Antivirus aktualisiert nicht

  • Mein Antivirus auf meinem Qnap wird nicht aktualisiert. Es dauert immer Tage dann steht Aktualisierung Fehlgeschlagen.

    Internetverbindung steht, denn die Apps kann ich aktualisieren.

    Hat jemand eine Idee an was das liegen könnte?

  • Das Update macht häufiger mal Probleme.

    Entweder manuell updaten oder in der crontab mal die Update Zeit ändern. Die Zeitänderung hat mir auf einem NAS geholfen, das tagelang den Update verweigert hat.

    Manuell angestossen ging es (fast) immer, nur der zeitgesteuerte Update wollte nicht.

    Nach der Änderung in der crontab so gut wie keine Probleme mehr.


    Gruss

    Einmal editiert, zuletzt von FSC830 ()

  • OK, deinstallieren und erneut installieren kommt dann nicht in Frage, da hier integraler Bestandteil von QTS.


    Möglicherweise hat es die Definitionen irgendwie verdeppert. Es besteht die Möglichkeit die Definitionen manuell zu installieren. Diese lassen sich hier herunterladen:

    https://www.clamav.net/downloads

    Unter dem Punkt "Virus Database":

    • main.cvd
    • daily.cvd
    • bytecode.cvd

    in dieser Reihenfolge einspielen. Vielleicht löst dies den Knoten.


    Ansonsten kannst Du mal versuchen das Update per Konsole zu starten:

    /etc/init.d/antivirus.sh update_db

    Mehr Infos dazu unter:

    Sicherheit - Security Tools für die QNAP


    Letzte Möglichkeit wäre noch die letzte QTS-Version nochmals manuell über darüber zu installieren. Aktuelle Sicherung der Daten und Einstellungen dringend zu empfehlen. Mehr zum Einspielen der Firmware siehe hier:

    Firmware-Aktualisierung – Wie man Stolpersteine umgehen kann

  • Oder drauf verzichten, weil es nur Signaturbasierte Dateiprüfung ist.


    Kein Echtzeitschutz, kein Verhaltensschutz, also nix was bei einer Bedrohung aus dem Netzwerk anschlagen würde.


    Bis der Scan loslegt ist QTS schon übernommen und alle Daten verschlüsselt.

  • Ja, wirklich schade, dass es da für QTS nichts vernünftiges in die Richtung gibt.

    Auch wenn es dem Schutz des NAS lebst nur wenig hilft, kann bei mehreren Benutzern ein gelegentliches Scannen des Datenbestandes sicher eindämmend wirken. Desktop-Scanner funktionieren auch nicht immer perfekt. Und besser vorher erkennen und entfernen, als beim Öffnen auf dem PC, auch wenn die Wirkung von ClamAV eher gering ist. PUAs erkennt ClamAV eigentlich noch ganz gut.

  • Aber wie kommen PUAs aufs NAS wenn alle Clients doch nen Scanner an Board haben sollten?


    Wer will kann ja bei einem dedizierten (potenten) Client einen Netzwerk Ordner Scan mit einfügen. Wäre vor allem bei langsamen NAS von Vorteil

  • Oder gleich nen Proxy mit eingebautem Virenschutz.


    Ist aber für @home ein wenig überdimensioniert.

  • Das nötige Zertifikat um SSL Verbindungen aufzubrechen muss dann aber bei jeden Gast auch installiert werden.. kann man auf der Arbeit via GP machen .. zuhause meisten schwer.

  • Aber wie kommen PUAs aufs NAS wenn alle Clients doch nen Scanner an Board haben sollten?

    In Installationsdateien wandern die flux auf das NAS, wenn der Desktop-Scanner diese noch nicht erkennt. Es steht immer zuerst die schädliche Software da, erst danach wird irgendwann ein Schutz dagegen entwickelt. Und davor muss irgendjemand die schädliche oder unterwünschte Software auch finden. Natürlich gibt es heuristische Suchmethoden aber... 100% gibt es nie. Von dem her sind mehrer Scanner immer besser - allerdings nicht auf dem selben Gerät. Das kann nach hinten losgehen.


    Kleines Beispiel aus der Praxis:

    In meiner Firma haben wir z.B. für E-Mails etliche Scanner, Filter- und Prüfstationen von verschiedenen Herstellern, als Netzwerk-, Server- und Desktop-Version, durch die eine E-Mail laufen muss, bis sie der Benutzer öffnen kann. Leider hatten wir auch schon den Fall, dass eine Schadsoftware erst in aller letzer Instanz erkannt und aufgehalten wurde. In allen anderen Instanzen wurde nichts erkannt. Kein gutes Gefühl wenn alle Filter umgangen wurden und die Schadsoftware erst auf dem Rechner des Benutzers aufgehalten wird. Dabei hatten wir noch Glück. In der Firma eines Kollegen - große Firma mit großer eigener Security-IT - wurde die Schadsoftware von keinem ihrer vielen Filter aufgehalten und wollte sich mal quer durch den Datenbestand fressen. OK, da haben dann andere sehr teure und aufwändige Sicherheitsmaßnahmen gegriffen. Dies hat man aber normalerweise nicht zuhause auf einem NAS. :)


    Edit:

    kann man auf der Arbeit via GP machen .. zuhause meisten schwer.

