manu90
Goto Top

Unerwünschte Dateitypen auf Fileserver blockieren

hi zusammen,

im Zuge der ganzen cryptolocker Geschichten... habe ich mir überlegt ob es nicht danz einfach wäre wenn man dem Fileserver Share nur bestimmte Dateitypen erlauben würde...
da ich bis jetzt von drgl. Malware verschont wurde, bin ich mir aber nicht sicher obs helfen würde?!

aber ich gehe davon aus das die cryptos eine eigene Endung generieren... und wenn diese nicht erlaubt würde könnte er somit nicht schreiben oder?

danke für eure Tipps...

Content-ID: 331976

Url: https://administrator.de/forum/unerwuenschte-dateitypen-auf-fileserver-blockieren-331976.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

pewa2303
pewa2303 12.03.2017 um 12:25:12 Uhr
Goto Top
Die Lösung könnte der Fileserver Ressourcen Manager sein. Kann über den Servermanager installiert werden. Vielleicht hat jemand hier schon Erfahrungen damit.

Es macht aus meiner Sicht Sinn Dateitypen zu begrenzen.
tester2k5
tester2k5 12.03.2017 um 15:12:53 Uhr
Goto Top
Ein noch effizienter Ansatz währe Macros in allen Office Applikationen zu Deaktivieren und nur für vertrauenswürdige Speicherorte wie den eigenen Server(n) zu erlauben.


Das mit dem FSRM war zu Zeiten einer Black-List eine gute Option, da hier auch eine E-Mail-Benachrichtigung oder die Datei-Freigabe des Servers gestoppt werden konnte.

Nachdem nun Ransomware mit zufälligen Dateiendungen aufgetaucht ist, ist eine Black-List nicht mehr sicher.
Man sollte dann lieber zu einer White-List wechseln, was naturlich schnell zu Falschmeldungen führen kann, z.B. beim Kopieren einer CD-ROM / USB-Stick... Und somit vermehrt zu supportanfragen.
Aus Angreifer-Sicht könnte das Dokument weiterhin gelöscht oder als MEIN_DOCUMENT.[CRYPTED].[PAY_FOR_ME].DOCX gespeichert werden.


Eine andere Möglichkeit währe evtl. ein Schreibgeschütztes Laufwerk zur Verfügung zu stellen, wohin alle Daten älter als "x" verschoben werden.
Die Benutzer haben weiterhin Zugriff, nur sind die Daten dort vor Veränderung geschützt. Bei einer Notwendigen Wiederherstellung müssen nur die aktuellen Daten vom (täglichen) Backup wieder hergestellt werden, was dann deutlich schneller geht.


Es gibt noch andrere Möglichkeiten, die aber mit Aufwand und/oder Kosten verbunden sind (AppLocker, VM Replica, SPAM-Filter, Web-Filter, etc.)


Gruss,
tester2k5
108012
108012 12.03.2017 um 16:10:34 Uhr
Goto Top
Hallo,

mag sein dass es sogar funktionieren wird, nur ein regelmäßiges Backup aller Daten auf einen externen Datenträger wie
ein Band oder RDX Medium sind natürlich hinten und vorne damit nicht ersetzt. Und sicherlich sind auch ein AV Scanner
(ClamAV) auch nicht übel solchen Sachen entgegen zutreten.

Gruß
Dobby
emeriks
emeriks 15.03.2017 um 21:41:37 Uhr
Goto Top
Hi,
ein bisschen Google! Da gibs ne Menge Artikel zu diesem Thema.
z.B. Prevent ransomware by using FSRM
um nur einen zu nennen.

E.