Hallo zusammen,

ich suche nach einer guten Antiviren-Softwarelösung für kleine Unternehmen. Habt ihr eine Empfehlung für bis zu 15 Clients, 1 Server?

Die üblichen Anforderungen:
- Echtzeitschutz
- Hohe Erkennungsrate

Wie so oft am Liebsten kostenlos, aber wenn gut nachvollziehbar natürlich auch kostenpflichtig.

Vielen Dank im Voraus!

ein gut konfiguriertes Microsoft Endpoint (Defender)

Windows Defender, mehr braucht es nicht.

Ich hatte hier in einer W10-Umgebung (8 Clients, 1 Server) Trendmicro laufen und nach 2 Jahren komplett deinstalliert. Hat auf Dauer zu viel Probleme gemacht. Ich mußte es immer deaktivieren wenn ich Updates der Hauptsoftware gemacht habe. Wichtige Nebensoftware auf einem Client ging garnicht, gleich die EXE gekillt, Neuinstallation war angesagt.
Jetzt läuft Windows Defender.

Hört sich an wie in der Versicherungsagentur die ich Mal betreut habe. Nicht deaktivierbare automatische Updates von zwei Agentur Programmen und jeden Monat mind 2 mal gekillte exen der Tools. Völlig egal was man gemacht hat.

Wir haben auch nur Defender.

In der Alten Firma hatten wir NOD32 von ESET. Warum auch immer.

MfG
Rooter

Bei meinem damaligen Arbeitsstelle war es Symantec, auf Nachfrage warum, wurden versicherungstechnische Gründe genannt. Microsofts Anti-Virenlösung war wohl nicht nicht "vertrauenswürdig" genug. Ob dieses Argument heute noch zieht weiß ich nicht.

Bei meinem damaligen Arbeitsstelle war es Symantec, auf Nachfrage warum, wurden versicherungstechnische Gründe genannt. Microsofts Anti-Virenlösung war wohl nicht nicht "vertrauenswürdig" genug. Ob dieses Argument heute noch zieht weiß ich nicht.

Ist immer noch so, zumindest bei den meisten Versicherungen. Der Windows Defender "reicht" einfach nicht. Außerdem kann man damit eben auch kein Device Management durchführen, soweit ich weiß. Also USB Ports sperren etc.

- AV-Software
+ vernünftige Domain Polices + Backup.

Danke für all eure zahlreichen Antworten. Bin vom Microsoft Defender auch aus dem privaten Bereich mehr als überzeugt, aber dennoch hält sich wahrscheinlich der hartnäckige Gedanke, dass die Microsoft Hauslösung nicht gut genug wäre... in diesem Fall quasi der umgedrehte Internet Explorer Effekt :D


- AV-Software
+ vernünftige Domain Polices + Backup.

Auch vernünftig, allerdings gibt es so einige Anwender, denen man einfach ein Tool mit an die Hand geben will, auch wenn das eher ein falsches Vertrauen und vorgegaukelte 100% Sicherheit vermittelt.

Wir verkaufen zur Zeit nur Sophos Intercept X.
Persönlich bin ich der Meinung Windows Defender reicht inzwischen aber wenn man schon was extra dazukauft, dann doch bitte was, dass den Defender nicht ersetzt sondern um KI Funktionen ergänzt. Eine Signaturbasierte AV Software durch eine Andere zu ersetzen macht Null Sinn.

Danke für all eure zahlreichen Antworten. Bin vom Microsoft Defender auch aus dem privaten Bereich mehr als überzeugt, aber dennoch hält sich wahrscheinlich der hartnäckige Gedanke, dass die Microsoft Hauslösung nicht gut genug wäre... in diesem Fall quasi der umgedrehte Internet Explorer Effekt :D

Für derart kleine Umgebungen einfach eine Office365-Lizenz mit Endpoint-Security (ja, "Defender" for Business ;-) und gut is.
Ein 3rd-Party Produkt braucht es einfach nicht mehr.