    Man kann zuhause auch eine Domäne mit Domänen-Controller einsetzen. Dann sind Gruppenrichtlinien auch möglich. Mit einen QNAP-NAS ist dies mit Bordmitteln möglich.

    Einmal editiert, zuletzt von Mavalok2 ()

  • Man kann zuhause auch eine Domäne mit Domänen-Controller einsetzen. Dann sind Gruppenrichtlinien auch möglich. Mit einen QNAP-NAS ist dies mit Bordmitteln möglich.


    Aber will jeder Gast Zuhause denn einer Domäne beitreten (so meinte ich das... Gut die meisten Heimrouter haben ja ne Gastzone, die ist dann halt vom Hauptnetzwerk isoliert (ist eh der beste Weg mmn)


    Ich hab alle meine IOT Kisten (Nest Thermostate, Feuermelder, usw) in nem Isolierten IOT Netzwerk... falls mal was gekapert wird)

  • Das nötige Zertifikat um SSL Verbindungen aufzubrechen muss dann aber bei jeden Gast auch installiert werden.

    Nur bei den LAN Rechner als vertauenswürdiges Stammzertifikat, ist 1min Arbeit.


    Gäste lässt man im eigenem VLAN speieln, am besten mit p2p blocking, dann passiert da nix.


    Mavalok2

    Nette Beispiele, aber wie du siehst, bringt der Clam nix wenn der 1 mal die Woche läuft.

    Bis der anspringt ist das NAS weg.

    Wenn eine infizierte Datei 1 Woche auf dem NAS liegt und ein Client die öffnet, sollte bei ihm der Echtzeitscan anspringen.

    Ansonsten ist eh alles zu spät und du kannst das Backup ranschaffen.


    Also ist das Teil Energieverschwendung.


    Bin gespannt wan QNAP die neue PW Richtlinie umsetzt, bezüglich nicht mehr regelmäßig ändern.

    Noch muss man im Securitiy Counselor den Punkt ignorieren.

  • Nö, war mir nicht bekannt. Aber dies handhaben wir seit jeher so in der Firma. Was nützten ständig wechselnde Passwörter die per Notiz am Bildschirm festgehalten werden. Die meisten in meiner Firma schaffen kaum dieses eine Passwort sich zu merken. :rolleyes:


    Edit:

    Sie können sich ihr Passwort selbst aussuchen. Allerdings mit min. Länge, Zahlen, Buchstaben und Sonderzeichen. Aber die kann man durchaus so gestalten, dass man sich das Passwort danach auch merken kann.

  • Ja das ist überall das gleiche.

    Ich hoffe bei uns ändern die das auch bald für die admin User, dann kann man da mal ein gescheites PW rein hauen und muss nicht ständig wieder neuen Schrott ausdenken.

  • Hast das nicht mit bekommen?

    BSI verabschiedet sich vom präventiven, regelmäßigen Passwort-Wechsel

    War diese Verabschiedung nicht bereits vergangenen Herbst?


    Aber dies handhaben wir seit jeher so in der Firma.

    Nein. Denn dort heißt es:

    Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden.


    Ich hoffe bei uns ändern die das auch bald für die admin User, dann kann man da mal ein gescheites PW rein hauen und muss nicht ständig wieder neuen Schrott ausdenken.

    Wie weit ist denn da die Umsetzung von DSGVO?


    Übergangsfrist endete im Mai 2018. Und diese EU-Regelung verlangt eine Sonderbehandlung privilegierter Benutzerkonten. Sonst wäre ja ein Admin-User eine Möglichkeit, die entsprechenden Maßnahmen zu umgehen und ein Datenabfluss zu verschleiern.

  • Wie nein.

    Das nein bezog sich auf die Aussage, dass ihr in Eurer Firma die BSI-Änderungen bereits umgesetzt hättet. Die Änderungen betrafen eben nicht nur den Wegfall des Zwangs zum regelmäßigen Ändern des Passwortes sondern auch Passwortkomplexität. So wie Du geschrieben hast, habt ihr diesen Teil der Änderungen eben noch nicht umgesetzt.

    Allerdings mit min. Länge, Zahlen, Buchstaben und Sonderzeichen.

    Oder habe ich dies falsch verstanden?


    Die geänderten Regeln machen keine erhöhten Anforderungen an Komplexität mehr. Meist wird dies ausgeglichen mit Anforderungen an die Länge. Aber nicht jedes System unterstützt Längen, wie sie inzwischen international empfohlen werden.