Whitelisting zur Trojanerabwehr

Mitglied: smartino

smartino (Level 1) - Jetzt verbinden

22.01.2016 um 12:14 Uhr, 1224 Aufrufe, 5 Kommentare

Hallo zusammen,

ich suche auf Grund der zunehmenden Trojaner/Cryptoware--Gefahr eine Möglichkeit, sowas zuverlässig abzuwehren. Traditionelle Virenschutzlösungen bieten da ja nur begrenzte Möglichkeiten. Backup hilft nur, wenn das Kind schon in den Brunnen gefallen ist.

Effektiv scheint mir Whitelisting zu sein. AppLocker oder auch Kaspersky kann sowas. Allerdings steigt dadurch der Administrationsaufwand enorm. Ich habe mir mal Seculution näher angeschaut. Das erscheint mir ein guter, wenngleich nicht ganz billiger Ansatz zu sein. Nun würden mich eure Gedanken zu dem Thema sehr interessieren.

Grüße, Thomas
Mitglied: michi1983
22.01.2016 um 12:40 Uhr
Zitat von @smartino:

Hallo zusammen,
Hallo

ich suche auf Grund der zunehmenden Trojaner/Cryptoware--Gefahr eine Möglichkeit, sowas zuverlässig abzuwehren.
Gibt es nicht. Da gehört mehr dazu, vor allem ein sicherheitsbewusstes Userverhalten.

Traditionelle Virenschutzlösungen bieten da ja nur begrenzte Möglichkeiten.
Bzw. gar nicht, denn ein Trojaner ist kein Virus.

Backup hilft nur, wenn das Kind schon in den Brunnen gefallen ist.
Das stimmt. Trotzdem essentiell.

Nun würden mich eure Gedanken zu dem Thema sehr interessieren.
Updates & Patches regelmäßig einspielen. Systeme auf dem aktuellen Stand halten. Virenscanner aktiv und aktuell halten.
User schulen nicht jeden Anhang jeder Mail zu öffnen und nicht alles im Netz anklicken was blinkt und Geld verspricht.

Es gibt noch viel mehr Möglichkeiten natürlich. Proxy Server mit whitgelisteten Dateiendungen.
Firewalls mit application inspection etc.

Grüße, Thomas
Gruß
Bitte warten ..
Mitglied: 117643
117643 (Level 2)
22.01.2016, aktualisiert um 13:03 Uhr
Wir setzten seit kurzem auf AppLocker und sind sehr zufrieden.
Allerdings sieht usner Whitelisting anders aus als du dir das eventuell ausgemalt hast.

Wir verbieten generell Anwendungen die in temporären Verzeichnissen abgelegt sind
oder
Wir erlauben grundsätzlich alles in C:\prog... C:\win (muss ja der Admin installieren) und verbieten den Usern zusätzlich
das ausführen von bestimmten Dateiendungen die dafür bekannt sind viren zu verteilen :-) face-smile

Beide Szenarien haben wir im Einsatz und ergreifen noch weitere Maßnahmen
die mein Vorredner auch schon angesprochen hat
Bitte warten ..
Mitglied: smartino
22.01.2016 um 13:42 Uhr
Danke für die Antwort.

Unsere "Virenschutzlösung" erkennt schon auch Trojaner. Ansonsten machen wir schon alles hinsichtlich Firewall, Dateiendungserkennung, Patche ... Nur hilft das nicht wirklich effektiv gegen viele Kryptotrojaner. Verhaltensüberwachung wie sie die meisten Virenschutzlösungen bietet helfen da zwar schon besser aber auch nur begrenzt. Der Hintergrund meiner Frage bezog sich daher auch eher auf den Aspekt des Whitelistings und inwiefern dort Erfahrungen vorhanden sind.

Grüße, Thomas
Bitte warten ..
Mitglied: smartino
22.01.2016 um 13:49 Uhr
Hallo Michael,

AppLocker setzen wir auch ein. Allerdings nicht so wie ihr, sondern aus Lizenztechnischen Gründen zur Unterstützung. Ich denke auch darüber nach, AppLocker auf bestimmte Verzeichnisse zu lassen. Beispielsweise Seculution allerdings geht da wesentlich weiter. Das komplette System; jedes Verzeichnis steht unter "Beobachtung". Keine Datei, deren Hashwert nicht bekannt ist, kann gestartet werden. Auch wen sich die Hashwerte vorhandener Dateien ändern, können sie nicht mehr starten. Dieses Konzept erscheint mir ziemlich wirksam. Auch Lumension geht da ähnliche Wege. Nur kenne ich niemanden, der sowas einsetzt.

Grüße, Thomas
Bitte warten ..
Mitglied: DerWoWusste
22.01.2016, aktualisiert um 22:17 Uhr
Hi.

Gedanken dazu? Es ist mit mehreren Ansätzen zuverlässig abwehrbar:
A Applocker/Software restriction policies ("Was darf starten?")
B Integrity levels ("welche Anwendung darf schreiben [ungeachtet der Userrechte]?")
C Was darf im Namen des Nutzers automatisch starten (Heises KAFU mal ansehen)

Der administrative Aufwand ist natürlich höher, wie bei jeder Sicherheitsmaßnahme.
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
Sicherheits-Update KB5001779 für Exchange 2013-2019
kgbornVor 1 TagInformationExchange Server9 Kommentare

Microsoft hat zum 13. April 2021 das Sicherheitsupdate KB5001779 für Exchange 2013-2019 veröffentlicht, um vier RCE-Schwachstellen zu schließen. Das Update sollte zeitnah installiert werden. ...

Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 23 StundenFrageFestplatten, SSD, Raid13 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Server
Server Anbieter mit 2 NICs gesucht
gelöst SilvergreenVor 1 TagFrageServer16 Kommentare

Hallo Community, ich bin auf der Suche nach einem Serveranbieter, der VPS/Cloud Server mit 2 Netzwerkkarten anbietet. Eine Internetsuche brache mich da leider nicht ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 23 StundenFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...