Jump to content

Emotet Office Makros deaktivieren GPO sinnvoll?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Halo zusammen,

 

bei mir flatterte eine Mail rein und ein Kollege fragte mich wie wir uns sinnvoll vor dem Emotet Trojaner schützen können.

Ich musste erstmal Google befragen um mich zu informieren was das überhaupt ist.

Bei Microsoft gibt es scheinbar Ansätze per GPO einfach die Makros zu deaktivieren.

Frage. Ist das sinnvoll?

Es gibt ja auch Mitarbeiter die Makros in ihren Excellisten und Worddateien benötigen.

Wie kann man sich sinnvoll schützen durch Maßnahmen? Wie habt ihr das gemacht?

Danke für eure Beiträge.

 

Gruß Thomas

Link zu diesem Kommentar
vor 5 Minuten schrieb Neopolis:

Danke Olaf :-) und danke Nobby für eure Beiträge.

Das ist wirklich noch mal interessant gewesen. 

Keine Office Dokumente von Außen zu lassen ist natürlich eine Idee die ich schon hatte und die gerade geprüft wird. 

Klappt das gut? Beschweren sich bei euch viele darüber?

Kommt drauf an, was vor dem Mailserver steht.

Früher hatten wir nur die Filterung von dem Reddoxx, inzwischen ist eine Stufe mehr vorhanden, der NoSpamProxy

Der macht aus eingehenden Dokumenten ein pdf, das Original kann dann intern bei Bedarf von dem Dateway angefordert werden

Vorteil an der Lösung: es gibt keine Quarantäne mehr, NSP ist ja oder nein.

Für Outbound kann man Whitelisten erzeugen, damit z.B. das Word.Dokument aus der BuHa auch bei der Bank ankommt.

Link zu diesem Kommentar

Hi,

vor 8 Minuten schrieb Neopolis:

Er sagte warum wir nicht mit Vertrauenswürdigen Speicherorten arbeiten.

Die User kriegen früher oder später zwangsweise mit wo sich die Speicherorte befinden und speichern den E-Mail-Anhang dann einfach dort ab. ;)

Momentan(?) wäre wohl nur signierte Makros zu erlauben eine Option. Allerdings werden sicherlich bald auch die ersten signierten Emotet & Co. Makros unterwegs sein.

 

Eine Firewall/Ein Proxy die/der die entsprechenden Ziele, von wo der Shadcode geladen wird / von wo "gesteuert" wird, blockt sowie AppLocker / SRP wären meiner Meinung nach die besten Ansätze zusätzlich zum Blocken möglichst vieler Anähnge.

 

Gruß

Jan

bearbeitet von testperson
Link zu diesem Kommentar
vor 1 Stunde schrieb testperson:

Die User kriegen früher oder später zwangsweise mit wo sich die Speicherorte befinden und speichern den E-Mail-Anhang dann einfach dort ab. ;) 

Momentan(?) wäre wohl nur signierte Makros zu erlauben eine Option. Allerdings werden sicherlich bald auch die ersten signierten Emotet & Co. Makros unterwegs sein. 

Vertrauenswürdige Speicherort in Kombination mit signierten Makros. Aber! Jeder User kann sich selbst mit Hilfe der SelfCert.exe ein Zertifikat ausstellen und damit das Makro signieren. (Bis hierhin sind wir schon gekommen, den Rest haben wir noch nicht gemacht) Man muss also dem User den Zugriff auf die gen. EXE entziehen, dann können ausgewählte Personen den Code auf einem abgeschotteten Client lesen. Passt alles, das Makro signieren und die Datei rausgeben.

Link zu diesem Kommentar
vor 16 Minuten schrieb Sunny61:

Doch, hatten wir hier getestet.

Auch bei einem anderen User? Dann solltet Ihr Eure Einstellungen prüfen. Ein Self-Signed-Zertifikat kann nicht automatisch vertrauenswürdig sein. Bei dem User, der es erstellt, u.U. schon. Da kann man aber auch per GPO verhindern, dass ein User etwas in den entsprechenden Store importieren kann...

Link zu diesem Kommentar
vor einer Stunde schrieb zahni:

Auch bei einem anderen User? Dann solltet Ihr Eure Einstellungen prüfen. Ein Self-Signed-Zertifikat kann nicht automatisch vertrauenswürdig sein. Bei dem User, der es erstellt, u.U. schon. Da kann man aber auch per GPO verhindern, dass ein User etwas in den entsprechenden Store importieren kann...

Nein, der eine User hat es erstellt und konnte das Makro wieder ausführen. Er kann es auch in seinen Store importieren. Und genau das reicht ja schon aus.

 

Hast Du einen Hinweis für mich welche Einstellung im GPO das sein könnte?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...