EmoCheck

Das Japan CERT stellt das Werkzeug EmoCheck auf GitHub zum Download bereit. Die Datei(en) müssen von dort heruntergeladen werden, ggf. auf Virustotal geprüft und in das unten stehende Paket eingebunden werden.

wpm-blog EmoCheck Paket

Nachfolgend gib es das wpm-blog EmoCheck Paket zum Download. In der ZIP Datei sind wiederum zwei ZIP Archive. Eines was man für den Import nutzen kann, oder alternativ das Paket zum Entpacken für den Packages Ordner und selbst hinzufügen in das SoftwareDepot. Welche Methode ihr auch immer präferiert, die zuvor genannten EmoCheck*.exe Dateien müssen im „pTools“ Unterordner des Paketes abgelegt werden.

EmoCheck Empirum Package (448 Downloads )
MD5 Hash der Downloaddatei: FEB7522A6A138EED59D779828E784D55

Wie läuft es ab, was kann konfiguriert werden?

Das Paket kopiert das Tool nach „C:\ProgramData\EmoCheck\Exe“ und generiert eine Ausgabe nach „C:\ProgramData\EmoCheck\Log“. Findet es im aktuellen Log einen definierten Text, so wird „Alarm“ geschlagen, indem das Paket auf einen Fehler läuft und je nach gesetzter Variable im Paket auch die Ausgabe auf den EmpirumServer nach „Empirum\Configurator\Log\EmoCheck\<Computername>“ überträgt (Voreinstellung). Die Log Dateien werden auf dem Client in „C:\ProgramData\EmoCheck\Log\Archive“ archiviert. Das Paket kann somit gerne komplett „silent“, mit der Verteilungsoption „Nicht anzeigen“ mittels Zeitplaner regelmäßig ausgeführt werden. Die Deinstallation räumt alles wieder weg.

Nur Überprüfung!

Das EmoCheck Tool, und somit auch dieses Softwarepaket, überprüft nur auf verdächtige Dateien! Falls eine verdächtige Datei gefunden wurde, muss noch Hand angelegt werden. Das Paket erstellt bereits einen Registry-Eintrag mittels dem man, ähnlich der Patch-Management Scan und Fix Kombination, mit einem Aufräumpaket hinterhergehen könnte. Aufgrund der Log/Rollout-Koordinations-Rückmeldungen sollte man die betroffenen Computer jedoch besser vom Netz nehmen bzw. per OS Installation komplett überschreiben.

Letzter Hinweis

Das Paket muss keine verlässliche Prüfung sein, da die Malware Schreiber und Jäger natürlich ein stetes Katz und Maus Spiel betreiben. Einen besseren Schutz bieten hier eher sogenannte NextGen AntiVirus Lösungen, die ausgefeiltere Mechanismen zur Malware Erkennung und Behandlung beinhalten.

Der Beitrag EmoCheck per Empirum Paket erschien zuerst auf Workplace Management Blog.

Empirum Installation / Update

Damit alle Dateien sauber geschrieben werden, ist es von Vorteil bei der Installation und bei Updates die AntiVirus Software auf dem Server zu deaktivieren – wenn möglich.

AntiVirus Konfiguration auf dem Empirum Server

Die nachfolgenden Angaben beziehen sich jeweils auf das Empirum Verzeichnis, unabhängig von dem Laufwerk auf dem es installiert ist. Da sich in den Verzeichnissen lediglich Konfigurationsdateien befinden, ist das Risiko an dieser Stelle auch begrenzt.

• Empirum\EmpInst\Wizard\OS\Auto
• Empirum\Configurator\Values

AntiVirus Konfiguration auf den Clients

Auf dem Client verhält es sich etwas anders, jedoch sind Ausnahmen zu empfehlen.
Wenn machbar, kann man auch die Aktionen der

• ERIS.EXE aus dem %WinDir%\System32\Empirum Verzeichnis
• Setup.exe und Setup64.exe aus dem EmpirumAgent Verzeichnis
• Matrix42.Platform.Service.Host.exe aus dem %ProgramFiles%\Matrix42\Universal Agent Framework Verzeichnis

aus der Verhaltensüberwachung oder Überprüfung herausnehmen.

Für die folgenden Verzeichnisse sollten Ausnahmen definiert werden:
C:\Program Files (x86)\Common Files\Setup32
C:\Program Files\Common Files\Setup32
C:\Program Files\Common Files\Setup64
C:\Windows\System32\Empirum (Empirum Advanced Agent)

Bei den zuvor genannten Verzeichnissen kann es ansonsten dazu kommen, dass die eigentlichen Dateien nicht ausgetauscht werden und sich somit *.00* Dateien über einen Zeitraum ansammeln und die Funktion einschränken.

