none
Stinger als Virenscanner auf einem Client RRS feed

  • Frage

  • Ich würde gerne aug meinen Windows 10 Clients neben meinem Online-Scanner (MS Defender) als zusätzlichen Schutz einen Offline Scanner etablieren. Mein Überlegungen gehen derzeit in Richtung Stinger (kostenlos, mit Updates versorgt, per CMD aufrufbar).

    Das Problem (wäre wohl mit allen Offline-Scannern so): Meine Clients laufen nicht 24/7. Meine Idee ist, Stinger portitioniert so zu versorgen, dass bei einer angenommenen Laufzeit von 2 Stunden pro Tag nach ca. einem Monat alle Dateien geprüft wurden. Habt Ihr ein Idee, wie ich eine solche Partitionierung hinbekomme (stinger -scanpath: Kann ich dort mehrere Verzeichnisse angeben?)?

    Oder ist das Ganze eine Schnapsidee bzw. es gibt ähnlich fnktionierende Alternativen?

    Vielen Dank - Michael

    Samstag, 26. November 2022 14:56

Alle Antworten

  • Moin,

    mit Deinen Begriffen "online" und "offline" kann ich nichts anfangen - Defender funktionier auch "offline", d.h. ohne Internet-Verbindung, und Stinger ist auch "online" insofern, alss das die Definitionsupdates aus dem Internet bezogen werden müssen.

    Wenn Du nach Möglichkeiten suchst, alle Dateien durchzuscannen, so kann Defender auch Scheduled Scans. Die laufen auch bei Dir, wenn Du den Task "\Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan" nicht explizit deaktiviert oder gelöscht hast. Außerdem führen alle gängigen AV-Tools "Buch" darüber, welche Dateien bereits beim letzten Mal gescannt wurden. Haben sie sich seitdem nicht geändert (Hashwert), werden sie übersprungen. Du brauchst das Ganze also nicht aufzuteilen, sondern führst das Ganze mehrfach aus, und irgendwann ist alles gescannt worden.

    Speziell zu Stinger: Dieses Tool erkennt nur eine Handvoll Bedrohungen, die dafür bekannt sind, residente Antimalware-Tools zu umgehen oder auszuhebeln. Diese werden an ganz bestimmten Stellen gesucht und verbreiten sich auch nicht zwingend über Dateien, die "irgendwo herumliegen". Insofern ist ein Stinger-Scan über den ganzen Rechner weder geeignet noch notwendig. Außerdem ist Stinger zur Notfallbehandlung gedacht und nimmt sich daher so viele Ressourcen wie er kriegen hat - in der Arbeitszeit also denkbar ungünstig.

    EDIT: Ein soeben durchgeführter Stinger-Scan auf meinem doch recht vollen Laptop hat 5 Minuten gedauert.

    Aus meiner Sicht verschwendest Du hier Zeit. Wenn Geld für Defender for Endpoint da ist, wäre das sehr gut investiert. Wenn Du Microsoft nicht vertraust, nimm Trend Micro - aber auch da am besten inklusive der internet-basierten KI-Engine, denn nur diese Systeme können Zero Days und Anomalien aus der Korellationen mit Millionen anderer Clients ableiten, lange bevor es dafür eine explizite Erkennungsvorschrift gibt.


    Evgenij Smirnov

    http://evgenij.smirnov.de



    Samstag, 26. November 2022 16:20
  • Ein Scanner prüft ja nicht nur Dateien und Verzeichnisse auf Bedarf sondern i.d.R auch bei Zugriff.
    Wenn also irgendein Programm (indiziert durch einen User) auf eine Datei zugreift, wird sie geprüft.
    Dabei wird auch geprüft, ob sich die Datei überhaupt geändert hat.

    Dasselbe gilt auch für Virenschutz während der Onlinezugriffe. Dies gilt nicht nur für Browser, sonderen auch alle anderen Netzwerkzugriffe, die es eben so gibt.

    Auch einen Fullscan bedarf es eher nur selten, es sei denn du hast auf deinem Rechner noch nie eine Antivirensoftware im Einsatz gehabt.

    Um dies durchzuführen nisten sich die Scanner sehr tief in den Systemen ein um eben jederzeit überwachen zu können. Deshalb kann man auch nur 1 Direkt-Scanner betreiben, also entweder Defender oder einen anderen.

    Seit dem ich mit PC's arbeite (anfang 1982) und es die ersten Viren gab (1983) verwende ich gekaufte Scanner.
    Und was soll ich sagen, ich hatte seit dem noch nie einen gefährlichen Virus in meinen diversen PC's.

    Eine einzige Ausnahme gab es mal (so in den 90ern). Da schaffte es eine Remoteattacke den Anmeldedienst anzugreifen und dadurch zu killen. Dann erschien eine Systemwarnung, dass der PC in 60 Sekunden runterfahren werde.
    Außer das es nervig war, mehrmslas am Tag zu booten, war das Problem, leider, nach ein paar Tagen gelöst.

    Wenn wir schon beim Namen von Scannern sind, habe ich mit GData die allerbesten Erfahrungen nach nun bald 15 Jahren. Wobei mir hier der reine Virenschutz (Dateien und Netzwerk) vollkommen ausreicht. McAfee hatte ich davor, aber mit den neuen Windowsversionen verlangsamte sich das Arbeiten plötzlich.

