AV/FAQ: Unterschied zwischen den Versionen

Diese Art von Installer wird demnächst veröffentlicht.
Aktuell gibt es immer nur den Installer zu der veröffentlichten Version.

Ja, Securepoint Antivirus interagiert mit der Windows Security Center API und deaktiviert den Windows Defender bei der Installation.
Das genaue Verhalten hängt vom Windows, bzw. der Windows-Version ab.

In Windows Server bis einschließlich Version 2019 muss der Defender manuell deaktiviert werden!

Auf dem AD-Server in den Gruppenrichtlinien. Richtlinie -> Administrative Vorlage -> Windows Komponenten -> Windows Defender -> Windows Defender deaktivieren: Aktiviert
Alternativ noch Echtzeitschutz -> Deaktivieren Echtzeitschutz: Aktiviert

Ursache hierfür ist, dass bei der Wizard-Installation Windows Berechtigungen auf "C:\Windows\Temp" und C:\Windows\Installer" fehlen.
Die Silent-Installation ist davon nicht betroffen und kann zur Installation genutzt werden.

Ein Neustart nach der Installation ist nicht immer notwendig, aber ratsam und manchmal erforderlich.

Ja. Dienste und Treiber können erst nach einem Reboot vom Betriebssystem entfernt werden.

Für jedes Gerät wird eine GUID erstellt.

Der AV-Remover ist im Resellerportal unter Downloads → Tools zu finden und entfernt alle Reste nach der Deinstallation.

Nein, dieser ist nur zum entfernen der Reste bzw. bei einer fehlgeschlagenen Deinstallation zu verwenden.

Nach der Installation kann es dazu kommen, dass keine Verbindung zum Service aufgebaut werden kann.
Ursache hierfür ist, dass die Installation des ELAM-Treibers fehlschlägt.
Dies kann durch das Setzen eines Registry-Eintrags forciert werden.
Registrierungs-Editor öffnen:

\\HKLM\\System\\CurrentControlSet\\Services\\ntguard_svc\\
DWORD 
FPPIX = 0FD07

Die Installation des AV bricht mit der Fehlermeldung "Konto bereits vorhanden" ab.
Auch eine Deinstallation mit dem AV Remover bringt keine Verbesserung.
Lösung: Microsoft stellt ein Tool zur Verfügung, das die Registry Einträge repariert, die eine Installation verhindern: https://support.microsoft.com/en-us/help/17588/windows-fix-problems-that-block-programs-being-installed-or-removed

Dies kann passieren, wenn wir eine neue AV Version verteilen.
Die Rollouts werden über mehrere Tage verteilt. Erst wenn das reguläre Rollout beendet ist, wird die neue Version als Neueste Version in der Datenbank geführt.

Nein, der Client unterscheidet nicht zwischen den Systemen.

Siehe dazu Systemvoraussetzungen

Ja - allerdings nur als File Antivirus, wie auf jedem Windows Server.

Ein E-Mail Schutz innerhalb von Exchange bietet Securepoint Antivirus Pro nicht.
Hierfür empfehlen wir die Verwendung der Securepoint UTM-Firewall, die E-Mails bereits am Gateway mit einem zweistufigen AV und einem leistungsstarken Spamfilter schützt.

Bitte die Dokumentation und Informationen von Microsoft zu dem jeweiligen Server verwenden.

Ja, der Client ist Terminalserver fähig.

Ausnahmen können über das AV Portal und Lokal über den Client erstellt werden.

Die Exklusionen gelten immer, also auch bei einem Scanprofil.

Nein, Securepoint Antivirus Pro wurde für die Überwachung und Absicherung von Endpoints ausgelegt.

Zur Überprüfung von Netzlaufwerken kann Securepoint Antivirus Pro auch auf File-Servern installiert werden und dort regelmäßige Scans durchführen.

Ja, der Standardwert für die Maximalgröße liegt bei 128 MB.
Dieser Wert kann in den Einstellungen unter Exklusionen auf bis zu 8 GB angepasst werden.

Nein. Die Suche selbst ist ein Index von Windows, somit wird da das File noch nicht gescannt. Erst wenn man damit was macht (Speicher Ort öffnen , file öffnen etc...)

Ja. Damit erfolgt ein Zugriff auf die Datei selbst.

Securepoint Antivirus Pro blockiert Dateien, welche Bedrohungen enthalten.

In Thunderbird kann die Option Antivirus unter Einstellungen / Sicherheit / Antivirus aktiviert werden.
Damit wird es dem AV Pro ermöglicht, eingehende Nachrichten ggf. seperat zu blockieren.

Dateien können über die Quarantäne → Rechtsklick auf den Virus und an IKARUS senden zur Analyse eingeschickt werden.

Die Rückmeldungen folgen in der Regel innerhalb von 24-Stunden.

Bitte eine Mail mit der infizierten Datei an probe(at)ikarus(punkt)at schicken. Dort wird die Datei analysiert.
Ein lokaler oder in der Firewall integrierter Virenscanner kann die Datei beim Versenden entfernen.

Grundsätzlich werden von Securepoint Antivirus Pro keine Dateien verschoben.
Sobald auf einem Rechner eine verseuchte Datei gefunden wird, wird diese von Securepoint Antivirus Pro blockiert (kopieren und ausführen der Datei sind dann nicht mehr möglich) und in der Quarantäne angezeigt.

Ein Sonderfall ist ein korrigierter Fehlalarm: Die Quarantäne überprüft, sobald sie geöffnet wird, ob alle Einträge noch verifizierbar sind.
Sollte in der Zwischenzeit ein Update der Virusdatenbank stattgefunden haben und die Einträge mit der aktuellen VDB nicht mehr verifizierbar sein, werden diese aus der Quarantäne entfernt und die Dateien wird wieder freigegeben.

