Malware/Adware auf Terminalserver - Installationsrechte/Ausführungsrechte minimieren

[Dirk-HH-83 14]

Hallo, 

 

im C:\programme(x86) Ordner wurde Adware von einem User ohne Adminrechte installiert  bzw. auch im c:\all users\desktop  Ordner.

 

Sehe ich das richtig, das folgendes die beste Lösung mit Bordmitteln ist?

 

 

 

SRP Whitelist - %HKEY_LOCAL_Machine.....\Systemroot\Temp verbot greift nicht

 

http://www.mcseboard.de/topic/206814-srp-whitelist-hkey-local-machinesystemroottemp-verbot-greift-nicht/

 

 

Es gab Infektion mit Adware Qksee aus unbekannte Quelle auf 2012 Terminalserver.

 

http://www.trojaner-board.de/175623-ads-by-qksee-entfernen.html

 

 

 

Danke, Gruß Dirk

bearbeitet 1. April 2016 von Dirk-HH-83

[zahni 587]

SRP funtkionieren gut. Muss  man halt  ein wenig  ausprobieren.

Weitere Maßnahmen:

 

Proxy, der ausführbare Dateien filtert, bei den Mails das Gleiche.

[Sunny61 833]

im C:\programme(x86) Ordner wurde Adware von einem User ohne Adminrechte installiert  bzw. auch im c:\all users\desktop  Ordner.

Wie geht das in %programfiles (x86)%? Und in %ALLUSERSPROFILE%\Desktop hat normalerweise der Benutzer auch keine Schreibrechte. Weshalb dann bei dir?

 

 

Sehe ich das richtig, das folgendes die beste Lösung mit Bordmitteln ist?

SRP funktionieren, tun sie bei uns. Am besten auch mit 'normalen' Variablen arbeiten. %TEMP% etc. funktioniert.

[Dirk-HH-83 14]

Wie geht das in %programfiles (x86)%? Und in %ALLUSERSPROFILE%\Desktop hat normalerweise der Benutzer auch keine Schreibrechte. Weshalb dann bei dir?

 

 

SRP funktionieren, tun sie bei uns. Am besten auch mit 'normalen' Variablen arbeiten. %TEMP% etc. funktioniert.

 

 

Ja, es war definitiv an diesen beiden Stellen. (sehe ich im Backup)

Dooferweise ist es mittlerweile deinstalliert, so dass der NTFS Besitzer nicht mehr nachgesehen werden kann.

bearbeitet 3. April 2016 von Dirk-HH-83