Was sind das für Admins?

Unsere Firma hats gestern auch erwischt - obwohl wir Virenscannermässig immer auf dem neusten Stand sind (das entsprechende Signaturfile für den MsBlast gabs wohl erst heute morgen). Und die Firewall hat das blöde Ding wohl auch irgendwie reingelassen, oder jemand hat es mit einem infizierten Laptop ins Netz gebracht.
Normalerweise ist auch noch ein recht guter Schutz, dass kein User Admin Rechte auf den XP Hobel hat - hat hier aber auch nichts genutzt - war bei der Beseitigung eher hinderlich war, weil ein informierter User (so nenn ich mich mal) dadurch von der Admin Gruppe abhängig war.

Aber worauf ich hinaus will - unsere Server waren großteils gepatcht - aber eben 120 Clients nicht. Es ist halt immer ein Eiertanz zwischen absolutem Up-to date sein und dem personellen und finanziellen Aufwand der dahinter steht. Absoluter Schutz war schon immer unbezahlbar....

Kann ich nur bestätigen. Der Mist kann über Laptops und alte Kisten mit abgeschmiertem Virenscanner leicht in ein Firmennetz kommen. Ein anderes Ding ist die Patchverwaltung. Einerseits muss bei vielen Firmen jedes Patch intern evaluiert werden, andererseits gibt es Zwänge, wie Software, die nicht mehr funktioniert, wenn man die NT Kisten auf SP6a bzw die W2k Kisten auf SP2 updatet (ohne diese SPs geht das Patch von MS nicht).

Und das mit dem Update der Signaturdateien der Virenscanner kann ich nur unterstreichen.

Übrigens war auch T-Online erst heute mittag virenfrei :o)

Gruß
Cmedian

Hallo!

Benutzer comedian schrieb:

Das kommt davon, dass viele Leute und auch Firmen, die ihren Kunden Virenschutz-Pakete anbieten (PSS bei T-Online), auf Norton Antivirus setzen und Symantec hat meiner Meinung nach zu lange mit dem Update gewartet. Bei uns wird McAfee Virusscan benutzt, und hier war der Signaturen-Update schon am frühen Dienstag-Morgen verfügbar und über automatische Update-Funktion eingespielt. Das einzige Problem bei McAfee - man muss wissen, wie es nach der Installation zu konfigurieren ist, damit es wirklich sicher wird...

Gruß

Benutzer javalexG schrieb:

Alles Quark. Die RPC-Sicherheitslücke ist seit Wochen (!) bekannt, fast ebenso lange gibt es den Patch. Ein Sysad hat IMHO nicht nur die Aufgabe, sich um das Netzwerk zu kümmern, sondern sich auch regelmäßig mit einschlägigen Informationen zu versorgen. Die Zeit zum Einspielen des Patches war wirklich lang genug. Und wem das zu aufwendig erscheint, der möge den zweiten Weg gehen: die gefährdeten Ports per Firewall sperren (und danach sofort patchen!).

Alle Argumente mit veralteten Virenscannern oder zu hohem Update-Aufwand sind in diesem Fall schlicht Ausreden, die bei Privatusern noch ziehen, nicht aber bei Netzwerkbetreuern in Firmen, die genau dafür bezahlt werden.

Apropos: man kann auch verhindern, dass der Wurm über infizierte Laptops eingeschleppt wird, z. B. mittels Verpflichtung für alle Mitarbeiter, an das Firmennetzwerk nur firmeneigene und vom Sysad gewartete Computer anzuschließen.

Dass man sich effektiv vor dem Wurm schützen kann, beweisen die vielen Firmen und Privatanwender, bei denen kein Schaden entstanden ist.

Gruß

niknuk

Benutzer niknuk schrieb:

Nur bedingt - wenn die Laptopnutzer in Posemuckel im Hotel ins Internet gehen und über verseuchte Dateien dann den Wurm beim Einklinken ins Firmennetz verteilen, kann man da mit Deinen Richtlinien nicht viel anfangen. Genau so wird bei uns nämlich verfahren, und trotzdem hat bei unserer italienischen Schwesterfirma jemand den Wurm per Laptop in unser globales Netzwerk gebacht - alle Standorte waren gestern mehr oder weniger platt... :-(


Ich behaupte mal, dass viele auch Glück hatten, weil der Wurm schliesslich nicht *jeden* Rechner befällt.

Benni

Benutzer niknuk schrieb:

Nö.


ACK


ACK


Bei kleinen Firmen mag das zutreffen. Bei großen und sehr großen Netzwerken gibt es nicht den einen Admin. Dort gibt es eine Aufteilung in Teams. Und es gibt festgelegte Prozesse in der Patchverwaltung. Diese sehen eine Reihe Tests vor. Einfach so einspielen ist da nicht.

Allerdings hätte man bei einer solche Sicherheitslücke die Tests anderen Test vorziehen müssen.


ACK.


Die beschäftigen sich oft mehr mit der Sicherheit des Netzwerks gegen Angriffe von innen und vergessen dabei die Perimeterverteidigung.


Mit solchen Verpflichtungen erreichst du gar nix.
Du kannst allerdings User am Gateway sperren, von deren Rechner der Gateway mit Viren beschossen wird.

Gruß
Comedian

nur als kleine Randbemerkung: Bisher laufen alle Patches auf Win2k auch mit SP1 (auch wenn was anderes von MS behauptet wird).
Des weiteren hab ich bisher nix von Software gehört die unter >=SP2 nicht mehr läuft.

Benutzer Nik3 schrieb:

Nicht nur behauptet - der Installationsassistent schmeißt die User raus und fordert zur Nachinstallation des SP2 auf. Leider kann man hier keine Screenshots anhängen.


Trotzdem gibt es die. Es ist sicher keine Software für Homeuser.

Gruß
Comedian

Benutzer comedian schrieb:

Ups, Irrtum meinerseits (das passiert in letzter Zeit erschreckend häufig). SP3 war ja erst das böse SP, das ich nicht installiert hab, und das braucht man bisher nicht, obwohl das soweit ich mich entsinne mal irgendwo als benötigt angegeben war.

Benutzer Nik3 schrieb:

Alzheimer? ;-)


Verlangt nicht der Nachfolger von Office XP unter Win2000 das SP3? Ich hab's nicht probiert, weil Office 2000 alles bietet was ich brauche und mich die Folgeversionen daher bisher nicht interessierten, aber irgendwas war da.

Benni

gehen die clients nicht erst in den gepatchten Server und dann in einen anderen client? wäre vielleicht besser und die genannten ports die der wurm benutzt können ohne Probleme dicht gemacht werden (die brauch man eh nicht oder zumindest die clients nicht!)

Sven

Benutzer rauhfaser schrieb:

Die Blockierung der Ports ist nicht unproblematisch. Einige Applikationen benutzen die Ports, 'die man eh nicht braucht'.

Gruß
Comedian

Ich bin kein Netzwerkspezi - aber meines Wissens nach können die ganzen Clients in "ihrem" Netzwerksegment auch ohne den Server miteinander kommunizieren.
Und die Ports sind auch so ne Sache - die Firewall schützt das Netzwerk im grossen und ganzen nach aussen - intern soll ja ein halbwegs ungehinderter Datenverkehr stattfinden.... Man will sich ja nicht zu Tode konfigurieren...