Windows 10 Ransomware-Schutz praktikabel?

[NilsK 2.781]

Moin,

 

aufgrund der Empfehlung in der letzten c't habe ich mal den Ransomware-Schutz des Windows Defender eingeschaltet. In dem Artikel hieß es, dass das praktikabel sei.

 

Nun habe ich allerdings festgestellt, dass der Ransomware-Schutz offenbar gerade keine praktikablen Voreinstellungen hat. Er hindert praktisch alle Prozesse daran, etwa im Userprofil Änderungen vorzunehmen - darunter auch der Explorer, weswegen nach einem Neustart plötzlich meine Taskleiste leer war. Erst nach expliziter Freigabe der Applikationen funktioniert das. 

 

Es scheint mir aber nicht zielführend, jetzt -zig Ausnahmen für den Explorer, Office und alles Weitere vorzunehmen. Eigentlich bin ich deshalb kurz davor, das wieder abzuschalten. Hat da jemand schon nähere Erfahrungen?

 

Gruß, Nils

 

[testperson 1.527]

Hi,

 

nachdem MS selber schon damit

Zitat

Warning

Some security mitigation technologies may have compatibility issues with some applications. You should test Exploit protection in all target use scenarios by using audit mode before deploying the configuration across a production environment or the rest of your network.

warnt, habe ich mich noch nicht über den Audit-Mode hinausgetraut. Mir scheint es so, als müsse man derzeit einmalig einen Client passend konfigurieren, die Konfig(s) in XML exportieren und diese dann per GPO verteilen. Alternativ kann man, falls vorhanden, seine EMET Konfig konvertieren: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-exploit-guard/import-export-exploit-protection-emet-xml

 

In den GPOs findet sich häufig halt nur:

Zitat

Windows Defender Antivirus ermittelt automatisch, welche Anwendungen vertrauenswürdig sind. Sie können diese Einstellung so konfigurieren, dass zusätzliche Anwendungen hinzugefügt werden.

(Was bei dir ja scheinbar nicht so gut lief. ;-))

 

Ich werde mich vom Audit-Mode-Ergebnis mal überraschen lassen und hoffe, dass man damit irgendwie sinnvoll eine Konfig bauen kann.

 

Gruß

Jan

[Tektronix 21]

Moin,

ich habe bisher auch nur den Audit-Mode entdeckt.

[NilsK 2.781]

Moin,

 

OK, danke. Dann schalt ich das erst mal wieder aus.

 

Gruß, Nils

 

[Gu4rdi4n 53]

Ist es nicht einfacher einfach SRPs mit Whitelist zu nutzen? So kommt eine Ransomware erst garnicht zum Schuss

[testperson 1.527]

vor 1 Minute schrieb Gu4rdi4n:

Ist es nicht einfacher einfach SRPs mit Whitelist zu nutzen? So kommt eine Ransomware erst garnicht zum Schuss

AFAIK sind SRPs "deprecated".

[Gu4rdi4n 53]

Und warum? Kann man die irgendwie umgehen?

Und was würdest du eher empfehlen?

 

Wahrscheinlich der AppLocker, oder? Funktioniert nur leider mit W7 nicht (und ja gerade gesehen dass wir hier im W10 forum sind )

bearbeitet 2. August 2018 von Gu4rdi4n

[NilsK 2.781]

Moin,

 

der Ransomware-Schutz macht ja schon was anderes. Die Idee ist auch nicht schlecht.

Vor allem ist die Marketing-Aussage ja, dass die Funktion mit sinnvollen Vorgabewerten arbeite. Das scheint so aber nicht zu stimmen.

 

Gruß, Nils

 

[NorbertFe 1.799]

vor 3 Stunden schrieb testperson:

AFAIK sind SRPs "deprecated".

Dann eben applocker.

 

@NilsK: ja ich hatte es für einen Vormittag an, und hab den Kram dann wieder abgeschaltet. ;)

vor 3 Stunden schrieb Gu4rdi4n:

Wahrscheinlich der AppLocker, oder? Funktioniert nur leider mit W7 nicht (und ja gerade gesehen dass wir hier im W10 forum sind )

Naja srp wird solange funktionieren, wie es supportete Windows Versionen gibt. Also mindestens bis Auslauf Windows 7, 8.1 und 1607 ltsb/ltsc.