherheitslücken (auch im AV-Scanner) oder dem Erlangen von Zugangsberechtigungen mit erhöhten Rechten.

Im 2. Fall hat man eh verloren und im 1. Fall müssten die bösen Buben einen Virus benutzen, der dem Scanner schon bekannt ist. Eher unwahrscheinlich.

Und wenn man dann zusätzlich noch Ausnahmen definiert, kann man es auch lassen.,

 

Virenscanner im Dateisystem halte ich heute für vernachlässigbar, mal von Geräten abgesehen, die Wechseldatenträger benutzen (dürfen). Wichtiger ist ein Perimeter-Schutz, also Mail / Internetzugang (Proxy mit SSL interception!): Virenscanner und ein wirksamer Filter für ausführbare Dateien und Makros. Auf den Clients ist der Applocker / SRP zu verwenden (Ausführung nur an Orten, wo der User keine Schreibrechte hat).

Maximal ein Fullscan mit frischen Signaturen kann vielleicht nachträglich einen Befall oder einen Virus finden, der durch andere Maßnahmen nicht ausgeführt wurde,

 

Aus aufsichtsrechtlicher Sicht: Überall einen Virenscanner, sonst kann man keinen Haken auf der Liste machen.

 

 Virenscanner waren zu Zeiten als der Datenaustausch primär über Datenträger erfolgte noch sinnvoll. Seit jeder PC irgendwie am Internet hängt, bringt der auf dem PC relativ wenig, Meist hat man auch noch Fehlalarmen und Sicherheitslücken zu kämpfen,

 

  

[Userle 140]

vor 8 Minuten schrieb zahni:

Aus aufsichtsrechtlicher Sicht: Überall einen Virenscanner, sonst kann man keinen Haken auf der Liste machen.

 

Wäre der Defender da ausreichend?

[zahni 521]

vor 18 Minuten schrieb Userle:

Wäre der Defender da ausreichend?

Vermutlich. Ich wurde aber sicherstellen, dass die Lösung zentral verwaltet werden kann und Alarme auch zentral auflaufen.

Ich bin bei dem Produkt eine Weile raus. Vermutlich braucht den SCCM:

https://learn.microsoft.com/de-de/mem/configmgr/protect/deploy-use/defender-advanced-threat-protection

[NilsK 2.785]

Moin,

 

"arbeitsrechtlich" ist jetzt nicht ganz das passende Wort. Es geht da erst mal um den Ausschluss von Fahrlässigkeit, und das ist dann immer eine Frage des Einzelfalls. Das "Arbeitsrecht" gibt keine konkreten IT-Maßnahmen vor. Es sind indirekte Haftungsfragen.

 

Keinen Virenscanner vorzuhalten würde ein Jurist als IT-Laie wohl als fahrlässig betrachten, daher kann es leichter sein, einen zu haben und zu pflegen als eine komplizierte Argumentation anzufangen. Ganz konkret auf die DC-Frage bezogen: ein Malwarescanner muss schon ziemlich fehlkonfiguriert sein, um einen DC ernsthaft zu stören, daher würde ich in der realen Welt auch nicht darauf verzichten.

 

Gruß, Nils

 

bearbeitet 19. Februar von NilsK

[zahni 521]

vor 14 Minuten schrieb NilsK:

arbeitsrechtlich

"aufsichtsrechtlicher"  Die Kolleginnen und Kollegen mit Bank-IT-Erfahrung wissen was ich meine.

Schlangenöl bringt nichts, aber alle sind glücklich, wenn man es hat. 

[NilsK 2.785]

Moin,

 

ei, du hast recht. Da hatte ich Cherrytomaten auf den Augen. Aber inhaltlich sind wir ja auch einer Meinung.

 

Gruß, Nils

 

[mcdaniels 22]

vor 2 Stunden schrieb NilsK:

in Malwarescanner muss schon ziemlich fehlkonfiguriert sein, um einen DC ernsthaft zu stören,

Hi, der Forticlient - Vollversion hat bei einem Kunden mal (trotz definierter Ausnahmen) Probleme gemacht. Aber ich gebe dir schon recht. Das ist wohl eher die Ausnahme.

