scar71
Goto Top

Schutz vor Ransomware

Hallo zusammen,

mich würde interessieren, welche Schutzmechanismen ihr bereits im Kampf/Schutz vor bzg. gegen Ransomware (etc.) im Unternehmen implementiert habt.
(Ja, man kann da wirklich Romane darüber schreiben.) Mich interessieren vielmehr die Bereiche wie DC, Exchange (Mail) und Endgeräte.

Die Umgebung basiert auf MS Servern + Clients.

Vielen Dank.

Grüße.

Content-ID: 543942

Url: https://administrator.de/contentid/543942

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

NetzwerkDude
NetzwerkDude 05.02.2020 aktualisiert um 15:19:19 Uhr
Goto Top
Software Whitelisting, AD-Tiers einrichten, IDS/IPS, nur Signierten Macrocode ausführen
certifiedit.net
certifiedit.net 05.02.2020 um 15:29:56 Uhr
Goto Top
Hallo Scar,

angefangen von Netztrennung, Zugriffsbeschränkungen, über IDS/IPS, VLANs, UTM, bis hin zu Netz und Dateisperren etc. Hilft natürlich auch gegen weitere Sicherheitsgefahren, Datenabfluss und Unterstützt gleichzeitig das Erfüllen von DSGVO Vorgaben.

Was genau für euch Sinn macht, müsste man analysieren (gerne PN).

Viele Grüße,

Christian
certifiedit.net
Walter1337
Walter1337 05.02.2020 aktualisiert um 17:05:28 Uhr
Goto Top
Hallo scar71,

wir haben hierfür folgendes getan:

  • AD Berechtigungsgruppen für Administratoren erstellt. (Server Admin, Client Admin, Domänen Admin). Somit hat jeder Sysadmin bei uns einen entsprechenden User je nach Wartungsarbeit die durchgeführt werden muss.
  • Wir haben eine Sophos UTM im Einsatz und auf allen Clients das entsprechende Endpoint Produkt.
  • User haben keine administrativen Rechte.
  • Zugriffe auf Netzlaufwerke laufen ausschließlich über GPO's und AD Gruppen und davon reichlich. Ist zwar mehr Verwaltung aber höhere Sicherheit. Jeder hat absolut und sicher nur das was er wirklich braucht.
  • Wir haben über VLANs eine Netztrennung vorgenommen, für Maschinen, Telefonie, Verwaltung etc.
  • Unsere Mitarbeiter werden regelmäßig via Rundmail auf neue oder alte wiederaufkommende Gefahren hingewiesen
  • .doc oder .xls E-Mail Anhänge werden abgelehnt, wegen der Makro Thematik. Ebenso werden .exe Dateien und verschlüsselte .zip oder .rar Dateien abgelehnt, da diese nicht von unserer UTM gescannt werden können.
  • Wir haben weitestgehend versucht "Sammeluser" ala "Versand" abzuschaffen und jedem User einen eigenen Account angelegt, auch wenn der Aufschrei groß war.
  • Selbstverständlich Passwortkomplexitätsrichtlinien und eine Gültigkeit von 180 Tagen (Nicht speziell wegen Malware, aber schadet generell nicht.
  • Wir halten uns bzgl. Schwachstellen unserer Systeme auf dem Laufenden um diese Rechtzeitig patchen zu können.


Gruß
Matze
ArnoNymous
ArnoNymous 05.02.2020 um 20:48:12 Uhr
Goto Top
Moin,

1. ein funktionierendes Backup face-smile
2. Software Restriction Policys - quasi eine Whitelist von Programmen die ausgeführt werden dürfen. Macht anfangs viel Arbeit, aber hilft ungemein
3. Einen Virenscanner mit entsprechender Erkennung. Nein, für mich ist das kein Schlangenöl face-smile
4. Filterung von potentiell gefährlichen Anhängen in Mails
5. Webfilter
6. Sehr restriktive Userberechtigungen im Filesystem
7. Sinnvoll eingesetzte Systemkonten - keines muss Domänen-Admin sein, auch wenn es so schön einfach ist

Und ganz wichtig: Immer wieder die User sensibilisieren.

Gruß
Lochkartenstanzer
Lochkartenstanzer 05.02.2020 um 21:00:02 Uhr
Goto Top
Zitat von @scar71:

Die Umgebung basiert auf MS Servern + Clients.

Einfach rauswerfen und Alternativen einsetzen. Dann hat man einen großen Schritt in Richtung Malwareschutz getan. face-smile

lks
certifiedit.net
certifiedit.net 05.02.2020 um 21:17:30 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @scar71:

Die Umgebung basiert auf MS Servern + Clients.

Einfach rauswerfen und Alternativen einsetzen. Dann hat man einen großen Schritt in Richtung Malwareschutz getan. face-smile

lks

Ich sag nur Botnetzserver (basierend: Linux...)
NetzwerkDude
NetzwerkDude 05.02.2020 um 22:26:28 Uhr
Goto Top
Hat ja keiner nach Schutz gegen Botnetzserver gefragt :P