Auch vernünftig, allerdings gibt es so einige Anwender, denen man einfach ein Tool mit an die Hand geben will, auch wenn das eher ein falsches Vertrauen und vorgegaukelte 100% Sicherheit vermittelt.
Nein, nicht "vernünftig", sondern sogar ausgesprochen dämlich.
Man braucht schlicht "alles", also vielschichtiges Backup, vernünftige Security Policies (mit starker Nutzereinschränkung)...
...und AV-Software mit zusätzlicher Mail-Security (Spam, Phishing und natürlich Ransomware & Co.)

Alles andere ist regelrecht "fahrlässig".

Razor

Das Geld ist besser in ein solides Backupkonzept invesstiert und man lässt den Defender "arbeiten".

Ein gutes Recovery Konzept plus eine solide Firewall gegen Aussen wäre aber auch nicht ganz falsch ...

Das Geld ist besser in ein solides Backupkonzept invesstiert und man lässt den Defender "arbeiten".

Ein gutes Recovery Konzept plus eine solide Firewall gegen Aussen wäre aber auch nicht ganz falsch ...
Bringt halt nur nichts wenn dann doch was passiert und die Versicherung sich verweigert weil man nicht auf Schutz von "Marktführern" gesetzt hat. Versicherungen sind da sehr gut darin Gründe zu finden um nicht zahlen zu müssen. Den Akku in der Brandmeldeanlage muss bei uns auch ein Siemens-Techniker tauschen obwohl das auch ein 5-Jähriger machen könnte. Wenn halt dann doch was passiert und die Unterschrift des Siemens-Technikers fehlt dann zahlt die Versicherung nicht.

Also ich rate jedem Kunden dazu, eine AV Software zu nutzen, alleine aus versicherungstechnischen Gründen. Wir hatten schon mal einen Fall, wo eine Versicherung nicht gezahlt hat, weil der Kunde eben partout keinen Virenschutz wollte.

Jetzt hat er einen. Vernünftig konfiguriert, sind die auch nicht so schlimm. Man sollte halt zB. das aufbrechen von SSL Zertifikaten unterbinden, weil das in der Tat ein absolutes no-go ist.

Das ganze muss natürlich in einem globalen Sicherheitskonzept eingebettet sein. Einfach nur nen Virenschutz bringt es auch nicht.

Exxtreme

IT Versicherung? Die muss Dir ja zu Deinem System ne Offerte machen - und wenn dort Defender drauf ist, als die das aufnahmen, dann haben die das so gefressen wies war ... musst aber jede Veränderung melden. Allerdings sei das derart sinnfrei, dass selbst der Versicherungsberater, der ja mitverdiente, davon abriet sowas sich zuzulegen - dann mss es echt sinnfrei sein ;).

Rauchmelder gehören bei uns zum Gebäude - interessiert nen Mieter zB gar nicht.

Rancor

Ich sah schon sicher zig "Virenkiller" Amoklaufen und Mist bauen - gefangen hat bis dato noch keiner was... solange die Versicherung nicht für Schäden vom Virenkiller haftet ... warum soviel bezahlen?

Das ist wie Garantie aufm Server ohne Daten - viel zu teuer.

Der Neubau der Praxis (Zahnarzt) wurde ebenfalls genutzt um die IT auf Vordermann zu bringen, konnte ich zwar vieles selbst erledigen. Beim Server habe ich aber die Finger gelassen, ist halt doof, wenn man IT nur über Selbstdidaktik kennengelernt hat.

Auf jeden Fall nutzen wir die große Kaspersky Lösung mit Programmverwaltung usw. Ich muss mich da aber auch noch weiter einarbeiten

IT in Selbstdidaktik? "Mutig"...

Da aber die Zeit derart schnell voran schreitet, ist das meiste, was man mal vielleicht gelernt hat, 'eh vom Tisch.
Hauptsache man bleibt dran und ist bereit, viel Zeit in die eigene Weiterbildung zu stecken.
(was im übrigen auch für alle anderen Berufszweige gilt... vor allem in der Medizin ;-)

@Haarmann: Hey, Du bist ja noch da! :)

Setzen DeepSecurity im VDI-Umfeld ein und OfficeScan auf den NB/FC's.
Findet auch was... ab und an... zumindest auf den FC's - in den VD's ist's eher der Versicherung geschuldet.
In den Shared-Desktops merken die Nutzer zwangsläufig nix.

