(Fortsetzung aus dem "Bestes Betriebssystem"-Thread) >> Luxus nicht, Sicherheit aber erst recht nicht. Oft sogar >> kontraproduktiv, weil die Annahme herrscht: "Ich bin virenfrei, weil der >> Scanner nichts gefunden hat." >Nach deiner Logik braucht man sein Haus garnicht abzuschliessen, weil >dadurch sowieso keine vollständige Sicherheit gewährleistet ist und nur >eine Scheinsicherheit vorgespielt wird. Nuja, das magst so halten, ich >mach's anders. >Das Scanner keine absolute Sicherheit bieten ist mir klar. Aber wenn sie >in 9 von 10 Fällen helfen, dann ist das schonmal keine schlechte Quote. >Und wenn der Scanner einen Stick bemäkelt und die Vireninstallation >verhindert hat, dann macht das allen Parteien deutlich weniger Arbeit >als die andernfalls erforderliche Neuinstallation des PCs. Ich hab ja nicht gesagt, daß ich gar keine Maßnahmen treffe. Ich verlasse mich aber nicht auf Virenscanner, sondern sorge dafür, daß auch unerkannte Viren keinen bzw. nur begrenzten Schaden anrichten können. Das ideale Mittel hierfür sind konsequent eingeschränkte Benutzerkonten. Kein User bekommt mehr Rechte, als er unbedingt zum Arbeiten benötigt. Ein evtl. vom User eingefangener Virus hat nicht mehr Rechte als der User selbst und kann somit nicht auf Systembereiche zugreifen. Er verbleibt allenfalls in der Umgebung des Users (Profil, Terminaldienstsession). Auf den Vergleich mit dem Haus bezogen: Besucher können nur in zugelassene Räume vordringen, alle anderen Bereiche sind mit dicken Tresortüren gesichert. Ich verzichte gänzlich auf OnAccess-Scanner, vor allem wegen ihrer Nebenwirkungen auf Performance und Systemstabilität. Übereifrige Scanner löschen wegen Fehlerkennung schon mal harmlose Systemdateien und dann steht der Server oder PC. Stattdessen werden E-Mails bei Eingang zentral überprüft und der Internetverkehr über Proxy gefiltert. Der Autostart von Wechseldatenträgern ist deaktiviert und die User können sie per Rechtsklick selbst auf Viren prüfen. Zusätzlich wird jede Nacht ein Offlinescan der Benutzerprofile und -daten durchgeführt, spätestens dann werden durchgeschlüpfte Schädlinge beseitigt. Sicherheitsupdates von OS und Apps müssen natürlich so zeitnah wie möglich installiert werden, WSUS ist da sehr hilfreich. Die Methodik funktioniert in meinen Netwerken schon fast 10 Jahre (seit Erscheinen von W2K) bestens, noch nie hat ein Virus Systembereiche befallen oder gar einen Server oder PC lahmgelegt. Auch gegen Angriffsversuche von Usern sind die Systeme so gut gerüstet. Paradebeispiel ist das PC-Kabinett einer Berufsschule, welches seit 2003 den hartnäckigen "Bemühungen" einfallsreicher Schüler trotzt. Kein Schädling und kein Hackertool hat es bisher geschafft, das System anzukratzen.
Icke ®. schrieb: > Ein evtl. vom User eingefangener Virus hat nicht mehr Rechte als der > User selbst und kann somit nicht auf Systembereiche zugreifen. Bis auf jene Lücken, die es Schadsoftware erlaubt, mehr Rechte zu erhalten als vorgesehen. Solche Schadsoftware ist aber glücklicherweise eine Minderheit und das Risiko ist durch systematische Updates begrenzbar. Und ab und fliegen Lücken und entsprechende Viren auf, die netzweite Replikation ohne Zutun des Anwenders erlauben. Da wird's wirklich gefährlich. WSUS ist auch so eine Sache. Leider erfordern nahezu alle MS-Updates einen Reboot (NB: in Linux ist das weit seltener ;-). Wenn nun der Anbieter einer Serverlösung dusselig genug war, nur manuelle Restarts mit anschliessender Handarbeit vorzusehen, dann sind automatische Updates ausgeschlossen. Und wenn das Wartungsfenster für solche manuell zu durchzuführenden oder zumindest zu überwachenden Updates nur am Wochenende oder gegen 2 Uhr nachts liegt, dann kommt beim Admin auch nicht immer Freude auf. Apropos systemzerstörende Virenscanner: Das hat es bei MS-Updates auch schon gegeben. Der letzte solche Fall ist garnicht mal lang her. > überprüft und der Internetverkehr über Proxy gefiltert. Inwiefern blockiert ein Web-Proxy Malware? Ein normaler durchreichender Proxy eher nicht. Eher schon ein Filter auf gute und schlechte Webseiten - was bei Schulen einfacher zu machen ist als bei manchen Unternehmen mit Anspruch auf nahezu ungrenzte Informationsbeschaffung. Und Proxies mit content scanning sind für Anwender ziemlich grenzwertig. Wir hatte das mal ausprobiert - inakzeptabel. > Paradebeispiel ist das PC-Kabinett einer Berufsschule, welches seit 2003 > den hartnäckigen "Bemühungen" einfallsreicher Schüler trotzt. Kein Allerdings ist das eine gänzlich andere Umgebung als höllisch heterogene Produktionsumgebungen, in denen einige Maschinen stehen, auf die leider auch ein paar Anwender und Fremdfirmenmitarbeiter Administrationszugang haben müssen. Da hält sich die Kontrolle des Admins über seine Maschinchen in Grenzen, denn die Vorgabe kommt nicht von ihm sondern von aussen.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.