Jump to content
NilsK

Windows 10 Ransomware-Schutz praktikabel?

Empfohlene Beiträge

Moin,

 

aufgrund der Empfehlung in der letzten c't habe ich mal den Ransomware-Schutz des Windows Defender eingeschaltet. In dem Artikel hieß es, dass das praktikabel sei.

 

Nun habe ich allerdings festgestellt, dass der Ransomware-Schutz offenbar gerade keine praktikablen Voreinstellungen hat. Er hindert praktisch alle Prozesse daran, etwa im Userprofil Änderungen vorzunehmen - darunter auch der Explorer, weswegen nach einem Neustart plötzlich meine Taskleiste leer war. Erst nach expliziter Freigabe der Applikationen funktioniert das. 

 

Es scheint mir aber nicht zielführend, jetzt -zig Ausnahmen für den Explorer, Office und alles Weitere vorzunehmen. Eigentlich bin ich deshalb kurz davor, das wieder abzuschalten. Hat da jemand schon nähere Erfahrungen?

 

Gruß, Nils

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

nachdem MS selber schon damit

Zitat

Warning

Some security mitigation technologies may have compatibility issues with some applications. You should test Exploit protection in all target use scenarios by using audit mode before deploying the configuration across a production environment or the rest of your network.

warnt, habe ich mich noch nicht über den Audit-Mode hinausgetraut. Mir scheint es so, als müsse man derzeit einmalig einen Client passend konfigurieren, die Konfig(s) in XML exportieren und diese dann per GPO verteilen. Alternativ kann man, falls vorhanden, seine EMET Konfig konvertieren: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-exploit-guard/import-export-exploit-protection-emet-xml

 

In den GPOs findet sich häufig halt nur:

Zitat

Windows Defender Antivirus ermittelt automatisch, welche Anwendungen vertrauenswürdig sind. Sie können diese Einstellung so konfigurieren, dass zusätzliche Anwendungen hinzugefügt werden.

(Was bei dir ja scheinbar nicht so gut lief. ;-))

 

Ich werde mich vom Audit-Mode-Ergebnis mal überraschen lassen und hoffe, dass man damit irgendwie sinnvoll eine Konfig bauen kann.

 

Gruß

Jan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 1 Minute schrieb Gu4rdi4n:

Ist es nicht einfacher einfach SRPs mit Whitelist zu nutzen? So kommt eine Ransomware erst garnicht zum Schuss

AFAIK sind SRPs "deprecated".

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Und warum? Kann man die irgendwie umgehen?

Und was würdest du eher empfehlen?

 

Wahrscheinlich der AppLocker, oder? Funktioniert nur leider mit W7 nicht (und ja gerade gesehen dass wir hier im W10 forum sind :smile2:)

bearbeitet von Gu4rdi4n

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

der Ransomware-Schutz macht ja schon was anderes. Die Idee ist auch nicht schlecht.

Vor allem ist die Marketing-Aussage ja, dass die Funktion mit sinnvollen Vorgabewerten arbeite. Das scheint so aber nicht zu stimmen.

 

Gruß, Nils

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 3 Stunden schrieb testperson:

AFAIK sind SRPs "deprecated".

Dann eben applocker.

 

@NilsK: ja ich hatte es für einen Vormittag an, und hab den Kram dann wieder abgeschaltet. ;)

vor 3 Stunden schrieb Gu4rdi4n:

Wahrscheinlich der AppLocker, oder? Funktioniert nur leider mit W7 nicht (und ja gerade gesehen dass wir hier im W10 forum sind :smile2:)

Naja srp wird solange funktionieren, wie es supportete Windows Versionen gibt. Also mindestens bis Auslauf Windows 7, 8.1 und 1607 ltsb/ltsc.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×