---

@stka schrieb:

bei einem Kunden ist neuerdings TrendMicro im Einsatz (vorher Kaspersky)

---

Das ist jetzt erstmal 12M in Stein gemeißelt, oder? Wenn nein, kann ich nur dringend zu einer Alternative raten: Sophos oder andere führende Hersteller. Andernfalls ist man nicht nur bei den Ladezeiten vom Regen in die Traufe geführt worden.

Windows 11: Trend Micro Ransomware-Protection macht Ärger mit Preview-Update KB5014019

Trend Micro Sicherheitslösungen: Registry-Änderungen nach Fehlalarm (3. Mai 2022) zurücknehmen

Trend Micro Apex One löst Fehlalarm beim Microsoft Edge 101.0.1210.32 wegen msedge_200_percent.pak aus

Trend Micro Worry Free Business Security Critical Patch 2390

Trend Micro Worry Free Business Security Critical Patch 2380 und der freie Disk-Speicher

Trend Micro Worry-Free Business Security Advanced 10.0 – Patch 2342

Kritische Updates für Trend Micro Apex One, OfficeScan und WFBS 10

Ob das noch dem Anspruch Sicherheit gerecht wird? Eigentlich wartet man nur auf die nächste große Lücke, die man umgehend asap zu patchen hat. Mein Vertrauen ist bei der Lösung nicht mehr vorhanden. Zu viel negative Presse in zu kurzer Zeit. 

Oder will man dadurch etwa zusätzliche Kosten beim Mandanten generieren, wenn man keine Wartungsflat hat? Vielleicht ist aber auch den Mitarbeitern langweilig 😇.  

Also die echte Lösung ist nicht die einwandfreie Ausnahmeregelung in meinen Augen. 

Ich weiß, ich weiß, Windows 7 ist offiziell schon tot ☠️ - lässt Trend Micro leider dennoch in keinem guten Licht da stehen: Windows 7: Kritischer Fehler, das System wird neu gestartet; Trend Micro als Ursache?

Macht TM Worry-Free Business 10.0 SP1 Patch 2419 Probleme?

Es gibt genug Alternativen, die weniger Presse auf sich vereinen 😇.

Trend Micro Spam-Filter patzt bei Phishing-Mail der Europäischen Bankenaufsichtsbehörde

Ich setze die DATEV-Programmverzeichnisse als Ausnahme. Also diejenigen die ich so "finde", zzgl. der Empfehlungen. Dann ergibt sich:

Aber: Das ganze wirkt sich wenig auf die Performance aus... Richtig viel im Echtbetrieb bringen Exklusionen auf DATEV-Prozesse:

Arbeitsplatz.exe

Datev."xyz-prozess"

DVines."xyz-prozess"

... sind so 6-7 Stück die man findet.

DATEV Arbeitsplatz mal öffnen und die laufenden Prozesse fix im Scanner als Ausnahme eintragen. Ikarus AV bzw. Securepoint AV (ist identisch), verhält sich im DATEV Umfeld dann TADELLOS und DATEV läuft nicht gebremst - zumindest deutlich schneller als mit ViWAS. Deswegen hatte ich ViWAS schon vor Jahren "rasiert".

Interessant, weil dass nicht alle Hersteller so "machen": Der Scanner/Lizenz kostet immer identisch, egal ob Workstation, Server oder Terminal-Server - unabhängig der User. Die Lizenz ist immer nur an die Maschine gebunden. Somit ergibt sich beim WTS ein echter Schnäppchenpreis, den ich hier aber so nicht nennen will.

Ich hoffe, @stka kann nichts mehr von Trend Micro berichten: Trend Micro: Update schließt ausgenutzte, kritische Schwachstelle CVE-2023-41179

Gilt die Ausnahme auf *.ini für sämtliche Verzeichnisse? Da bin ich mir nämlich gerade nicht ganz sicher, ob das so eine gute Idee ist. Schließlich ist es immer noch ein Angriffsvektor für Malware, inis durch modifizierte Versionen auszutauschen.

Ich bin gerade mal die Einstellungen mit MS Defender durchgegangen - hier wirkt der Prozessausschluss nur auf Dateien, die durch den Prozess gestartet werden - ansonsten muss der Prozess einzeln mit Pfad benannt werden. 