Wirklich viel kosten tut das nicht...
Für eher kleine Umgebungen braucht's das allerdings nicht, da tut's auch ein Defender.

@Rancor: Recht so!

Für einen vernünftigen Webfilter (bei uns eine eigene Appliance, kein Bestandteil einer "Soft-Suite") brauchts das aufbrechen der Zertifikatskette.
Auch wenn es ja eher ein "man in the middle" ist, als ein Hack der Zertifikate...

@Exxtreme

Die Versicherung weiß ja nicht einmal, welche AV-Software man einsetzt, nur dass man es tut.
Die "Qualität" ist irrelevant und der "integrierte" Schutz immer ausreichend.
Nur, wenn man so dämlich ist und das absichtlich abschaltet...

...dann handelt man auch aus versicherungsgründen fahrlässig.
(und wie geschrieben, aus IT-Sicht sowieso ;-)

Razor

Exxtreme

IT Versicherung? Die muss Dir ja zu Deinem System ne Offerte machen - und wenn dort Defender drauf ist, als die das aufnahmen, dann haben die das so gefressen wies war ... musst aber jede Veränderung melden. Allerdings sei das derart sinnfrei, dass selbst der Versicherungsberater, der ja mitverdiente, davon abriet sowas sich zuzulegen - dann mss es echt sinnfrei sein ;).

Rauchmelder gehören bei uns zum Gebäude - interessiert nen Mieter zB gar nicht.

Rancor

Ich sah schon sicher zig "Virenkiller" Amoklaufen und Mist bauen - gefangen hat bis dato noch keiner was... solange die Versicherung nicht für Schäden vom Virenkiller haftet ... warum soviel bezahlen?

Das ist wie Garantie aufm Server ohne Daten - viel zu teuer.

Tchja, vielleicht waren deine Virenkiller einfach müllig konfiguriert gewesen, zB. keine Ausnahmen für SQL Datenbanken oder für spezifische Software etc... Es gibt dort etliche Fehler die man machen kann.

Bei uns haben die Virenkiller schon zig Unternehmen vor Katastrophen gerettet, gerade vor Ransomware. Da gibt es mittlerweile gute Lösungen.
Ein pauschalisierte Aussage darüber zu treffen, das alle Third Party Virenscanner Müll sind, ist einfach laienhaft. Jedes Unternehmen ist anders und muss individuell betrachtet werden.

Und du kannst ja gerne mit der Versicherung diskutieren, warum sie dir die Kohle nicht zahlen wollen, weil man zu geizig war 10k € fürn ne Virenscanner auszugeben.

@ Razor

Natürlich weiß die Versicherung welchen AV Scanner man einsetzt. Bei hohen Schadenssummen werden Gutachten erstellt und das ganze Sicherheitskonzept auseinander geflückt. Manche Versicherungen wollen auch das man beim Abschluss des Vertrages alles vorlegt. Oftmals ist das auch in den Betriebsversicherung mit enthalten und greift dann einfach nicht, wenn man nicht "richtig" geschützt ist.

Exxtreme

IT Versicherung? Die muss Dir ja zu Deinem System ne Offerte machen - und wenn dort Defender drauf ist, als die das aufnahmen, dann haben die das so gefressen wies war ... musst aber jede Veränderung melden. Allerdings sei das derart sinnfrei, dass selbst der Versicherungsberater, der ja mitverdiente, davon abriet sowas sich zuzulegen - dann mss es echt sinnfrei sein ;).


Wir haben eine solche Versicherung auch nicht, die auf irgendwelche speziellen Lösungen besteht, sondern dass man überhaupt so einen Scanner hat. Aber es gibt Versicherungen, die das anders sehen.

