Menü
Avatar von oneSTone o2o
  • oneSTone o2o

mehr als 1000 Beiträge seit 07.01.2000

Weitere Gegenmaßnahmen

Es gibt weitere Gegenmaßnahmen, mit denen man gegensteuern kann.

Wer ein Windows 7 oder neuer in der Ultimate oder Enterprise Edition hat, kann die Applocker-Policy in den Gruppenrichtlinien einsetzen. Am besten eine eigene Policy machen und die dann in der OU mit den Client-PCs verlinken, und unter restricted Users die lokalen Admins ausschließen. Wenn die aktiv ist, können von normalen Usern nur noch EXE Dateien ausgeführt werden, die mindestens einer der drei nachfolgenden Regeln entsprechen:
1. File-Hash der Datei bekannt. Also alle auszuführenden Exe-Dateien einsammeln und von der Richtlinie einen Hash drüberlaufen lassen.
2. Wenn man bestimmten Herstellern traut, kann man die Signatur(en) dieses Herstellers aus seinen Exe-Dateien in die Richtlinie importieren.
3. Alles was unter bestimmten Pfaden ausführen. In der Policy sollte man auf jeden Fall die Pfade c:\windows, c:\program files und c:\program files (x86) hinzufügen. Wer noch Altsoftware einsetzt, evtl. auch noch c:\progra~1 und c:\progra~2
Neben den Allow-Regeln kann man auch Dispallow-Regeln erstellen.
- https://technet.microsoft.com/de-de/library/ee791899.aspx

Ab Server 2008 und neuer kennen auch eine Funktion, um das Anlegen von Dateien nach bestimmten Dateinamens-Mustern zu überwachen und daraus scriptgesteuert Aktionen zu generieren, z.B. das Abmelden des verursachenden Users, stoppen einer Netzfreigabe, versendung einer Warn-Email usw. Siehe dazu folgende Links:
- https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/
- https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-update/

Sowas ähnliches kann man auch auf einem Netapp-Filer bauen:
- http://www.tobbis-blog.de/netapp-ontap-fileserver-gegen-ransomware-abschotten/

Das Posting wurde vom Benutzer editiert (26.02.2016 15:54).

Bewerten
- +
Anzeige