30
Wie geht Ihr heute mit der Locky-Gefahr (wg. Office-Anhängen in Mails) um?
Hallo.
Ich bin der IT-Systembetreuer einer süddeutschen, nicht allzu großen Gemeindeverwaltung (gerade so groß, daß ein hauptamtlicher/hauptberuflicher Admin mit Rathaus, Außenstellen und einer Schule mit 40 Lehrern und max. 400 Schülern zu rechtfertigen ist).
Als sich vor circa 2 Jahren Locky und ähnliche Ransomwares erstmals richtig durschlagend auf den Weg machten (und z. B. ganze Krankenhäuser lahmlegten), sind wir natürlich hellhörig geworden. Schon bald zeigte sich, daß die allermeisten Ransomware-Infektionen per Microsoft-Office-Dateien (als Mailanhänge) den Weg in die Netzwerke fanden.
Trotz Einsatz eines Enterprise-Anti-Malware-Produktes (TrendMicro WFBS Advanced) haben wir damals nicht lange gefackelt und schlichtweg am Exchange alle MS-Office-Anhänge abgelehnt, die Absender erhalten seither einen NDR, in dem drinnen steht, daß sie stattdessen ein PDF senden mögen.
Das hat bis heute erstaunlich gut geklappt, zumindest diejenigen Absender, die den NDR kriegen und auch lesen (!), senden danach ein PDF. Diejenigen, die den NDR entweder nicht kriegen, nicht lesen oder nicht kapieren, rufen dann halt an, ob, wie und warum wir auf seine Mail nicht reagieren. Die kriegen es dann tel. erklärt.
Wie gesagt, bis heute funktioniert das, doch nun regt sich allmählich Kritik (von der Bevölkerung, von anderen Behörden, von unseren eigenen Kommunalpolitikern), und diesen Druck kriege ich jetzt ab, leider auch von der Behörden- und Geschäftsleitung, ob es denn da nicht mittlerweile eine Lösung gäbe, bei der man nicht kategorisch alle Mails mit Office-Anhängen ablehnen müsse.
TrendMicro hat den WFBS mittlerweile ziemlich aufgemantelt, in nahezu jedem Patch steht was von Ransomwareschutz drin, aber so richtig sicher fühle ich mich nach wie vor nur mit der Sperre.
Wie oben genannt, der Druck wird jetzt größer, und ich brauche eine Lösung, die so sicher ist wie möglich, dabei aber beherrsch- und bezahlbar bleibt.
Ich habe nun vor, an allen Clients und Servern zusätzlich zu TM WFBS das Produkt Anti-Ransomware von Malwarebytes einzusetzen.
Weiß jemand, ob dieses parallel neben WFBS speicherresident existieren darf, ohne daß sich die beiden beeinträchtigen oder den Rechner zu sehr verlangsamen oder gar lahmlegen? Hat das jemand nebeneinander im Einsatz?
Viele Grüße
von
departure69
Ich bin der IT-Systembetreuer einer süddeutschen, nicht allzu großen Gemeindeverwaltung (gerade so groß, daß ein hauptamtlicher/hauptberuflicher Admin mit Rathaus, Außenstellen und einer Schule mit 40 Lehrern und max. 400 Schülern zu rechtfertigen ist).
Als sich vor circa 2 Jahren Locky und ähnliche Ransomwares erstmals richtig durschlagend auf den Weg machten (und z. B. ganze Krankenhäuser lahmlegten), sind wir natürlich hellhörig geworden. Schon bald zeigte sich, daß die allermeisten Ransomware-Infektionen per Microsoft-Office-Dateien (als Mailanhänge) den Weg in die Netzwerke fanden.
Trotz Einsatz eines Enterprise-Anti-Malware-Produktes (TrendMicro WFBS Advanced) haben wir damals nicht lange gefackelt und schlichtweg am Exchange alle MS-Office-Anhänge abgelehnt, die Absender erhalten seither einen NDR, in dem drinnen steht, daß sie stattdessen ein PDF senden mögen.
Das hat bis heute erstaunlich gut geklappt, zumindest diejenigen Absender, die den NDR kriegen und auch lesen (!), senden danach ein PDF. Diejenigen, die den NDR entweder nicht kriegen, nicht lesen oder nicht kapieren, rufen dann halt an, ob, wie und warum wir auf seine Mail nicht reagieren. Die kriegen es dann tel. erklärt.
Wie gesagt, bis heute funktioniert das, doch nun regt sich allmählich Kritik (von der Bevölkerung, von anderen Behörden, von unseren eigenen Kommunalpolitikern), und diesen Druck kriege ich jetzt ab, leider auch von der Behörden- und Geschäftsleitung, ob es denn da nicht mittlerweile eine Lösung gäbe, bei der man nicht kategorisch alle Mails mit Office-Anhängen ablehnen müsse.
TrendMicro hat den WFBS mittlerweile ziemlich aufgemantelt, in nahezu jedem Patch steht was von Ransomwareschutz drin, aber so richtig sicher fühle ich mich nach wie vor nur mit der Sperre.
Wie oben genannt, der Druck wird jetzt größer, und ich brauche eine Lösung, die so sicher ist wie möglich, dabei aber beherrsch- und bezahlbar bleibt.
Ich habe nun vor, an allen Clients und Servern zusätzlich zu TM WFBS das Produkt Anti-Ransomware von Malwarebytes einzusetzen.
Weiß jemand, ob dieses parallel neben WFBS speicherresident existieren darf, ohne daß sich die beiden beeinträchtigen oder den Rechner zu sehr verlangsamen oder gar lahmlegen? Hat das jemand nebeneinander im Einsatz?
Viele Grüße
von
departure69
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 376135
Url: https://administrator.de/forum/wie-geht-ihr-heute-mit-der-locky-gefahr-wg-office-anhaengen-in-mails-um-376135.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
30 Kommentare
Neuester Kommentar
Moin,
Du hattest hier im forum doch schon unter
Quarantänesystem für Mails mit MSOffice-Anhängen wg. Ransomware
auf das fast gleiche Problem hingewiesen?!