Das Geld ist besser in ein solides Backupkonzept invesstiert und man lässt den Defender "arbeiten".

Mein großes Problem mit dem normalen Defender ist, dass Du halt als Admin nicht mitbekommst wenn die Kacke am dampfen ist.
Wenn man einfach per GPO einen Management Server zuweisen könnte und dann da eine ganz simple rudimentäre Oberfläche hätte wie zu Besten SBS Zeiten, wär die Sache geritzt.
Ich hab in der Praxis viel mehr Angst davor eine Infektion gar nicht mit zu bekommen oder die ist dann über Monate unentdeckt als vor irgend nem Stück Schadsoftware, dass die Kiste bricked und dann macht man Sie halt platt.

Razor

Unkraut vergeht ja nicht ;).

Es gibt ne sehr interessante Variante gegen gewisse Dinge - aber für die Umgebung eben irgendwie ne 2080ti für PacMan ;).

Aber gegen "Aussen" kannst durchaus viel machen ohne viel Aufwand und Stress für Anwender. Da setze ich jeweils lieber an.

Rancor

Wenn ein "Virenkiller" ein Textfile mit der Endung TXT killt - ist er Mist hoch was auch immer und von ner Horde Vollpfosten erstellt - imo...

Wir haben eine solche Versicherung auch nicht, die auf irgendwelche speziellen Lösungen besteht, sondern dass man überhaupt so einen Scanner hat. Aber es gibt Versicherungen, die das anders sehen.

Versicherungen neigen dazu offensichtliche Dinge sehr anders zu sehen - soferns ums Bezahlen geht ;).
Das kann einem imo echt aufn Sack gehen - ja tat es schon oft.

Aber es gibt imo immer einen, der weiss es, wie man mit denen umgeht - zum Glück hatte ich ab und an einen, der das konnt und die Klippen der Versicherungen umschiffte...

Wenn ein "Virenkiller" ein Textfile mit der Endung TXT killt - ist er Mist hoch was auch immer und von ner Horde Vollpfosten erstellt - imo...eicar.txt? ;)

MfG
Rooter

eicar.txt? ;)

MfG
Rooter

Nein - trivialer - die Datenübermittlung von der Warenwirtschaft zur Kasse erfolgt in TXT Files. Steinzeitfiles also...

Und die wurden zu oft "gefressen" - ganz besonders störend war das "Fressen", wenn ne Rechnung in der Warenwirtschaft erstellt wurde und Richtung Kasse gehen sollte, denn die wird nur ein einziges Mal geschickt... weg war dann eben weg ;).

Joe

Events abfangen und schicken wäre da meine triviale Alternative - mache ich schon mit den fehlerhaften Loginversuchen...

@Joe

Wie willst Du als Admin denn bei anderen Consumer-Lösungen mitbekommen, "dass die Kacke am dampfen ist"?
Schau Dir die Corporate-Lösung von M$ (https://www.microsoft.com/de-de/microsoft-365/windows/microsoft-defender-atp) an, wenn Du "mehr" brauchst...

@Haarmann

Was für ein "Stress für die Anwender"?

Und selbstverständlich muss ein Scanner eine Text-Datei löschen, wenn es schadhafte Signaturen enthält...
Windows selbst ist zu "doof", Dateitypen am Inhalt zu erkennen.

Die Cyber-Versicherungen sind nur auf Moneten aus... was die als "Voraussetzungen" sehen ist einfach ein Witz.
Würden wir uns auf das reduzieren, bräuchte man so etwas tatsächlich, auch wenn's dem Unternehmen wohl nur bei einer dadurch verursachten Insolvenz "helfen" würde.

