Eine Kundeanfrage hat mich ein wenig recherchieren lassen…
Dass bei SharePoint Online und damit auch OneDrive (bzw. natürlich Teams) ein Datei-Virenschutz in der Basislizenz enthalten ist, ist ja schon immer so – aber eben nicht jedem bewusst.
Im Artikel ist auch klar beschrieben, dass dies bei SharePoint kein synchroner Schutz ist, sondern ein asynchroner Schutz – dh das Dokument wird nicht beim Hochladen getestet, sondern azyklisch.
Wie schaut das in der Praxis aus ?
Nicht einfach zu testen… Weil ein Download des EICAR-Testviruses von Download Anti Malware Testfile – Eicar scheitert zuerst am Browser und dann am Virenschutz des Windows-PCs – beides nicht in meiner Obhut, dh ich schaffe es nicht, den Testvirus irgendwie runterzuladen.
Nachdem der EICAR Virus aber nur eine 68 bit lange Zeichenfolge ist (für alle, die EICAR nicht kennen: Jeder Virenscanner erkennt diese Zeichenfolge als Virus ohne das sich dahinter schädlicher Code befindet – damit kann man einen Virenschutz testen) sollte eine Online-Only Erzeugung des Textfiles ja möglich sein.
Dh ein leeres Textfile am Computer erzeugt und in SharePoint hochgeladen.
Dort an angeklickt (ist eine ReadOnly Ansicht) und auf ÖFFNEN – im Texteditor öffnen
Dann kann die Testzeichenfolge eingefügt werden: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* (Hoffentlich wird die Webseite jetzt nicht als ein Bösewicht erkannt )
Das File lässt sich auch problemlos speichern.
Aber schon nach kurzer Zeit wird der Virenfund beim Dokument angezeigt:
Im Test hat das gedauert – allerdings wurde sofort beim Anklicken das File gesperrt. Also nehme ich mal an, dass die Virenprüfung im Hintergrund sehr azyklisch läuft, aber das File auf jeden Fall sofort geprüft wird, wenn ein User drauf zugreift.
Ein Öffnen des Files (im Browser) gibt folgende Meldung:
Ein Download scheitert wieder am lokalen Virenschutz des PCs. Wenn es stört, dass der Benutzer die Download-Möglichkeit angeboten bekommt, kann die – wie im oben geposteten Link beschrieben – abschalten: Verwenden von SharePoint Online PowerShell, um zu verhindern, dass Benutzer schädliche Dateien herunterladen.
Admin-Sicht
Die Frage des Kunden war auch, wie er als Admin dieses Verhalten konfigurieren kann und wo er Virenvorfälle sieht.
Wenn wir bei dem reinen reaktiven Virenschutz bleiben (und nicht von Defender for O365 reden) gibt es – zumindest lt. meinem Wissensstand – keine Möglichkeit, das Verhalten von SharePoint zu konfigurieren.
Es gibt auch kein Portal, bei dem ich gefundene Viren sehen würde (wieder: lt. meinem Wissensstand)
ABER:
Selbstverständlich gibt es es im Audit-Log einen Eintrag:
Fazit
File-Virenschutz ist vorhanden und funktioniert. Allerdings ohne Überwachung. Wobei ich mich nicht erinnern, wann mein PC-Virenschutz das letzte Mal angeschlagen hat (abgesehen von EICAR Tests)
Hallo Christian!
Tipp off: Dieses EICAR „Ding“ kann auch in PowerShell ausgeführt werden um eben den Defender zu testen. (ohne File)
Code:
Live-Test:
Set-Content „X5O!P%@AP[4`\PZX54(P^)7CC)7}`$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!`$H+H*“ -Path „eicar.com“
Datei speichern:
New-Item -ItemType File -Path $home\eicar.com -Value ‚X5O!P%@AP[4`\PZX54(P^)7CC)7}`$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!`$H+H*‘
Datei wird unter C:\users\username gespeichert.
Ergebnis: Defender schreit. 😉 Entweder sofort (Beispiel 1 oder nach ein paar Minuten bei Beispiel 2)
Liebe Grüße
Patrick
Danke für den Hinweis!