Kam dies damals nicht so zur Umsetzung?
Gruß
VGem-e
Du hattest hier im forum doch schon unter
Quarantänesystem für Mails mit MSOffice-Anhängen wg. Ransomware
auf das fast gleiche Problem hingewiesen?!
Kam dies damals nicht so zur Umsetzung?
Gruß
VGem-e
Moin,
wir lehnen dezeit nur alte Office Formate ab, zu mehr konnte sich die GL nicht durchringen.
Locky und co. versuche ich zusätzlich mit dem FSRM und dem Sperren von Dateien mit entsprechenden Suffixen (> 1700) einzugrenzen.
Nutzt nichts, wenn die Suffixe zufällig gewählt wurden, oder noch nicht im FSRM geblockt werden.
Daneben "sensibilisiere" ich die Anwender und weise auch die GL regelmäßig auf die Gefahren hin.
Ganz neu diskutieren wir momentan diversen einfachen Sachbearbeitern das "Internet wegzunehmen", für die, die es wirklich nicht benötigen und die, die einfachste Dinge einfach nicht kapieren.
Gruss
wir lehnen dezeit nur alte Office Formate ab, zu mehr konnte sich die GL nicht durchringen.
Locky und co. versuche ich zusätzlich mit dem FSRM und dem Sperren von Dateien mit entsprechenden Suffixen (> 1700) einzugrenzen.
Nutzt nichts, wenn die Suffixe zufällig gewählt wurden, oder noch nicht im FSRM geblockt werden.
Daneben "sensibilisiere" ich die Anwender und weise auch die GL regelmäßig auf die Gefahren hin.
Ganz neu diskutieren wir momentan diversen einfachen Sachbearbeitern das "Internet wegzunehmen", für die, die es wirklich nicht benötigen und die, die einfachste Dinge einfach nicht kapieren.
Gruss
Moin,
Nur weil die Leute zu doof sind, Informationen anders als Word-Dökumente übermitteln zu können, heißt das ja nicht, daß Ihr Eure Stadtmauern einreißen müßt.
Gibt es denn besondere Gründe für die Leute, wirklich Office-Dokumente durch die Gegend schicken zu müssen?
lks
Nur weil die Leute zu doof sind, Informationen anders als Word-Dökumente übermitteln zu können, heißt das ja nicht, daß Ihr Eure Stadtmauern einreißen müßt.
Gibt es denn besondere Gründe für die Leute, wirklich Office-Dokumente durch die Gegend schicken zu müssen?
lks
@VGem-e:
Nein, leider nicht, die damit verbundenen Umstände waren zu groß, und riesiger Zeitmangel wg. ISIS 12 hat mir da jeglichen zeitlichen Spielraum geraubt, mich um solch eine Lösung zu kümmern. ISIS 12 ist nun fertig, doch so sehr viel mehr Zeit habe ich dadurch jetzt aber trotzdem nicht, Du weißt ja, nach dem Spiel ist vor dem Spiel (frei nach Sepp Herberger).
Stattdessen möchte ich nun auf Malwarebytes setzen, weiß aber nicht, wie sich das mit TrendMicro verträgt.
Viele Grüße
Nein, leider nicht, die damit verbundenen Umstände waren zu groß, und riesiger Zeitmangel wg. ISIS 12 hat mir da jeglichen zeitlichen Spielraum geraubt, mich um solch eine Lösung zu kümmern. ISIS 12 ist nun fertig, doch so sehr viel mehr Zeit habe ich dadurch jetzt aber trotzdem nicht, Du weißt ja, nach dem Spiel ist vor dem Spiel (frei nach Sepp Herberger).
Stattdessen möchte ich nun auf Malwarebytes setzen, weiß aber nicht, wie sich das mit TrendMicro verträgt.
Viele Grüße
@sabines:
Hallo.
Die Sensibilisierung funktioniert mäßig, ich kriege ab und zu Anrufe, wo User mich zu merkwürdigen oder verdächtigen Mails fragen (meistens falscher Alarm), doch wie viel da an mir vorbeigeht, weiß ich trotzdem nicht. Und Du weißt, wie schnell ein Doppelklick auf eine Anlage geschieht, das ist ja eigentlich schon ein Reflex wie Essen und Trinken.
Hallo.
Daneben "sensibilisiere" ich die Anwender und weise auch die GL regelmäßig auf die Gefahren hin.
Die Sensibilisierung funktioniert mäßig, ich kriege ab und zu Anrufe, wo User mich zu merkwürdigen oder verdächtigen Mails fragen (meistens falscher Alarm), doch wie viel da an mir vorbeigeht, weiß ich trotzdem nicht. Und Du weißt, wie schnell ein Doppelklick auf eine Anlage geschieht, das ist ja eigentlich schon ein Reflex wie Essen und Trinken.
Zitat von @departure69:
@sabines:
Hallo.
Die Sensibilisierung funktioniert mäßig, ich kriege ab und zu Anrufe, wo User mich zu merkwürdigen oder verdächtigen Mails fragen (meistens falscher Alarm), doch wie viel da an mir vorbeigeht, weiß ich trotzdem nicht. Und Du weißt, wie schnell ein Doppelklick auf eine Anlage geschieht, das ist ja eigentlich schon ein Reflex wie Essen und Trinken.
@sabines:
Hallo.
Daneben "sensibilisiere" ich die Anwender und weise auch die GL regelmäßig auf die Gefahren hin.
Die Sensibilisierung funktioniert mäßig, ich kriege ab und zu Anrufe, wo User mich zu merkwürdigen oder verdächtigen Mails fragen (meistens falscher Alarm), doch wie viel da an mir vorbeigeht, weiß ich trotzdem nicht. Und Du weißt, wie schnell ein Doppelklick auf eine Anlage geschieht, das ist ja eigentlich schon ein Reflex wie Essen und Trinken.
