Kleine Firma vor Spam und Viren bewahren

[seep]

@seep, x2go ... Menüs in Mozillen grottenlangsam

per XDMCP läuft das flott, Gigabit-Netz vorausgesetzt.

Kannst du nicht besser umgekehrt innerhalb von Debian einfach Windows virtualisieren?

Es gäbe ja mehrere Möglichkeiten: per Remote-Bedienung (wie oben), Debian unter Windows virtualisiert, Windows unter Debian virtualisiert, Wine. Virtualisierung und Emulation ist aus Komfortgründen zumindest für meine Benutzer keine Alternative. Die Remotebedienung wäre hingegen transparent. Ich lege denen ein Icon auf den Desktop und ins Starmenü, das nicht den lokalen sondern den entfernten Thunderbird (oder Evolution oder younameit) startet und die merken bis auf ein paar unterschiedliche oder ausgefransten Schriften keinen Unterschied.

Mir (und dem TE) wäre es lieber, der Mist und Müll würde erst gar nicht im Postfach des Benutzers landen, und darum soll es ja hier wohl eher gehen.

[Alternativende]

Richtig. Virtualisierungen und andere Clients sind leider alle nicht so komfortabel wie ein Klick auf Outlook und alles ist wie immer...

[uname]

Kann man in Outlook nicht einfach alle Dateiendungen auf den Mime-Type "application/octet-stream" setzen, so dass Windows die zugehörigen Anwendungen nicht mehr erkennt? Oder umkehrt wie bei IIS mit mimeMap serverseitig auf "application/octet-stream"setzen? Dann muss der Anwender jede Datei einzeln erst mal abspeichern.

[BenutzerGa4gooPh]

Möglich wäre eine Lösung alá Sophos oder Endian, beides kostet aber vermutlich nicht gerade wenig Geld.

Vermutlich oder recherchiert?
Gibt auch Foren von Berufskollegen, die auch nicht um Windows "rumkommen". Ähnliche Fragen in Vergangenheit: https://www.administrator.de/

[Knorkator]

Wir setzen die Software Restriction Policies von MS ein um das Ausführen von Dateien zu unterbinden.
Die "normalen" Benutzer können bei uns keine cmd.exe, powershell, cscript, wscript starten.
Wird doch mal eine .exe oder .msi aus dem Internet benötigt, kann diese in den c:\temp Ordner kopiert werden.
Dort können solche Dateien gestartet werden, dann aber auch nur mit Adminkonto.

Funktioniert bis auf Kleinigkeiten sehr gut und bietet meiner Meinung nach einen wirksameren Schutz vor Infektionen als ein Viren/Spamfilter.
Aktuell habe ich hier eine Mindmap-Software welche Java Dateien unbedingt im User-Temp-Ordner erstellen/ausführen möchte, da muss dann schonmal nachkonfiguriert werden.

Infizierte Mails bzw. deren Anhänge die an der NG-Firewall und am Eset AV-Filter vorbeigekommen sind, wurden bei Virustotal teilweise erst nach 2 Tagen von den bekannten Scannern erkannt.
Die SRPs bieten einen sehr guten Schutz!

https://kurtsh.com/2012/03/23/news-nsas ... s-windows/

[scientific]

Ein unbekanntes Programm mit Adminrechten ausführen zu lassen... Ob das soviel Schutz bietet?

[uname]