Werde mal mit Arbeitsplatz und KanzleiRewe beginnen zu testen. Muss halt immer erst GPO aktualisiert werden um die Wirkung zu prüfen.

Vielleicht hat noch jemand eine Liste der "schwierigsten" Prozesse. Müsste dann gelegentlich auf Aktualität der Pfade durchgeschaut werden.

Komplette Verzeichnisausschlüsse sind mir zu unsicher - Datev ist ja in der Zielgruppe recht verbreitet.

Der Beitrag hat mich auf folgende Idee gebracht:

Am Terminalserver oder DATEV Client bzw. am Kommunikationsserver und/oder Fileserver folgendes Script ausführen und alle EXE Dateien in eine Textdatei schreiben. (Generell könnte man das dann auch noch um DLL oder eben alles o.g. Ausschlüsse erweitern.)

if([string]::IsNullOrEmpty($PSScriptRoot)){
    $Scriptpath = $psISE.CurrentFile.FullPath -replace $psISE.CurrentFile.DisplayName
    $Scriptpath = $Scriptpath.TrimEnd("\")
} else{
    $Scriptpath = $PSScriptRoot
}

$TempFile = Join-Path $Scriptpath `
    -ChildPath "DATEVExeFiles.txt"

$objEXEFiles = Get-ChildItem -Path $env:DATEVPP `
    -Filter "*.exe" `
    -Recurse

Set-Content -Path $TempFile `
    -Value $objEXEFiles.FullName `
    -Confirm:$false `
    -Force

Die Datei "DATEVExeFiles.txt" mit auf einen Management PC / Domain Controller nehmen und in ein GPO für die Defender Exclusions schreiben:

if([string]::IsNullOrEmpty($PSScriptRoot)){
    $Scriptpath = $psISE.CurrentFile.FullPath -replace $psISE.CurrentFile.DisplayName
    $Scriptpath = $Scriptpath.TrimEnd("\")
} else{
    $Scriptpath = $PSScriptRoot
}

$TempFile = Join-Path $Scriptpath `
    -ChildPath "DATEVExeFiles.txt"

$EXEFiles = Get-Content -Path $TempFile
$objGPO = Get-GPO -Name "C_Defender_RDSH_Exclusions"

try{
    Remove-GPRegistryValue -Name $objGPO.DisplayName `
        -Key "HKLM\Software\Policies\Microsoft\Windows Defender\Exclusions" `
        -ValueName "Exclusions_Paths" `
        -ErrorAction Stop |
            Out-Null
} catch{
    # Nothing to do :)
    # Wert war einfach nicht im GPO gesetzt
}

Set-GPRegistryValue -Name $objGPO.DisplayName `
        -Key "HKLM\Software\Policies\Microsoft\Windows Defender\Exclusions" `
        -ValueName "Exclusions_Paths" `
        -Type DWord `
        -Value 1 |
            Out-Null

try{
    Remove-GPRegistryValue -Name $objGPO.DisplayName `
        -Key "HKLM\Software\Policies\Microsoft\Windows Defender\Exclusions" `
        -ValueName "Exclusions_Processes" `
        -ErrorAction Stop |
            Out-Null
} catch{
    # Nothing to do :)
    # Wert war einfach nicht im GPO gesetzt
}

Set-GPRegistryValue -Name $objGPO.DisplayName `
        -Key "HKLM\Software\Policies\Microsoft\Windows Defender\Exclusions" `
        -ValueName "Exclusions_Processes" `
        -Type DWord `
        -Value 1 |
            Out-Null

foreach($e in $EXEFiles){
    try{
        Set-GPRegistryValue -Name $objGPO.DisplayName `
            -Key "HKLM\Software\Policies\Microsoft\Windows Defender\Exclusions\Paths" `
            -ValueName $e `
            -Type String `
            -Value "0" `
            -ErrorAction Stop |
                Out-Null
    } catch{
        Write-Host "Fehler bei Path Exclusion: $e" `
            -ForegroundColor Red
    }
    
    try{
        Set-GPRegistryValue -Name $objGPO.DisplayName `
            -Key "HKLM\Software\Policies\Microsoft\Windows Defender\Exclusions\Processes" `
            -ValueName $e `
            -Type String `
            -Value "0" `
            -ErrorAction Stop |
                Out-Null
    } catch{
        Write-Host "Fehler bei Process Exclusion: $e" `
            -ForegroundColor Red
    }
}

Für Kommserver / Fileserver dann halt einfach das GPO ($objGPO) anpassen. Zusätzlich könnte man das dann auch recht flott noch bauen und alle MDF / LDF aus den Netzdatenpfad am Fileserver und Client in die Exclusions aufnehmen.

