Marvin1979 0 Geschrieben 10. Juli 2019 Melden Teilen Geschrieben 10. Juli 2019 (bearbeitet) Hallo zusammen, ich hoffe, dass mein erster Beitrag mich nicht gleich fachlich gänzlich disqualifiziert, aber da mir an der Stelle die Expertise fehlt, muss ich die Frage einfach mal stellen. Ich durfte im Betrieb einen WSUS-Server übernehmen der an und für sich soweit seine Arbeit verrichtet und sich via Proxy-Server seine Updates von MS zieht. Von den Vorgängern wurde auf diesem Server kein Virenscanner/keine Endpoint Protection installiert, da man das nicht als zwingend notwendig sah. Gründe sind zum einen, dass die Bezugsquelle vertrauenswürdig sei und zum anderen auch auf dem Server keine User-Daten generiert werden. Der Zugriff zum Internet z.B. via Browser ist nicht möglich, somit ist derzeit eine der wenigen Quellen um nach draußen zu kommen, die Kommunikation zu MS. Mich würde an der Stelle die Meinung von Fachleuten interessieren, wie das in der Praxis gehandhabt wird. Vielen Dank & viele Grüße Marvin bearbeitet 10. Juli 2019 von Marvin1979 Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 10. Juli 2019 Melden Teilen Geschrieben 10. Juli 2019 Welche OS Version ist das denn? Grundsätzlich kann man jetzt beide Seiten (mit oder ohne) verstehen. Je nachdem wie die sonstigen Umgebungsfaktoren sind. Bye Norbert Zitieren Link zu diesem Kommentar
Marvin1979 0 Geschrieben 10. Juli 2019 Autor Melden Teilen Geschrieben 10. Juli 2019 Aktuell läuft KMS auf einem Windows-Server 2012R2. Das mit den "beiden Seiten verstehen" geht mir ähnlich. ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 10. Juli 2019 Melden Teilen Geschrieben 10. Juli 2019 Und was möchtest du hören? :) Beide Seiten? Zitieren Link zu diesem Kommentar
mwiederkehr 384 Geschrieben 10. Juli 2019 Melden Teilen Geschrieben 10. Juli 2019 Grundsätzlich sollte potentiell gefährliche Software blockiert werden, bevor sie den Rechner erreicht. Will heissen: die E-Mail mit dem bösen Link drin sollte dem Benutzer nicht zugestellt werden oder falls doch, sollte der Link sich nicht öffnen lassen. Der Virenscanner ist dann die letzte Verteidigungslinie. Ihr macht es schon richtig, dass man vom Server aus nicht im Internet surfen kann. Zusätzlich noch den Zugriff per Firewall auf die notwendigen Ports beschränken und zeitnah Updates einspielen und ich wäre zufrieden. Aber es kann gut sein, dass jemandem von der "anderen Seite" ein Szenario einfällt, bei dem ein Virenscanner auf dem KMS hilfreich wäre. Zitieren Link zu diesem Kommentar
Marvin1979 0 Geschrieben 10. Juli 2019 Autor Melden Teilen Geschrieben 10. Juli 2019 Aus der Intention heraus würde ich den gängigen Virenschutz, den wir für Server einsetzen, dort auch verwenden unter Beachtung von eventuell zu tätigenden Ausschlüssen was das WSUS-Verzeichnis betrifft. Ist aber eher eine "Gefühlssache" als eine fundierte Aussage. ;) Wenn ich aber feststelle, dass jetzt 90% der WSUS-Administratoren die Hände über den Kopf zusammen schlagen beim Gedanken einen Virenscanner zu installieren, würde ich wohl durchaus mich umstimmen lassen. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 10. Juli 2019 Melden Teilen Geschrieben 10. Juli 2019 Gerade eben schrieb Marvin1979: n was das WSUS-Verzeichnis betrifft. Die Rede ist von einem KMS Server. Steht jedenfalls im Betreff. Zitieren Link zu diesem Kommentar
Marvin1979 0 Geschrieben 10. Juli 2019 Autor Melden Teilen Geschrieben 10. Juli 2019 vor 1 Minute schrieb NorbertFe: Die Rede ist von einem KMS Server. Steht jedenfalls im Betreff. Ach je, wie komm ich denn auf KMS, es handelt sich natürlich um einen WSUS. ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 10. Juli 2019 Melden Teilen Geschrieben 10. Juli 2019 Tja, wie kommst du darauf? :) Meine Antwort bleibt aber erstmal die selbe. Es kommt darauf an. Es spricht in meinen Augen allerdings wenig dagegen einfach einen vorhandenen Virenscanner zu installieren und die erwähnten Ausnahmen zu definieren. Hat so einen schönen Anschein von "vollständig sicher". ;) Zitieren Link zu diesem Kommentar
mwiederkehr 384 Geschrieben 10. Juli 2019 Melden Teilen Geschrieben 10. Juli 2019 vor 21 Minuten schrieb Marvin1979: Aus der Intention heraus würde ich den gängigen Virenschutz, den wir für Server einsetzen, dort auch verwenden unter Beachtung von eventuell zu tätigenden Ausschlüssen was das WSUS-Verzeichnis betrifft. Wenn Du das WSUS-Verzeichnis ausschliesst, schliesst Du ausgerechnet das Verzeichnis aus, in welchem Inhalte von aussen gespeichert werden. Aber ja, ich sehe Deine Sicht: die Lizenz ist vorhanden und ein Virenscanner mehr schadet ja nicht. Experten würden jetzt dagegen halten mit: a.) "jede Software erhöht den Wartungsaufwand und die Problemanfälligkeit" und b.) "jede Software erhöht die Angriffsfläche". Ich persönlich installiere keine Virenscanner von Drittanbietern mehr, habe zu viel erlebt damit. Den Windows Defender lasse ich aber laufen. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 10. Juli 2019 Melden Teilen Geschrieben 10. Juli 2019 Schlangenöl? Fahr lieber AppLocker hoch und mach ein restriktives Ruleset... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.