Dieses Feature kann über das AV Portal konfiguriert werden. Siehe dazu Konfigurationsprofile

Das Passwort lautet virus!

Der Securepoint Antivirus Client kann keine NTLM Authentifizierung am Client durchführen.

Als Workaround kann eine Authentifizierungsausnahme im HTTP-Proxy eingerichtet werden.
.*\.ikarus\.at
.*\.mailsecurity\.at
Weitere Informationen im Wiki Artikel HTTP-Proxy und Antivirus Pro

Eine Lizenz ist notwendig für eine Betriebssystem Instanz (Windows). Das gilt sowohl für Installationen direkt auf der Hardware (bare metal), wie auch für virtuelle Instanzen. Die Lizenzierung ist identisch für Client und Server Betriebssysteme. Eine weitere Unterscheidung existiert nicht.

Bei der Deinstallation wird die Aktivierung im Portal entfernt.

Das Gerät kann in eine andere Gruppe, welche einer anderen Lizenz zugeordnet ist, verschoben werden.

Mit dem aktualisieren der Lizenz werden die Informationen zu der Lizenz und den Geräten neu geladen.

Ja, in der Lizenz können Benachrichtigungen für das Erreichen einer Anzahl an Aktivierungen eingerichtet werden.

Die Übertragung der Einstellungen wird bis zu 7 Tage im Backlog zwischengespeichert und dann an den Client übertragen.
Danach gilt der Job als failed und wird nicht an den Client übermittelt.

Nein, die Verwaltung erfolgt nur über das Securepoint [av.securepoint.de AV-Portal]

USB-Ports können nicht gesperrt, aber beim Einstecken überprüft werden.

Siehe dazu Client Übersicht

Wenn im HTTP-Proxy der Transparente Modus aktiviert ist, müssen im Virenscanner der UTM diese Regexe als Ausnahme eingetragen werden:
^[^:]*://[^\.]*\.ikarus\.at/
^[^:]*://[^\.]*\.mailsecurity\.at/
Weitere Informationen im Wiki Artikel HTTP-Proxy und Antivirus Pro

Eine Prozessexklusion der bRCT.exe vermeidet Probleme mit der Erkennung von Windows Updates durch Baramundi im Zusammenspiel mit Server-Eye

In der Geräteübersicht und in den Geräteinformationen können die Informationen aktualisiert werden.

Die Logs werden im Installationsverzeichnis unter /logs gespeichert.

Securepoint Antivirus Pro nimmt sich die verfügbare Leistung um entsprechend der Auslastung die Geschwindigkeit bei den Scans anzupassen.

Securepoint Antivirus Pro kann mit vielen RMM und Monitoring Tools umfangreich überwacht werden.
Die Überwachung erfolgt lokal auf dem Endgerät.
Das Antivirus Pro Portal bietet derzeit keine Schnittstelle zur Überwachung
Details finden sich in unserem Wiki-Artikel: Monitoring

Es ist möglich als verifizierter Reseller an der Reseller Preview teilzunehmen.

Aktivierung im AV-Portal / Menü Kofigurationsprofile / entsprechendes Profil bearbeiten / Reiter Clientkonfiguration / letzter Eintrag: An Reseller Preview teilnehmen /    aktivieren und Speichern & übertragen

Die Abkürzung steht für Possible Unwanted Program (oder Application) und bedeutet übersetzt ein möglicherweise unerwünschtes Programm.
Unter diesen Begriff werden Programme und Applikationen definiert, welche dem User keinen Nutzen bringen oder von ihm nicht erwünscht sind.

PUA- und PUP-Anwendungen werden nicht aus der Virendatenbank entfernt.

Hier kann entweder eine Exklusion für die Dateipfade gesetzt werden oder die Überprüfung auf potenziell unerwünschte Anwendungen im Guard deaktiviert werden.

Siehe dazu Support-Info speichern

Das Portal wird auf unseren georedundanten Servern in Deutschland gehostet.

Ja, dies ist möglich.

Der Client überprüft alle 60 Sekunden ob sich der Status geändert hat, wenn es eine Änderung gab wird dies an das Portal gemeldet.

Infektionen werden direkt nach der Erkennung übermittelt.

Wenn der Client für 7 Tage keine Verbindung zum Backend aufgebaut hat, gilt der Jobs als fehlgeschlagen.
Der Status im Portal im Aktionslog ändert sich dann von ausstehend in fehlgeschlagen.

Es gibt keine Rescue-CD von Securepoint Antivirus Pro.

Die Namen können über das AV Portal umbenannt werden.

Wenn ein Benutzer aus dem AV- und Resellerportal gelöscht werden soll, muss hierfür eine E-Mail an vertrieb(at)securepoint(punkt)de geschickt werden.

Das Cache-Limit für alle Betriebssysteme unter Windows 10 kann über das folgende Script angepasst werden.
Bei Fragen dazu bitte Rücksprache mit unserem Support.

@echo off
echo Detecting installation...
for /f "tokens=2*" %%a in ('REG QUERY "HKEY_LOCAL_MACHINE\Software\Ikarus\guardx" /v MainPath') do set "AppPath=%%~b"  
echo SPAV found in %AppPath%
"%AppPath%\bin\guardxup" -cfgwrite  "%AppPath%\conf\guardx.conf" cache/limit 4000000
echo .
echo The Limit for the Cache has been updated.
 
pause.