Jump to content

Servergespeichertes Profil - Gema Virus

Nerospeed

Von Nerospeed
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Nerospeed Enthusiast

Nerospeed   10

Geschrieben
Geschrieben

Hallo Leute,

 

ich hatte Freitag einen komischen Zwischenfall mit dem GEMA ... Virus. Alle Clients haben ein Servergespeichertes Profil. Sie haben keine Berechtigung in Systemordner .... zu schreiben.

 

Trotz aktuellen Virenscanner und Updatestand des BS ist es dem Virus gelungen sich auf einem Client breit zu machen. Was mich aber beunruhigt ist, dass dieser Virus sich in den Benutzerprofil platziert hat, welches beim Abmelden sich mit den Server synchronisiert. Ich habe ihn dann dort manuell gelöscht und es war wieder alles in Ordnung.

 

Ist das aber nicht ein schwachstellte?

 

Ich bin mir zZ unsicher was der beste Weg ist einen solche Lücke zu stopfen. Die Servergespeicherten Profile deaktivieren, bringt aber wieder nachteile mit sich.

Einen Schreibschutz auf das Profil legen? ....

 

Bin da gerade etwas Ratlos. Freue mich über jede Idee :)

 

Gruß Nero

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben

Hallo,

 

was meint denn der Hersteller des AV-Programms dazu? Wurde der kontaktiert?

 

Ich hatte bisher zwei Infektionen, auf dem einem Rechner Avira(Free) und auf dem anderen Sophos Endpoint. Ob auf den Rrechnern tatsächlich die AV aktuell und funktionsfähig waren, ich weiss es nicht wirklich sicher. Es ist auch nicht nachverfolgbar, wo sich die User das Zeugs eingehandelt haben.

 

Ob das Benutzerprofil servergespeichert oder nicht, da sehe ich keinen Unterschied, infiziert wird das auf dem Client ausgeführte, dieses erst beim Abmelden auf dem Serrver gespeichert.

Link zu diesem Kommentar
Nerospeed Enthusiast

Nerospeed   10

Geschrieben
  • Autor
Geschrieben
Virenscanner auf dem Fileserver wäre da mein erster Ansatz :)

 

Ist einer Installiert. Avira Pro. Server.

 

Auf den Clients selber ist der Avira Pro. Woher er kam kann ich auch nicht sagen oder nachvollziehen. Fakt ist, er kam bis auf den Server und wurde nicht erkannt :mad:.

 

Nun will Chef alles schreibgeschützt haben. Kein schreibzugriff auf den Profilordner - was aber nicht so einfach geht.

 

Gruß Nero

Link zu diesem Kommentar
zahni Grand Master

zahni   561

Geschrieben
Geschrieben

Der "GEMA-Virus" läuft normalerweise im Benutzermodus. Eine Garantie dafür gibt es nicht. Der will nur Paysafe Nummern haben.

Der Virus war so neu, das der Scanner ihn noch nicht kannte.

 

Der Virus wird über eine der folgenden Schwachstellen verbreitet:

 

- Anwender: Startet eine Exe, die Browser oder per Mail zum Download angeboten wird.

 

- Java (JRE entfernen oder updaten)

- Flash

- Acrobat Reader

- Browser

- Betriebssystem.

 

Alles musst Du auf dem neusten Stand bringen.

Beim Anwender geht das leider nur manuell ;)

 

Maßnahmen:

 

- s.o.

- Benutzer düffen nur Benutzerrechte haben

- Am Proxy den Download ausführbarer Programme verhindern

- Im Mailsystem alle ausführbaren Anhänge rausfiltern.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...