Virenschutz

WICHTIG
GREYHOUND Produkte enthalten seit dem 31.12.2018 keinen automatisch integrierten Virenschutz mehr!
Bitte lest euch diesen Artikel aufmerksam durch, um diesem wichtign Thema Rechnung zu tragen.

In diesem Artikel wollen wir dir Tipps geben, wie ihr mit dem extrem wichtigen Thema des Virenschutzes umgehen könnt. Das Thema ist komplex und umfassend – wir können deshalb natürlich nicht alle Möglichkeiten nennen, sondern nur die wichtigsten Aspekte ansprechen. 
Diese Tipps richten sich an IT-Verantwortliche und GREYHOUND Operatoren. Sie betreffen aber teilweise alle Kollegen. Es sollte in der Verantwortung des Operators / Admins liegen, für die Einhaltung dieser Virenschutz-Maßnahmen zu sorgen.

Keine Lust auf Lektüre?

In Episode 8 von GREYHOUND LIVE widmen Uli und Sascha sich dem Thema Virenschutz.

GREYHOUND LIVE | Episode #8

Unsere Themen heute: Virenschutz, Spam und Backups. Wer auf Nummer sicher gehen will, hat ein paar Dinge im Umgang mit Kommunikation, insbesondere mit E-Mails zu beachten. Wir sprechen über den richtigen Einsatz von Virenschutzlösungen und dem zuverlässigen Erzeugen von Backups Eures GREYHOUND Systems (y)

Gepostet von GREYHOUND am Donnerstag, 15. November 2018

Was ist Virenschutz?

Virenschutz-Programme sorgen dafür, dass schadhafte Dateien und Malware aufgespürt und unschädlich gemacht werden, damit sie keine Schäden verursachen.
Das klassische Virenschutz-Erkennungsverfahren basiert auf einer Datenbank, die Virensignaturen enthält. Diese Datenbank wird laufend aktualisiert, da auch laufend neue, veränderte Viren in Umlauf gebracht werden. Deshalb ist es zwingend erforderlich, dass die Virenschutz-Software immer auf dem aktuellsten Stand ist! Diese Form des Virenschutzes ist reaktiv und kann damit nie eine 100%ige Sicherheit bieten. Deshalb setzen Virenschutz-Softwareanbieter zunehmend auch auf proaktive Techniken zur Virenerkennung. Diese haben zwar eine höhere Fehleranfälligkeit und sind komplex zu entwickeln, sind dafür aber – im Gegensatz zur reaktiven Methode – in der Lage, noch unbekannte Schadprogramme zu erkennen.

Im Folgenden zeigen wir die wichtigsten Stellschrauben in Bezug auf Virenschutz auf und geben euch konkrete Tipps, was ihr tun könnt, um euch zu schützen.

Clientseitiger Virenschutz

Um den Rechner (lokal) vor Viren zu schützen, ist unbedingt zu empfehlen, eine entsprechende Sicherheitssoftware zu nutzen. Die Liste der Anbieter ist lang. Es gibt sowohl kostenlose als auch kostenpflichtige Lösungen. Wir möchten an dieser Stelle keine Empfehlung für einen bestimmten Anbieter aussprechen. Wichtig ist nur, dass das Virenschutzprogramm immer auf dem aktuellsten Stand ist.
Für Nutzer von Windows 10 gilt: Durch das Betriebssystem wird bereits ein Virenschutz mitgeliefert, der Windows Defender. Dieser ist standardmäßig aktiviert, was grundsätzlich auch empfehlenswert ist. In diesem Fall braucht man eigentlich keine weitere Virenschutz-Lösung.

Neben klassischen Virenschutz-Programmen gibt es auch noch Internet Security Lösungen. Dieser beinhalten auch einen Virenschutz, gehen aber im Gegensatz zu klassischen Virenschutz-Lösungen noch einen Schritt weiter: Sie integrieren die Firewall in die Überwachung und überwachen sozusagen den gesamten Datenverkehr, der von Computer ausgeht. Ob eine solche Lösung notwendig oder sinnvoll ist, dazu können wir keine Aussage treffen, das muss jeder Anwender für sich entscheiden.

TIPP
Schütze deinen PC mit einer Anti-Virenschutz oder einer Internet Security Software (und halte diese stets auf dem aktuellen Stand!) und/oder nutze den Virenschutz von Microsoft Windows 10 (Windows Defender).

