9
Fragwürdige E-Mails und Anhänge gefahrlos öffnen mit VirtualBox
Hallo in die Runde!
Zunehmend öfter bekomme ich Mails, deren Inhalt oder Anhang Anlass zu Misstrauen liefert. Manchmal bekomme ich auch Mails von Kunden weitergeleitet, die mich ebenfalls fragen, ob eine Mail "echt" sei. Dann gibt es auch die Fälle des berüchtigten "MS-Support", nach denen ich Daten sichern und bereinigen muss sowie herausfinden soll, wohin Phishing-Links tatsächlich führen.
Einige typische Merkmale wie Rechtschreibfehler, Links prüfen durch Mouseover etc. kenne ich schon, aber manchmal muss oder möchte ich doch einen tieferen Blick riskieren. Bisher habe ich das mit VirtualBox in einem Win7 gemacht, das ich anschließend auf den vorigen Sicherungszustand zurückgesetzt habe. Sicher wird es besser sein, hierfür auf ein aktuelles Update-taugliches System, z.B. Win10 zu wechseln.
Frage:
Welche Verbindungen kann ich nach Eurer Einschätzung guten Gewissens nach außen offen halten, ohne Schaden für den realen PC zu riskieren?
Ich würde natürlich gerne Internet (Mail-Postfach), Drucker und vor allem einen freigegebenen Ordner nutzen, um zu prüfende Daten transferieren zu können.
Gruß, ruby
Zunehmend öfter bekomme ich Mails, deren Inhalt oder Anhang Anlass zu Misstrauen liefert. Manchmal bekomme ich auch Mails von Kunden weitergeleitet, die mich ebenfalls fragen, ob eine Mail "echt" sei. Dann gibt es auch die Fälle des berüchtigten "MS-Support", nach denen ich Daten sichern und bereinigen muss sowie herausfinden soll, wohin Phishing-Links tatsächlich führen.
Einige typische Merkmale wie Rechtschreibfehler, Links prüfen durch Mouseover etc. kenne ich schon, aber manchmal muss oder möchte ich doch einen tieferen Blick riskieren. Bisher habe ich das mit VirtualBox in einem Win7 gemacht, das ich anschließend auf den vorigen Sicherungszustand zurückgesetzt habe. Sicher wird es besser sein, hierfür auf ein aktuelles Update-taugliches System, z.B. Win10 zu wechseln.
Frage:
Welche Verbindungen kann ich nach Eurer Einschätzung guten Gewissens nach außen offen halten, ohne Schaden für den realen PC zu riskieren?
Ich würde natürlich gerne Internet (Mail-Postfach), Drucker und vor allem einen freigegebenen Ordner nutzen, um zu prüfende Daten transferieren zu können.
Gruß, ruby
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666224
Url: https://administrator.de/contentid/666224
Printed on: April 18, 2024 at 03:04 o'clock
9 Comments
Latest comment
Moin,
Alles was mir suspekt erscheint und nach Phishing o.Ä. schreit wird nicht angefasst sondern gelöscht.
Genau den Tipp bekommen auch andere wenn sie mich Fragen.
Auch wenn du zu Windows 10 wechselst schließt du damit etwaige Zero-Days nicht aus.
D.h. ist irgend eine Sicherheitslücke im Umlauf die MS noch nicht kennt und beim Patchen ist kann das blöd sein.
Das selbe gilt für Sicherheitslücken im Virtualisierer.
VG
Alles was mir suspekt erscheint und nach Phishing o.Ä. schreit wird nicht angefasst sondern gelöscht.
Genau den Tipp bekommen auch andere wenn sie mich Fragen.
Auch wenn du zu Windows 10 wechselst schließt du damit etwaige Zero-Days nicht aus.
D.h. ist irgend eine Sicherheitslücke im Umlauf die MS noch nicht kennt und beim Patchen ist kann das blöd sein.
Das selbe gilt für Sicherheitslücken im Virtualisierer.
VG
Hallo Ruby,
deine Überlegung ist zwar legitim, jedoch aus meiner Sicht unüblich. Grundsätzlich, kann dir das aus sicherheitstechnischer Sicht niemand beantworten. Das ist ja der Witz an 0Dayz. Vorsicht bei Experimenten in Betriebsumgebungen. Vorsatz heißt auch Vollhaftung. Um deine Frage dann doch zu beantworten, schaffe eine autarke Umgebung. Transferiere das Testfile offline und führe es aus. Ich frage mich nur, warum das Rad neu erfinden willst? Diese Arbeit wird doch zu genüge von Admins erledigt, die den ganzen Tag nichts Anderes machen.
