Schutz vor Ransomware

1. Backup, Backup, Backup (offline-Backup!)

2. Kontrolle der Backup-Ereignisse

3. Sensibilisierung der Mitarbeiter (Phishing, etc)

4. keine unbekannten Links öffnen – unsichere Websites vermeiden

5. Anzeige der DAteierweiterungen einschalten um Script-Dateien zu erkennen (.vbs, .scr, …)

6. Patches/Updates von Windows / Browser / Virenschutz / Java / Adobe automatisieren

7. zuverlässige Antiviren-Software verwenden

8. keine unbekannten Programme ausführen

9. Java Script im Internet Explorer deaktivieren

Während ich diesen Artikel schreibe, habe ich gelesen, dass sich die Ransomware Teslacrypt auch über infizierte Webseiten (Hauptsächlich wohl auf Joomla basierend) verbreitet. Dies geschieht via JavaScript:

Um Java Script zu deaktivieren, kann eine weitere GPO erzeugt werden, diesmal mit deaktivierten Benutzerkonfigurationseinstellungen:

Java Script

Jetzt kann die GPO bearbeitet und zu folgendem Punkt navigiert werden:

  • Computerkonfiguration
  • Richtlinien
  • Administrative Vorlagen
  • Windows-Komponenten
  • Internet Explorer
  • Internetsystemsteuerung
  • Sicherheitsseite
  • Internetzone

In der Zone “Internet” lässt sich jetzt “Active Scripting” deaktivieren:

Java Script

Jetzt kann die GPO wieder getestet werden, und danach mit der Domain verknüpft werden:

Java Script

10. Softwareeinschränkung konfigurieren

Viren und Trojaner gehen oft nach dem gleichen Muster vor, irgendeine Schwachstelle wird ausgenutzt, der Virus/Trojaner wird nachgeladen und ausgeführt, häufig geschieht das Ausführen aus einem temporären Ordner oder aus den APPDATA Ordern, daher kann man auch hier ansetzen.

Wieder eine neue GPO erzeugen, Benutzerkonfigurationseinstellungen deaktiviert

Softwareeinschränkung

Die GPO kann jetzt editiert werden und die Softwareeinschränkung aktiviert werden:

Softwareeinschränkung

Jetzt können unter zusätzliche Rgelen die Einschränkungen aktiviert werden:

Softwareeinschränkung

Wie oben werden nun die folgenden Pfadregeln konfiguriert:

  • %appdata%\*.exe
  • %appdata%\*\*.exe
  • %localappdata%\*.exe
  • %localappdata%\*\*.exe
  • %temp%\*exe
  • %temp\*\*.exe

Softwareeinschränkung

Anwendungen aus den Verzeichnissen werden nun nicht mehr ausgeführt:

Softwareeinschränkung

Auch hier gilt wieder, GPO testen und erst dann an die Domain oder OU zuweisen.

Hier sind 3 GPOs die Windows Clients vor Infektionen mit Ransomware schützen können. Natürlich gelten die folgenden Grundsätze:

  • Der Benutzer ist KEIN lokaler Administrator
  • Die Windows Firewall ist aktiviert
  • Der Virenschutz ist aktuell (Aktuell heißt in diesem Fall, die Signaturen sind nicht älter als 12 Stunden)
  • Die Windows UAC ist aktiviert

11. Makros deaktivieren

Derzeit verbreitet sich Locky hauptsächlich über Word Dokumente die via E-Mail zugeschickt werden, Das Word Dokument enthält dann ein Makro, welches den eigentlichen Schadcode nachlädt. Mittels GPOs lassen sich Makros deaktivieren. Dazu müssen die entsprechenden Vorlagen für Office runtergeladen werden:

Hier mal das Beispiel für Office 2016:

Die EXE-Datei entpackt nur die Vorlagen, diese müssen jetzt noch an den entsprechenden Ort kopiert werden. Also entweder in dem lokalen Policy Store auf dem DC oder dem Central Store.

In diesem Fall werden die Verzeichnisse und Dateien aus der entpackten EXE nach C:\Windows\PolicyDefinitions (lokaler Speicher) kopiert:

image

In der Gruppenrichtlinienverwaltung kann jetzt eine neue GPO angelegt werden und die Computerkonfigurationseinstellungen deaktiviert werden:

Markos

Innerhalb der GPO können nun die Makros abgeschaltet werden:

Markos

Sobald die GPO mit einer gewissen Anzahl an Benutzern getestet wurde, kann die GPO an alle Benutzer zugewiesen werden.

Markos

Hier gilt es die GPO vorher zu testen, vieleicht brauchen ja bestimmte Benutzer oder Abteilungen Makros für Ihre tägliche Arbeit. Das lässt sich dann entsprechend filtern.

 

Der oben angeführte Text sowie die Screenshots sind ein Auszug aus einem Blog von Franky’s Web (https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen-locky-cryptolocker/)

Script Windows Server – Protokollierung Logon/Logoff

Folgende zwei Dateien erstellen und im Verzeichnis C:\log ablegen

logon.bat

echo %username% hat sich am %date% um %time% an Rechner %computername% angemeldet >> c:\log\login.txt

logoff.bat

echo %username% hat sich am %date% um %time% an Rechner %computername% abgemeldet >> c:\log\login.txt

GPO erstellen

Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/lokale Richtlinien/Überwachungsrichtlinien

nachfolgende Punkte aktivieren:

  • Anmeldeergebnisse überwachen
  • Anmeldeversuche überwachen
  • Kontenverwaltung überwachen
  • Richtlinienänderungen überwachen

Benutzerkonfiguration/Richtlinien/Windows-Einstellungen/Skripts

Anmelden:
Name > C:\log\logon.bat

Abmelden
Name > C:\log\logoff.bat

 

Nutzungsvereinbarungen

Grundsätzlich läßt sich Informations- und Datensicherheit im Unternehmen in den seltesten Fällen ausschließlich über eine technische Lösung realisieren.

Es ist unumgänglich, unternehmenseigene Nutzerungsvereinbarungen und Richtlinien zum Einsatz zu bringen. Sind diese von den Mitarbeitern unterschrieben, so ist man einen entscheidenden Schritt in Richtung Sicherheitsmanagement gegangen.

KOMDAT besitzt umfangreiche Sammlungen an Nutzungsvereinbarungen zu Themen wie:

  • Kennwortrichtlinien
  • Verwendung von Internet
  • Verwendung von E-Mail
  • Verwendung von mobilen Geräten
  • Geheimhaltung
  • uvm