Das ist doch schon mal gut, am Anfang haben sie mir die verdächtigen Mails zur Prüfung weitergeleitet!
Du könntest dir auch mal https://www.pandasecurity.com/germany/business/adaptive-defense/ anschauen. Ist im Prinzip eine Whitelist.
Funktioniert auch mit anderen Virenscannern zusammen und soll angeblich 100% Schutz bieten (weil Whitelist ...).
Für "fixe" (definierte) IT-Umgebungen, dürfte das perfekt sein.
Funktioniert auch mit anderen Virenscannern zusammen und soll angeblich 100% Schutz bieten (weil Whitelist ...).
Für "fixe" (definierte) IT-Umgebungen, dürfte das perfekt sein.
@Lochkartenstanzer:
Hallo.
Nein, meistens nicht. Hier paaren sich Unwissenheit und Bequemlichkeit, eine fertig geschriebene Word-Datei wird halt einfach so versandt, wie sie ist, zumeist kommen die Absender einfach gar nicht auf die Idee, vorher ein PDF daraus zu machen.
Leider, leider gibt es aber auch Fälle, wo wir Excel-Sheets zugesandt bekommen, die wir elektronisch ausfüllen und zurücksenden sollen (oft von übergeordneten Behörden, z. B. Landratsamt oder Regierung, Ministerium u. w. m.). Da bringt ein PDF meistens nichts, der Medienbruch wäre zu groß.
'VG,
departure69
Hallo.
Gibt es denn besondere Gründe für die Leute, wirklich Office-Dokumente durch die Gegend schicken zu müssen?
Nein, meistens nicht. Hier paaren sich Unwissenheit und Bequemlichkeit, eine fertig geschriebene Word-Datei wird halt einfach so versandt, wie sie ist, zumeist kommen die Absender einfach gar nicht auf die Idee, vorher ein PDF daraus zu machen.
Leider, leider gibt es aber auch Fälle, wo wir Excel-Sheets zugesandt bekommen, die wir elektronisch ausfüllen und zurücksenden sollen (oft von übergeordneten Behörden, z. B. Landratsamt oder Regierung, Ministerium u. w. m.). Da bringt ein PDF meistens nichts, der Medienbruch wäre zu groß.
'VG,
departure69
Hallo Departure,
wie scannt Ihr denn den Mailverkehr, bevor er auf den PCs ankommt? Da sehe ich in deiner Erläuterung den größten Schwachpunkt. Außerdem wäre eine Automatische Umwandlung von Worddateien in PDFs ggf. sinnvoll. Natürlich ist das Aufwand, wenn das Netz aber steht...
Übrigens wollen die nun Forderer es wohl auch nicht vertreten, wenn es zwar kein Locky mehr ist, aber dann die nächste unbekannte Schadsoftware das Netz verseucht, oder?
VG,
Christian
wie scannt Ihr denn den Mailverkehr, bevor er auf den PCs ankommt? Da sehe ich in deiner Erläuterung den größten Schwachpunkt. Außerdem wäre eine Automatische Umwandlung von Worddateien in PDFs ggf. sinnvoll. Natürlich ist das Aufwand, wenn das Netz aber steht...
Übrigens wollen die nun Forderer es wohl auch nicht vertreten, wenn es zwar kein Locky mehr ist, aber dann die nächste unbekannte Schadsoftware das Netz verseucht, oder?
VG,
Christian
Wir setzen bei uns ebenfalls TrendMicro WorryFree BS in der Standard-Edition ein.
Das funktioniert bislang reibungslos. Die Anwender sensibilisiere ich permanent, so dass sich bislang ausnahmslos jeder(!) bei mir meldet, dem eine Mail seltsam vorkommt. Zusätzlich laufen 2 separate Mail-Filter, die über 90% des Mülls aussortieren.
Die Mailanhänge in den MS-Office-Formaten sind bei uns nicht gesperrt und es funktioniert trotzdem bislang reibungsfrei (schnell auf Holz klopf).
Das macht unser System automatisch.
Gruß
Looser
Das funktioniert bislang reibungslos. Die Anwender sensibilisiere ich permanent, so dass sich bislang ausnahmslos jeder(!) bei mir meldet, dem eine Mail seltsam vorkommt. Zusätzlich laufen 2 separate Mail-Filter, die über 90% des Mülls aussortieren.
Die Mailanhänge in den MS-Office-Formaten sind bei uns nicht gesperrt und es funktioniert trotzdem bislang reibungsfrei (schnell auf Holz klopf).
Das ist doch schon mal gut, am Anfang haben sie mir die verdächtigen Mails zur Prüfung weitergeleitet!
Das macht unser System automatisch.
Gruß
Looser
Ja... das alte Problem :\ Im geschäftlichen Alltag kann man Office halt leider nicht vollständig aus den Mails verbannen. Aber das wäre eh nur eine halbgare Lösung.
Viele Mails schicken ja auch einen Link mit, wo man die Virenverseuchten Dokumente dann auch noch runterladen kann. Und User klicken bekanntlich auf jeden Link, der nicht bei 3 auf den Bäumen ist
Von daher ist das sperren von Anhängen nur ein lindern des Problems.
Das Gefährliche sind ja die Scripting Elemente in Dokumenten.
Deaktiviere einfach die Scripts im Office, dann war es das.
Für vorhandene, bekannte, benötigte und vertrauenswürdige Dokumente kann man einen Vertrauenswürdigen Pfad definieren, aus dem heraus Scripts erlaubt sind. Dieser Pfad darf dann natürlich für die User nur Read-Only sein. Dokuemnte müssen erst von dem Admin oder sonst jemand kompetentem geprüft werden, der sie dann da rein kopieren kann.
