AV&HIPS - On Access Scan

Hallo TheJ0ker,

Sophos auf einem Client löscht üblicherweise nicht so einfach Dateien auf einem Server. Hat der auch On-Accesx? Dann würde ich zuerst in dessen Log nachsehen. Logs sind jedenfalls immer auf den Endpoints (Client und Server sind beides Endpoints).

Ausschlüsse nur wenn wirklich notwendig, nicht auf vage Empfehlungen hinauf. Auch mit Falsch-Positiven kann man meist besser umgehen (falls es sich um FP handelt). Davon abgesehen wird nur eine Policy dem Endpoint zugewiesen, eventuelle Ausnahmen (s.o.) sind daher in allen zu setzen.

Christian

Hallo TheJ0ker,

löscht [der Client]
wenn er kann, ja.

Der Haken ist in der Hilfe nicht explizit erwähnt

Christian

Hallo Christian,

danke für den Hinweis!

Hier habe ich es in der Zwischenzeit auch gefunden.
https://www.sophos.com/de-de/medialibrary/PDFs/documentation/sec_52_psgeng.pdf?la=de-DE
(Punkt 17)

Dann stelle ich das Verzeichnis in dem meine Datei liegt als Ausnahme ein und setze den haken für Remote Dateien *nicht*.

Danke nochmals!

Hallo TheJ0ker,

das Verzeichnis in dem meine Datei liegt als Ausnahme
ich bin, wie ich immer erwähne, kein Freund von Ausnahmen. Falsch Positive sollten nicht mit die Deppen bei Sophos können es halt nicht besser, machma eine Ausnahme erledigt werden. Die erste Frage ist - was wurde wo erkannt? Für viele Kennungen gibt es eine Analyse-Seite, bei generischen Kennungen wird um das Einsenden eines Samples gebeten, das sollte man jedenfalls machen. Aber auch bei spezifischen Kennungen empfehle ich das Einsenden eines Samples - meistens wird dann die Kennung entsprechend angepasst, was zukünftige FP vermeidet, den Schutz aber generell aufrecht lässt.
Offensichtlich ist On-Access auf dem Server nicht aktiviert, oder? 

Übrigens: SEC 5.2.x? Wenn das die Produktionsversion ist, wäre ein Upgrade nicht schlecht.

Christian

Guten Morgen,

danke, dass du dir so ernsthafte Gedanken zu der Situation machst!
Also installiert ist 5.5. Ich hatte da wohl das falsche Dokument zur Hand. Ich denk mal die Definition für den Button passt dennoch.

Wie sich jetzt zeigt, war es garnicht On-Access-Scan, was die Datei gelöscht hat, sondern der abendliche Viren-Scan.
Die Datei, um die es geht ist psexec. Meinst du da macht ein Einsenden der Datei Sinn? Ich kann mich natürlich irren, aber die PsTools kennt Sophos doch sicherlich bereits.

Deine Aussage zu den Ausnahmen, werde ich im Hinterkopf behalten :-)

Hallo TheJ0ker,

psexec
sollte als PsExec in der Kategorie Adware and PUAs erkannt werden. Wenn dem so ist, ist Einsenden natürlich nicht sher sinnvoll, da ja alles so läuft wie gedacht. Sollte es aber eine andere Kennung sein, ist etwas (und wahrscheinlich psexec.exe) faul und die Datei sollte umgehend eingesandt werden.
PsExec und Konsorten sind besser mit dem Authorization Manager (AV Policy → Autorisierungen ...) abzuhandeln. Vorteil: Die Ausnahme gilt unabhängig vom Ort, die Datei wird trotzdem gescannt und ist vor bösartigen Manipulationen geschützt. Nachteil: Die Ausnahme kann nicht auf einen bestimmten Ort beschränkt werden. Umgekehrt lässt sich eine Scan-Ausnahme für einen exakt bestimmten Ort festlegen, die Datei ist dann aber ungeschützt.

Christian

Die Anwendung wird als Adware and PUAs erkannt, also alles "Works as designed".

Wenn ich nun psexec Authorisiere, ist sie dann sowohl für den Scan-on-Demand, als auch für den On-Access-Scan authorisiert?

Hallo TheJ0ker,

Autorisierungen gelten unabhängig von der Art von Scans. Andernfalls wären sie erst unter den On-Access Einstellungen zu finden.
Nicht zu vergessen - sie gelten per Policy. Es mag etwas verwirrend sein, dass die Liste Bekannter Adware/PUA global ist. Anwendungen, die in einer Policy aus der Bekannte Liste gelöscht werden, scheinen auch in den anderen nicht mehr auf (bis sie aufgrund neuer Erkennungen wieder auf die Liste kommen).

Christian