Unerwünschte Dateitypen auf Fileserver blockieren
hi zusammen,
im Zuge der ganzen cryptolocker Geschichten... habe ich mir überlegt ob es nicht danz einfach wäre wenn man dem Fileserver Share nur bestimmte Dateitypen erlauben würde...
da ich bis jetzt von drgl. Malware verschont wurde, bin ich mir aber nicht sicher obs helfen würde?!
aber ich gehe davon aus das die cryptos eine eigene Endung generieren... und wenn diese nicht erlaubt würde könnte er somit nicht schreiben oder?
danke für eure Tipps...
im Zuge der ganzen cryptolocker Geschichten... habe ich mir überlegt ob es nicht danz einfach wäre wenn man dem Fileserver Share nur bestimmte Dateitypen erlauben würde...
da ich bis jetzt von drgl. Malware verschont wurde, bin ich mir aber nicht sicher obs helfen würde?!
aber ich gehe davon aus das die cryptos eine eigene Endung generieren... und wenn diese nicht erlaubt würde könnte er somit nicht schreiben oder?
danke für eure Tipps...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 331976
Url: https://administrator.de/forum/unerwuenschte-dateitypen-auf-fileserver-blockieren-331976.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
4 Kommentare
Neuester Kommentar
Ein noch effizienter Ansatz währe Macros in allen Office Applikationen zu Deaktivieren und nur für vertrauenswürdige Speicherorte wie den eigenen Server(n) zu erlauben.
Das mit dem FSRM war zu Zeiten einer Black-List eine gute Option, da hier auch eine E-Mail-Benachrichtigung oder die Datei-Freigabe des Servers gestoppt werden konnte.
Nachdem nun Ransomware mit zufälligen Dateiendungen aufgetaucht ist, ist eine Black-List nicht mehr sicher.
Man sollte dann lieber zu einer White-List wechseln, was naturlich schnell zu Falschmeldungen führen kann, z.B. beim Kopieren einer CD-ROM / USB-Stick... Und somit vermehrt zu supportanfragen.
Aus Angreifer-Sicht könnte das Dokument weiterhin gelöscht oder als MEIN_DOCUMENT.[CRYPTED].[PAY_FOR_ME].DOCX gespeichert werden.
Eine andere Möglichkeit währe evtl. ein Schreibgeschütztes Laufwerk zur Verfügung zu stellen, wohin alle Daten älter als "x" verschoben werden.
Die Benutzer haben weiterhin Zugriff, nur sind die Daten dort vor Veränderung geschützt. Bei einer Notwendigen Wiederherstellung müssen nur die aktuellen Daten vom (täglichen) Backup wieder hergestellt werden, was dann deutlich schneller geht.
Es gibt noch andrere Möglichkeiten, die aber mit Aufwand und/oder Kosten verbunden sind (AppLocker, VM Replica, SPAM-Filter, Web-Filter, etc.)
Gruss,
tester2k5
Das mit dem FSRM war zu Zeiten einer Black-List eine gute Option, da hier auch eine E-Mail-Benachrichtigung oder die Datei-Freigabe des Servers gestoppt werden konnte.
Nachdem nun Ransomware mit zufälligen Dateiendungen aufgetaucht ist, ist eine Black-List nicht mehr sicher.
Man sollte dann lieber zu einer White-List wechseln, was naturlich schnell zu Falschmeldungen führen kann, z.B. beim Kopieren einer CD-ROM / USB-Stick... Und somit vermehrt zu supportanfragen.
Aus Angreifer-Sicht könnte das Dokument weiterhin gelöscht oder als MEIN_DOCUMENT.[CRYPTED].[PAY_FOR_ME].DOCX gespeichert werden.
Eine andere Möglichkeit währe evtl. ein Schreibgeschütztes Laufwerk zur Verfügung zu stellen, wohin alle Daten älter als "x" verschoben werden.
Die Benutzer haben weiterhin Zugriff, nur sind die Daten dort vor Veränderung geschützt. Bei einer Notwendigen Wiederherstellung müssen nur die aktuellen Daten vom (täglichen) Backup wieder hergestellt werden, was dann deutlich schneller geht.
Es gibt noch andrere Möglichkeiten, die aber mit Aufwand und/oder Kosten verbunden sind (AppLocker, VM Replica, SPAM-Filter, Web-Filter, etc.)
Gruss,
tester2k5
Hallo,
mag sein dass es sogar funktionieren wird, nur ein regelmäßiges Backup aller Daten auf einen externen Datenträger wie
ein Band oder RDX Medium sind natürlich hinten und vorne damit nicht ersetzt. Und sicherlich sind auch ein AV Scanner
(ClamAV) auch nicht übel solchen Sachen entgegen zutreten.
Gruß
Dobby
mag sein dass es sogar funktionieren wird, nur ein regelmäßiges Backup aller Daten auf einen externen Datenträger wie
ein Band oder RDX Medium sind natürlich hinten und vorne damit nicht ersetzt. Und sicherlich sind auch ein AV Scanner
(ClamAV) auch nicht übel solchen Sachen entgegen zutreten.
Gruß
Dobby
Hi,
ein bisschen Google! Da gibs ne Menge Artikel zu diesem Thema.
z.B. Prevent ransomware by using FSRM
um nur einen zu nennen.
E.
ein bisschen Google! Da gibs ne Menge Artikel zu diesem Thema.
z.B. Prevent ransomware by using FSRM
um nur einen zu nennen.
E.