Oder man signiert vertrauenswürdeige Dokumente. Von Behörden darf man ja hoffentlich erwarten, das sie ihre Dokumente Signieren. Dann nimmt man diese Signatur in die Liste der vertrauenswürdigen auf, und dann läuft auch das
Viele Mails schicken ja auch einen Link mit, wo man die Virenverseuchten Dokumente dann auch noch runterladen kann. Und User klicken bekanntlich auf jeden Link, der nicht bei 3 auf den Bäumen ist
Von daher ist das sperren von Anhängen nur ein lindern des Problems.Das Gefährliche sind ja die Scripting Elemente in Dokumenten.
Deaktiviere einfach die Scripts im Office, dann war es das.
Für vorhandene, bekannte, benötigte und vertrauenswürdige Dokumente kann man einen Vertrauenswürdigen Pfad definieren, aus dem heraus Scripts erlaubt sind. Dieser Pfad darf dann natürlich für die User nur Read-Only sein. Dokuemnte müssen erst von dem Admin oder sonst jemand kompetentem geprüft werden, der sie dann da rein kopieren kann.
Oder man signiert vertrauenswürdeige Dokumente. Von Behörden darf man ja hoffentlich erwarten, das sie ihre Dokumente Signieren. Dann nimmt man diese Signatur in die Liste der vertrauenswürdigen auf, und dann läuft auch das
Hallo,
bei uns werden auch die alten Office Formate von der Firewall geblockt und in Quarantäne verschoben, der betroffene Mitarbeiter bekommt dann eine Benachrichtigung und wenn er auf eine solche Mail + Datei wartet, wird sie nach einer Prüfung händisch freigegeben. Das ganze Prozedere ist zwar manchmal etwas nervig, aber wir fahren damit bisher sehr gut.
Gruß
bei uns werden auch die alten Office Formate von der Firewall geblockt und in Quarantäne verschoben, der betroffene Mitarbeiter bekommt dann eine Benachrichtigung und wenn er auf eine solche Mail + Datei wartet, wird sie nach einer Prüfung händisch freigegeben. Das ganze Prozedere ist zwar manchmal etwas nervig, aber wir fahren damit bisher sehr gut.
Gruß
@certifiedit.net:
Hallo.
Das macht der Trend Micro Messaging Security Agent direkt am Exchange. Der haut Virenanhänge und SPAM am Fließband raus. Aber ob er alle Makros in Word-Dateien, die nach dem Öffnen die Ransomware aus dem Internet nachladen würden, erwischen würde, darauf wollte ich zumindest bisher nicht wetten.
Meine Rede. Wie ich es @Lochkartenstanzer schon erklärt habe, hier paaren sich einfach Unwissenheit, Gedankenlosigkeit und Bequemlichkeit.
Hallo.
wie scannt Ihr denn den Mailverkehr, bevor er auf den PCs ankommt? Da sehe ich in deiner Erläuterung den größten Schwachpunkt.
Das macht der Trend Micro Messaging Security Agent direkt am Exchange. Der haut Virenanhänge und SPAM am Fließband raus. Aber ob er alle Makros in Word-Dateien, die nach dem Öffnen die Ransomware aus dem Internet nachladen würden, erwischen würde, darauf wollte ich zumindest bisher nicht wetten.
Übrigens wollen die nun Forderer es wohl auch nicht vertreten, wenn es zwar kein Locky mehr ist, aber dann die nächste unbekannte Schadsoftware das Netz verseucht, oder?
Meine Rede. Wie ich es @Lochkartenstanzer schon erklärt habe, hier paaren sich einfach Unwissenheit, Gedankenlosigkeit und Bequemlichkeit.
Habt ihr denn vor dem Netz bereits noch einen Scanner (Firewall/UTM), die bereits einmal drüber geht? Ich sehe "on Mail Server" Scans immer kritisch, denn ein Loch im Security Agent könnte dabei sogar direktes Einfallstor sein.
Sehe ich ähnlich, da hilft nur Sensibilisierung.
Viele Grüße,
Christian
Sehe ich ähnlich, da hilft nur Sensibilisierung.
Viele Grüße,
Christian
@SeaStorm:
Hallo.
Von einer 1-Mann-IT nicht zu schultern, passt auch ansonsten überhaupt nicht zur üblichen Arbeitsweise. Ansonsten natürlich eine gute Idee.
Solange es da kein für alle Beteiligten (Kommunalbehörden, Behörden) bindendes, vereinheitlichtes Verfahren gibt, werden wir da kaum was selber entwerfen, das irgendwann wieder für die Tonne ist. Außerdem fehlt mir dazu, wie ich zugeben muß, das Know-How.
VG,
departure69
Hallo.
Das Gefährliche sind ja die Scripting Elemente in Dokumenten.
Deaktiviere einfach die Scripts im Office, dann war es das.
Für vorhandene, bekannte, benötigte und vertrauenswürdige Dokumente kann man einen Vertrauenswürdigen Pfad definieren, aus dem >heraus Scripts erlaubt sind. Dieser Pfad darf dann natürlich für die User nur Read-Only sein. Dokuemnte müssen erst von dem Admin oder > sonst jemand kompetentem geprüft werden, der sie dann da rein kopieren kann.
Deaktiviere einfach die Scripts im Office, dann war es das.
Für vorhandene, bekannte, benötigte und vertrauenswürdige Dokumente kann man einen Vertrauenswürdigen Pfad definieren, aus dem >heraus Scripts erlaubt sind. Dieser Pfad darf dann natürlich für die User nur Read-Only sein. Dokuemnte müssen erst von dem Admin oder > sonst jemand kompetentem geprüft werden, der sie dann da rein kopieren kann.
Von einer 1-Mann-IT nicht zu schultern, passt auch ansonsten überhaupt nicht zur üblichen Arbeitsweise. Ansonsten natürlich eine gute Idee.
