Sicherer Betrieb von Windows-Systemen

Antivirensoftware (Sophos)

Einführung

• Was sind Viren?
  • sich selbst vermehrende Computerprogramme -> Reproduktion
  • nistet sich ein in Programme, Bibliotheksfunktionen, Skripte, (Makros), sogar Bootsektoren -> in ausführbare Komponenten
  • gehören zur Malware
• Wie kommen Viren auf einen PC
  • mit infizierter Programmen, Datenträgern, aus dem Netz (ftp, Web, ...)
• Auswirkungen von Viren
  • auf infizierten PC
  • auf andere PCs
• Erkennen eines Virenbefalls
  • mit Antivirensoftware
    oder
  • Anzeichen für einen Antivirenbefall:
    • ungewöhnliches Verhalten Ihres Computers (startet nicht mehr, bootet selbstständig, verschwundene oder manpulierte Dateien, ungewöhnliches Lastverhalten etc.)
    • Hinweise -> Merkmale
• Antivirensoftware
  • verschiedene Produkte/Hersteller
  • Qualität (Unterschiede)
    • Aktualität
    • Aktualisierungstechnologie
    • Kosten
  • mehrere aktive Produkte kontraproduktiv!

Antivirenprogramm Sophos

Basis, Charakterisierung

• Landeslizenz der sächsischen Hochschulen für Sophos
• Für Angehörige der TU Chemnitz ist auch die Nutzung auf private Computern erlaubt.
• Jede Einrichtung besitzt einen Download-Account für die automatischen Updates
• Programm und die Virensignaturen für
  Window XP, Windows 2003, Windows Vista, Windows 2000, Windows NT, Windows 95,
  Mac OS, Linux
• Server, Aktualisierung
• eigener Server möglich
  • Virensignaturen vom URZ-Server
  • Vorteile ?
    • besonders "abgeschottetes" Subnetz
    • mehr Pflichten/Verantwortung

Installation

1. Antiviren-Software für benötigte Betriebssystemplattform herunterladen von
   http://service.hrz.tu-chemnitz.de/sav
2. Installation initiieren durch Ausführen (Doppelklick) der heruntergeladenen Software
3. Automatisches Update konfigurieren: im Dialog "Quelle aktualisieren"
   • keine Authentifizierung erforderlich
   • keine Proxy-Konfiguration
   • Update-Adresse nur innerhalb TU-Netz zugänglich
     VPN benutzen für private PCs mit anderem Provider

• Kontrolle der Lauffähigkeit
  • von Sophos
    • automatisch gestartete Dienste:
      (u.U. bei Neuinstallation erst nach reboot sichtbar, obwohl "running")
      • Anzeigename "Sophos Antivirus", Dienstname SAVService -> Virenüberprüfung und Desinfektion
      • Anzeigename "Sophos Antivirus Statusreporter", Dienstname SAVAdminService -> Informationen für Windows Control Center
      • Anzeigename "Sophos AutoUpdate Service", Dienstname "Sophos AutoUpdat Service" -> Update-System, Aktualisierung
      • Anzeigename "Sophoslizenzierung", Dienstname slsvc -> ...
    • Protokoll (Start -> Alle Programme -> Werkzeuge -> Sophos Antivirus => "Sophos Anti-Virus konfigurieren" -> "Protokoll öffnen")
  • der Aktualisierung
    • siehe Dienst
    • Benutzerkonto SophosSAU hostname (für Sophos-Updates)
    • siehe Protokoll (Achtung: Sophos-Protokoll-viewer verwenden)
    • Sophos Anti-Virus -> Konfiguration ==> Letztes
    • Aktualisierung von Hand starten (icon)

Konfiguration

• siehe Start -> Sophos -> ... oder icon
  1. Auto Update
     1. Serveradresse: http://service.hrz.tu-chemnitz.de/SAV/ESXP
     2. Schedule: Aktivieren; bei Einwahl; Suchfrequenz
     3. Protokoll: Aktivieren; Level; Dateiname (in Sophos-Installationsverzeichnis)
  2. On-Access-Überprüfung
     • Achtung -> Standard
     • für AFS Ausnahme hinzufügen: Objekttyp: Datei Objektname: _._AFS_IOCTL_._
       (resultiert aus dem AFS und wird temporär erzeugt)
     • Protokoll in C:\Dokumente und Einstellungen\All USers\Anwendungsdaten\Sophos\Sophos Anti-Virus\logs\SAV.txt (XP, W2K3)
       c:\ProgramData\Sophos\Sophos Anti-Virus\logs\SAV.txt (Vista)
• anderen Nutzern keine Rechte zur Konfigurationsänderung geben
• neu installierte Benutzergruppen
  • SophosAdministrator - Sophos mit Vollzugriff starten - Mitglied: Administrator
  • SophosOnAccess - Nutzung für Virenüberprüfungen und Desinfektions-Funktionen
  • SophosUser - beschränkter Zugriff auf die Überprüfungskonfiguration und Desinfektion - Mitglieder: "Jeder"
  • SophosPowerUser - siehe SophosUser + mehr Desinfektionsfunktionen

Virusbefall, was tun?
siehe http://www.tu-chemnitz.de/urz/viren/index.html

Links

• FAQ zum Virenschutz an der TU Chemnitz
• Schutz vor Computer-Viren (TU Chemnitz: Aktionen bei einer Vireninfektion)
• Sophos: download, Installation
• Installationshinweise
• Hersteller - Sophos