Antiviren-Scan vom USB-Stick
Security-Tool zum Mitnehmen
Welche Software wird ein Administrator in seinem "virtuellen Werkzeugkasten" mit sich führen, wenn er Systeme vor Ort untersuchen muss? Neben den üblichen Tools würden sich viele Systemprofis häufig die Möglichkeit wünschen, einen Rechner ohne Softwareinstallation auf Virenbefall überprüfen zu können. Norman Data Defence Systems bietet mit Security2go! eine Lösung, die diesen Wunsch erfüllt.Zum Glück gibt es heute kaum noch einen Client und auch nur wenige Server-Systeme, die nicht mithilfe einer Antivirenlösung geschützt sind: Jeder Systembetreuer kann davon ausgehen, dass die Rechner in seinem Netzwerk in der Regel mit einem solchen Schutz ausgestattet sind. Ebenso sicher sollte er dabei davon ausgehen können, dass die Schutzsoftware auf den Systemen auf dem aktuellen Stand ist und einen optimalen Schutz gewährt.
Problematisch wird es allerdings, wenn er bei seinen Überprüfungen feststellen muss, dass der auf dem System installierte Antivirenschutz möglicherweise selbst kompromittiert ist: Wie soll er nun diesen PC überprüfen? Sicher kann er immer eine komplette Neuinstallation beziehungsweise das Zurückspielen eines (hoffentlich) vorhandenen sauberen Images in Betracht ziehen. Dennoch wäre aber die Überprüfung das verdächtige System mit weniger Aufwand - quasi "on-the-fly" - ebenso wünschenswert.
Scanner zum Mitnehmen
Norman Data Defence Systems will mit der Lösung Security2go diesen Wunsch erfüllen und den Anwendern und Administratoren ein entsprechendes Mittel an die Hand geben. Dabei haben die Entwickler des norwegischen Security-Spezialisten eine ebenso einfache wie praxisnahe Lösung gefunden: einen USB-Stick mit ausreichend Speicherplatz (4 GByte sollten minimal zur Verfügung stehen), der zudem auch einen Schalter für den Hardwareschreibschutz trägt. Auf dieses Peripheriegerät haben sie ein Antivirenprogramm installiert, dass einen PC direkt vom Stick aus überprüfen kann, ohne dass dazu eine Installation auf dem System nötig ist: Die Software arbeitet im Hauptspeicher des Geräts. Um jedoch immer die aktuellsten Antivirenmuster zur Verfügung zu haben, muss sie zudem dazu in der Lage sein, direkt über den betroffenen PC auf das Internet zuzugreifen.
Uns stand eine aktuelle Version dieser Lösung zum Test zur Verfügung, Wir haben die Software dabei sowohl auf verschiedenen Client-Systemen unter Windows 7 (Ultimate und Professional mit SP1) in der 32- und in der 64-Bit-Version als auch auf einem Server-System unter Windows Server 2008 R2 (ebenfalls mit SP1) einem Test unterzogen. Dabei stellte besonders der Server eine gewisse Herausforderung dar, weil sich auf ihm zahlreiche Programmdateien unterschiedlichsten Formats sowie auch eine Reihe von Testprogrammen und -Dateien befanden.
Start mit dem USB-Stick - Schreibschutz ist wichtig
Soll die Lösung ihrer Bestimmung gemäß zum Einsatz kommen und will der Systemverwalter auf jeden Fall sichergehen, dass keine etwaige auf dem System vorhandene Infektion auf den USB-Stick "überspringt", dann sollte er den Stick immer und ausschließlich mit eingeschaltetem Schreibschutz verwenden. Dies ist auch die vom Hersteller empfohlene Vorgehensweise. Allerdings hat diese Arbeitsweise einen kleinen Nachteil: Der Administrator muss so bei jedem Start, den - recht langen und komplexen - Lizenzschlüssel eingeben, damit die Software dann die aktuellen Antivirenmuster vom Server des Herstellers herunterladen kann. Deshalb unser Tipp: Vor dem ernsten "scharfen" Einsatz sollte der Systembetreuer den USB-Stick einmalig ohne Schreibschutz an einem Rechner einsetzen, der garantiert nicht von Viren oder anderer Malware verseucht ist. Dabei schreibt die Software auch den Lizenzschlüssel mit auf den Stick, sodass dessen Eingabe beim weiteren Einsatz nicht mehr notwendig ist.