BG
deine Überlegung ist zwar legitim, jedoch aus meiner Sicht unüblich. Grundsätzlich, kann dir das aus sicherheitstechnischer Sicht niemand beantworten. Das ist ja der Witz an 0Dayz. Vorsicht bei Experimenten in Betriebsumgebungen. Vorsatz heißt auch Vollhaftung. Um deine Frage dann doch zu beantworten, schaffe eine autarke Umgebung. Transferiere das Testfile offline und führe es aus. Ich frage mich nur, warum das Rad neu erfinden willst? Diese Arbeit wird doch zu genüge von Admins erledigt, die den ganzen Tag nichts Anderes machen.
BG
Danke für Eure schnelle Antworten!
Ganz konkreter Anlass heute morgen ist eine Mail meines ehemaligen Webhosters, auf dessen Antwort ich schon lange warte (schwer zu erreichen), und der mir einen ZIP-Anhang geschickt hat mit Passwortschutz. Auch wenn ich das höchst verdächtig finde, muss ich in disem Fall doch in der Lage sein, zu reagieren. Und das ist nicht der erste Fall dieser Art. Und es gibt eben auch die Fälle, wo ich von anderen um Rat gefragt werde, dafür möchte ich auch mal was Neues dazulernen. In solchen Momenten möchte ich gefahrlos testen und zum vorigen Zustand zurückkehren können.
Ich hätte auch die Möglichkeit, einen ausrangierten PC zu konfigurieren, der nur zum Testen verwendet würde. Aber bei realer Hardware dauert das Zurücksetzen über ein Image doch deutlich länger als den Sicherungspunkt einer VM wiederherzustellen.
Das wäre wohl nach Eurer Meinung trotzdem die bessere Wahl?
Ich hatte noch einen Artikel der PC-Welt gelesen, der mir Mut gemacht hat. Eure Kommentare lassen mich dann doch zweifeln ...
Ganz konkreter Anlass heute morgen ist eine Mail meines ehemaligen Webhosters, auf dessen Antwort ich schon lange warte (schwer zu erreichen), und der mir einen ZIP-Anhang geschickt hat mit Passwortschutz. Auch wenn ich das höchst verdächtig finde, muss ich in disem Fall doch in der Lage sein, zu reagieren. Und das ist nicht der erste Fall dieser Art. Und es gibt eben auch die Fälle, wo ich von anderen um Rat gefragt werde, dafür möchte ich auch mal was Neues dazulernen. In solchen Momenten möchte ich gefahrlos testen und zum vorigen Zustand zurückkehren können.
Ich hätte auch die Möglichkeit, einen ausrangierten PC zu konfigurieren, der nur zum Testen verwendet würde. Aber bei realer Hardware dauert das Zurücksetzen über ein Image doch deutlich länger als den Sicherungspunkt einer VM wiederherzustellen.
Das wäre wohl nach Eurer Meinung trotzdem die bessere Wahl?
Ich hatte noch einen Artikel der PC-Welt gelesen, der mir Mut gemacht hat. Eure Kommentare lassen mich dann doch zweifeln ...
Hallo GWeidt,
Nicht verzweifeln. Die (oft guten) Ratschläge hier bilden einfach ein zu großes Spektrum ab. Wenn Du Hochsicherheit brauchst, ist das was anderes als zuhause oder im KMU. Dein Ansatz ist schon mal nicht schlecht. Und der Hinweis von @Carsqul gibt die Richtung im Idealfall vor: schaffe eine autarke Umgebung.
D.h. im Idealfall einen separaten Host ohne oder in separatem Netzwerk, auf dem eine VM läuft. Idealerweise läuft dieser und auch der Gast nicht mit dem Betriebssystem, das Du produktiv nutzt (also das das Angriffsziel wäre). Also wenn Du allgemein mit Windows arbeitest, erstelle Deine Analyseumgebung unter Linux. Oder wenigstens den Host oder die VM unter Linux. Dorthin transferierst Du die fragliche Datei/Mail mittels USB-Stick und kannst dann in Ruhe untersuchen.
Ich bin weniger ängstlich und nehme (ähnlich wie Du) auf meinem Arbeits-PC eine VM (die allerdings unter Linux) und leite die Mail dorthin weiter (per Mail oder USB). Dort untersuche ich die Mail dann und/oder öffne sie ggf. auch. Vorher Virus-Total-Check und Quelltext der Mail ansehen. Meist reicht das schon zur Identifikation als Spam (schützt aber natürlich nicht vor Viren, die an sich vertrauenswürdige Quellen mitliefern).