Euer Kassensystem würde ich mal auf aktuelle Technik umstellen... Microtransaktionen sind grad' "In".
Und den eingesetzten Virenscanner gleich entsorgen - oder den Admin, der nicht in der Lage ist, Ausnahmen korrekt zu formulieren :)

Razor

Razor

Kann ich eine Textdatei denn ausführen? Warum dann löschen? Der Fehlalarm ist nunmal wahrscheinlicher bei der Konstallation. Da ist der Defender nebenher recht trivial in der Bedienung und lässt einem ohne grosses Murksen was tun - Anwenderfreundlich.
Es ist auch absolut befremdlich, wenn man nen PDF killt, weil Adobe Acrobat Reader damit Probleme haben könnte - wenn da gar kein Adobe Reader installiert ist... sehr viele User leben glücklich ohne - ich zB.
Signaturen sind wie PCR Tests - fischen im Trüben imo.

Und ich besitze nen Verschlüsselungstrojaner in Real (Übrig geblieben von nem Befall - nicht meiner sozusagen) - der nach wie vor von bis dato keinem der armseeligen Scanner gefunden wird - das ist imo ziemlich peinlich. Bei jedem kleinen Keygen und Co schlagens Alarm ohne Ende - aber verschlüsseln darf ich ja weiterhin - da wird dem User echt geholfen.
Was der Defender Ransomware Schutz wert ist konnte man anhand dieses Exempels auch gleich bestens erkennen ... nix. Aber paar Stunden später war der Spuk ohne Datenverlust auch gleich wieder vorbei.

Versicherungen sind ja, wie man an den Glaspalästen sieht, immer nur auf Moneten aus... nicht nur IT Versicherungen. Aber deren Vorstellungen sind durchaus "gewöhnungsbedürftig" - mit direktem RDP gegen Aussen sollte man nunmal Heute sehr vorsichtig sein.

Never touch a running system - es läuft und Investitionen will, dank Pandemiepanik und Shutdown, auch keiner tätigen. Glücklicherweise löste sich das Problem von alleine mit der Zeit.
Bis dato interessieren sich irgendwo 5% der Nutzer überhaupt für ne neue Kasse. Da wirst nicht drumrum kommen das Ding noch ne Weile am Leben zu erhalten. Eine neue Kasse macht ja auch nicht mehr Umsatz - sondern nur neue Unkosten und die Schulung der Mitarbeiter ist gerade wegen der Abstandsregeln suboptimal.
Und wenn ne Kasse suchst, die auch nur das kann, was die alte kann - dann suchst sehr, sehr lange - und vergebens ;).
Eines der Keyfeatures ist nämlich - sie funktioniert Offline auch noch richtig. Was zB einige der potentiellen Nachfolger nicht hinbekommen ... viele sind nur irgendwelche Cloudlösungen für nen kleinen 100 Artikel Händler. Kannst nichtmals den Lagerbestand sehen - was wiederum wichtig ist, wenn wer fragt, haben Sie das auch in Blau und Grösse 42?

Der Admin hat den Virenscanner nicht installiert, sondern der Laie tat dies selbst ...
Der Admin merkte es dann eben erst, als der Laie Probleme hatte...

Viele kleinere Firmen erlauben den Leuten nunmal einiges mehr, denn Grossbetriebe - dort nimmt dann eben so Mancher gleich nen Privates Teil mit, damits nicht zu peinlich wird, wenn man den Firmenmurks "vorführen" muss bei nem Kunden ...

Wir nutzen Malwarebytes

Kann ich eine Textdatei denn ausführen?

Ich verdiene praktisch meine Brötchen mit "ausführbaren Textdateien", von daher: Ja?

Ich verdiene praktisch meine Brötchen mit "ausführbaren Textdateien", von daher: Ja?

Unterm Strich sind meine selbstgestrickten Skripte auch in der Kategorie... ist auch nur Text - aber heissen nicht .txt :D.

Unterm Strich sind meine selbstgestrickten Skripte auch in der Kategorie... ist auch nur Text - aber heissen nicht .txt :D.

Mein Punkt war eher, dass das Suffix keine Rolle spielt. Die Endung sagt wortwörtlich nichts über den Inhalt aus. Ich kann dir auch base64-kodierten Maschinencode in eine Textdatei packen.

Meine Rede... auf die Endung würde ich einen "Schiss" geben... ist der Inhalt "verdächtig" muss es weg, so einfach.
Und lieber einmal mehr, als genau einmal zu wenig.