Konfiguration der Berechtigungen für den Datei-Download in GREYHOUND

Sollte doch mal eine Mail durchs Raster rutschen und eine infizierte Nachricht in GREYHOUND landen, so kannst du über die Berechtigungen für den Datei-Download in GREYHOUND noch für etwas Sicherheit sorgen: In den Profilen in GREYHOUND ist ja geregelt, “wer was darf”. Dort gibt es einen Reiter “Dateierweiterungen”. Hier lässt sich ganz genau per Haken festlegen, wer bei euch welche Dateien in GREYHOUND up- und downloaden darf. Eine .exe sollte ein klassischer Mitarbeiter auf keinen Fall hoch- oder runterladen dürfen!

TIPP
Überprüfe die Berechtigungen zum Öffnen von Dateien innerhalb von GREYHOUND. Orientiere dich bei der Vergabe von Berechtigungen an dem Grundsatz “So viel wie nötig, so wenig wie möglich”.

Im GREYHOUND LIVE Video (siehe oben) sprechen Uli und Sascha konkret über die Berechtigungen zum Öffnen von Dateien innerhalb des GREYHOUND Clients. Im Video ab ca. Minute 28 erklären die beiden, wie und wo man die Berechtigungen konfiguriert.

Probleme zwischen Virenscanner und GREYHOUND

GREYHOUND ist eine Client-Server-Software. Das heißt: Der Client kommuniziert verschlüsselt mit dem Server. Das ist grundsätzlich auch gut so. Allerdings sieht das für Virenscanner “verdächtig” aus, sodass es immer mal wieder vorkommt, dass sie Alarm schlagen und GREYHOUND als potentielle Gefahr einstufen.
Probleme beim Wechselspiel aus Virenscanner und GREYHOUND zeigen sich z. B. durch folgende Verhaltensweisen im GREYHOUND Client:

  • Der GREYHOUND Client friert regelmäßig ein.
  • Der GREYHOUND Client ist oft träge oder geht einfach unerwartet aus.
  • Anhänge können ab und zu im GREYHOUND Client nicht angezeigt werden.
  • Der GREYHOUND Client meldet öfters kryptische Fehlermeldungen, z. B. zu PHP.

All dies sind typische Anzeichen dafür, dass Virenscanner und GREYHOUND sich “in die Quere” kommen. Um diese Probleme zu löschen, muss man Ausnahmen definieren im Virenscanner, also GREYHOUND von der Erkennung ausschließen. Dazu muss man wissen, dass Virenscanner in der Regel zwischen drei verschiedenen Ausnahmetypen unterscheiden: Prozessausnahmen, Verzeichnisausnahmen und Dateiausnahmen.
Für GREYHOUND ist empfehlenswert, eine Prozessausnahme im Virenscanner hinzuzufügen. Und zwar sollte konkret der Prozess GREYHOUND.exe von der Überwachung ausgeschlossen werden. Eine alternative Lösung wäre, für das gesamte GREYHOUND-Verzeichnis eine Ausnahme hinzuzufügen. Allerdings lässt man damit mehr zu, als man müsste. 

TIPP
Sollte es zu negativen Wechselwirkungen zwischen Virenscanner und GREYHOUND kommen, so füge im Virenscanner eine Prozessausnahme für die GREYHOUND.exe hinzu.

Im GREYHOUND LIVE Video (siehe oben) sprechen Uli und Sascha konkret über das Definieren von Ausnahmen im Virenscanner. Im Video ab ca. Minute 20 erklären die beiden dies am Beispiel des Windows Defender.

Providerseitiger Virenschutz

Nahezu jeder E-Mail-Provider bietet heute einen Virenschutz für E-Mail-Postfächer an. Noch bevor Mails ins Postfach kommen, werden sie durch den Virenschutz des Providers am Server gestoppt und inklusive Anhängen vor dem Öffnen auf Viren und andere Schadprogramme hin untersucht.

Diesen Virenschutz für eure E-Mail-Postfächer solltet ihr unbedingt für alle Postfächer aktivieren. Denn das hat einen großen Vorteil: Die Virenprüfung erfolgt schon vor dem Zustellen der E-Mails (und somit auch vor dem Abruf durch GREYHOUND) und verhindert so, dass E-Mails mit schadhaften Inhalten überhaupt erst in GREYHOUND gelangen und abgerufen werden können. 

TO DO
Wende dich an deinen E-Mail-Provider, um deine POP3-Konten optimal zu schützen. Der providerseitige Virenschutz sollte so konfiguriert sein, dass Nachrichten schon vor dem Abruf gescannt werden, damit erst gar keine infizierten Mails in GREYHOUND ankommen.