Basis jeder Arbeit mit dem PC ist eine kluge Datensicherung. Passieren kann immer etwas. Ach so, ein guter Mailserver und eine Adressen-Policy hilft auch gegen Spam. Es gibt leider immer noch Provider, die Spam-Mails ausgesprochen schwach filtern. Aber das ist ein anderes Thema.
Nicht verzweifeln. Die (oft guten) Ratschläge hier bilden einfach ein zu großes Spektrum ab. Wenn Du Hochsicherheit brauchst, ist das was anderes als zuhause oder im KMU. Dein Ansatz ist schon mal nicht schlecht. Und der Hinweis von @Carsqul gibt die Richtung im Idealfall vor: schaffe eine autarke Umgebung.
D.h. im Idealfall einen separaten Host ohne oder in separatem Netzwerk, auf dem eine VM läuft. Idealerweise läuft dieser und auch der Gast nicht mit dem Betriebssystem, das Du produktiv nutzt (also das das Angriffsziel wäre). Also wenn Du allgemein mit Windows arbeitest, erstelle Deine Analyseumgebung unter Linux. Oder wenigstens den Host oder die VM unter Linux. Dorthin transferierst Du die fragliche Datei/Mail mittels USB-Stick und kannst dann in Ruhe untersuchen.
Ich bin weniger ängstlich und nehme (ähnlich wie Du) auf meinem Arbeits-PC eine VM (die allerdings unter Linux) und leite die Mail dorthin weiter (per Mail oder USB). Dort untersuche ich die Mail dann und/oder öffne sie ggf. auch. Vorher Virus-Total-Check und Quelltext der Mail ansehen. Meist reicht das schon zur Identifikation als Spam (schützt aber natürlich nicht vor Viren, die an sich vertrauenswürdige Quellen mitliefern).
Basis jeder Arbeit mit dem PC ist eine kluge Datensicherung. Passieren kann immer etwas. Ach so, ein guter Mailserver und eine Adressen-Policy hilft auch gegen Spam. Es gibt leider immer noch Provider, die Spam-Mails ausgesprochen schwach filtern. Aber das ist ein anderes Thema.
Moin,
Einen 100%igen Schutz gibt es nicht, grade bei den Vorstellungen die du hast. Du kannst dich nur mit einem Gesamtsystem davor schützen. Erstmal musst du deine Firewall vernünftig konfigurieren. Stichwörter: Können Mails von eurer Domain von außen kommen? Wenn nein generell ablehnen. Kenn viele Firmen wo das vernachlässigt wird. Dann weiter in dem Kontext: Packet und Mail Inspection an der Firewall anschalten. Unsere Firewall prüft (neben SPF-Check) den Inhalt und die Anhänge, lädt die Anhänge in eine Sandbox hoch und analysiert diese. Erst wenn das durch ist, wird die E-Mail dann ggf. Zugestellt. Dadurch kann es (je nach Anhang-Größe) auch mal eine Stunde dauern bis Mails mit Anhängen ankommen. Ist in der Mail zum Beispiel eine mailto:Admin@domäne.de, die Mail kommt aber von administrator@domäne.de oder admin@domäne2.de dann wird die auch manchmal schonmal falsch abgelehnt. Grade bei Großen Konzernen kommt das durchaus mal vor, da muss man dann Ausnahmen für generieren. Ein Lernprozess für Admin und Firewall
Was die Firewall nicht öffnen kann (zum Beispiel passwortgeschützte Zip-Archive) landet im Müll. Wenn eine Exe als txt getarnt wird, so merkt es die Firewall und es landet im Müll.
Dann weiter an der Firewall: Wir haben unsere Firewall auf Whitelisting umgestellt. Auch hier ein dauerhafter Lernprozess. Kommt doch mal eine Mail von oben durch und ist ein böser link drin und der User klickt drauf besteht eine sehr hohe Wahrscheinlichkeit, dass die Seite nicht in der Whitelist steht. Jede Seite die da rein soll wird händisch von einem Admin geprüft und nur freigegeben wenn ein betriebliches Interesse besteht. Ja das führt zwangsläufig dazu, dass privates Surfen unmöglich ist und auch seriöse Seiten wie zum Beispiel news.google.de oder maps.google.de nicht gehen, aber es wird halt beruflich nicht gebraucht. Im Gegensatz dazu haben aber Phishing Links kaum eine Chance.