@Haarmann

Die heutigen Scanner machen schon viel mehr, als sie müssten und deswegen auch nicht auf jedem Gebiet "gut".
Da macht der Defender keine Ausnahme... in einer Reihe mit allen andern Scanner da draußen.

Und gegen Ransomware schützt schon mal kein Scanner wirklich, schon gar nicht, wenn es jemand "von außen" wirklich drauf anlegt.
Da brauchts Schutz in der Basis, direkt am/im Storage - verdächtige Zugriffe, wie das massenweise Verändern von Dateien wird einfach im Keim erstickt.
Die 0815 Ransomer sind zudem Strunzdoof... da brauchen auf Storage-Ebene einfach nur die typischen Endungen blockiert werden und schon fallen die Diner auf die Fresse.

Kassen mit direkter Anbindung (egal ob Datenbank oder Dateigeschupse) haben keine Zukunft.
Die Dinger mit Lagerauskunft sind integrierte ERP's und die Kassen dann auch eher Computer mit eigener Datenbank - nicht sehr wartungsfreundlich.
Aber da will ich mich nicht weit aus dem Fenster lehnen... ist schon lange für mich/uns Geschichte - ohne Netz keine Kasse, dann passieren auch keine Fehler ;)

Unsere "Macher" sind mit eigenem Gerät schon oft auf die Schnautze gefallen... reumütig sind sie nun wieder mit unseren Geräten unterwegs.
Braucht halt manchmal eins/zwei Jahre, um festzustellen, dass produktives "Arbeiten" mit iPad & Co. (daran ändert auch kein "pro" etwas) nicht möglich ist.

Razor

Mein Punkt war eher, dass das Suffix keine Rolle spielt. Die Endung sagt wortwörtlich nichts über den Inhalt aus. Ich kann dir auch base64-kodierten Maschinencode in eine Textdatei packen.

Ja, aber eben da kommen jetzt die "Signaturen" - das sind nur Schnipsel - ins Spiel. Nur weil ein Teil einer Textdatei einer Virendatei ähnelt, denn mehr wirst mit Schnipseln nie erkennen, heisst das gar nix.

Und wenns nicht "ausführbar" ist, dann sollte mans ignorieren, bis es ausführbar würde.

Die Textfiles waren nebenher furzgewöhnliche CSVs - kein Hexenwerk also. Das kann man imo sehr gut erkennen - wenn man danach suchte. Zudem nur recht normal codiert - da musste man sich schon wundern.

Razor

Gefährliche Haustierchen, also zB virtuelle Holzpferdchen, haben zu oft keine Files mehr ... und daher setzen diese Scanner ja schon aufn falschen Gaul im Grundkonzept. Finden von Files ist mangels Files eben etwas schwieriger...
Da gibts Alternativen - könnt ich nennen, aber ist völliger Overkill und viel zu teuer für die kleine Bude.
Ich würde auch immer den maximalen Schaden quasi ausrechnen und dem Aufwand gegenüberstellen - irgendwo muss da die Balance stimmen.

Das massige Manipulieren sollte der Defender ja erkennen - hat ers erkannt - nö ;).
Alternativ wurde er auch abgewürgt... auch ne einfache Option. Ist bei den kleinen Versionen ja auch kein Hexenwerk die erst mal stillzulegen.

"Zentrale Kassen" haben keine Zukunft... weil es nicht sein kann, dass zB jeder Aldi geschlossen bleibt, weil im RZ was nicht läuft ... das ist in der Schweiz, nicht bei Aldi, aber in sehr gross, auch schon passiert und es wurde entsprechend gehandelt.
Letztens flog wieder was auf die Nase bei nem "Grösseren" - wurde alles verschwiegen und ich hatte immer das Bedürfnis mit immer der gleichen Kartenart dort zu bezahlen (ich bezahl sonst nie mit Karte) - einfach weil ich wusste, was für nen Drama es dann jedesmal gab ...
Wartung brauchen die Dinger nebenher eigentlich keine, da die Daten, auch weils nur CSV und nicht XML ist, komplett kommen und nicht als Delta - das hat auch nie funktioniert. Selbst über ISDN läuft das in der Theorie ganz nett - und an gewissen Orten hast wirklich nur "Rauchzeichenmodems" zur Verfügung plus zu oft Stromausfall.
Heute kann ich das aber auch einfach in ne VM verfrachten und gut.

