Anti Virus Informationen

Virenschutz im HZDR

Im HZDR wird flächendeckend Sophos Antivirus als Antivirenprogramm auf den Computerarbeitsplätzen und Servern eingesetzt. Weiterhin erfolgt eine Prüfung auf Viren im Datenverkehr über die Firewall und an den e-Mail-Servern.

Damit ergeben sich einige Einschränkungen:
 
  • die Verwendung von Sophos Antivirus als Antivirenprogramm ist vorgeschrieben
  • die Installation wird ausschließlich vom Administrator durchgeführt
  • die Konfiguration erfolgt ausschließlich durch den Administrator
  • die Konfiguration des Antivirenprogramms kann je nach Institut oder Verwendungszwecks abweichen

Installation

Vorraussetzungen:

  • Sophos Antivirus ist für folgende Betriebssysteme verfügbar und der Einsatz ist lizensiert:
    • MS Windows10, Server 2012, Server 2016, Server 2019
    • Linux
    • MacOS
  • Auf dem Rechner sollten sich keine anderen Antivirenprogramme befinden, ansonsten sind diese zu deinstallieren

Die Installation für Windows-Klienten erfolgt von einem zentralen Installationsverzeichnis.

  • Windows-Betriebssysteme: die Installation erfolgt durch den Administrator. Zur Installation die Datei SophosSetup.exe im Software-Laufwerk unter "Sophos\Sophos_Central\Windows\" aufrufen. Der Rest der Installation erfolgt automatisch.
  • UNIX: Zur Installation die Datei SophosSetup.sh im Software-Laufwerk unter "Sophos\Sophos_Central\Linux\" auf den jeweiligen Rechner kopieren. Zur Installation sind SuperUser-Rechte notwendig. Die Konfiguration der Updates und Richtlinien erfolgt automatisch,
  • MacOS: Zur Installation die Datei SophosInstall.zip im Software-Laufwerk unter "Sophos\Sophos_Central\Mac\" auf den jeweiligen Rechner kopieren. Zur Installation sind Administrator-Rechte notwendig. Die Konfiguration der Updates und Richtlinien erfolgt automatisch.

Zentrales Update und zentrale Wartung

Updates der Virendefinitionen und des Antivirenprogramms werden zentral heruntergeladen und anschließend auf die HZDR-internen Update-Server verteilt.

Der Update-Server prüft einmal pro Stunde ob neue Updates vorhanden sind und lädt diese gegebenenfalls herunter. Alle Client-Rechner prüfen aller 15 Minuten die internen Update-Server auf Aktualisierungen. Damit ist gewährleistet, dass auf neue Bedrohungsszenarien zeitnah regagiert werden kann und der Schutz immer aktuell ist.

Programmupdates werden ebenfalls auf den internen Update-Servern abgelegt. Die Installation erfolgt automatisch. Gegebenfalls ist nach dem Update ein Neustart erforderlich, dies wird aber durch das Programm angezeigt


Nutzung (Windows)

Das Sophos Antiviren-Programm läuft in der Regel im Hintergrund. Dabei werden verschiedene Scans und Sicherheitsmaßnahmen nutzerunabhängig durchgeführt:

  • On-Access-Scan: Wird vom Rechner oder Nutzer auf eine Datei zugegriffen, wird diese auf Viren und Schadsoftware geprüft. Im Fall einer Infektion wird die Datei in Quarantäne verschoben.
  • Download-Scan: Alle heruntergeladenen Dateien werden nach dem vollständigen Download gescannt. Im Falle einer Infektion werden die Dateien in Quarantäne verschoben.
  • Internetseiten-Scan: Alle im Browser geöffneten Dateien werden auf eventuelle angehängte Schadsoftware gescannt. Sollte eine Seite infiziert sein wird sie gesperrt.
  • Wechseldatenträger-Scan: Alle an den Rechner angeschlossenen Wechseldatenträger (USB-Sticks, etc.) werden beim einstecken in den Rechner von Sophos überprüft. Eventuell infizierte Dateien werden in Quarantäne verschoben.
  • Wöchentlicher Vollscan: Einmal pro Woche wird jeder Client komplett gescannt. Die Zeiten der Scans können beim lokalen Administrator erfragt werden.

Des Weiteren besteht die Möglichkeit den Rechner per Hand auf Viren zu überprüfen. Dies kann von jedem Nutzer selbst durchgeführt werden. Dazu einfach mit einem Doppelklick auf das Sophos-Symbol in der unteren linken Ecke die Sophos-Konsole öffnen. Über den Button "Computer scannen" wird ein automatischer Vollscan des Rechners (inkl. Wechseldatenträger) gestartet.

Falls ein Virus gefunden wurde, sollten folgende Aktionen durchgeführt werden

  • Benachrichtigung einer zentralen Stelle (IT-Sicherheitsbeauftragter R. Gorek, FWC)
  • Reparaturversuch
    Ein Reparaturversuch erfolgt entweder über die Möglichkeiten des Sophos Antivirenprogramms oder von Hand. Dabei sollte beachtet werden, das Dateien u.U. nach einem Reparaturversuch korumpiert sind, d.h. nicht mehr ausgeführt bzw. geöffnet werden können.

Protokollierung

Extrem wichtig für die Analyse und Rückverfolgung (und damit Auffinden von Sicherheitslücken) ist die Protokollierung aller gefundenen Viren nebst Infektionsweg. Nur mit diesen Informationen ist es möglich Sie und Ihre Kommunikationspartner effektiv vor Viren zu schützen.

Sophos Antivirus kann auf fünf verschiedene Arten (gleichzeitig) melden und protokollieren:

  1. Desktop-Benachrichtigung: Der Nutzer erhält eine Mitteilungsbox.
  2. Lokale Log-Datei: Es erfolgt ein Eintrag in die lokale Sophos Log-Datei.
  3. Meldung in zentraler Management-Konsole: In der zentralen Management-Konsole wird der Rechner als infiziert angezeigt. (Vom Administrator einsehbar)
  4. Log-Datei auf dem Management-Server: Im zentralen Log des Servers wird ein Eintrag zur Infektion abgelegt.
  5. SMTP: Die Virusmeldung wird als E-Mail verschickt (an r.gorek@hzdr.de)

Verweise zum Virenschutz

Virusinformationen und Informationen zur Datensicherheit