Ransomware: Euer Umgang damit

[bindehautentzündung 0]

//abgetrennt von: https://www.mcseboard.de/topic/209088-ransomware-euer-umgang-damit/

 

Hallo zusammen,

 

ich weiß, dass dieser Thread schon alt ist. Grundlage meiner Frage(n) ist allerdings dieses Thema, weshalb ich es für unnötig halte, extra einen neuen Thread zu eröffnen. Falls es dennoch nicht ok ist, bitte ich dies zu entschuldigen. 

 

Also konkret würde ich gerne wissen, wie genau ihr E-Mails mit unerwünschten Anhängen blockiert?

Aktuell mach ich es über meinen Exchange 2016 über Regeln, die besagen, dass externe E-Mails mit bestimmten Dateiendungen erstmal in ein anderes Postfach verschoben werden. Ist das eine Sinnvolle Methode oder läuten bei jemanden bereits die Alarmglocken :D?
 

Meine Zweite Frage wäre, welche Dateien ihr genau blockt?

Ohne Frage sind docm, xlsm / doc, docx, xls, xlsc dabei.

Archivdateien wie .zip und co. Filtere ich ebenfalls. Habt ihr vielleicht noch mehr in Petto gar ne ganze Liste?

 

Würde mich über Anregungen freuen.

 

Gruß

 

[mwiederkehr 351]

Umleitung in anderes Postfach ist heikel bezüglich Datenschutz, besonders wenn die private Nutzung von E-Mail gestattet ist. Besser ablehnen mit einer kurzen Info, dass die Mail an quarantine@domain.de oder so gesendet werden soll.

 

Es ist eine mühsame Geschichte: docm, exe etc. kann man gut verbieten, aber wenn alle docx vom Admin freigegeben werden müssen, hat der viel zu tun... Leider können aber auch docx ausführbare Inhalte enthalten, Microsoft hat das nicht so genau getrennt.

 

Der Punkt "Benutzer schulen" ist übrigens nicht von Erfolg gekrönt. Hatte kürzlich den Fall, dass über jemandes E-Mail-Konto eine Rechnung.docx verschickt wurde. Er ist nicht in der Buchhaltung tätig und die Firma verschickt ganz allgemein keine Rechnungen per E-Mail. Fazit: 80 Mails gingen raus, von zehn (!) Leuten kam die Antwort, man könne das Dokument nicht öffnen.

[magheinz 100]

Eine angenommen E-Mail ist eine angenommene E-Mail und damit innerhalb eurer Verantwortung. Wenn z. B. Fristen verstreichen weil niemand diese E-Mail gelesen hat kann das teuer werden. 

Wenn man E-Mails ablehnt, dann schon innerhalb des SMTP-Dialogs. Der Empfang darf gar nicht erst quittiert werden. 

 

 

Zim Datenschutz:

Wer liest denn dieses Postfach alles? 

 

Wenn da mal kritische Daten dabei sind, z.b. Bewerbungen, Krankmeldungen etc dann kann das auch mächtig Ärger geben. 

[SandyB 9]

Wir lassen emails über exchange online laufen und sind sehr zufrieden. 

https://docs.microsoft.com/en-us/office365/securitycompliance/anti-spam-and-anti-malware-protection

 

 

[john23 5]

Wir betreuen so einige Kunden und es ist total unterschiedlich wie Leute damit Umgehen. Ich durfe auch schon etwa 10-20 Verschlüsselungstrojaner wieder aus Netzwerken entfernen.

 

- Intern wird schon auf SMTP ebene alles geblockt was Makros/EXE files etc hat - Absender bekommt damit direkt ein "denyed by policy"

-- Ja nach Kunde und Spamfilter kann man das gut anwenden. Wenn jemand unbedingt solche Dokumente versenden muss, dann soll er das über andere Wege machen ( Acronis Access / dropbox / onedrive etc)

- Sammelpostfach wie oben bereits beschrieben

- Spam unterordner im Outlook wo vorgefiltert ist und Block-Grund angehängt

- User Sensibilisierung

 

 

Für das wichtigste halte ich einen ordentlichen Spamfilter / Maleware Filter. Dieser nimmt nicht nur Gefahr raus, sondern auch einfach unerwünschtes Grundrauschen. Optimalerweise hat der Spamfilter selbst eine Quarantäne Option wo entweder Mitarbeiter selbst oder der Admin einfach auf Anfrage Mails freigeben kann. Non Plus Ulta sind Filter mit Sandboxing.