Jetzt muss ich lachen - iPad (Pro) ... kommt mir bekannt vor. Aber Fallobstuser sind offenbar unbelehrbar und versuchens immer wieder. Und leiden gerne auch mal 2 Jahre bei euch ...
Aber Fallobst geht ja in diese Richtung... nur noch diese Art der Geräte - dafür kostens als ob se aus Gold wären.

Des mit dem Erkennen von "massenweisen Veränderungen" war auf den Storage bezogen, nicht auf Defender & Co.
So darfst Du auch gerne benennen, was bis dato nicht benannt wurde, bzw. werden durfte :)

Zwecks Kassen redete ich nicht von "allen", sondern von uns. Wenn da das "Rechenzentrum" steht, steht auch alles andere.
Keine Verwaltung, keine Produktion und auch kein Zahlungssystem... keine Kassen in den NL.
Da 'eh ein unhaltbarer Zustand, wird so etwas schnell behoben, während "Tierchen" an allen Standorten schwer zu entfernen wären.
Und bei Euch kommt der komplette Lagerbestand nicht als Delta? Respekt ;)
Mit dem Microtransaktionen läufts ja ähnlich, wie mit den Schnipseln... aber das Backend muss laufen!

Freut mich, Dich in Bezug auf "BYOD" oder MobileDevices erfreut zu haben!

Razor

Ja, aber eben da kommen jetzt die "Signaturen" - das sind nur Schnipsel - ins Spiel. Nur weil ein Teil einer Textdatei einer Virendatei ähnelt, denn mehr wirst mit Schnipseln nie erkennen, heisst das gar nix.

Ich denke gerade bei CSV-Dateien hast du das Problem, dass "CSV" ein sehr unterspezifiziertes Format ist und sie oft auch noch fehlerhaft erstellt sind. Ich würde sogar vermuten, dass das eher die Regel als die Ausnahme ist.

Ein Virenscanner wird wahrscheinlich in so einem Fall anhand von gewissen Mustern versuchen einen Parser "on-the-fly" zu erstellen und wenn das fehlschlägt, andere, noch fehlerbehaftetere Verfahren zum Scannen nutzen, weil er keine Annahmen über das Format treffen kann.

Ich würde auch immer den maximalen Schaden quasi ausrechnen und dem Aufwand gegenüberstellen - irgendwo muss da die Balance stimmen.

Ja, alles andere führt nur zu Chaos.

Wartung brauchen die Dinger nebenher eigentlich keine, da die Daten, auch weils nur CSV und nicht XML ist, komplett kommen und nicht als Delta - das hat auch nie funktioniert.

Na ja, es gibt auch haufenweise andere, erprobte Möglichkeiten um strukturierte Daten zu serialisieren. Die Welt besteht nicht nur aus CSV und XML.

@Joe

Wie willst Du als Admin denn bei anderen Consumer-Lösungen mitbekommen, "dass die Kacke am dampfen ist"?

Also Sophos postet in meinen Teams Backend Kanal...

Und Sophos ist was für eine "5-Mann-Bude"?
Eher nicht... und klar konzentrieren alle "richtigen" Corporate-Scanner die Ifo's und geben diese bei Bedarf weiter.

Razor

Razor

Wie Du schon sagtest - es gibt gute Produkte, die aber nicht auf Clients abzielen und somit völlig falsch sind für dies Umfeld. Das wäre allenfalls für nen Server noch interessant - davon hat er aber grad mal einen und ev ist das ein trivialer Fileserver oder ein reiner Appserver - das müsste genauer definiert werden, was wirklich da steht.
Bei nem Appserver ist das Teil nämlich imo sinnfrei...

