11
Verhindern der Ausführung von Locky Ramsomware durch AppLocker
Hallo zusammen,
um die Ausführung der zur Zeit im Umlauf kursierenden Locky Ransomware habe ich den AppLocker per GPO auf einigen Testrechnern aktiviert. Jeder *.exe wird es untersagt aus dem %appdata% Ordner ausgeführt zu werden. Das funktioniert auch wunderbar. Nun habe ich das Problem, dass unter Win8.1 und Win10 keine App mehr auf der Kacheloberfläche gestartet werden kann, mit eben der Begründung , dass der Administrator das Ausführen untersagt. Für eine explizite Software konnte ich eine Ausnahme per Pfad einrichten -> funktioniert. Nur die Apps auf der Kacheloberfläche werden noch immer gesperrt...
Habt ihr da eine Idee?
Danke im Voraus!
um die Ausführung der zur Zeit im Umlauf kursierenden Locky Ransomware habe ich den AppLocker per GPO auf einigen Testrechnern aktiviert. Jeder *.exe wird es untersagt aus dem %appdata% Ordner ausgeführt zu werden. Das funktioniert auch wunderbar. Nun habe ich das Problem, dass unter Win8.1 und Win10 keine App mehr auf der Kacheloberfläche gestartet werden kann, mit eben der Begründung , dass der Administrator das Ausführen untersagt. Für eine explizite Software konnte ich eine Ausnahme per Pfad einrichten -> funktioniert. Nur die Apps auf der Kacheloberfläche werden noch immer gesperrt...
Habt ihr da eine Idee?
Danke im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 297218
Url: https://administrator.de/contentid/297218
Printed on: April 18, 2024 at 21:04 o'clock
11 Comments
Latest comment
Geht es nur um Bestimmte Apps die nicht ausgeführt werden dürfen ?
VG
Hanuta
VG
Hanuta
Hi Hanuta,
danke für deine Antwort.
es geht darum, dass wir uns vor unerwünschter Software, die sich im AppData Ordner ablegt, schützen. Daher ist das Ausführen aller *.exe in dem rdner untersagt.
Das die Apps nicht ausgeführt werden können (alle auf der Kacheloberfläche), ist eher ein negativer Nebeneffekt... Den würde ich gerne abstellen.
Gruß Dome
danke für deine Antwort.
es geht darum, dass wir uns vor unerwünschter Software, die sich im AppData Ordner ablegt, schützen. Daher ist das Ausführen aller *.exe in dem rdner untersagt.
Das die Apps nicht ausgeführt werden können (alle auf der Kacheloberfläche), ist eher ein negativer Nebeneffekt... Den würde ich gerne abstellen.
Gruß Dome
Im Appdata Ordner werden von Anwendungen div. Daten abgelegt, die von diesen Anwendungen benötigt werden.
Von daher, da Kacheln ja auch .exe sind (Oder öffnen)...können Sie dann auch nicht mehr ausgeführt werden.
Der Locky wird ja über ein VBA Makro ausgeführt, ist es nicht sinnvoller, nur Signierte Makros zu vertrauen ?
VG
Hanuta
Von daher, da Kacheln ja auch .exe sind (Oder öffnen)...können Sie dann auch nicht mehr ausgeführt werden.
Der Locky wird ja über ein VBA Makro ausgeführt, ist es nicht sinnvoller, nur Signierte Makros zu vertrauen ?
VG
Hanuta
Jo, Daten und Config-Dateien werden dort abgelegt. Aber ne exe muss da nicht liegen ;)
Die Kacheln werden irgendwie mit über den Explorer.exe ausgeführt. Also ich meine diese Built-in Apps (Kalender, Fotos, Finanzen,...)
Wir haben bisher ne Hand voll Fälle gehabt, wo Benutzer blindlinks auf einen per Mail geschickten Link geklickt und sich dadurch den Locky eingefangen haben. In jedem Fall war es eine *.exe im AppData Ordner... Ob die dort nun durch ein Script oder einen angeklickten Link hinkommt, dürfte demnach ja egal sein.
Ich möchte nur nicht, dass die Built-in Apps davon betroffen sind. Ich könnte einen Pfad aus der GPO ausschließen, aber dafür bräuchte ich erstmal Einen. ;)
Gruß Dome
Die Kacheln werden irgendwie mit über den Explorer.exe ausgeführt. Also ich meine diese Built-in Apps (Kalender, Fotos, Finanzen,...)
Wir haben bisher ne Hand voll Fälle gehabt, wo Benutzer blindlinks auf einen per Mail geschickten Link geklickt und sich dadurch den Locky eingefangen haben. In jedem Fall war es eine *.exe im AppData Ordner... Ob die dort nun durch ein Script oder einen angeklickten Link hinkommt, dürfte demnach ja egal sein.
Ich möchte nur nicht, dass die Built-in Apps davon betroffen sind. Ich könnte einen Pfad aus der GPO ausschließen, aber dafür bräuchte ich erstmal Einen. ;)
Gruß Dome
Benutzt ihr die Buletin Apps ?