Kommt dann doch mal ein suspekter Anhang durch, wird der erstmal auf Virustotal hochgeladen. Selbst wenn da nichts gefunden wird und er dann immer noch suspekt ist, wird er in der Windows 10 Sandbox geöffnet. Die Sandbox ist bei Windows 10 dabei, muss aber händisch nachinstallieren (Feature hinzufügen) und baut über die eigene Netzwerkkarte eine Verbindung ins Internet auf. Bei uns dann halt wieder nicht, da der User nicht in der Domäne ist und folglich alles von der Firewall geblockt wird. Das schöne an der Sandbox ist, dass sie keinen Netzwerkzugriff hat. Man kann über die Netzwerkverbindung nur auf den eigenen Rechner zugreifen und auch nur, wenn man sich händisch authentifiziert. Einziger Weg der Datenübertragung zwischen dem Rechner und der Sandbox ist die Zwischenablage. Nachteil: Man kann sie nicht wirklich gut auf seine eigenen Bedürfnisse anpassen und Software nachinstallieren, da die beim Ausschalten der Sandbox wieder in den Ausgangszustand zurück gesetzt wird. Meine Sandbox zum Beispiel hat immer noch die Edge-Version 76, da das die aktuelle Version bei der Installation war. Stört mich nicht, kann ich mit leben. Im Regelfall öffne ich in der Sandbox nur PDF-Dateien.
Ich muss allerdings sagen, dass seit der Umstellung auf Whitelist und Paket-/Mail-Inspection sich jeder Verdacht sowohl bei Virus-Total als auch in der Windows 10 Sandbox als unbegründet herausgestellt hat.
Konkret in deinem Fall wäre es bei uns so gewesen: Die Mail wäre von unsere Firewall abgelehnt worden und der Sender hätte eine Unzustellbarkeitsnachricht erhalten. Der Sender (zumindest bei uns) meldet sich dann bei dem Mitarbeiter, der sich bei mir meldet und ich das überprüfe. Dabei kommt dann raus, dass die Firewall dies abgelehnt hat, wg. passwortgeschützter Zip-Datei. Ich gebe dem Sender eine alternative externe Adresse, die nicht auf unserem Exchange liegt. Der Sender schickt die passwortgeschützte Datei an diese Adresse. Dort geht der Mitarbeiter hin, entpackt diese und sendet sich von der externen Adresse die entpackten Dateien auf seine interne Adresse. Fertig.
Das ist korrekt. Sicherheit bedeutet nun mal Aufwand (wie man in meiner obigen Erläuterung sieht). Ohne Aufwand zu betreiben wirst du deine Umgebung nicht absichern können. Schnelle Lösungen sind meistens irgendwo unsicher. Die Entscheidung wie viel Aufwand du betreiben willst und wie viel Aufwand du den Usern zugestehen willst/kannst muss in meinen Augen jeder (IT-)Chef selbst treffen und wird dir hier keiner abnehmen können.
Gruß
Doskias
PS: Sorry für die Wall of Text. Ist länger geworden als geplant
Einen 100%igen Schutz gibt es nicht, grade bei den Vorstellungen die du hast. Du kannst dich nur mit einem Gesamtsystem davor schützen. Erstmal musst du deine Firewall vernünftig konfigurieren. Stichwörter: Können Mails von eurer Domain von außen kommen? Wenn nein generell ablehnen. Kenn viele Firmen wo das vernachlässigt wird. Dann weiter in dem Kontext: Packet und Mail Inspection an der Firewall anschalten. Unsere Firewall prüft (neben SPF-Check) den Inhalt und die Anhänge, lädt die Anhänge in eine Sandbox hoch und analysiert diese. Erst wenn das durch ist, wird die E-Mail dann ggf. Zugestellt. Dadurch kann es (je nach Anhang-Größe) auch mal eine Stunde dauern bis Mails mit Anhängen ankommen. Ist in der Mail zum Beispiel eine mailto:Admin@domäne.de, die Mail kommt aber von administrator@domäne.de oder admin@domäne2.de dann wird die auch manchmal schonmal falsch abgelehnt. Grade bei Großen Konzernen kommt das durchaus mal vor, da muss man dann Ausnahmen für generieren. Ein Lernprozess für Admin und Firewall
Was die Firewall nicht öffnen kann (zum Beispiel passwortgeschützte Zip-Archive) landet im Müll. Wenn eine Exe als txt getarnt wird, so merkt es die Firewall und es landet im Müll.Dann weiter an der Firewall: Wir haben unsere Firewall auf Whitelisting umgestellt. Auch hier ein dauerhafter Lernprozess. Kommt doch mal eine Mail von oben durch und ist ein böser link drin und der User klickt drauf besteht eine sehr hohe Wahrscheinlichkeit, dass die Seite nicht in der Whitelist steht. Jede Seite die da rein soll wird händisch von einem Admin geprüft und nur freigegeben wenn ein betriebliches Interesse besteht. Ja das führt zwangsläufig dazu, dass privates Surfen unmöglich ist und auch seriöse Seiten wie zum Beispiel news.google.de oder maps.google.de nicht gehen, aber es wird halt beruflich nicht gebraucht. Im Gegensatz dazu haben aber Phishing Links kaum eine Chance.