 

@zahni ich muss ehrlich sagen, dass ich auch eher dazu tendiere keinen AV mehr zu installieren (auf DCs die nur DC sind).

bearbeitet 19. Februar von mcdaniels

[cj_berlin 1.137]

Moin,

 

irgendwo in der Signalkette zwischen Angreifer und Tier 0 muss XDR - nicht ein einfacher filesystembasierter Virenscanner! - vorhanden sein, das steht fest.

 

Wenn also die Firewall so konfiguriert ist, dass ausschließlich Maschinen mit aktiviertem und entsprechend konfiguriertem XDR ("entsprechend" = "in der Lage, auch einen Angriff auf AD zu erkennen") zu Tier 0-Systemen Kontakt aufnehmen können (und damit meine ich *jeglichen* Kontakt), kann man auf Tier 0-Systemen schweren Herzens darauf verzichten.

 

Ist es nicht der Fall, und es ist tatsächlich möglich, von ungemanagten/ungeschützten Endgeräten ins Tier 0 zu kommunizieren, muss im Tier 0 selbst XDR-Schutz aktiv sein.

bearbeitet 19. Februar von cj_berlin

[teletubbieland 139]

vor 1 Stunde schrieb cj_berlin:

nicht ein einfacher filesystembasierter Virenscanner!

Gibt es sowas überhaupt noch?
 

Bin Fan von Monitoring Software in Verbund mit Virenscanner geworden und biete das im Paket an.
Und dann isses eben auch auf dem DC.

 

[NilsK 2.785]

Moin,

 

ich finde es wichtig, hier noch mal darauf hinzuweisen, dass es zwar durchaus Umgebungen mit "Tier 0", dedizierten DCs usw. gibt, dass es aber eben auch immer noch viele Umgebungen gibt, in denen DCs eine Menge an Datenverkehr abbekommen, der sie zwar nichts angeht, der aber trotzdem dort landet, weil es eben so schön bequem ist. So gilt bei vielen Admins der Netlogon-Share weiterhin als sehr praktische Datendrehscheibe für alles Mögliche ...

 

... und bei solchen "Real-Life DCs" kann man auf Malwarescanner nicht verzichten.

 

Gruß, Nils

 

[daabm 1.185]

Der letzten Antwort von @NilsK habe ich nichts hinzuzufügen. Wenn sichergestellt ist, daß T2 keinen Schreibzugriff auf Sysvol/Netlogon hat, ist ein Virenscanner auf einem DC eher obsolet. Gibt es keine Trennung, wird's schwierig...

Und wegen "Defender aufsichtsrechtlich ausreichend" - ja.

[cj_berlin 1.137]

vor 5 Stunden schrieb NilsK:

ich finde es wichtig, hier noch mal darauf hinzuweisen, dass es zwar durchaus Umgebungen mit "Tier 0", dedizierten DCs usw. gibt,

Tier 0 hat nichts mit formal eingeführtem und technisch erzwungenem Tiering zu tun. Jede Umgebung hat Tier 0-Objekte, und das Ausführen der Apothekenverwaltung auf einem DC macht nicht den DC zu Tier 2, sondern die Apothekenverwaltung zu Tier 0. Mit allen Konsequenzen. Auch in "der Cloud".

[NilsK 2.785]

Moin,

 

Das mag theoretisch zutreffen, dürfte in der Praxis aber ebensoviel Auswirkung haben wie der launige Hinweis an einen Kunden, dass er sehr wohl eine Testumgebung hat, aber keine Produktionsumgebung.

 

Gruß, Nils

[cj_berlin 1.137]

Die Auswirkungen sind in beiden Fällen identisch: Der Kunde taucht eher früher als später in der Ransomware-Statistik auf. Und die Feststellung, dass wir als Berater nichts weiter tun können als darauf hinzuweisen, entbindet uns nicht von der Pflicht, dies dennoch ständig zu tun. Steter Tropfen und so weiter. Den Leuten, die nicht hören, ist eh nicht zu helfen - sie müssen fühlen und werden es auch.

 

Und weil es so schön ins Thema passt, gerade ganz neu: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/protecting-tier-0-the-modern-way/ba-p/4052851 Gefühlt der erste Artikel von Microsoft über Authentication Policies.