5
Whitelisting zur Trojanerabwehr
Hallo zusammen,
ich suche auf Grund der zunehmenden Trojaner/Cryptoware--Gefahr eine Möglichkeit, sowas zuverlässig abzuwehren. Traditionelle Virenschutzlösungen bieten da ja nur begrenzte Möglichkeiten. Backup hilft nur, wenn das Kind schon in den Brunnen gefallen ist.
Effektiv scheint mir Whitelisting zu sein. AppLocker oder auch Kaspersky kann sowas. Allerdings steigt dadurch der Administrationsaufwand enorm. Ich habe mir mal Seculution näher angeschaut. Das erscheint mir ein guter, wenngleich nicht ganz billiger Ansatz zu sein. Nun würden mich eure Gedanken zu dem Thema sehr interessieren.
Grüße, Thomas
ich suche auf Grund der zunehmenden Trojaner/Cryptoware--Gefahr eine Möglichkeit, sowas zuverlässig abzuwehren. Traditionelle Virenschutzlösungen bieten da ja nur begrenzte Möglichkeiten. Backup hilft nur, wenn das Kind schon in den Brunnen gefallen ist.
Effektiv scheint mir Whitelisting zu sein. AppLocker oder auch Kaspersky kann sowas. Allerdings steigt dadurch der Administrationsaufwand enorm. Ich habe mir mal Seculution näher angeschaut. Das erscheint mir ein guter, wenngleich nicht ganz billiger Ansatz zu sein. Nun würden mich eure Gedanken zu dem Thema sehr interessieren.
Grüße, Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 293894
Url: https://administrator.de/contentid/293894
Printed on: April 24, 2024 at 12:04 o'clock
5 Comments
Latest comment
Hallo
User schulen nicht jeden Anhang jeder Mail zu öffnen und nicht alles im Netz anklicken was blinkt und Geld verspricht.
Es gibt noch viel mehr Möglichkeiten natürlich. Proxy Server mit whitgelisteten Dateiendungen.
Firewalls mit application inspection etc.
ich suche auf Grund der zunehmenden Trojaner/Cryptoware--Gefahr eine Möglichkeit, sowas zuverlässig abzuwehren.
Gibt es nicht. Da gehört mehr dazu, vor allem ein sicherheitsbewusstes Userverhalten.Traditionelle Virenschutzlösungen bieten da ja nur begrenzte Möglichkeiten.
Bzw. gar nicht, denn ein Trojaner ist kein Virus.Backup hilft nur, wenn das Kind schon in den Brunnen gefallen ist.
Das stimmt. Trotzdem essentiell. Nun würden mich eure Gedanken zu dem Thema sehr interessieren.
Updates & Patches regelmäßig einspielen. Systeme auf dem aktuellen Stand halten. Virenscanner aktiv und aktuell halten.User schulen nicht jeden Anhang jeder Mail zu öffnen und nicht alles im Netz anklicken was blinkt und Geld verspricht.
Es gibt noch viel mehr Möglichkeiten natürlich. Proxy Server mit whitgelisteten Dateiendungen.
Firewalls mit application inspection etc.
Grüße, Thomas
Gruß
Wir setzten seit kurzem auf AppLocker und sind sehr zufrieden.
Allerdings sieht usner Whitelisting anders aus als du dir das eventuell ausgemalt hast.
Wir verbieten generell Anwendungen die in temporären Verzeichnissen abgelegt sind
oder
Wir erlauben grundsätzlich alles in C:\prog... C:\win (muss ja der Admin installieren) und verbieten den Usern zusätzlich
das ausführen von bestimmten Dateiendungen die dafür bekannt sind viren zu verteilen
Beide Szenarien haben wir im Einsatz und ergreifen noch weitere Maßnahmen
die mein Vorredner auch schon angesprochen hat
Allerdings sieht usner Whitelisting anders aus als du dir das eventuell ausgemalt hast.