 

Danach folgt ein vernünftiges Sicherheits und Rechtesystem. Ich habe zu viele Umgebungen gesehen, wo zu viele Leute Domain Admin Rechte hatte, teilweise sogar ALLE. Druch Ordentliche Strukturen und Reche kann der Schaden erheblich reduziert werden wenn den was passiert. Bedeutet für mich:

- keine Lokalen Admin rechte für Nutzer

- immer getrennte Admin Accounts ( d.h Admin Arbeitet an seinem Pc auch nicht mit Domain Admin rechten, sondern maximal mit lokalen Admin rechten)

- Ordner und Freigabestrukturen so aufbauen,  dass Nutzer nur auf das Zugriff haben was Sie wirklich brauchen

- Volumenschattenkopien auf Datei Servern aktivieren - ermöglicht teilweise schnellere Verfügbarkeit von Daten wenn was passiert

- Andere Preventive Tools / Überwachungen - Dateiänderungen pro Min auf Fileserver.

 

Neben den Grundlegenen Schutz ist eine Datensicherung bzw. eher ein Datensicherungskonzept ein absolutes muss. Das heißt:

- Tägliche Sicherungen auf NAS - besser externes Medium

- Sicherungen werden über mehrere Tage / Wochen / Monate aufbewahrt und nicht am nächsten Tag überschrieben

- Sicherungen werden täglich geprüft und mindestens monatlich in der Wiederherstellung ( Teildateien) getestet

- Alle 6 / 12 Monate wird eine Testwiederherstellung ganzer Server durchgeführt

 

Danach folgt für mich die Mitarbeiter sensibilisierung. Im Zweifel ist es immer besser es gibt eine Rückfrage bevor etwas passiert.

- Wie sehen gefälsche Mails aus, Wie erkenne ich diese

- Was tue ich wenn ich etwas anklicke und etwas "seltsames" passiert oder "nichts passiert"

- etc

 

bearbeitet 18. September 2019 von john23

[bindehautentzündung 0]

Hallo John,

 

vielen Dank für deinen ausführlichen Beitrag.

 

Leider fehlen einige Antworten, welche noch vom abgetrennten Beitrag stammen. 

Sind nun auch dazu übergegangen, zumindest Anhänge die ausführbar (exe, js etc. pp.) direkt abzublocken, mit Meldung an den Absender. Excel und Archivdateien werden wir erstmal so belassen, dass diese vorher manuell geprüft werden, bevor sie zugestellt werden.

 

Lokale Adminrechte wurden vor kurzem erst entzogen, und auch noch nicht bei allen - kommt aber noch. Und klar, User sensibilisieren ist auf jeden Fall wichtig. Über Backup müssen wir nicht diskutieren, wer keins hat ist selbst schuld. Dabei setzen wir auf Feste- und Wechselsicherung.

 

Du sprichst auch von Überwachungstools. Jene, die Ransomware im Vorfeld erkennt?

 

[Sunny61 772]

Ein weitere Baustein im Gesamtsystem kann SRP (Software Restriction Policy) und/oder Applocker sein. Das will allerdings sehr ausführlich getestet werden.

[john23 5]

Ich finde den Link nicht wieder aber es gab, ich meine bei windowspro.de, einen Beitrag wie man Fileserver unter Windows so konfigurieren kann, dass bestimmte Dateiendungen verboten sind. Daher können die Daten dann nicht geschrieben werden oder es gibt einen Alarm via E-Mail.

 

Generell sollte es auch möglich sein Dateiänderungen pro /s zu überwachen und einen Alarm zu definieren.

 

Bei der Bekämpfung vom solchen Schadsoftwaren habe ich immer die kostenlose Version von DiskPulse verwendet. Habe das auf allen File Servern installiert und nach Änderungen gefiltert die mit dem infizierten Dateityp zu tun hatten. So konnte ich feststellen, ob noch Rechner betroffen sind oder nicht.

 

Bei der Bezahlversion konnte man glaube ich auch E-Mail Alarm definieren. Super toll oder vertrauenswürdig sieht die Software nicht aus, aber sie hat bisher immer seinen Zweck erfüllt.

 

John

[Sunny61 772]

Ressourcen Manager für Dateiserver meint john23 vermutlich: https://docs.microsoft.com/de-de/windows-server/storage/fsrm/fsrm-overview

Daraus dann die Dateiprüfungsverwaltung: https://docs.microsoft.com/de-de/windows-server/storage/fsrm/file-screening-management