Konfiguration Viren/Malware-Scanner

Die Dateischleuse von TightGate-Pro kann durch einen Malware-Scanner serverseitig über­wacht werden. TightGate-Pro kann hierzu serienmäßig mit vorinstalliertem Malware-Scanner geliefert werden. Eine nachträgliche Installation ist ebenfalls möglich. In jedem Fall ist eine Lizenz einzuspielen, mit der der Malware-Scanner über den gebuchten Lizenzzeitraum aktualisiert werden kann. Der Lizenzablauf wird über die Statusseite von TightGate-Pro sowie über den entsprechenden Prüfpunkt der Nagios-Systemüberwachung angezeigt.

TightGate-Pro kann mit werksseitig installiertem und lizenziertem Malware-Scanner geliefert werden. Sollte dies nicht der Fall sein, kann das Produkt bei Bedarf nachinstalliert werden.

So geht's

  • Anmeldung als Administrator update und Auswahl des Menüpunktes Optionale Pakete hinzufügen.
  • Es können folgende Virenscanner installiert werden:
    Für den Virenscanner der Firma Avast ist das Paket avast auszuwählen, für den Virenscanner der Firma Kaspersky ist das Paket mprivacy-kesl auswählen.
  • Nachfolgend noch das RSBAC-Restore und config-Anwenden im Installationsdialog ausführen.

Die Installation des Malware-Scanners startet und kann je nach Virenscanner bis zu 10 Minuten dauern, da die kompletten Signaturen herunter geladen werden müssen. Nach Abschluss der Installation bitte neu als Administrator config anmelden. Unter dem Menüpunkt Dienste ist der installierte Maleware-Scanner verfügbar und kann konfiguriert werden.

Die Konfiguration des Malware-Scanners erfolgt als Administrator config.

Das wird benötigt

  • Installierter Virenscanner

So geht's

  • Anmeldung als Administrator config und Auswahl des gewünschten Virenscanners im Menü Dienste > Malware-Scanner. Es öffnen sich dadurch weitere Menüpunkte, die konfiguriert werden müssen.
  • Je nach Virenscanner ist ein Lizenzfile oder Lizenzkey einzutragen. Bitte beachten Sie, dass bei der Verwendung des Virenscanners von Kaspersky nur das Produkt "Kaspersky Endpoint Security for Business" verwendet werden kann. Beim Virenscanner Avast ist ein gültiges Lizenzfile für das Produkt "Avast Business Antivirus für Linux" notwendig.
    Hinweis Bei der Verwendung des Virenscanners von Kaspersky: Über den Menüpunkt KSN-Online-Prüfung kann festgelegt werden, ob das "KASPERSKY SECURITY NETWORK (KSN)" verwendet werden soll. Eine Übersicht, was sich hinter der KSN verbirgt, können finden Sie auf der Webseite von Kaspersky. Hier der externe Link zu Kaspersky.
  • Setzen des Wertes für Max. genutzte CPU-Kerne. Hier können Sie festlegen wie viele CPU-Kerne der Virenscanner zur Prüfung verwenden darf. Die Nutzung von 4 CPU-Kernen sollte ausreichend sein. Es wird empfohlen nicht mehr als 20% der verfügbaren Kerne zuzuweisen.
  • Setzen des Wertes Max. RAM-Disk-Größe in GB. Hier wird festgelegt wie groß die RAM-Disk ist, in die TightGate-Pro Archive selbstständig auspackt. Mit der RAM-Disk wird das Scan-Ergebnis des Virenscanners optimiert. Der empfohlene Wert ist 4, was einer RAM-Disk von 4 GB entspricht. Die maximal mögliche Eingabe ist auf 1/3 des insgesamt zur Verfügung stehenden Arbeitsspeicher begrenzt. Wird der Wert 0 eingetragen, so wird keine RAM-Disk verwendet.
  • Auswahl des Menüpunkts Malware-Scanner starten. Option zum Aktivieren bzw. Deaktivieren des Malware-Scanners.
    Achtung: Es empfiehlt sich, diese Option abschließend zu kontrol­lieren und ggf. korrekt zu setzen, um das System nicht versehent­lich mit deaktiviertem Malware-Scanner zu betreiben.
  • Optional kann über den Menüpunkt Malware-Scanner-Proxy eingestellt werden, dass der Virenscanner seine Singnaturupdates nicht direkt bezieht, sondern über einen Proxy. Der Proxy ist in der Form IP-Adresse:Port anzugeben.
  • Im Anschluss an das Setzen der Einstellungen sind als Administrator config die Einstellungen über die Menüpunkte Speichern und Anwenden zu übernehmen. Bei der Verwendung des Virenscanners von der Firma Avast empfiehlt die m-privacy GmbH das Anwenden zweimal laufen zu lassen, da manchmal die benötigten SSL-CAs nachgeholt werden müssen.
  • Zur Kontrolle, ob der Virenscanner richtig läuft bitte als Administrator maint anmelden und den Menüpunkt Malware-Scanner: Status aufrufen. Es erscheint eine Anzeige, ob der Virenscanner ordnungsgemäß läuft.

Die Schadcode-Signaturen sind ein integraler Bestandteil eines Malware-Scanners. Für eine optimale Erkennungsleistung des Scanners müssen die Signaturen stets auf dem neuesten Stand sein. TightGate-Pro lädt die jeweils aktuellen Definitionen täglich direkt vom Update-Server des Herstellers, sodass sich ein manueller Eingriff in der Regel erübrigt. Sollen die Signaturen manuell erneuert werden, so ist folgendermaßen vorzugehen.