Von Behörden darf man ja hoffentlich erwarten, das sie ihre Dokumente Signieren. Dann nimmt man diese Signatur in die Liste der vertrauenswürdigen auf, und dann läuft auch das
Solange es da kein für alle Beteiligten (Kommunalbehörden, Behörden) bindendes, vereinheitlichtes Verfahren gibt, werden wir da kaum was selber entwerfen, das irgendwann wieder für die Tonne ist. Außerdem fehlt mir dazu, wie ich zugeben muß, das Know-How.
VG,
departure69
Habt ihr denn vor dem Netz bereits noch einen Scanner (Firewall/UTM), die bereits einmal drüber geht? Ich sehe "on Mail Server" Scans immer kritisch, denn ein Loch im Security Agent könnte dabei sogar direktes Einfallstor sein.
Ja, eine Mikrotik 1616 als Firewall, die macht aber nichts speziell mit den Mails.
Sehe ich ähnlich, da hilft nur Sensibilisierung.
Die interne Sensibilisierung der User klappt ja (einigermaßen), ich müßte die externen Absender "sensibilisieren", gefälligst PDF zu schicken
. Sowohl im Impressum als auch in der Datenschutzrubrik unserer Webseite steht durchaus drin, daß wir keine Office-Dokumente annehmen, doch wer liest das schon?
Hi.
zwei Produkte einzusetzen, die beide pro-aktiv und nicht ausschließlich signaturbasiert Ransomware erkennen wollen, kann zu Problemen führen. Da würde ich mit Nebeneffekten rechnen.
Ich würde immer vorziehen, App-Whitelisting mit SRP oder Applocker zu machen.
Auch könntest Du, sofern Du Win10 weiträumig einsetzt, den eingebauten Ransomwareschutz nutzen ("Windows Defender protected folders" auch wenn der noch nicht 100%ig ausgereift sein mag).
zwei Produkte einzusetzen, die beide pro-aktiv und nicht ausschließlich signaturbasiert Ransomware erkennen wollen, kann zu Problemen führen. Da würde ich mit Nebeneffekten rechnen.
Ich würde immer vorziehen, App-Whitelisting mit SRP oder Applocker zu machen.
Auch könntest Du, sofern Du Win10 weiträumig einsetzt, den eingebauten Ransomwareschutz nutzen ("Windows Defender protected folders" auch wenn der noch nicht 100%ig ausgereift sein mag).
Dann wäre ein Ansatz hierbei etwas "vors Netz" zu setzen, dass bereits vorfiltert. Wie @dww bereits anmerkte, dürften gegenseitige Probleme wahrscheinlich werden. Abgesehen davon: OWA?
Zitat von @departure69:
@SeaStorm:
Hallo.
Von einer 1-Mann-IT nicht zu schultern, passt auch ansonsten überhaupt nicht zur üblichen Arbeitsweise. Ansonsten natürlich eine gute Idee.
Ich habe die aufwändigere Variante mit der Signierung jahrelang gefahren. Und unsere Lieferanten LIEBEN ihre ### Excel-Konfiguratoren. Selbst haben sie die Dinger natürlich nicht signiert. Also war der Prozess: Dokument wird per Ticket an mich übergeben. Ich habe mir den Code angesehen und dann selbst mit meiner Signatur signiert. Das Signierte Dokument kam dann in den Read-Only Lieferant\SignedDocuments- Ordner, wo die Anwender das dann öffnen konnten.@SeaStorm:
Hallo.
Das Gefährliche sind ja die Scripting Elemente in Dokumenten.
Deaktiviere einfach die Scripts im Office, dann war es das.
Für vorhandene, bekannte, benötigte und vertrauenswürdige Dokumente kann man einen Vertrauenswürdigen Pfad definieren, aus dem >heraus Scripts erlaubt sind. Dieser Pfad darf dann natürlich für die User nur Read-Only sein. Dokuemnte müssen erst von dem Admin oder > sonst jemand kompetentem geprüft werden, der sie dann da rein kopieren kann.
Deaktiviere einfach die Scripts im Office, dann war es das.
Für vorhandene, bekannte, benötigte und vertrauenswürdige Dokumente kann man einen Vertrauenswürdigen Pfad definieren, aus dem >heraus Scripts erlaubt sind. Dieser Pfad darf dann natürlich für die User nur Read-Only sein. Dokuemnte müssen erst von dem Admin oder > sonst jemand kompetentem geprüft werden, der sie dann da rein kopieren kann.
Von einer 1-Mann-IT nicht zu schultern, passt auch ansonsten überhaupt nicht zur üblichen Arbeitsweise. Ansonsten natürlich eine gute Idee.
Wie gesagt: Das betrifft NUR Dokumente, die Scriptingelemente haben. Wenn euch Bürger-Mails erreichen, die Scriptingelemente haben, dann könnt ihr davon ausgehen, dass das gefährlich ist. Die haben sowas nunmal nicht.
Es gibt nur sehr wenige Office-Dokumente mit Scripting, die das auch sein sollen.Überspitzt gesagt sind 98% davon Viren. 1% sind tatsächliche Dokumente, die aber durch einen Virus beim Absender verseucht wurden und die restlichen 1% war so beabsichtigt.
Der Aufwand hält sich SEHR in Grenzen. Und man kann es sich mit dem zentralen Ordner ja auch noch etwas einfacher machen.
Das war bei mir keine Option, da sofort irgendwelche ignoranten Vorgesetzten Schreibrechte auf den Ordner eingefordert hätten, wo sie dann ungeprüft alles reingeschmissen hätten.
Hallo,
grundsätzlich würde ich nicht zwei solcher Lösungen auf einer Maschine installieren.