Serverseitiger Virenschutz (nur für Eigenbetriebler)

Du betreibst GREYHOUND Inhouse? Als Eigenbetriebler solltest du dir auch Gedanken über Virenschutzmaßnahmen auf dem Server selbst machen. GREYHOUND läuft auf einem Windows Server (2016 oder höher) mit einer MariaDB Datenbank (10.3 oder höher). Bei Verwendung des Windows Server 2016 ist im Standard der Windows Defender ohnehin aktiv. Es ist grundsätzlich empfehlenswert, dies auch so zu belassen und für einen optimalen Betrieb, Ausnahmen für GREYHOUND im Windows Defender hinzuzufügen. Das kann zum Beispiel wie folgt aussehen:

Defender Ausnahmen auf einem GREYHOUND Server mit Administrator-PowerShell hinzufügen:

Add-MpPreference `
  -ExclusionProcess (
    "${env:ProgramFiles(x86)}\GREYHOUND\Server\GreyhoundServer.exe",
    "${env:ProgramFiles(x86)}\GREYHOUND\Server\Plugins\*",
    "${env:ProgramFiles}\MariaDB*"
  ) `
  -ExclusionPath (
    "${env:ProgramFiles(x86)}\GREYHOUND\Server",
    "${env:ProgramFiles}\MariaDB*\data"
  )

So wird zum einen eine Prozessausnahme für die GREYHOUND.exe hinterlegt und zum anderen das Verzeichnis ausgeschlossen, in dem es um Plugins, also Addons und Erweiterungen, geht. Außerdem wird alles, was im Datenbank-Verzeichnis liegt, vom Virenscan ausgeschlossen.

Selbstverständlich kannst du bei Bedarf aber auch alternative Virenschutzlösungen zum Windows Defender einsetzen – hier gibt es nicht die richtige oder falsche Lösung.

Allgemeine Tipps & Tricks

Die Entwicklung von Malware ist rasend schnell und die Taktiken immer intelligenter. Kein Virenscanner der Welt kann vollständigen Schutz vor allen Viren, Würmern und Trojanern garantieren. Deshalb sollte Virenschutz immer mehrstufig erfolgen, d. h. an mehreren möglichen Stellen (siehe oben) eingesetzt werden.

Doch auch die besten Programme können eins nichts ersetzen: Den menschlichen Verstand. Dazu abschließend ein paar allgemeine Tipps & Tricks, die sich etabliert haben und die im Grunde für jeden PC-Nutzer gelten:

  • Sei stets sensibel, wenn du Dateien aus dem Internet herunterlädst.
  • Klicke nicht einfach unbedacht auf Links in E-Mails, vor allem bei unbekannten Absendern. Hovere stets zunächst über den Link und schau dir an, wohin er führt.
  • Sensibilisiere deine Kollegen und dein gesamtes Umfeld immer wieder für den Umgang mit Phishing-Mails. Im E-Commerce stellen vor allem Phishing-Mails von Amazon und eBay eine Gefahr dar.
  • Arbeite nach Möglichkeit nicht mit einem Administrator-Konto – das gilt sowohl für dein Betriebssystem als auch für GREYHOUND.
  • Verwende eine Firewall.
  • Erstelle regelmäßige Backups deiner wichtigsten Daten.

Die eigenen Virenschutz-Maßnahmen auf die Probe stellen

Um zu testen, ob die getroffenen Maßnahmen zum Virenschutz auch funktionieren, gibt es einen offiziellen Testvirus mit dem Namen “EICAR”. Diesen kann man sich (z. B. bei heise.de) selbst kostenlos per E-Mail zuschicken lassen, um die Virenschutzmaßnahmen risikolos auf die Probe zu stellen. Dieser “Virus” ist harmlos. Sollte er (und das sollte natürlich nicht passieren) wider Erwarten nicht von den getroffenen Virenschutz-Maßnahmen erkannt werden, erscheint lediglich eine Hinweis-Meldung auf dem Bildschirm des Anwenders.

Für Eigenbetriebler: Backups

Für den Fall der Fälle, wenn das Worst-Case-Szenario eintritt und doch mal ein Virus es durch alle Instanzen schafft, ist es unerlässlich, dass man aktuelle Backups von GREYHOUND hat, die zeitnah wieder eingespielt werden können. Hosting- und Appliance-Kunden brauchen sich um dieses Thema keine Gedanken zu machen – darum kümmern wir uns.
Eigenbetriebler hingegen sind selbst in der Pflicht, sich um ihre Backups zu kümmern. Details zu diesem wichtigen Thema findet ihr hier.

TIPP
Eigenbetriebler sollten vor dem Update auf GREYHOUND 5 unbedingt ihre Backup-Strategie prüfen und klären, ob Handlungsbedarf besteht!

Im GREYHOUND LIVE Video (siehe oben) sprechen Uli und Sascha konkret über das Thema Backups für Eigenbetriebler. Im Video ab ca. Minute 40 erklären die beiden, was sich durch den Wegfall des GREYHOUND Admin-Backups verändert und welche Todos sich daraus ergeben.