Kommt dann doch mal ein suspekter Anhang durch, wird der erstmal auf Virustotal hochgeladen. Selbst wenn da nichts gefunden wird und er dann immer noch suspekt ist, wird er in der Windows 10 Sandbox geöffnet. Die Sandbox ist bei Windows 10 dabei, muss aber händisch nachinstallieren (Feature hinzufügen) und baut über die eigene Netzwerkkarte eine Verbindung ins Internet auf. Bei uns dann halt wieder nicht, da der User nicht in der Domäne ist und folglich alles von der Firewall geblockt wird. Das schöne an der Sandbox ist, dass sie keinen Netzwerkzugriff hat. Man kann über die Netzwerkverbindung nur auf den eigenen Rechner zugreifen und auch nur, wenn man sich händisch authentifiziert. Einziger Weg der Datenübertragung zwischen dem Rechner und der Sandbox ist die Zwischenablage. Nachteil: Man kann sie nicht wirklich gut auf seine eigenen Bedürfnisse anpassen und Software nachinstallieren, da die beim Ausschalten der Sandbox wieder in den Ausgangszustand zurück gesetzt wird. Meine Sandbox zum Beispiel hat immer noch die Edge-Version 76, da das die aktuelle Version bei der Installation war. Stört mich nicht, kann ich mit leben. Im Regelfall öffne ich in der Sandbox nur PDF-Dateien.
Ich muss allerdings sagen, dass seit der Umstellung auf Whitelist und Paket-/Mail-Inspection sich jeder Verdacht sowohl bei Virus-Total als auch in der Windows 10 Sandbox als unbegründet herausgestellt hat.
Ganz konkreter Anlass heute morgen ist eine Mail meines ehemaligen Webhosters, auf dessen Antwort ich schon lange warte (schwer zu erreichen), und der mir einen ZIP-Anhang geschickt hat mit Passwortschutz.
Für solche Fälle nutzen wir eine externe Adresse auf speziellen Rechner, die alles dürfen. Hier wird dann die Mail geöffnet, der Anhang entpackt und dann entweder die Daten abgeschrieben oder per Mail an eine interne Adresse geleitet, damit die oben beschriebene Sicherheitsstruktur eingehalten wird.Konkret in deinem Fall wäre es bei uns so gewesen: Die Mail wäre von unsere Firewall abgelehnt worden und der Sender hätte eine Unzustellbarkeitsnachricht erhalten. Der Sender (zumindest bei uns) meldet sich dann bei dem Mitarbeiter, der sich bei mir meldet und ich das überprüfe. Dabei kommt dann raus, dass die Firewall dies abgelehnt hat, wg. passwortgeschützter Zip-Datei. Ich gebe dem Sender eine alternative externe Adresse, die nicht auf unserem Exchange liegt. Der Sender schickt die passwortgeschützte Datei an diese Adresse. Dort geht der Mitarbeiter hin, entpackt diese und sendet sich von der externen Adresse die entpackten Dateien auf seine interne Adresse. Fertig.
Ich hätte auch die Möglichkeit, einen ausrangierten PC zu konfigurieren, der nur zum Testen verwendet würde. Aber bei realer Hardware dauert das Zurücksetzen über ein Image doch deutlich länger als den Sicherungspunkt einer VM wiederherzustellen.
Das wäre wohl nach Eurer Meinung trotzdem die bessere Wahl?Das ist korrekt. Sicherheit bedeutet nun mal Aufwand (wie man in meiner obigen Erläuterung sieht). Ohne Aufwand zu betreiben wirst du deine Umgebung nicht absichern können. Schnelle Lösungen sind meistens irgendwo unsicher. Die Entscheidung wie viel Aufwand du betreiben willst und wie viel Aufwand du den Usern zugestehen willst/kannst muss in meinen Augen jeder (IT-)Chef selbst treffen und wird dir hier keiner abnehmen können.
Gruß
Doskias
PS: Sorry für die Wall of Text. Ist länger geworden als geplant
genau das meinte ich oben:
@Doskias beschreibt hier einen Weg, den man als vorbildlich bezeichnen kann. Aber das ist sicher kein 8-Mitarbeiter-Unternehmen
Und mit so strengem Whitelisting fühlt man sich auch irgendwie in einer anderen Welt. Hängt sicher auch vom persönlichen und beruflichen Bedarf ab.