Wir verbieten generell Anwendungen die in temporären Verzeichnissen abgelegt sind
oder
Wir erlauben grundsätzlich alles in C:\prog... C:\win (muss ja der Admin installieren) und verbieten den Usern zusätzlich
das ausführen von bestimmten Dateiendungen die dafür bekannt sind viren zu verteilen
Beide Szenarien haben wir im Einsatz und ergreifen noch weitere Maßnahmen
die mein Vorredner auch schon angesprochen hat
Danke für die Antwort.
Unsere "Virenschutzlösung" erkennt schon auch Trojaner. Ansonsten machen wir schon alles hinsichtlich Firewall, Dateiendungserkennung, Patche ... Nur hilft das nicht wirklich effektiv gegen viele Kryptotrojaner. Verhaltensüberwachung wie sie die meisten Virenschutzlösungen bietet helfen da zwar schon besser aber auch nur begrenzt. Der Hintergrund meiner Frage bezog sich daher auch eher auf den Aspekt des Whitelistings und inwiefern dort Erfahrungen vorhanden sind.
Grüße, Thomas
Unsere "Virenschutzlösung" erkennt schon auch Trojaner. Ansonsten machen wir schon alles hinsichtlich Firewall, Dateiendungserkennung, Patche ... Nur hilft das nicht wirklich effektiv gegen viele Kryptotrojaner. Verhaltensüberwachung wie sie die meisten Virenschutzlösungen bietet helfen da zwar schon besser aber auch nur begrenzt. Der Hintergrund meiner Frage bezog sich daher auch eher auf den Aspekt des Whitelistings und inwiefern dort Erfahrungen vorhanden sind.
Grüße, Thomas
Hallo Michael,
AppLocker setzen wir auch ein. Allerdings nicht so wie ihr, sondern aus Lizenztechnischen Gründen zur Unterstützung. Ich denke auch darüber nach, AppLocker auf bestimmte Verzeichnisse zu lassen. Beispielsweise Seculution allerdings geht da wesentlich weiter. Das komplette System; jedes Verzeichnis steht unter "Beobachtung". Keine Datei, deren Hashwert nicht bekannt ist, kann gestartet werden. Auch wen sich die Hashwerte vorhandener Dateien ändern, können sie nicht mehr starten. Dieses Konzept erscheint mir ziemlich wirksam. Auch Lumension geht da ähnliche Wege. Nur kenne ich niemanden, der sowas einsetzt.
Grüße, Thomas
AppLocker setzen wir auch ein. Allerdings nicht so wie ihr, sondern aus Lizenztechnischen Gründen zur Unterstützung. Ich denke auch darüber nach, AppLocker auf bestimmte Verzeichnisse zu lassen. Beispielsweise Seculution allerdings geht da wesentlich weiter. Das komplette System; jedes Verzeichnis steht unter "Beobachtung". Keine Datei, deren Hashwert nicht bekannt ist, kann gestartet werden. Auch wen sich die Hashwerte vorhandener Dateien ändern, können sie nicht mehr starten. Dieses Konzept erscheint mir ziemlich wirksam. Auch Lumension geht da ähnliche Wege. Nur kenne ich niemanden, der sowas einsetzt.
Grüße, Thomas
Hi.
Gedanken dazu? Es ist mit mehreren Ansätzen zuverlässig abwehrbar:
A Applocker/Software restriction policies ("Was darf starten?")
B Integrity levels ("welche Anwendung darf schreiben [ungeachtet der Userrechte]?")
C Was darf im Namen des Nutzers automatisch starten (Heises KAFU mal ansehen)
Der administrative Aufwand ist natürlich höher, wie bei jeder Sicherheitsmaßnahme.
Gedanken dazu? Es ist mit mehreren Ansätzen zuverlässig abwehrbar:
A Applocker/Software restriction policies ("Was darf starten?")
B Integrity levels ("welche Anwendung darf schreiben [ungeachtet der Userrechte]?")
C Was darf im Namen des Nutzers automatisch starten (Heises KAFU mal ansehen)
Der administrative Aufwand ist natürlich höher, wie bei jeder Sicherheitsmaßnahme.