Meiner Meinung nach muss man hier mehrschichtig vorgehen:
1) Vor dem Mailserver bereits filtern und rigeros ablehnen (Spam, verdächtige Anhänge, ausführbare Dateien generell etc). Unklare Mails in die
2) Quarantäne
3) Mailserver mit AV Lösung
4) lokale AV Lösung
5) Gefährdete Software (hier Officeanwendungen) härten (z.B. Makros/Scripte deaktivieren)
6) Gefährdete Betriebssysteme härten (z.B. Whitelisting ausführbarer Dateien)
7) Backup entsprechend, wenn möglich alle 15 Minuten für kritische Folder etc./keine unbekannten Formate sichern etc.
8) gestestes und verlässliches Recoveryszenario für einzelne Dateien
9) USER Training. USER Training. USER Awareness. USER Training
grundsätzlich würde ich nicht zwei solcher Lösungen auf einer Maschine installieren.
Meiner Meinung nach muss man hier mehrschichtig vorgehen:
1) Vor dem Mailserver bereits filtern und rigeros ablehnen (Spam, verdächtige Anhänge, ausführbare Dateien generell etc). Unklare Mails in die
2) Quarantäne
3) Mailserver mit AV Lösung
4) lokale AV Lösung
5) Gefährdete Software (hier Officeanwendungen) härten (z.B. Makros/Scripte deaktivieren)
6) Gefährdete Betriebssysteme härten (z.B. Whitelisting ausführbarer Dateien)
7) Backup entsprechend, wenn möglich alle 15 Minuten für kritische Folder etc./keine unbekannten Formate sichern etc.
8) gestestes und verlässliches Recoveryszenario für einzelne Dateien
9) USER Training. USER Training. USER Awareness. USER Training
Hi
ich bin genau in der gleichen Branche tätig - Stadtverwaltung mit ca. 400 Usern.
Wir blocken keine Office-Anhänge.
Grundsätzlich geht mal jedes Mail durch Spam/AV-Check und zusätzlich durch die Sandbox (Sophos UTM).
Wir blocken an der UTM natürlich alle ausführbaren Dateien, aber z.B. auch zip-Files.
Würden wir Office-Dateien blocken, würden uns wohl alle mit der Mistgabel in der Hand zum Teufel jagen
Office-Makros haben wir per GPO deaktiviert.
In naher Zukunft werden wir zusätzlich zu TrendMicro auch InterceptX von Sophos einsetzen.
Wichtig ist wirklich User-Training, die gesunde Skepsis antrainieren.
Grüsse
Tom
ich bin genau in der gleichen Branche tätig - Stadtverwaltung mit ca. 400 Usern.
Wir blocken keine Office-Anhänge.
Grundsätzlich geht mal jedes Mail durch Spam/AV-Check und zusätzlich durch die Sandbox (Sophos UTM).
Wir blocken an der UTM natürlich alle ausführbaren Dateien, aber z.B. auch zip-Files.
Würden wir Office-Dateien blocken, würden uns wohl alle mit der Mistgabel in der Hand zum Teufel jagen
Office-Makros haben wir per GPO deaktiviert.
In naher Zukunft werden wir zusätzlich zu TrendMicro auch InterceptX von Sophos einsetzen.
Wichtig ist wirklich User-Training, die gesunde Skepsis antrainieren.
Grüsse
Tom
Hallo.
grundsätzlich würde ich nicht zwei solcher Lösungen auf einer Maschine installieren.
Hab' am späten Vormittag mit Vertrieb und Technik von Malwarebytes gesprochen, soll neben jeder anderen AV-Lösung problemlos und störungsfrei mitlaufen können.
Meiner Meinung nach muss man hier mehrschichtig vorgehen:
1) Vor dem Mailserver bereits filtern und rigeros ablehnen (Spam, verdächtige Anhänge, ausführbare Dateien generell etc). Unklare Mails in die
Da hab' ich leider nichts, was das könnte.
2) Quarantäne
sh. 1)
3) Mailserver mit AV Lösung
Vorhanden.
4) lokale AV Lösung
Vorhanden
5) Gefährdete Software (hier Officeanwendungen) härten (z.B. Makros/Scripte deaktivieren)
Schwierig zu realisieren, wir benötigen und nutzen selber und gewollt Makros für Word und Excel.
6) Gefährdete Betriebssysteme härten (z.B. Whitelisting ausführbarer Dateien)
M. E. kaum zu bewältigender Aufwand, für einen Mann alleine. Viel unterschiedliche Software aus verschiedensten Quellen im LAN, stell' ich mir schwierig und aufwendig vor, vor allem dann auch die danach weiterhin ständig nötige Pflege/Aktualisierung/Wartung.
7) Backup entsprechend, wenn möglich alle 15 Minuten für kritische Folder etc./keine unbekannten Formate sichern etc.
Beim Backup gibt's keinen Schmerz, läuft gut und sämtliches nötige Recovery plane ich regelmäßig testweise (auch für einzelne Dateien), ist dann auch erfolgreich. Ich weiß bloß nicht, was Du mit 15 Minuten meinst, die Backups laufen in der Nacht.
8) gestestes und verlässliches Recoveryszenario für einzelne Dateien
sh. 7)
9) USER Training. USER Training. USER Awareness. USER Training
Erfolgt regelmäßig, per Mail und persönlich, einzeln oder auch in überschaubaren Gruppen. Und so wohldosiert, daß kein gähnendes "was will denn der schon wieder" kommt.
Ich denke, ich klemme mich mal weiter an Malwarebytes, ein unverbindliches Angebot kann zumindest nichts schaden, finde ich.
Viele Grüße
von
departure69
@certifiedit.net:
Bislang nur ein paar ausgewählte Führungskräfte von zu Hause aus, und diejenigen, die ein dienstliches Smartphone haben, machen OMA (also Exch. Act. Sync).
