4
Unerwünschte Dateitypen auf Fileserver blockieren
hi zusammen,
im Zuge der ganzen cryptolocker Geschichten... habe ich mir überlegt ob es nicht danz einfach wäre wenn man dem Fileserver Share nur bestimmte Dateitypen erlauben würde...
da ich bis jetzt von drgl. Malware verschont wurde, bin ich mir aber nicht sicher obs helfen würde?!
aber ich gehe davon aus das die cryptos eine eigene Endung generieren... und wenn diese nicht erlaubt würde könnte er somit nicht schreiben oder?
danke für eure Tipps...
im Zuge der ganzen cryptolocker Geschichten... habe ich mir überlegt ob es nicht danz einfach wäre wenn man dem Fileserver Share nur bestimmte Dateitypen erlauben würde...
da ich bis jetzt von drgl. Malware verschont wurde, bin ich mir aber nicht sicher obs helfen würde?!
aber ich gehe davon aus das die cryptos eine eigene Endung generieren... und wenn diese nicht erlaubt würde könnte er somit nicht schreiben oder?
danke für eure Tipps...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 331976
Url: https://administrator.de/contentid/331976
Printed on: April 24, 2024 at 00:04 o'clock
4 Comments
Latest comment
Die Lösung könnte der Fileserver Ressourcen Manager sein. Kann über den Servermanager installiert werden. Vielleicht hat jemand hier schon Erfahrungen damit.
Es macht aus meiner Sicht Sinn Dateitypen zu begrenzen.
Es macht aus meiner Sicht Sinn Dateitypen zu begrenzen.
Ein noch effizienter Ansatz währe Macros in allen Office Applikationen zu Deaktivieren und nur für vertrauenswürdige Speicherorte wie den eigenen Server(n) zu erlauben.
Das mit dem FSRM war zu Zeiten einer Black-List eine gute Option, da hier auch eine E-Mail-Benachrichtigung oder die Datei-Freigabe des Servers gestoppt werden konnte.
Nachdem nun Ransomware mit zufälligen Dateiendungen aufgetaucht ist, ist eine Black-List nicht mehr sicher.
Man sollte dann lieber zu einer White-List wechseln, was naturlich schnell zu Falschmeldungen führen kann, z.B. beim Kopieren einer CD-ROM / USB-Stick... Und somit vermehrt zu supportanfragen.
Aus Angreifer-Sicht könnte das Dokument weiterhin gelöscht oder als MEIN_DOCUMENT.[CRYPTED].[PAY_FOR_ME].DOCX gespeichert werden.
Eine andere Möglichkeit währe evtl. ein Schreibgeschütztes Laufwerk zur Verfügung zu stellen, wohin alle Daten älter als "x" verschoben werden.
Die Benutzer haben weiterhin Zugriff, nur sind die Daten dort vor Veränderung geschützt. Bei einer Notwendigen Wiederherstellung müssen nur die aktuellen Daten vom (täglichen) Backup wieder hergestellt werden, was dann deutlich schneller geht.
Es gibt noch andrere Möglichkeiten, die aber mit Aufwand und/oder Kosten verbunden sind (AppLocker, VM Replica, SPAM-Filter, Web-Filter, etc.)
Gruss,
tester2k5
Das mit dem FSRM war zu Zeiten einer Black-List eine gute Option, da hier auch eine E-Mail-Benachrichtigung oder die Datei-Freigabe des Servers gestoppt werden konnte.
Nachdem nun Ransomware mit zufälligen Dateiendungen aufgetaucht ist, ist eine Black-List nicht mehr sicher.
Man sollte dann lieber zu einer White-List wechseln, was naturlich schnell zu Falschmeldungen führen kann, z.B. beim Kopieren einer CD-ROM / USB-Stick... Und somit vermehrt zu supportanfragen.
Aus Angreifer-Sicht könnte das Dokument weiterhin gelöscht oder als MEIN_DOCUMENT.[CRYPTED].[PAY_FOR_ME].DOCX gespeichert werden.
Eine andere Möglichkeit währe evtl. ein Schreibgeschütztes Laufwerk zur Verfügung zu stellen, wohin alle Daten älter als "x" verschoben werden.
Die Benutzer haben weiterhin Zugriff, nur sind die Daten dort vor Veränderung geschützt. Bei einer Notwendigen Wiederherstellung müssen nur die aktuellen Daten vom (täglichen) Backup wieder hergestellt werden, was dann deutlich schneller geht.
Es gibt noch andrere Möglichkeiten, die aber mit Aufwand und/oder Kosten verbunden sind (AppLocker, VM Replica, SPAM-Filter, Web-Filter, etc.)
Gruss,
tester2k5
Hallo,
mag sein dass es sogar funktionieren wird, nur ein regelmäßiges Backup aller Daten auf einen externen Datenträger wie
ein Band oder RDX Medium sind natürlich hinten und vorne damit nicht ersetzt. Und sicherlich sind auch ein AV Scanner
(ClamAV) auch nicht übel solchen Sachen entgegen zutreten.
Gruß
Dobby
mag sein dass es sogar funktionieren wird, nur ein regelmäßiges Backup aller Daten auf einen externen Datenträger wie
ein Band oder RDX Medium sind natürlich hinten und vorne damit nicht ersetzt. Und sicherlich sind auch ein AV Scanner
(ClamAV) auch nicht übel solchen Sachen entgegen zutreten.
Gruß
Dobby
Hi,
ein bisschen Google! Da gibs ne Menge Artikel zu diesem Thema.
z.B. Prevent ransomware by using FSRM
um nur einen zu nennen.
E.
ein bisschen Google! Da gibs ne Menge Artikel zu diesem Thema.
z.B. Prevent ransomware by using FSRM
um nur einen zu nennen.
E.