Eine Anmerkung daraus ist aber für jeden leicht umsetzbar: Kommt eine zweifelhafte Mail an, einfach zunächst den Kontakt zum Absender suchen.
Bei @Doskias geht das automatisch (als Unzustellbarkeitsmitteilung), im KMU werden aber nicht so viele "Zweifelsfälle" ankommen, da kann man auch selbst mal zur Tastatur greifen. Eine darauf folgende Bestätigung schützt zwar nicht vor Viren, die von der Quelle unabsichtlich mitgeschickt werden (dafür ist der Virenscanner), aber vor bösen Absendern, die es gar nicht gibt. Meist zeigt sich das schon bei der Kontaktaufnahme, denn die Mailadressen des Bösen Buben sind ja normaler Weise nicht echt.
@Doskias beschreibt hier einen Weg, den man als vorbildlich bezeichnen kann. Aber das ist sicher kein 8-Mitarbeiter-Unternehmen
Und mit so strengem Whitelisting fühlt man sich auch irgendwie in einer anderen Welt. Hängt sicher auch vom persönlichen und beruflichen Bedarf ab.Eine Anmerkung daraus ist aber für jeden leicht umsetzbar: Kommt eine zweifelhafte Mail an, einfach zunächst den Kontakt zum Absender suchen.
Bei @Doskias geht das automatisch (als Unzustellbarkeitsmitteilung), im KMU werden aber nicht so viele "Zweifelsfälle" ankommen, da kann man auch selbst mal zur Tastatur greifen. Eine darauf folgende Bestätigung schützt zwar nicht vor Viren, die von der Quelle unabsichtlich mitgeschickt werden (dafür ist der Virenscanner), aber vor bösen Absendern, die es gar nicht gibt. Meist zeigt sich das schon bei der Kontaktaufnahme, denn die Mailadressen des Bösen Buben sind ja normaler Weise nicht echt.
Zitat von @commodity:
genau das meinte ich oben:
@Doskias beschreibt hier einen Weg, den man als vorbildlich bezeichnen kann. Aber das ist sicher kein 8-Mitarbeiter-Unternehmen Und mit so strengem Whitelisting fühlt man sich auch irgendwie in einer anderen Welt. Hängt sicher auch vom persönlichen und beruflichen Bedarf ab.
Danke für das Lob und wir sind im zweistelligen-Stelligen Bereich was Mitarbeiter angeht, PC-Arbeitsplätze haben wir 70, davon haben einige Mitarbeiter aber auch teilweise 3 (2ter Standort, HomeOffice). Mitarbeiter am PC würde ich 50 bis 60 sagen. Allerdings habe ich ähnliche Konstrukte auch schon bei 15-Mann betrieben umgesetzt. Der wirkliche Aufwand ist es die ganzen Sachen zu konfigurieren. Wenn es dann läuft, dann läuft es.genau das meinte ich oben:
@Doskias beschreibt hier einen Weg, den man als vorbildlich bezeichnen kann. Aber das ist sicher kein 8-Mitarbeiter-Unternehmen
Und mit so strengem Whitelisting fühlt man sich auch irgendwie in einer anderen Welt. Hängt sicher auch vom persönlichen und beruflichen Bedarf ab.Und damit man sich nicht ganz in einer anderen Welt fühlt haben wir für die Mitarbeiter frei Terminals im Unternehmen, so wie Laptops bei den Abteilungsleitern, die keine Internetbeschränkung unterliegen. Diese sind aber in einem physisch getrennten Netzwerk mit eigener Internetverbindung, eigenen Switch, etc. Die Geräte kommen nie mit der Domäne in Kontakt.
Eine Anmerkung daraus ist aber für jeden leicht umsetzbar: Kommt eine zweifelhafte Mail an, einfach zunächst den Kontakt zum Absender suchen.
Bei @Doskias geht das automatisch (als Unzustellbarkeitsmitteilung), im KMU werden aber nicht so viele "Zweifelsfälle" ankommen, da kann man auch selbst mal zur Tastatur greifen. Eine darauf folgende Bestätigung schützt zwar nicht vor Viren, die von der Quelle unabsichtlich mitgeschickt werden (dafür ist der Virenscanner), aber vor bösen Absendern, die es gar nicht gibt. Meist zeigt sich das schon bei der Kontaktaufnahme, denn die Mailadressen des Bösen Buben sind ja normaler Weise nicht echt.