Sollte der Anwender nach dieser Aktion vergessen, die Schutzvorrichtung wieder einzuschalten, so warnt die Software beim nächsten Start an einem neuen Rechner, dass der Hardwareschreibschutz nicht gesetzt ist. Zudem bietet die Lösung in einem solchen Fall auch an, diesen Schutz per Software zu aktivieren. Bei jedem Start prüft die Lösung automatisch, ob die AV-Definitionen auf dem aktuellen Stand sind und lädt im Zweifelsfall neue vom Server des Herstellers. Wie allen anderen Werte und Daten sind diese Definitionen nur temporär auf dem zu untersuchenden Rechner abgelegt. Wir konnten bei unseren Testläufen nach Ausführung der Software und "Auswerfen" des USB-Sticks auf den Testsystemen keine Reste des Programms finden.
Unspektakulär zuverlässig
Der Einsatz der Software verlief sowohl bei den getesteten Client-Systemen als auch auf unserem Windows-Server im Testnetzwerk wie erwartet ohne Probleme ab: Nach der Auswahl des Eintrags "Scannen" aus dem Startmenü stehen dem Anwender drei unterschiedliche Möglichkeiten offen, mit deren Hilfe er das betreffende System untersuchen kann (Bild 1):
ein so genannter "schneller Scan,
ein vollständiger und
ein benutzerdefinierter Scan.
Während der vollständige Scan aller Laufwerke des Testgeräts überprüft, untersucht der schnelle Scan nur die wichtigen Systembereiche. Wer lieber gleich ein verdächtiges Verzeichnis auf dem System aussuchen will, wählt dazu den benutzerdefinierten Scan aus. Viel mehr Auswahlmöglichkeiten, als das Startverzeichnis auf der zu untersuchenden Maschine festzulegen, bleiben hier auch nicht offen. Wer die weiteren Einstellungen sucht, findet sie dann erst in dem jeweiligen Fenster, das von einem Scan-Prozess aufgerufen wird. An dieser Stelle befindet sich ein Menüpunkt "Einstellungen", der allerdings sowohl beim schnellen als auch beim vollständigen Scan nicht zugänglich ist.
Wer dort Einstellungen vornehmen will, muss zwingend den benutzerdefinierten Scann wählen, da er nur dabei die Möglichkeit hat, die Einstellung vor dem ersten Scan zu verändern. In diesen Einstellungen kann ein Administrator dann beispielsweise explizit festlegen, welche Dateien von einem Scan ausgeschlossen werden sollen und ob die Sandbox-Technik des Herstellers zum Einsatz kommen soll. Dieser Emulator ermöglicht es, etwaige Schädlinge in einer geschützten Umgebung auf ihre Gefährlichkeit hin zu untersuchen. Wir hätten uns gewünscht, dass diese Einstellungen einfacher und schneller zu finden sind und würden es zudem für sinnvoller und logischer halten, wenn diese schon im Fenster zu Scan-Auswahl und damit auch für den schnellen und vollständigen Scan zur Verfügung stehen.
Ansonsten verrichtete das Programm seine Arbeit zu unserer Zufriedenheit, wenn man auch hervorheben muss, dass die Erkennung der Software doch sehr "kleinlich" reagierte und harmlose Programme und Dateien sowie Attachments monierte, die schon lange von anderen AV-Programmen (zu Recht) unbehelligt auf einem Testsystem lagen (Bild 2).
Fazit
Security2go hat sich in unserem Testszenario als kleine und sehr handliche Lösung dargestellt, die ein Administrator in seinem Werkzeugkasten immer gut gebrauchen kann. Er ist damit in der Lage, schnell und ohne Risiko eine Maschine untersuchen. Dabei bereitet die Software auch dann keine Probleme, wenn auf dem Rechner eine andere Antiviruslösung aktiv ist.
Der Autor auf LANline.de: Bär
Der Autor auf LANline.de: Frank-Michael Schlede
Norman Data Defense SystemsTel.: 0211/586 99-0Web: www.norman.de
Lesen Sie mehr zum Thema