Ich weiß, daß OWA auch im internen LAN funktioniert, aber wo soll da der Sicherheitsgewinn gegenüber Outlook liegen? Davon abgesehen würden mich die User steinigen, wenn ich ihnen anstatt ihrem geliebten Outlook ein liebloses OWA-Webinterface vor die Nase setzen würde (gleichwohl OWA sich bei den jüngeren Exch.-Versionen optisch kaum mehr von einem echten Outlook unterscheidet).
VG,
departure69
OWA?
Bislang nur ein paar ausgewählte Führungskräfte von zu Hause aus, und diejenigen, die ein dienstliches Smartphone haben, machen OMA (also Exch. Act. Sync).
Ich weiß, daß OWA auch im internen LAN funktioniert, aber wo soll da der Sicherheitsgewinn gegenüber Outlook liegen? Davon abgesehen würden mich die User steinigen, wenn ich ihnen anstatt ihrem geliebten Outlook ein liebloses OWA-Webinterface vor die Nase setzen würde (gleichwohl OWA sich bei den jüngeren Exch.-Versionen optisch kaum mehr von einem echten Outlook unterscheidet).
VG,
departure69
Würde mich nicht wundern, wenn es gerade die "ausgewählten" Führungskräfte ein eklatantes Sicherheitsrisiko darstellen. ;)
Zitat von @certifiedit.net:
Würde mich nicht wundern, wenn es gerade die "ausgewählten" Führungskräfte ein eklatantes Sicherheitsrisiko darstellen. ;)
Würde mich nicht wundern, wenn es gerade die "ausgewählten" Führungskräfte ein eklatantes Sicherheitsrisiko darstellen. ;)
Nicht auszuschließen, weil sich ja gerade DIE Kraft ihrer Macht für Poweruser halten
Aber Du hast meine eigentliche Frage übersehen, was bringt mir die OWA-Nutzung, im Vergleich zu Outlook, an den Arbeitsplatzrechnern im internen LAN an Sicherheit?
VG,
departure69
Zitat von @departure69:
Hallo.
grundsätzlich würde ich nicht zwei solcher Lösungen auf einer Maschine installieren.
Hab' am späten Vormittag mit Vertrieb und Technik von Malwarebytes gesprochen, soll neben jeder anderen AV-Lösung problemlos und störungsfrei mitlaufen können.
Natürlich nicht Hallo.
grundsätzlich würde ich nicht zwei solcher Lösungen auf einer Maschine installieren.
Hab' am späten Vormittag mit Vertrieb und Technik von Malwarebytes gesprochen, soll neben jeder anderen AV-Lösung problemlos und störungsfrei mitlaufen können.
Meiner Meinung nach muss man hier mehrschichtig vorgehen:
1) Vor dem Mailserver bereits filtern und rigeros ablehnen (Spam, verdächtige Anhänge, ausführbare Dateien generell etc). Unklare Mails in die
Da hab' ich leider nichts, was das könnte.
2) Quarantäne
sh. 1)
3) Mailserver mit AV Lösung
Vorhanden.
4) lokale AV Lösung
Vorhanden
5) Gefährdete Software (hier Officeanwendungen) härten (z.B. Makros/Scripte deaktivieren)
Schwierig zu realisieren, wir benötigen und nutzen selber und gewollt Makros für Word und Excel.
6) Gefährdete Betriebssysteme härten (z.B. Whitelisting ausführbarer Dateien)
M. E. kaum zu bewältigender Aufwand, für einen Mann alleine. Viel unterschiedliche Software aus verschiedensten Quellen im LAN, stell' ich mir schwierig und aufwendig vor, vor allem dann auch die danach weiterhin ständig nötige Pflege/Aktualisierung/Wartung.
7) Backup entsprechend, wenn möglich alle 15 Minuten für kritische Folder etc./keine unbekannten Formate sichern etc.
Beim Backup gibt's keinen Schmerz, läuft gut und sämtliches nötige Recovery plane ich regelmäßig testweise (auch für einzelne Dateien), ist dann auch erfolgreich. Ich weiß bloß nicht, was Du mit 15 Minuten meinst, die Backups laufen in der Nacht.
8) gestestes und verlässliches Recoveryszenario für einzelne Dateien
sh. 7)
9) USER Training. USER Training. USER Awareness. USER Training
Erfolgt regelmäßig, per Mail und persönlich, einzeln oder auch in überschaubaren Gruppen. Und so wohldosiert, daß kein gähnendes "was will denn der schon wieder" kommt.
Ich denke, ich klemme mich mal weiter an Malwarebytes, ein unverbindliches Angebot kann zumindest nichts schaden, finde ich.
Viele Grüße
von
departure69
Die Outlooksoftware ist damit nicht angreifbar, was meinst Du warum es regelmässig Securityfixes für Outlook gibt?
@all:
Um das jetzt mal (vorerst) abzuschließen:
Vielen Dank für die rege Beteiligung und die vielen guten Vorschläge.
Dabei herausgekommen ist in meinem Fall nun folgendes:
- die Endpoint-Security-Lösung von Malwarebytes, die das mir so wichtige "Anti-Ransomware" enthält, ist eine komplette Suite, die letztlich das gleiche können soll oder kann wie TM und läuft lt. Auskunft mehrerer Berufskollegen, mit denen ich in der letzten Woche dazu telefoniert habe, neben TrendMicro doch nicht so streßfrei, wie Malwarebytes das behauptet, die beiden beißen sich erheblich, mitunter bis hin zum Nichtfunktionieren des Rechners. Also doch ein Highlander-Prinzip, wie ich es schon befürchtet hatte. Malwarebytes ist damit raus.