Der Ansatz ist gut. Dem Anwender so viel wie möglich verbieten. Als Administrator sollte man sowas aber nur dann ausführen, wenn Administrator-Rechte benötigt werden. Man muss natürlich vorher die Prüfsumme überprüfen. Natürlich nicht mit der Prüfsumme auf dem identischen (möglicherweise gehackten) Webserver, sondern aus einer alternativen Quelle. Manchmal reicht es bei Google nach der Prüfsumme zu suchen. Wer Geld für Software bezahlt sollte diese Prüfsumme im übrigen über die zugehörige Hotline in Erfahrung bringen können. Dieser Anruf hilft weit mehr als jeder Virenscanner. Software würde ich im übrigen ähnlich wie bei den Debian-Repositories aufgrund der Prüfsummen eher whitelisten (Verwaltung erlaubter Software) als blacklisten (Suche nach Malware z.B. bei Virustotal). Keine Ahnung ob bei Windows diese Möglichkeiten vorgesehen sind. Gibt es dort nicht auch mittlerweile eine Art AppStore? Wobei eigentlich müsste man ja nur die zugehörigen (sicheren) Prüfsummen verwalten. Wo die Dateien am Ende liegen ist eigentlich egal.

[cougar]

Also, ich hab keine ahnung von Mailservern etc., aber ich hab seit rd. 1,5 Jahren bei mailbox.org mein Mailkonto,
seit dem nicht eine Spammail, kein Dreck mit Viren im Anhang usw usw., kostet mich als Privathansel genau 1,-/Monat,
vielleicht wäre das ja schon was... ich bin da echt zufrieden, vorher hatte ich min 20x Schrott/Tag im Postfach, jetzt gar
keinen mehr.... gibt es eigentlich noch Viagra, echte Rolex für 25,- oder scharfe Nachbarinnen die ein Date wollen? Bin
da gar nicht mehr up to date

[TRex]

gibt es eigentlich noch Viagra, echte Rolex für 25,- oder scharfe Nachbarinnen die ein Date wollen? Bin
da gar nicht mehr up to date

Als "cougar" solltest du das doch wissen *duck und weg*

[weshalb]

Heute wieder ein Fall in einem Autohaus bei mir in der Nähe: 1 Mailanhang geöffnet und ein Verschlüsselungstrojaner konnte sämtliche Profile der Mitarbeiter, sowie die Backups verschlüsseln. Bei solchen Konstellationen gehe ich stark davon aus, dass die Administratoren schon im Vorfeld stark geschlampt haben dürften, da es keine physikalische Trennung der Backups gab, vom völlig falschen Rechtemanagement ganz zu schweigen.

Seltsamerweise findet man solche Szenarien tatsächlich recht häufig am Markt. Ich möchte niemanden etwas unterstellen, aber ich könnte mir gut vorstellen, dass genau die gleichen Admins jetzt in der selben Bude für den Neuinstall genug Geld scheffeln, schließlich war der Trojaner "schuld".

[MSfree]

vom völlig falschen Rechtemanagement ganz zu schweigen.

Ja ja, das sagt sich als Aussenstehender so einfach. Ich erlebe es täglich, daß vor allem MS-Office-Dateien von mehreren Mitarbeitern bearbeitet werden müssen. Also wird schlicht ein chmod 777 gemacht, damit jeder Zugriff hat. Mir ist klar, daß das nicht Sinn der Sache ist. Man bekommt aber in die Köpfe der Leute/Chefs nicht rein, daß man die Dateirechte auch gezielt ändern kann, zu viel Aufwand, zu wenig Verständnis, was damit angerichtet werden kann.

Solche Leute muß man einfach mal auflaufen lassen, selbst wenn sie sich damit alles mögliche durch einen Verschlüsselungstrojaner kaputt machen. Erst durch so eine Erfahrung hören die Leute dann mal etwas genauer hin, vorher ist das alles nur eine theoretische Bedrohung, die einen selbst ja selbstverständlich nie treffen wird.

[weshalb]

Wenn sich ein Virus direkt nach dem Öffnen auf jegliche Nutzerprofile durchhangeln und komplett verchlüsseln kann, habe ich sogar gravierende Fehler im Rechtemanagement.

Und mal abgesehen davon, dass es bei den Betroffenen um eine Windows -Domäne ging. Wenn der User ein chmod777 machen muss, dann habe ich als Admin ebenfalls Fehler im Rechtemanagement. Mit fest vorgegebenen Netzwerkshares und darüberliegenden Usergruppenmasken sollte da jedenfalls ein Großteil abgeferdert werden können.