Bei @Doskias geht das automatisch (als Unzustellbarkeitsmitteilung), im KMU werden aber nicht so viele "Zweifelsfälle" ankommen, da kann man auch selbst mal zur Tastatur greifen. Eine darauf folgende Bestätigung schützt zwar nicht vor Viren, die von der Quelle unabsichtlich mitgeschickt werden (dafür ist der Virenscanner), aber vor bösen Absendern, die es gar nicht gibt. Meist zeigt sich das schon bei der Kontaktaufnahme, denn die Mailadressen des Bösen Buben sind ja normaler Weise nicht echt.
Wenn ich so an das letzte Jahr zurückdenke, sind es insgesamt 5 Fälle in denen die Firewall zu unrecht Alarm geschlagen hat, 2 Davon waren allerdings gezippte mit Passwörtern versehene Daten der Bank. In 2 Fällen hat die Firewall sich daran gestört, dass eine von uns gesendete Mail als Anhang einer eingehenden Mail zugeordnet war. Die Mail Inspektion hat dann im Anhang erkannt, dass eine Mail von außen mit unser Domäne kam und das abgelehnt und der letzte Fall war ein verlinktes Firmenlogo einer Firma, dessen Link zum Logo auf die Website des Konzernes ging. Also zum Beispiel Audi sendet unter Audi.de nutzt aber ein Logo welches auf dem ftp von volkswagen.de liegt. Das mag die Firewall nicht.
Gruß
Doskias
Moin,
bei uns sind Archivdateien grundsätzlich gesperrt, ebenso verschiedene Arten "alter" Dateitypen. Somit ist schon mal viel "Mist" weg und diese Anhänge landen nicht in der Quarantäne, sondern im digitalen Nirwana...
Lässt sich sicherlich nicht überall durchziehen und erntet auch bei uns öfters Rückfragen. Aber es erleichtert das Leben als Admin doch bedeutend.
Gruß
bei uns sind Archivdateien grundsätzlich gesperrt, ebenso verschiedene Arten "alter" Dateitypen. Somit ist schon mal viel "Mist" weg und diese Anhänge landen nicht in der Quarantäne, sondern im digitalen Nirwana...
Lässt sich sicherlich nicht überall durchziehen und erntet auch bei uns öfters Rückfragen. Aber es erleichtert das Leben als Admin doch bedeutend.
Gruß
Ui, da habe ich ja was angestoßen - vielen Dank an alle für den lehrreichen Input! Würde mich glatt bei dem Einen oder Anderen auf ein Praktikum bewerben wollen
Die Whitelisting-Idee hatte ich auch schon mal angedacht, aber bei mir gehen dafür zu individuelle Anfragen ein. Ich müsste dabei zu viel kontrollieren und nachjustieren, das gibt mein "Betrieb" (Mitarbeiterzahl: 1, incl. Chef) nicht her. Dennoch gibt mir insbesondere das beschriebene Prozedere von @Doskias einige Denkanstöße mit.
Wird dann wohl tatsächlich auf einen eigenen Rechner hinauslaufen, der per HDMI-Switch zugeschaltet wird und grundsätzlich erstmal offline läuft.
Dazu mal die Frage nach dem Wiederherstellungsaufwand: Wie bekommt man am besten (Zeit vs. Aufwand) das Zurücksetzen des (potentiell) beschädigten Systems hin, außer mit einem System-Image?
Vor Jahren habe ich mal für eine Kundin einen Rechner mit Kiosk-Modus eingerichtet (damals noch XP), das scheint mir so was Ähnliches wie die Win10-Sandbox zu sein (werde ich auf jeden Fall gelegentlich testen). Damals war das keine VM, sondern ein Benutzerkonto, das sich nach dem Schließen automatisch zurücksetzte. Aber eben nur das Konto, nicht das gesamte System, und das dürfte bei manchen Schädlingen nicht reichen. Gibt es sowas auch für ein ganzes BS oder sind wir dann wieder beim Image vs. VM auf dem realen Rechner? Bei der VM hätten wir doch dann wieder das Problem, dass die VM vom Schädling u.U. als solche erkannt wird, wie seinerzeit auf PC-Welt berichtet!?
Noch zu dem Fall von heute morgen: Das war natürlich nur ein aktuelles Beispiel. Sicher kann ich mich beim Absender melden und nachfragen. Im konkreten Fall würde ich nicht mit einer zeitnahen Rückmeldung rechnen (der Hoster hat seinen Dienst aus gesundheitlichen Gründen eingestellt und ist kaum noch erreichbar). Dieser Fall ließe sich auch anders lösen, aber es kommen immer wieder ähnliche Fälle, in denen aus dem einen oder anderen Grund die Alternativen schwierig bis unmöglich umzusetzen sind. Im o.g. Beispiel kann ich mit Sicherheit ausschließen, dass der Absender auf meine Bitte die Nachricht nochmal an eine andere Adresse schicken würde...