    Bzgl. Angriffen bin ich da wohl auch eher uninteressant.

    Zusätzlich muss man natürlich immer auch auf sein Verhalten achten:

    - Keine Bilderdonwloads in Mails
    - Keine Clicks auf Links, deren Adresse ich mir (meist per Tooltip) nicht angesehen habe.

    Aber, ich denke, dass sollte jeder sowieso tun;-).

    Wenn dir die Sicherheit was wert ist, sollte man nach Möglichkeit keine kostenlosen Scanner einsetzen. 20-30€ jährlich sind da durchaus normal.
    Auch Testergebnisse auf bekannten Portalen kann man sich per Sponsoring kaufen.


    Samstag, 26. November 2022 16:56
  • Danke und erst einmal sorry für die Unschärfe meiner Begriffe: Ich meiten mit:

    • "online": Echtzeitscanner (engl. on-access scanner, real-time protection, background guard ua.)
    • "offline": On-Demand-Scanner

    Der Grund, weshalb ich über Stinger nachgedacht habe, ist, dass ich neben meinem Echtzeitscanner (derzeit ist der MS Defender meine Wahl und Empfehlung für meine Kunden) noch einen On-Demand-Scanner eines anderen Herstellers einsetzen will ("zwei Augen sehen mehr als ein Auge"). Dabei habe ich die (immer noch geltende Regel?) im Auge: Niemals zwei Echtzeitscanner gleichzeitig einsetzen.

    Daher war die Einschätzung "Stinger: Dieses Tool erkennt nur eine Handvoll Bedrohungen ..." sehr hilfreich. Und natürlich ist der beste Schutz die Achtsamkeit des Nutzers. Bei einigen meiner Kunden habe ich da aber eher wenig Hoffnung.

    Sind meine Überlegungen unsinnig / übertrieben? Und gibt es statt Stinger einen anderen On-Demand-Scanner, der ergänzend zu dem MS Defender für noch mehr Sicherheit sorgt?

    Danke - Michael

    Samstag, 26. November 2022 18:34

  • Sind meine Überlegungen unsinnig / übertrieben? Und gibt es statt Stinger einen anderen On-Demand-Scanner, der ergänzend zu dem MS Defender für noch mehr Sicherheit sorgt?

    Das sind sie durchaus nicht, aber vermutlich dennoch nicht zielführend. Denn: Malware in "ruhenden" Dateien entdeckst Du nur

    • entweder pattern-basiert, aber das gibt es schon lange nicht mehr wirklich
    • oder, indem Du jede Datei in einer Sandbox "explodieren" lässt. Und dann ist sie auch nicht mehr "ruhend". Außerdem lässt sich das natürlich nicht mit einem vertretbaren Aufwand auf jedem Client einzeln durchführen.

    Daher auch meine Empfehlung für XDR - ob es Defender for Endpoint oder etwas anderes ist, ist nebensächlich. Aber da wird das Verhalten beim Öffnen und Ausführen der Dateien untersucht und den anderen Endpoints zur Verfügung gestellt. 

    Und für "zwei Paar Augen" nimmt man auf den Fileservern einen anderen AV als auf den Clients, dann hat man zumindest bei der zentralen Dateiablage und beim Zugriff darauf ein zweites Paar Augen implementiert.


    Evgenij Smirnov

    http://evgenij.smirnov.de



    Samstag, 26. November 2022 18:54
  • Überzeugend und verständlich - danke!

    Meine Problemetik kommt aus meiner Lage als kleiner IT-Support: 2 KMUs und ca. 20 Privatkunden, denen ich einen kostengünstigen (am besten lizenztechnisch kostenlosen) aber trotzdem hochwertigen Support anbieten möchte.

    Wie wäre denn eine XDR-Lösung für einen solchen Flohhaufen zu organisieren?

    Danke - Michael

    Samstag, 26. November 2022 19:06
  • Moin,

    Trend Micro Maximuim Security hat diese Funktionalität. 5 Geräte für derzeit 30 Euro im Jahr (Listenpreis ist allerdings 80 Euro). https://www.trendmicro.com/de_de/forHome.html

    Wenn Deine Kunden O365 buchen, haben sie die Funktion ebenfalls mitgekauft: https://www.microsoft.com/de-de/microsoft-365/microsoft-defender-for-individuals?market=de


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Samstag, 26. November 2022 19:20
  • Dake für Eure Ratschläge!

    Ich werde mich mal intensiver mit:

    1. der Kofiguration von scheduled scans des Windows Defenders und
    2. mit dem Windows Defender (scheint mir nicht selbsterklärend zu sein)

    beschäftigen.

    Michael

    Sonntag, 27. November 2022 03:24
    1. mit dem Windows Defender (scheint mir nicht selbsterklärend zu sein)

    beschäftigen.

    Michael

    Windows Defender (also der Agent, der mit den aktuellen Windows-Versionen installiert wird) ist relativ selbsterklärend. Kann aber auch nicht so wahnsinnig viel.

    Microsoft Defender ist etwas, womit Du dich beschäftigen solltest.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Sonntag, 27. November 2022 10:19
  • Sorry: Ich meinte "natürlich" den nicht selbsterklärenden Microsoft Defender

    Michael

    Sonntag, 27. November 2022 10:22