Und klar gibt es Netzwerke, wo die Leute aus was für Gründen auch immer, selbst tun und lassen können, was sie wollen. Doch dafür habe ich eben Backups. Werden diese auch verschlüsselt, frage ich mich, wozu da Wartungsverträge und Support bezahlt werden.

[seep]

Solche Leute muß man einfach mal auflaufen lassen, selbst wenn sie sich damit alles mögliche durch einen Verschlüsselungstrojaner kaputt machen. Erst durch so eine Erfahrung hören die Leute dann mal etwas genauer hin, vorher ist das alles nur eine theoretische Bedrohung, die einen selbst ja selbstverständlich nie treffen wird.

Hier hat auch das "Verbrennen der Finger auf der Herdplatte" zum Umdenken/Nachdenken geführt. Du kannst noch so oft sagen, "Pack die Herdplatte nicht an, da verbrennst Du Dich!", gehört wird erst nach den Brandblasen. Oder abgekürzt "Lernen durch Schmerz".

[scientific]

Nenn es einfach "Lernen = Erfahrungen machen"

[weshalb]

Solche Leute muß man einfach mal auflaufen lassen, selbst wenn sie sich damit alles mögliche durch einen Verschlüsselungstrojaner kaputt machen. Erst durch so eine Erfahrung hören die Leute dann mal etwas genauer hin, vorher ist das alles nur eine theoretische Bedrohung, die einen selbst ja selbstverständlich nie treffen wird.

Hier hat auch das "Verbrennen der Finger auf der Herdplatte" zum Umdenken/Nachdenken geführt. Du kannst noch so oft sagen, "Pack die Herdplatte nicht an, da verbrennst Du Dich!", gehört wird erst nach den Brandblasen. Oder abgekürzt "Lernen durch Schmerz".

In dem Fall nicht ganz das, was ich meinte, da sich mein "auflaufen lassen" eher auf die Kunden bezog, die keine Backups wollen. Hier hat eindeutig der Supporter auflaufen lassen. Ich kenne diese Bude, da ich gerade ein kleines Netzwerk von denen übernommen habe....zweimal total versemmelte und seit 2009 gar keine Backups mehr, wobei die eine gesetzliche Speicherfrist von 10 Jahren haben.

Administratorisch halte ich mich zwar auch eher für eine kleine Schlampe, doch vor solchen Sachen hätte ich viel zu viel schiss, als dass ich nicht doch noch irgendwie sicherheitstechnisch für eine kleines Budget etwas raushole.

Ich kann auch nicht so richtig glauben, dass sich diverse Supporter der Risiken nicht bewußt sind. Ich denke sogar, dass da oft die Mehrarbeit an einem defekten System gerne schulterzuckend in Kauf genommen wird.

[Alternativende]

Schlussendlich wird es wohl dabei bleiben das ich jetzt einen Virenscanner und Spamassassin beim Hostinganbieter aktiviert habe. Viel mehr wird es da für uns derzeit wohl leider nicht geben.

Kann mir jemand mal die Quellen für die besseren Listen von ClamAV oder dem Spamassassin nennen? Vielleicht können wir damit hier lokal noch mehr erreichen.

[BenutzerGa4gooPh]

ClamAV hat an sich das Problem einer schlechten Virendefinitionsdatei. Das optional zu installierende Open-Source-Projekt clamav-unofficial-sigs soll unter Linux dazu dienen, eine große Menge an weiteren Virendefinitionen einzubinden und die Erkennungsrate von ClamAV deutlich zu steigern.[33][34]

https://de.m.wikipedia.org/wiki/ClamAV

[33] https://github.com/extremeshok/clamav-unofficial-sigs
[34] http://kais-universum.de/?p=141

[weshalb]

Ich nutze zusätzlich die Spamregeln von Heinlein.

https://www.heinlein-support.de/blog/ne ... n-support/


ClamAv Alternativlisten: Verdammt, immer noch nicht probiert.