, , , ,

Windows Clients via GPOs vor Ransomware schützen

Nach dem wir durch den Windows Ressourcen-Manager schon auf Dateiserver-Ebene einen Schutzmechanismus eingebaut haben,  gehen wir jetzt zu den Clients über. Auch an dieser Stelle können wir etwas konfigurieren um einer Infektion mit Ransomware zu vermeiden.

Im ersten Teil konfigurieren wir eine Softwareeinschränkung mit einer gleichnamigen Richtlinien. Im weiteren werden mit Hilfe von Office ADM/ADMX Vorlagen Makros deaktiviert und guter letzt noch JavaScript im Internet Explorer per GPO deaktiviert.

 

Softwareeinschränkungen konfigurieren

Vielen Trojaner (Ransomware) und Viren gehen nach dem gleichen Muster vor. Es wird häufig ein temporärer Ordner verwendet um den Trojaner/Virus zu installieren oder nachzuladen. Deshalb setzen wir hier bei den folgenden temporären Ordnern an:

  • %appdata%
  • %localappdata%
  • %temp%

Als erstes wird eine neue GPO erzeugt und die Benutzerkonfigurationseinstellungen deaktiviert.

GPO

 

Die neue GPO wird jetzt bearbeitet und die Softwareeinschränkung aktiviert.

Softwareeinschränkung

 

Jetzt werden neue Pfadregeln mit den oben genannten Ordnern erstellt. Das geschieht in dem unter Zusätzliche Regeln, neue Pfadregeln konfiguriert werden.

  • %appdata%\*.exe
  • %appdata%\*\*.exe
  • %localappdata%\*.exe
  • %localappdata%\*\*.exe
  • %temp%\*exe
  • %temp%\*\*.exe
Pfadregeln

 

Wie ein Test zeigt werden Anwendungen, aus einem der oben konfigurierten Verzeichnisse, nicht mehr ausgeführt. Die GPO sollte erst nach einem Test mit der Domain verknüpft werden.

geblocktes Programm

 

Office Makros deaktivieren

Vermehrt verbreitet sich die Ransomware über Word Dokumente die per E-Mail zugeschickt werden. Das Word Dokument enthält dann ein Makro, welches den eigentlich Schadcode nachlädt. Auch Makros lassen sich via GPO deaktivieren. Die entsprechenden Vorlagen für Office müssen hierfür erst herunter geladen und eingebunden werden.

 

Im Beispiel für Office 2007 auf einem Server 2012 R2:

In der EXE-Datei sind u.a. die ADM/ADMX Vorlagen zu finden. Hier wurden alle Dateien aus dem Ordner ADMX in das Verzeichnis (lokaler Speicher) C:WindowsPolicyDefinitions kopiert.

Office 2007 ADMX

 

PolicyDefinitions

 

Wie schon bei der Konfiguration der Softwareeinschränkungen, wird jetzt eine neue Gruppenrichtlinie angelegt. Da in diesem Fall aber nur Benutzerkonfigurationen verändert werden, deaktivieren wir bei dieser GPO die Computerkonfigurationseinstellungen.

Innerhalb der GPO schalten wir nun die Makros ab.

Office 2007 Makro settings

 

Die Gruppenrichtlinien-Einstellungen die das Office 2016 bietet sind in der Hinsicht noch etwas feiner geregelt und sollten dann wie folgt konfiguriert werden.

Wie auch bei der ersten Gruppenrichtlinie, sollte auch diese vor der Verknüpfung mit der Domain getestet werden.

 

Java Script im Internet Explorere deaktivieren

Da sich Ransomware auch über infizierte Webseiten (Hauptsächlich Joomla basierte) verbreitet. Und dies mit Java Script geschieht deaktivieren wir als letztes auch dieses über eine Gruppenrichtlinie des Internet Explorers.

Diese Gruppenrichtlinie kann analog zu der für die Softwareeinschränkung konfiguriert werden. Hier kommt auch ebenfalls eine Computerkonfguration zum tragen.

Wir navigieren zu folgendem Punkt:
Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Internet Explorer > Internetsystemsteuerung > Sicherheitsseite > Internetzone

In der Zone Internet lässt sich nun das Active Scripting deaktivieren.

Java Script IE

 

Auch hier sollte anschließend die GPO getestet und dann mit der Domain/OU verknüpft werden.

Bei allen Clients sollte, zu allen oben genannten Schutzmaßnahmen, immer Grundsätzlich…

  • …die Benutzer keine lokalen Administratoren sein.
  • …ein aktueller Virenschutz vorhanden sein (Signatur < 12 h)
  • …die Windows Firewall aktiviert sein.
  • …die Windows UAC aktiviert sein.

 

Alle Angaben sind ohne Gewähr, die Veränderung Ihres Betriebssystem erfolgt auf eigene Gefahr.

2 Kommentare
  1. joemc26
    joemc26 sagte:

    Die genannten Werte sind leider nicht korrekt geschrieben und somit ohne Funktion!

    Falsch= %appdata%*.exe, %appdata%**.exe
    Richtig= %appdata%\*.exe, %appdata%\*\*.exe

    Grüße

    Antworten
    • Daniel
      Daniel sagte:

      Vielen Dank für den Hinweis! Du hast natürlich recht, da müssen mir die ‚\‘ durch die Lappen gegenagen sein.

      Im Screenshot sieht man aber dir richtigen Pfadregeln.

      Antworten

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.