So sollten sich auch Exclusion Files zum Import in andere Virenscanner bauen lassen, sofern die ein Import-Feature haben. 

Nachdem seit dem Jahreswechselupdate die Systeme wieder sehr langsam geworden sind, habe ich die Programmausschlüsse / Prozessausschlüsse geprüft / erweitert. Hier werkelt ein Client / Server Netzwerk - also alle Programme und Prozesse zusammengesucht und per GPO auf die Systeme verteilt.

Fazit : Die Ausschlüsse der Programme (Hier Arbeitsplatz / Kanzlei Rewe) bringen nur leichte Linderung.

Wie bereits von @LS4B geschrieben, bringt nur der Ausschluss der Datev Prozesse ein spürbares Ergebnis. Leistungsindex hat sich von ca. 6,5 vor dem letzten August Update nach zwischenzeitlich kläglichen 9,5 auf immerhin ca. 8,0 eingepegelt. Gerade das erstmalige öffnen von Arbeitsplatz und REWE fühlt sich wieder halbwegs passabel an.

Eine per Skript einspielbare Liste oder Übersicht der kritischen Prozesse seitens Datev wäre eine echte Erleichterung. Aber wir basteln.

---

@d_z_ schrieb:

Aber wir basteln.

---

Naja, ist auch ein sicherheitstechnisches Thema, wenn ich an Phishing mit vermeintlicher DATEV-E-Mail denke. Dann geben sich bald "böse Programme" als DATEV Prozess aus; der Virenscanner sagt: alles OK und man hat freie Fahrt. Ob das im Sinne des Erfinders ist? Bin mir unsicher. Wenn die "bösen Jung" damit Erfolg in der Masse haben, wenn 40.000 Genossen ausreichen für eine Kampagne sind? 

Andernfalls ist DATEV Software mit Apple macOS zu vergleichen. Nur weil es nicht > 80% der Welt nutzen, lohnt sich kein Angriff, weil die Kosten im Vergleich zu den erwartenden Erlösen zu hoch sind. 

Hacker sind Unternehmer. Nichts anderes 😉. 

---

@metalposaunist  schrieb:

Andernfalls ist DATEV Software mit Apple macOS zu vergleichen. Nur weil es nicht > 80% der Welt nutzen, lohnt sich kein Angriff, weil die Kosten im Vergleich zu den erwartenden Erlösen zu hoch sind. 

---

Würde ich anders einordnen:

• Erfolgreich kompromittierte Firma -> "Alle Daten dieser einen Firma"
• Erfolgreich kompromittierter StB / WP -> "Recht brisante Datensätze von x Mandanten (und des StB)"
• (Erfolgreich kompromittierter auf StB / WP spezialisierter Hoster -> ...)

Auch OK 👍. Aber hast Du schon mal einen Virenscanner für lexOffice, sevDesk, HRworks, personio, pleo und Co. anpassen müssen? 😂 Kann mich nicht dran erinnern. 

Jetzt müssten wir "Virenscanner" definieren. 😉 Da es reihenweise "Virenscanner" gibt, die mehr schlecht als recht einen SSL Proxy machen oder sich in verschiedene Protokolle einklemmen: Ja.

lexOffice, sevDesk, HRworks, personio, pleo und Co. gehören hier allerdings auch eher in die Kategorie, die ich oben in Klammern gesetzt habe.

@metalposaunist 

Es ist mit Sicherheit nicht im Sinne des Erfinders den Virenscanner einzuschränken und bisher auch bei keiner anderen von mir verwendeten Software notwendig. Leider ist Datev hier die Ausnahme - das Laufzeitverhalten ist einfach grottig.