smartino
Goto Top

TrendMicro bestimmte exe sperren

Hallo zusammen,

TrendMicro hat ein schönes Feature, daß man unter Verhaltensüberwachung bestimmte Programme für die Ausführung sperren kann. Das funktioniert insofern ganz prima, sobald die zu sperrende exe kein Leerzeichen im Namen hat. Man kann solch eine exe - zum Beispiel Move Mouse.exe - erst gar nicht in die zu sperren Liste eintragen. Das Leerzeichen wird sodann sofort entfernt und die Regel ist wirkungslos.

Gibt es also eine Möglichkeit, daß ich TrendMicro an dieser Stelle ein Leerzeichen beibringen kann?

Grüße, Thomas

Content-ID: 247468

Url: https://administrator.de/forum/trendmicro-bestimmte-exe-sperren-247468.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

gemini
gemini 26.08.2014 um 18:47:08 Uhr
Goto Top
Hallo Thomas,

hast du schon mal versucht, den Eintrag in "Anführungszeichen" zu setzen?

Ist schon ne Weile her dass ich mit TrendMicro (WFBS) zu tun hatte. Aber von damals sind mir noch ganz gute Erfahrungen mit dem TM-Support in Erinnerung.

Gruß,
gemini
108012
108012 26.08.2014 um 19:03:50 Uhr
Goto Top
Hallo,

man kann zusätzlich auch noch versuchen die Move Mouse.exe in die Liste der zu sperrenden
Dienste zu installieren, eventuell bringt das ja auch etwas.

Gruß
Dobby
Snowman25
Snowman25 27.08.2014 um 10:05:15 Uhr
Goto Top
Hallo Thomas,

und sobald die "Move Mouse.exe" zu "Move Mouse2.exe" umbenannt wird, kann sie wieder verwendet werden.
Dieser "Schutz" ist noch schlechter als der von MAC-Adressfilterung.

Besser wäre, du könntest die Anwendung über einen Hash sperren oder durch andere Maßnahmen deinen Mitarbeitern verbieten, die Move Mouse.exe zum Untergraben der automatischen Sperrung zu verwenden. Zum Beispiel arbeitsrechtliche Maßnahmen durch Umgehung der mandatorischen Schutzeinrichtungen.

Gruß,
@Snowman25
smartino
smartino 27.08.2014 um 10:21:52 Uhr
Goto Top
Dienste sperren per GPO? Habe ich probiert. Funktioniert leider nicht. Dienst in TrendMicro zu sperren habe ich nicht gefunden.

Grüße, Thomas
smartino
smartino 27.08.2014 um 10:25:50 Uhr
Goto Top
Jep, Hash sperren wäre am besten. Dazu gibt es ja den Aplocker. Dummerweise braucht man dafür auf Clientseite Windows Enterprise. Versucht, daß Problem organisatorisch bzw. per Anweisung zu lösen haben wir schon aber mit Anweisungen ist das eben immer so eine Sache. Bei manchen klappt, bei manchen nicht. Technische Lösung wäre mir daher lieber.

Einfaches Umbenennen; ja - ein einfaches Dateisperren kann das mit sich bringen. Aber es würde dennoch bei sehr vielen wirken.

Grüße, Thomas
smartino
smartino 27.08.2014 um 10:27:15 Uhr
Goto Top
Anführungszeichen sind in TM leider verbotene Zeichen. Den Support werde ich mal kontaktieren; weil es ist ja schon merkwürdig, daß es nicht gehen soll, exen mit Leerzeichen nicht zu sperren. So selten kommt das doch nicht vor.

Grüße, Thomas
Snowman25
Snowman25 27.08.2014 um 10:29:09 Uhr
Goto Top
Zitat von @smartino:

[...] Problem organisatorisch bzw. per Anweisung zu lösen haben wir schon aber mit Anweisungen ist
das eben immer so eine Sache. Bei manchen klappt, bei manchen nicht.
Natürlich muss man die Androhung dann auch durchziehen bzw. dem Vorgesetzten melden. Soll heißen: MItarbeiter von hoher Stelle verwarnen, etc.
Snowman25
Snowman25 27.08.2014 um 10:30:54 Uhr
Goto Top
Zitat von @smartino:

Anführungszeichen sind in TM leider verbotene Zeichen. Den Support werde ich mal kontaktieren; weil es ist ja schon
merkwürdig, daß es nicht gehen soll, exen mit Leerzeichen nicht zu sperren. So selten kommt das doch nicht vor.

Laut TrendMicro-Doku musst du spaces als \s schreiben.
smartino
smartino 27.08.2014 um 11:58:28 Uhr
Goto Top
also beispielsweise C:\move\smouse.exe?

Hmm, sieht merkwürdig aus aber ich probiers mal.
smartino
smartino 27.08.2014 um 12:00:10 Uhr
Goto Top
ja, kann man alles machen; ist aber dennoch viel zu aufwendig, jedem hinterherzurennen und auf Einhaltung zu pochen und gibt nach meiner Erfahrung nur Ärger. Technische Lösungen für Restriktionen sind letztendlich viel einfacher durchzusetzen.
smartino
smartino 27.08.2014 um 12:02:23 Uhr
Goto Top
habs probiert - funktioniert so nicht. Exe läßt sich nach wie vor aufrufen.