Wir haben auch win10 und haben gleich alle Bulletin Apps runtergeschmissen...(Also das was geht)
Naja ganz egal, wie die .exe da hin kommt ist es ja nicht...wenn die durch einen vbs skript da hinkommt, kannst du das durch vertrauenswürde skipts zulassen ausgrenzen und das Problem hätte sich erledigt.
Aber der Locky wird doch schon von vielen Antivir-Programmen erkannt und gelöscht...
https://www.virustotal.com/de/file/3eb1e97e1bd96b919170c0439307a326aa28a ...
VG
Hanuta
Wir haben auch win10 und haben gleich alle Bulletin Apps runtergeschmissen...(Also das was geht)
Naja ganz egal, wie die .exe da hin kommt ist es ja nicht...wenn die durch einen vbs skript da hinkommt, kannst du das durch vertrauenswürde skipts zulassen ausgrenzen und das Problem hätte sich erledigt.
Aber der Locky wird doch schon von vielen Antivir-Programmen erkannt und gelöscht...
https://www.virustotal.com/de/file/3eb1e97e1bd96b919170c0439307a326aa28a ...
VG
Hanuta
Ne, benutzen nicht wirklich aktiv...
Aber mit der Einschräunkung durch den AppLocker ist es bei Win10 so, dass auch die Tasksymbole nicht geöffnet werden können (Wlan anzeigen, Soundbar, etc. ). Bei in 8.1 geht das aber ;)
Und lustiger weise ist es jetzt so, dass ich trotz deaktivierter Richtlinie und rückgängig gemachter Einstellungen die Apps noch immer nicht wieder ausführen kann...
Gruß Dome
Aber mit der Einschräunkung durch den AppLocker ist es bei Win10 so, dass auch die Tasksymbole nicht geöffnet werden können (Wlan anzeigen, Soundbar, etc. ). Bei in 8.1 geht das aber ;)
Und lustiger weise ist es jetzt so, dass ich trotz deaktivierter Richtlinie und rückgängig gemachter Einstellungen die Apps noch immer nicht wieder ausführen kann...
Gruß Dome
Dann schmeis den Käse doch einfach runter 
http://www.deskmodder.de/wiki/index.php/Windows_10_Apps_entfernen_deins ...
hmm..warte mal ein bisschen bis er die GPOs gezogen hat oder:
gpupdate /force
damit er sich sofort aktualisiert
http://www.deskmodder.de/wiki/index.php/Windows_10_Apps_entfernen_deins ...
hmm..warte mal ein bisschen bis er die GPOs gezogen hat oder:
gpupdate /force
damit er sich sofort aktualisiert
Normalerweise fallen alle Apps bei Windows 8.1 und Windows 10 unter die "Packaged app Rules" und EXE-Dateien unter "Executable Rules". D.h. du kannst alle EXE-Dateien aus %appdata% sperren und trotzdem alle Apps erlauben. Funktioniert bei uns seit über einem Jahr problemlos.
Ich weiß auch nicht, wo das genau schief gelaufen ist.
Allerdings funktioniert es jetzt so, wie ich es haben möchte.
Deny alle *.exe außer die Ausnahmen (%OSDRIVE%\users\*\appdata\Local/Roaming\"Ausnahme"\*
Zudem habe ich bei mir (Win8.1) local eine Packaged App-Richtlinie angelegt (automaitsch die erkannten Apps), exportiert und am DC eingespielt.
Damit funktioniert es jetzt sauber.
Besten Dank!
Gruß Dome
Allerdings funktioniert es jetzt so, wie ich es haben möchte.
Deny alle *.exe außer die Ausnahmen (%OSDRIVE%\users\*\appdata\Local/Roaming\"Ausnahme"\*
Zudem habe ich bei mir (Win8.1) local eine Packaged App-Richtlinie angelegt (automaitsch die erkannten Apps), exportiert und am DC eingespielt.
Damit funktioniert es jetzt sauber.
Besten Dank!
Gruß Dome
Hi.
Applocker schreibt in sein eigenes Log, schau rein und pass die Regeln dementsprechend an. https://technet.microsoft.com/en-us/library/ee791749(v=ws.10).aspx
Applocker schreibt in sein eigenes Log, schau rein und pass die Regeln dementsprechend an. https://technet.microsoft.com/en-us/library/ee791749(v=ws.10).aspx
Moin
und besten Dank! Mit den expliziten Logs lässt sich natürlich etwas mehr anfangen.
Ich habe jetzt auch mit Win10 lokal die Richtlinie angelegt, exportiert und mit der aktuellen kombiniert. Zusammen habe ich diese dann wieder eingespielt, gpupdate und schon funktioniert es. Es kann so einfach sein ;)
Besten Dank für Eure Hilfe!
Gruß Dome
und besten Dank! Mit den expliziten Logs lässt sich natürlich etwas mehr anfangen.
Ich habe jetzt auch mit Win10 lokal die Richtlinie angelegt, exportiert und mit der aktuellen kombiniert. Zusammen habe ich diese dann wieder eingespielt, gpupdate und schon funktioniert es. Es kann so einfach sein ;)
Besten Dank für Eure Hilfe!
Gruß Dome