Ein guter "Türhüter" ist deutlich günstiger zu haben in so nem Umfeld und wohl unterm Strich effektiver - aber - das erstaunt mich durchaus oft - absolut nicht gängig.
Dabei "entsorge" ich regelmässig einige dieser Gerätschaften, die definitiv noch nützlich wären in den kleinen Umfeldern. Die kommen natürlich dann jeweils woanders her und sind abgeschrieben und somit ausgemustert.

Sehen sich die Standorte nicht, so verbreitet sich auch nix - müssen die sich sehen? Das ist dann so ne Frage, die es zu klären gilt. Gerade wenn man an einem Standort "Oberexperten" hat, dann ist man froh, wenn diese alleine fausten dürfen ;).
Das gleiche Dilemma ist doch jeweils im "Homeoffice" bis "Mobileoffice" zu sehen - was brauchen die Leute denn genau und wie stellt man das denen zur Verfügung?

Dank etwas "ZIP" und Baumstruktur nebst Textfiles sind die Daten sehr kompakt... wenn nötig. Das System war noch auf Dinge wie Analogmodem und ISDN ausgelegt.
Ich hab das Ganze dann mal mit ner "modernen" Version getestet - nur die Artikel- und Lagerdaten - das ist nichtmals alles. Der wurstelte nen Berg XML draus und stürzte ab, als er das XML einlesen sollte - und das waren nur Daten für einen Standort - mehr frass die neue SW ja eh ned.

BYOD ist oft zu unterhaltsam, wenns ned die eigene Baustelle ist.

Ich würde als TS ergo eher mal was gegen Aussen reinstellen - und bitte kein OS Gebastel vom "Kollegen", der sich gut mit Linux auskennt...

Mein großes Problem mit dem normalen Defender ist, dass Du halt als Admin nicht mitbekommst wenn die Kacke am dampfen ist.
Wenn man einfach per GPO einen Management Server zuweisen könnte und dann da eine ganz simple rudimentäre Oberfläche hätte wie zu Besten SBS Zeiten, wär die Sache geritzt.
Ich hab in der Praxis viel mehr Angst davor eine Infektion gar nicht mit zu bekommen oder die ist dann über Monate unentdeckt als vor irgend nem Stück Schadsoftware, dass die Kiste bricked und dann macht man Sie halt platt.
Dies.

Es ist soo oft so, dass die Person, die am Ende etwas richig Beschissenes öffnet, schon vorher einige Warnungen produziert hat, die weggefiltert werden konnten.
Aber es ist wie immer eine Sache des Gesamtkonzepts.
Klar kann ich bei einer "5-Mann-Bude" zügig eine ganze VM wiederherstellen.
Bei einer 100-Mann-Bude ist der Anspruch ein ganz anderer, da muss auch viel präventiv gearbeitet werden.

Razor

Traps bringt imo bei der kleinen Grösse recht wenig...
Aber ev nutzt ihr das ja auch ;).

Mein großes Problem mit dem normalen Defender ist, dass Du halt als Admin nicht mitbekommst wenn die Kacke am dampfen ist.???
Man kann den Defender als Admin durchaus zentral steuern (über mehrere Wege: GPO, Powershell, intune, SCCM - je nach dem). Ebenfalls kann die Administration bei festgelegten Ereignissen informiert werden. Dass man also nichts mehr mitbekommen würde ist schlicht unzutreffend.

Wir setzen bei uns aber ebenfalls nicht auf den Defender, sondern - noch - auf Panda.
Grundsätzlich würde ich dir aber Seculution ans Herz legen, haben wir jetzt paar Jahre im Einsatz und fühlen uns damit tatsächlich weitestgehend sicher. Klar gibts auch damit keine 100%ige Sicherheit, aber mir würde derzeit keine Schadsoftware, keine Ransomware oder ähnliches einfallen, die bei uns auch nur ansatzweise zur Ausführung hätte kommen können - selbst wenn wir auf Virenscanner völlig verzichten und sämtliche Markos global erlauben würden.