- das einzige, was mir ebenso sicher vorkommt wie meine bisherige Sperre, wäre eine Quarantäne, wie es auch hier mehrfach vorgeschlagen wurde. Die Mails werden von Exchange zwar angenommen, aber im Falle von MS-Office-Anlagen nur ohne Anlagen zugestellt. Die Betroffenen müßten sich bei mir melden und kriegten das begehrte dann nach Prüfung auf "Sauberkeit" dann nachträglich zugestellt. Das könnte funktionieren, ist aber dennoch umständlich. Vor allen Dingen ist das aber personell nicht zu lösen, ich bin hier alleine, und für solch eine dann täglich x-fach anfallende Tätigkeit ist eine Vertretung nicht zu organisieren. Es geht dabei nicht nur um Urlaub oder Krankheit. Es bräuchte ja dann schon eine Vertretung, wenn ich nur mal 2 Stunden im Außendienst bin. Völlig ausgeschlossen.
- ich hab' unserer Behördenleitung die mißliche Lage und die Alternativen nochmals geschildert, und, es geschehen noch Wunder, unser Oberchef und die restlichen Führungskräfte liegen jetzt wieder mit mir auf einer Linie, die Sperre bleibt! Wer Word schickt, kann in 99% der Fälle auch PDF schicken, und bei auszufüllenden Excel-Sheets, wo PDF nichts nützt, werden andere Kommunikationswege gefunden. Zumindest bleibt die Sperre jetzt wieder solange, bis von extern wieder massiv rumgemault wird. Dann geht die Diskussion wieder von vorne los.
Nochmals danke an alle.
Viele Grüße
von
departure69
Um das jetzt mal (vorerst) abzuschließen:
Vielen Dank für die rege Beteiligung und die vielen guten Vorschläge.
Dabei herausgekommen ist in meinem Fall nun folgendes:
- die Endpoint-Security-Lösung von Malwarebytes, die das mir so wichtige "Anti-Ransomware" enthält, ist eine komplette Suite, die letztlich das gleiche können soll oder kann wie TM und läuft lt. Auskunft mehrerer Berufskollegen, mit denen ich in der letzten Woche dazu telefoniert habe, neben TrendMicro doch nicht so streßfrei, wie Malwarebytes das behauptet, die beiden beißen sich erheblich, mitunter bis hin zum Nichtfunktionieren des Rechners. Also doch ein Highlander-Prinzip, wie ich es schon befürchtet hatte. Malwarebytes ist damit raus.
- das einzige, was mir ebenso sicher vorkommt wie meine bisherige Sperre, wäre eine Quarantäne, wie es auch hier mehrfach vorgeschlagen wurde. Die Mails werden von Exchange zwar angenommen, aber im Falle von MS-Office-Anlagen nur ohne Anlagen zugestellt. Die Betroffenen müßten sich bei mir melden und kriegten das begehrte dann nach Prüfung auf "Sauberkeit" dann nachträglich zugestellt. Das könnte funktionieren, ist aber dennoch umständlich. Vor allen Dingen ist das aber personell nicht zu lösen, ich bin hier alleine, und für solch eine dann täglich x-fach anfallende Tätigkeit ist eine Vertretung nicht zu organisieren. Es geht dabei nicht nur um Urlaub oder Krankheit. Es bräuchte ja dann schon eine Vertretung, wenn ich nur mal 2 Stunden im Außendienst bin. Völlig ausgeschlossen.
- ich hab' unserer Behördenleitung die mißliche Lage und die Alternativen nochmals geschildert, und, es geschehen noch Wunder, unser Oberchef und die restlichen Führungskräfte liegen jetzt wieder mit mir auf einer Linie, die Sperre bleibt! Wer Word schickt, kann in 99% der Fälle auch PDF schicken, und bei auszufüllenden Excel-Sheets, wo PDF nichts nützt, werden andere Kommunikationswege gefunden. Zumindest bleibt die Sperre jetzt wieder solange, bis von extern wieder massiv rumgemault wird. Dann geht die Diskussion wieder von vorne los.
Nochmals danke an alle.
Viele Grüße
von
departure69
Glückwunsch!
Mal so aus reiner Neugierde, wie löst Ihr jetzt das Thema mit verschlüsselten Emails?
Mal so aus reiner Neugierde, wie löst Ihr jetzt das Thema mit verschlüsselten Emails?
Zitat von @St-Andreas:
Glückwunsch!
Mal so aus reiner Neugierde, wie löst Ihr jetzt das Thema mit verschlüsselten Emails?
Glückwunsch!
Mal so aus reiner Neugierde, wie löst Ihr jetzt das Thema mit verschlüsselten Emails?
Gar nicht.
Es gibt für die Behörden in unserem Bundesland bislang noch kein einheitliches, für alle vorgeschriebenes Verfahren, um dem Bürger die sichere (und rechtssichere) Kommunikation auf dem E-Mail-Wege zu ermöglichen, gleichwohl wir so etwas eigentlich schon länger anbieten müßten, z. B. für das Widerspruchsverfahren bei einem negativen Bescheid. Manche Behörden gehen da schon eigene Wege, z. B. per DE-Mail, aber speziell DE-Mail ist ja keine Einbahnstraße, der Bürger, der auf diesem Wege mit uns (rechts)sicher kommunizieren will, müßte ja gleichsam an dem DE-Mail-Verfahren teilnehmen. Und das ist kostenpfllichtig. Und ich kenne, trotz vieler und häufiger Außenkontakte, niemanden, der sich sowas privat schon gebucht hätte.
Wie so viele andere auch, werden wir weiter abwarten, bis uns da mal "von oben" einheitlich etwas vorgeschrieben wird, das dann für alle Kommunalbehörden gilt. Und bis dahin heißt es im Rechtsbehelf weiterhin: "Schriftlich (Papier) oder persönlich zur Niederschrift", die Bürger müssen also weiterhin einen Brief schreiben oder persönlich erscheinen und ihren Widersruch zu Protokoll geben.
Ungute Situation in 2018, aber weshalb soll ich jetzt irgendein System zu evtl. nicht geringen Kosten etablieren, das vielleicht schon in Kürze wieder "von oben" über den Haufen geworfen wird?
Viele Grüße
von
departure69