EPE USB Stick Erstellung

Zuletzt hatte ein Kunde sogar Probleme EPE USB Sticks zu erzeugen bzw. valide Ergebnisse zu bekommen, da einige Dateien nicht in der Form von der Erstellungsroutine verändert werden konnten wie angedacht.

Generell sollte man ebenfalls prüfen, wie man die Lese- und Schreibzugriffe der AntiVirus Lösung konfiguriert. Wenn man das Lesen vom Netzwerk-Laufwerk überprüft, stellt sich die Frage, ob man dann auch das Schreiben der gleichen Datei auf die lokale Festplatte nochmals prüfen muss.

Wie sind Eure Erfahrungen und vielleicht auch Ergänzungen zu meinen Beobachtungen?

Der Beitrag Empirum und AntiVirus Software erschien zuerst auf Workplace Management Blog.

Zuerst muss man die Aufgabe für das Softwarepaket mit dem Auftraggeber bestimmen, denn diese bestimmen somit auch die notwendigen Tests.

Um es etwas einfacher zu sagen: „Was soll das Softwarepaket machen?“

• Sollen alte vorhandene Software-Installationen des gleichen Produktes entfernt werden?
• Sollen Einstellungen der Software übernommen werden?
• Soll eine gerade laufende Instanz der Software abgefragt werden?
• Stellt der Hersteller eine „silent“ Installation zur Verfügung?
• Sollen nach der Installation auch Einstellungen vorgenommen werden?
• Sollen die Einstellungen auch für alle Benutzer des Computers vorgenommen werden?
• Soll das Softwarepaket die Software auch wieder deinstallieren?
• Sollen auch Dinge gelöscht werden, die nach der Installation der Software hinzugekommen sind?
• Dokumentation
• …

Ich denke, sie verstehen nun, dass die Frage nicht so leicht beantwortet werden kann, auch wenn man gesagt bekommt…

• „Die Software hat nur 5 MB.“
• „Sie müssen immer nur weiter drücken.“

Welche Einflüsse kann man „steuern“?

Ist die Umgebung sehr homogen, fallen weniger Tests an bzgl. möglicher vorhandener Altversionen.

Ist die Software für den Unternehmenseinsatz gedacht/geplant?

Überlegen Sie, ob sie die Software tatsächlich wieder deinstallieren (würden)?

Wie sieht es aus mit Internet Explorer, .NET Framework, AntiVirus.

Gerade im Fall AntiVirus – hier installiert man häufig immer wieder die aktuelle Version der gleichen Software.

Diese kann sich selbst meist wunderbar aktualisieren. Sollte der Tag kommen, an dem sie ihr vorhandenes Produkt austauschen, können sie sich immer noch viele Gedanken zur Entfernung des Vorgängerproduktes machen und dann auch in ein Softwarepaket „gießen“.

Auch wenn ich selbst „perfektionistisch“ veranlagt bin so sollte jeder Nutzer einer Softwareverteilung seinen Grad an „Perfektion“ (Das Softwarepaket ist fertig.) selbst bestimmen. Bevor sie ein Produkt nicht nutzen, nur weil ihnen jemand sagt bzw. gesagt hat, dass ein Softwarepaket alle oben genannten Merkmale besitzen muss, muss das für sie lange noch nicht zutreffen. Dann erstellen sie lieber ein Softwarepaket, das sich nicht deinstallieren lässt, oder nicht alle Einstellungen beinhaltet – dies hilft ihnen bereits Zeit zu sparen und Installationen zu vereinheitlichen.

80/20 Regel!

Wie auch an anderen Stellen trifft hier die 80/20 Regelung sehr häufig zu.

Sie erzielen 80% der Fertigstellung mit 20% Aufwand an Zeit und Geld. Die restlichen 20% kosten sie ggf. 80% Aufwand!

Erfahrung

Die Erfahrung bei der Erstellung von Softwarepaketen bzw. der Automatisierung von Softwareinstallationen ist bei all den genannten Punkten nicht zu vernachlässigen. Diese Erfahrung kann man jedoch nur „gewinnen“, wenn man es auch mal selbst „erfährt“ ;).

So werden sie bei den ersten Softwarepaketen mehr Zeit benötigen als jemand, der das schon viele Jahre macht. Es ist also „noch kein Meister vom Himmel gefallen“ und auf der anderen Seite „wer nicht wagt, der nicht gewinnt“ ;).

Also, lassen sie sich nicht entmutigen, sondern versuchen sie es!

Vielleicht helfen ihnen auch Tipps und Anleitungen (Tutorials), die hier noch veröffentlicht werden,

oder sie nutzen eine Schulung ggf. auch ganz individuell auf sie zugeschnitten!

Der Beitrag Aufwand zur Erstellung eines Softwarepaketes erschien zuerst auf Workplace Management Blog.