Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 12822 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AV&HIPS - On Access Scan

TheJ0ker

Hallo zusammen,

bei mir wird eine Datei immer wieder von einer Netzwerkfreigabe gelöscht und ich vermute, dass es durch die On-Access-Scans von Sophos kommt.
Diese Freigabe habe ich in der Standard AV&HIPS-Richtlinie ausgeschlossen.

Nun frage ich mich: da ich 10 AV&HIPS Richtlinien habe, muss ich nun in jeder davon die Freigabe als ausnahme hinzufügen?

Und darüber hinaus: Wenn Sophos eine Datei weglöscht, gibt es eine Log-Datei die das festhält?



This thread was automatically locked due to age.
Parents Reply
  • 0 in reply to TheJ0ker

    Hallo TheJ0ker,

    das Verzeichnis in dem meine Datei liegt als Ausnahme
    ich bin, wie ich immer erwähne, kein Freund von Ausnahmen. Falsch Positive sollten nicht mit die Deppen bei Sophos können es halt nicht besser, machma eine Ausnahme erledigt werden. Die erste Frage ist - was wurde wo erkannt? Für viele Kennungen gibt es eine Analyse-Seite, bei generischen Kennungen wird um das Einsenden eines Samples gebeten, das sollte man jedenfalls machen. Aber auch bei spezifischen Kennungen empfehle ich das Einsenden eines Samples - meistens wird dann die Kennung entsprechend angepasst, was zukünftige FP vermeidet, den Schutz aber generell aufrecht lässt.
    Offensichtlich ist On-Access auf dem Server nicht aktiviert, oder? 

    Übrigens: SEC 5.2.x? Wenn das die Produktionsversion ist, wäre ein Upgrade nicht schlecht.

    Christian

Children
  • 0 in reply to QC

    Guten Morgen,

    danke, dass du dir so ernsthafte Gedanken zu der Situation machst!
    Also installiert ist 5.5. Ich hatte da wohl das falsche Dokument zur Hand. Ich denk mal die Definition für den Button passt dennoch.

    Wie sich jetzt zeigt, war es garnicht On-Access-Scan, was die Datei gelöscht hat, sondern der abendliche Viren-Scan.
    Die Datei, um die es geht ist psexec. Meinst du da macht ein Einsenden der Datei Sinn? Ich kann mich natürlich irren, aber die PsTools kennt Sophos doch sicherlich bereits.

    Deine Aussage zu den Ausnahmen, werde ich im Hinterkopf behalten :-)

  • +1 in reply to TheJ0ker

    Hallo TheJ0ker,

    psexec
    sollte als PsExec in der Kategorie Adware and PUAs erkannt werden. Wenn dem so ist, ist Einsenden natürlich nicht sher sinnvoll, da ja alles so läuft wie gedacht. Sollte es aber eine andere Kennung sein, ist etwas (und wahrscheinlich psexec.exe) faul und die Datei sollte umgehend eingesandt werden.
    PsExec und Konsorten sind besser mit dem Authorization Manager (AV Policy → Autorisierungen ...) abzuhandeln. Vorteil: Die Ausnahme gilt unabhängig vom Ort, die Datei wird trotzdem gescannt und ist vor bösartigen Manipulationen geschützt. Nachteil: Die Ausnahme kann nicht auf einen bestimmten Ort beschränkt werden. Umgekehrt lässt sich eine Scan-Ausnahme für einen exakt bestimmten Ort festlegen, die Datei ist dann aber ungeschützt.

    Christian

  • 0 in reply to QC

    Die Anwendung wird als Adware and PUAs erkannt, also alles "Works as designed".

    Wenn ich nun psexec Authorisiere, ist sie dann sowohl für den Scan-on-Demand, als auch für den On-Access-Scan authorisiert?

  • 0 in reply to TheJ0ker

    Hallo TheJ0ker,

    Autorisierungen gelten unabhängig von der Art von Scans. Andernfalls wären sie erst unter den On-Access Einstellungen zu finden.
    Nicht zu vergessen - sie gelten per Policy. Es mag etwas verwirrend sein, dass die Liste Bekannter Adware/PUA global ist. Anwendungen, die in einer Policy aus der Bekannte Liste gelöscht werden, scheinen auch in den anderen nicht mehr auf (bis sie aufgrund neuer Erkennungen wieder auf die Liste kommen).

    Christian 

Unfiltered HTML