[win2k] virusscanner nodig bij deze config?

Na enkele oude topics te hebben doorgelezen over het nut van virusscanners ben ik tot de conclusie gekomen dat de meningen erg verdeeld zijn.

Vandaar dat ik de vraag opnieuw stel, maar dan met wat extra informatie:

Is het nodig een virusscanner op de lokale Windows 2000 clients te installeren wanneer de volgende veiligheidsmaatregelen zijn genomen?

- Users hebben ALLEEN leesrechten in de \WINNT en \Program Files mappen
- Ook administrators zijn users. Administrators weten wel het lokale admin wachtwoord om eventueel software te installeren
- In de registry hebben Users in de LOCAL_MACHINE geen schrijfrechten
- Alles wordt via MSI op de clients gekwakt. Denk hierbij aan ActiveX controls voor webpagina's (bijv. Macromedia Flash Player) en Codecs voor Windows Media Player
- De bootsector is vanuit de BIOS beveiligd

Maken virussen op deze manier nog kans? Uiteraard draaien de servers wel virusscanners.

[ Voor 4% gewijzigd door Verwijderd op 14-09-2003 01:38 ]

Teckna schreef op 14 September 2003 @ 01:49:
Je moet altijd rekening houden met virussen, denk daarbij bijvoorbeeld aan Active X exploits. ten aller tijden een virus scanner installeren is dan ook mijn advies

Natuurlijk, je moet ten allen tijde rekening houden met virussen.

Daarom worden alle ActiveX Controls via GPO verdeeld over de computers. Niemand mag op eigen houtje ActiveX Controls installeren.

Mijn vraag is of met de bovenstaande configuratie het voor een virus mogelijk is om zichzelf te activeren op een clientsysteem.

Nestelen kan het zich sowieso, in de Userprofilefolders, waar users wel schrijfrechten hebben, maar een genesteld virus is nog geen geactiveerd virus

swampy schreef op 14 September 2003 @ 02:01:
Umm, een virusscanner heeft altijd nut maar niet elke virusscanner is even goed...of even gericht!

Zoals norton...hoevaak trojans daar niet doorheen vliegen.....daar ligt het probleem dat de scanner pas scant NADAT de file binnen is......en soms is het virus dan al actief!
( dat gebeurde dus met MSBLASTER )

MSBlaster was een lek, en geen virus toch?

BackSlash32 schreef op 14 September 2003 @ 02:03:
[...]

Zolang je een OS gebruikt waar een browser in de UI ingebakken zit die zo lek als een zeef is wel ja.

Zodra een patch uitkomt dan duurt het ongeveer 1 werkdag totdat we de patch via GPO hebben verdeeld over de werkstations. Dus daar zullen vrijwel geen problemen optreden. Daarnaast draait IE onder een useraccount en niet onder een administratoraccount.

Palmboom schreef op 14 September 2003 @ 11:42:
Als je de pc's die zoals boven omschreven ingericht zou hebben zou blaster veel pc's binnen je organisatie besmet kunnen hebben. Blaster brak in via een exploit en kreeg op die manier lokale adminrechten (en zou zich dus niets hebben aangetrokken van leesrechten op de windows mappen).

NAtuurlijk is het wel lastiger om binnen te komen voor blaster als je de buitenkant goed beschermd hebt, maar er hoeft maar 1 iemand binnen je organisatie in te bellen op internet, een laptopje van thuis in te prikken of een besmet cd/dvd/floppy te gebruiken om besmet te raken.

Maar Blaster kan toch niets doen als het systeem al gepatcht is?
Volgens mij is het bij MSBlaster beter om te patchen dan om te scannen. Scannen is net als een te kleine pleister op de wond doen. Patchen is een dikke pleister die alles tegenhoudt.

Inbellen geschiedt overigens op onze eigen telefooncentrale. Om een laptop dan te infecteren dan zou het netwerk zelf al geinfecteerd moeten zijn. Floppydrives zijn overigens niet meer aanwezig in de organisatie.

Maargoed, het ging om de vraag of een virus zichzelf kan activeren. Worms worden d.m.v. patches geweerd. Virussen worden geweerd m.b.v. ACLs.

[ Voor 11% gewijzigd door Verwijderd op 14-09-2003 11:48 ]