Was die Spam-Filter von Mail-Providern angeht: Die macht sich ein Kunde ganz praktisch zunutze - alle paar Tage leitet er mir Mails weiter, deren Echtheit er bestätigt haben möchte, und wenn T-Online die nicht weiterschicken mag, hat er schon Klarheit. Danke Telekom, dass Du mir die Arbeit abnimmst! GMX z.B. lässt sowas einfach passieren.
@VGem-e: Natürlich werde ich bei einer ZIP auch sofort hellhörig. Aber so offensichtlich verdächtig kommt nicht jede falsche Mail daher, und nicht immer geht es um Anhänge. Anderer Fall dieser Tage: Eine Kundin fragt mich, warum sie nach jeder Überweisung (nicht nur Online, sondern auch über SK-Terminal!) die weit verbreitete SIBS-Mail bekommt. Zwar kann ich einfach sagen "Frag die Sparkasse"), aber mich würde schon ohne Gefahr für mein System interessieren, was alles dahintersteckt - und sei es nur aus akademischer Neugier.
Sonnige Grüße
ruby
Die Whitelisting-Idee hatte ich auch schon mal angedacht, aber bei mir gehen dafür zu individuelle Anfragen ein. Ich müsste dabei zu viel kontrollieren und nachjustieren, das gibt mein "Betrieb" (Mitarbeiterzahl: 1, incl. Chef) nicht her. Dennoch gibt mir insbesondere das beschriebene Prozedere von @Doskias einige Denkanstöße mit.
Wird dann wohl tatsächlich auf einen eigenen Rechner hinauslaufen, der per HDMI-Switch zugeschaltet wird und grundsätzlich erstmal offline läuft.
Dazu mal die Frage nach dem Wiederherstellungsaufwand: Wie bekommt man am besten (Zeit vs. Aufwand) das Zurücksetzen des (potentiell) beschädigten Systems hin, außer mit einem System-Image?
Vor Jahren habe ich mal für eine Kundin einen Rechner mit Kiosk-Modus eingerichtet (damals noch XP), das scheint mir so was Ähnliches wie die Win10-Sandbox zu sein (werde ich auf jeden Fall gelegentlich testen). Damals war das keine VM, sondern ein Benutzerkonto, das sich nach dem Schließen automatisch zurücksetzte. Aber eben nur das Konto, nicht das gesamte System, und das dürfte bei manchen Schädlingen nicht reichen. Gibt es sowas auch für ein ganzes BS oder sind wir dann wieder beim Image vs. VM auf dem realen Rechner? Bei der VM hätten wir doch dann wieder das Problem, dass die VM vom Schädling u.U. als solche erkannt wird, wie seinerzeit auf PC-Welt berichtet!?
Noch zu dem Fall von heute morgen: Das war natürlich nur ein aktuelles Beispiel. Sicher kann ich mich beim Absender melden und nachfragen. Im konkreten Fall würde ich nicht mit einer zeitnahen Rückmeldung rechnen (der Hoster hat seinen Dienst aus gesundheitlichen Gründen eingestellt und ist kaum noch erreichbar). Dieser Fall ließe sich auch anders lösen, aber es kommen immer wieder ähnliche Fälle, in denen aus dem einen oder anderen Grund die Alternativen schwierig bis unmöglich umzusetzen sind. Im o.g. Beispiel kann ich mit Sicherheit ausschließen, dass der Absender auf meine Bitte die Nachricht nochmal an eine andere Adresse schicken würde...
Was die Spam-Filter von Mail-Providern angeht: Die macht sich ein Kunde ganz praktisch zunutze - alle paar Tage leitet er mir Mails weiter, deren Echtheit er bestätigt haben möchte, und wenn T-Online die nicht weiterschicken mag, hat er schon Klarheit. Danke Telekom, dass Du mir die Arbeit abnimmst! GMX z.B. lässt sowas einfach passieren.
@VGem-e: Natürlich werde ich bei einer ZIP auch sofort hellhörig. Aber so offensichtlich verdächtig kommt nicht jede falsche Mail daher, und nicht immer geht es um Anhänge. Anderer Fall dieser Tage: Eine Kundin fragt mich, warum sie nach jeder Überweisung (nicht nur Online, sondern auch über SK-Terminal!) die weit verbreitete SIBS-Mail bekommt. Zwar kann ich einfach sagen "Frag die Sparkasse"), aber mich würde schon ohne Gefahr für mein System interessieren, was alles dahintersteckt - und sei es nur aus akademischer Neugier.
Sonnige Grüße
ruby