So geht's

  • Anmeldung als Administrator maint.
  • Auswahl der Menüoption Malware-Scanner: Update. Die Schadcode-Definitionen werden aktualisiert, was je nach verwendetem Virenscanner bis zu 10 Minuten dauern kann.
  • Über die Statusseite von TightGate-Pro oder den Menüpunkt Malware-Scannner: Status kann danach überprüft werden, ob die Signaturen aktuell sind.

Hinweis: Im Fehlerfall sind Netzwerkprobleme die häufigste Ursache, sodass der Aktualisierungsserver des Herstellers nicht erreichbar ist. Weiterhin ist eine gültige Lizenz für den Malware-Scanner erforderlich.

Es kann vorkommen, dass sich der Virenscanner verklemmt und alle Dateien als Schadcode markiert. Ein Schleusen ist dann nicht mehr möglich. Ursache dafür können veraltete Singnaturupdates (> 3 Tage), Dateiinkonsistenzen in den Signaturen des Virenscanners oder Anderes sein.

Um den Virenscanner auf einen stabilen Zustand zurück zu setzen, gehen Sie bitte folgendermaßen vor:

  • Anmeldung als Administrator maint.
  • Auswahl der Menüoption Malware-Scanner: Neu-Download.

Nun werden alle Signaturen des Virenscanners gelöscht und neu vom Hersteller bezogen. Das Herunterladen kann dabei bis zu 10 Minuten dauern. Der Fortschritt wird auf dem Bildschirm angezeigt. Nach der Neuinstallation der Signaturen wird automatisch noch der Scaner-Cache geleert und der Virenscanner ist wieder voll Einsatzbereit.

  • Über die Statusseite von TightGate-Pro oder den Menüpunkt Malware-Scannner: Status kann danach geprüft werden, ob die Signaturen aktuell sind.

Wird eine Datei vom Virenscanner gescannt, so wird das Ergebnis des Scans für eine Stunde im Cache von TightGate-Pro vorgehalten. Sollte die gleiche Datei innerhalb dieser Zeit erneut gescannt werden, so wird das Ergebnis des Caches verwendet. Sind in diesem Cache Dateien als Schadcode markiert, weil der Virenscanner nicht lief oder veraltete Signaturen hatte (> 3 Tage), so müssen Benutzer eine Stunde warten, bis der Cache geleert wird oder der Administrator maint den Cache manuell leert. Das Leeren des Caches erfolgt über den Menüpunkt Malware-Scanner: Cache löschen. Bitte stellen Sie sicher, dass der Virenscanner richtig läuft und die Signaturen aktuell sind, bevor Sie den Cache leeren.

Das Prüfen, ob ein Scanner aktuell ist, erfolgt wie im Abschnitt Viren-Signaturen manuell aktualisieren beschreiben.

Das Scannern von großen Dateien (ISOs, Archive etc.) durch Virenscanner kann zum Teil recht lange dauert und manchmal sogar fehlschlagen. Hat man große Dateien auf TightGate-Pro heruntergeladen und anderweitig sichergestellt, dass diese keinen Schadcode enthalten, so gibt es die Möglichkeit MD5-Prüfsummen von Dateien im TightGate-Pro zu hinterlegen, bei denen der Virenscanner keine Prüfung durchführt. Das Hinterlegen der MD5-Prüfsummen kann entweder manuell erfolgen oder es können auch bereits abgelehnte Dateien aus dem Virenscanner-Log der Weißliste hinzugefügt werden.

MD5-Prüfumme manuell zu Weißliste hinzufügen

Zu Hinzufügen einer MD5-Prüsumme zur Virenscanner Weißliste, gehen Sie bitte folgendermaßen vor:

  • Anmeldung als Administrator maint
  • Auswahl des Menüpunktes Malware-Scanner-Verwaltung > In Weißliste freischalten > Neuer Eintrag
  • Die Eintragung MUSS die MD5-Prüfsumme gefolgt von einer frei wählbaren Beschreibung enthalten! Der Dateimanager der TightGate-Pro-Sitzung verfügt im Kontexmenü (rechte Maustaste) über einen Menüpunkt Datei-Information, aus welchem die MD5-Prüsumme kopiert werden kann. Die MD5-Prüfsumme kann aber natürlich auch extern ermittelt werden. Das Einfügen einer kopierten MD5-Prüfsumme in das Auswahlfeld erfolgt über die Tastenkombination Strg+Shift+v.

MD5-Prüfsumme aus Malware-Scanner Log zur Weißliste hinzufügen

Zur Übernahme von MD5-Prüfsummen aus einer bereits abgelehnten Dateiübertragung gehen Sie bitte folgendermaßen vor:

  • Anmeldung als Administrator maint
  • Auswahl des Menüpunktes Malware-Scanner-Verwaltung > Abgelehnte Dateien freischalten
  • Sie sehen eine Auswahl an MD5-Prüfsummen mit dem zugehörigen Dateinamen, welche innerhalb der letzten 7 Tage durch den Virenscanner blockiert wurden.
  • Wählen Sie die MD5-Prpfüsumme aus, welche in die Weißliste übernommen werden soll und bestätigen Sie die Auswahl mit OK.
  • Die MD5-Prüsumme wird damit übernommen. Ein Leeren des Virenscanner-Caches ist nicht erforderlich.

MD5-Prüfsumme aus Weißliste entfernen

Soll eine MD5-Prüfsumme aus der Weißliste entfernt werden, so ist folgendermaßen vorzugehen:

  • Anmeldung als Administrator maint
  • Auswahl des Menüpunktes Malware-Scanner-Verwaltung > Aus Weißliste entfernen
  • Sie sehen eine Übersicht über alle in der Weißliste gespeicherten MD5-Prüfsummen. Sie können einzelne oder mehrerer Prüfsummen mit der Leertaste auswählen. Bestätigen Sie die Auswahl mit OK, damit sind die Prüfsummen aus der Weißliste entfernt.