herbrich19
Goto Top

Dr. Keiser PC Wächter gegen Erpressungs Software

Hallo,

Ich habe mir wegen Wana Crypt so meine gedanken gemacht. Die Aufgabe von PC Wächter ist es doch das System immer auf einen Zustand X wiederher zu stellen? Dann kann man damit doch auch die Verschlüsselung eines Systems zurück sicerhn.

Bei eBay in der Bucht sind diese Module ja auch sehr günstig zu haben weswegen ich mich Frage ob es nicht eine Möglichkeit währe ein System schnell wieder zum laufen zu bringen.

Gruß an die IT-Welt,
J Herbrich

Content-ID: 338061

Url: https://administrator.de/forum/dr-keiser-pc-waechter-gegen-erpressungs-software-338061.html

Ausgedruckt am: 01.04.2025 um 21:04 Uhr

brammer
brammer 17.05.2017 um 07:52:58 Uhr
Goto Top
Hallo,

dazu gibt es verschiedene Wege... die Wächter Karte ist ein Weg...
Alternativ geht für die Betriebssystem Partition auch der EWF Manager von MS.
Auch die Wächter Karte ist immer nur so stark wie die Implementierung der Software auf der Karte....

Das Problem ist doch eher das man schon im Vorfeld dafür sorgen muss das solche Schadsoftware nicht ins Netz gelangt.
Also muss ein Sicherheitskonzept immer mehrstufig sein.

brammer
wiesi200
wiesi200 17.05.2017 um 08:35:30 Uhr
Goto Top
Hallo,

und was ist mit den Daten die du absichtlich veränderst? Die werden je nach dem auch immer wieder auf einen Zustand X zurückgesetzt, oder Sie können genau so verschlüsselt werden als wenn du keine solche Karte drinnen hast.
BernhardMeierrose
BernhardMeierrose 17.05.2017 um 09:32:37 Uhr
Goto Top
Moin

aus der Hersteller-FAQ:
PC-Wächter und DRIVE ab der Version 10.1 deaktivieren den Windows Updatedienst, so dass auch keine Sicherheitsupdates installiert werden können.

Die Datenlaufwerke D, E, ... werden normalerweise nicht geschützt

Daher wohl eher ungeeignet, bzw nur genau für den Einsatz im Klassenzimmer

Gruß
Bernhard
aqui
aqui 17.05.2017 um 09:34:09 Uhr
Goto Top
Linux oder MacOS verwenden, dann stellt sich das Problem gar nicht erst face-wink
Coreknabe
Coreknabe 17.05.2017 um 09:50:36 Uhr
Goto Top
Macht überhaupt keinen Sinn, wie @wiesi200 schon angemerkt hat. Für veränderliche Daten musst Du Ausnahmen konfigurieren und die sind dann auch Matsch.
Vielleicht kannst Du ja noch den Anwendungsfall skizzieren, was willst Du damit schützen? Wenn es Kioskrechner sind, ist es auch wumpe, regelmäßig Image ziehen und fertig ist die Laube. In so einem Fall tun es auch Thinclients, die kriegste auch hinterhergeworfen. Wir verwenden als Recherche-Rechner Igel Clients mit Linux.
LordGurke
LordGurke 17.05.2017 um 09:59:26 Uhr
Goto Top
@aqui: Bei Kryptotrojanern hast du für diese Systeme inzwischen auch Varianten.
Klar, derjenige der es verbreitet bekommt ja direkt seine Ausschüttung für die Arbeit face-wink
Herbrich19
Herbrich19 17.05.2017 um 14:14:47 Uhr
Goto Top
Hallo,

Nun ja, wen man auf den Client nur Surfen kann aber die Daten werden auf einen Remote Desktop bearbeitet der nur den RDP Port offen hat (Eigenes VLAN <--> Firewall <--> Client) dann kann im ernstfall mit Dr Keiser zurück gesetzt werden.

Die Cryptolooker brauchen ja SMP oder ein Netzlaufwerk(?). Der TS wird so Konfiguriert dass man keine Laufwerke freigeben kann und auch sonst nichts.

Der Terminal Server darf wen nur zu Microsoft Verbinden wegen Update oder halt über einen WSUS. Damit sollte man doch ein sicheres Konzept haben oder nicht?

Wen der client gecryptet wird macht Dr Keiser den rechner schnelle welle wieder flot face-smile

Gruß an die IT-Welt,
J Herbrich
Sheogorath
Sheogorath 18.05.2017 um 00:46:09 Uhr
Goto Top
Moin,

Der Terminal Server darf wen nur zu Microsoft Verbinden wegen Update oder halt über einen WSUS. Damit sollte man doch ein sicheres Konzept haben oder nicht?

Hinweis zu einem eventuellen Denkfehler: Wo werden in der Regel Dateien, Anhänge und schlimmeres geöffnet? Richtig, auf dem Terminalserver.

Das heißt, dass die Hauptgefährdung gar nicht bei den Thin Clients liegen, sondern auf dem Terminalserver. Folglich hast du mit der Sicherung der Terminal Clients quasi nichts gewonnen.

Der Terminal Server darf wen nur zu Microsoft Verbinden wegen Update oder halt über einen WSUS. Damit sollte man doch ein sicheres Konzept haben oder nicht?

Damit bist du keineswegs sicherer. Einfacherer als Geld für irgendwelche Karten oder Software für einen Kiosk-Mode herauszuwerfen, wäre es irgendein OS deiner Wahl mit einem Read-only Filesystem zu benutzen. Dann läufst du gar nicht erst in das Problem.

Oder wenn du sagst, Userdaten gibt es auf dem Client eh nicht (wodurch dein Zurücksetzen überhaupt erst sinnvoll wird) kannst du natürlich auch einfach darauf Pfeifen, was der Benutzer schreibt und den Kram regelmäßig weglöschen. Alles andere kann so oder so nicht Beschrieben und somit verschlüsselt werden (zumindest nicht ohne noch ganz andere Sicherheitslücken zu nutzen). Und wenn doch, dann hast du so oder so andere Sorgen, als dass dir irgenjemand deine Thin-/Terminalclient verschlüsselt.

In diesem Sinne...

Gruß
Chris
Herbrich19
Herbrich19 18.05.2017 um 01:14:31 Uhr
Goto Top
Hallo,

Hinweis zu einem eventuellen Denkfehler: Wo werden in der Regel Dateien, Anhänge und schlimmeres geöffnet? Richtig, auf dem >Terminalserver.

Nicht ganz, wen Outlook (Der Mailcient auf dem Client läuft^^) Klar wen Outlook auf dem TS läuft ist dass ganze Konzept tatsächlich sinlos.

Gruß an die IT-Welt,
J Herbrich
wiesi200
wiesi200 18.05.2017 um 07:16:44 Uhr
Goto Top
Und wie/wo speicherst du dann die Anhänge von den E-Mails?
umount
umount 31.05.2017 um 13:38:34 Uhr
Goto Top
Hallo,

Linuxmuster hat ebenfalls so eine Funktion und ist Kostenlos und ohne Hardware das Programm heißt Linbo und ist ein Mini Knoppix was auch von CD und PXE gestartet werden kann.