Windows Clients via GPOs vor Ransomware schützen

Nach dem wir durch den Windows Ressourcen-Manager schon auf Dateiserver-Ebene einen Schutzmechanismus eingebaut haben,  gehen wir jetzt zu den Clients über. Auch an dieser Stelle können wir etwas konfigurieren um einer Infektion mit Ransomware zu vermeiden.

Im ersten Teil konfigurieren wir eine Softwareeinschränkung mit einer gleichnamigen Richtlinien. Im weiteren werden mit Hilfe von Office ADM/ADMX Vorlagen Makros deaktiviert und guter letzt noch JavaScript im Internet Explorer per GPO deaktiviert.

Softwareeinschränkungen konfigurieren

Vielen Trojaner (Ransomware) und Viren gehen nach dem gleichen Muster vor. Es wird häufig ein temporärer Ordner verwendet um den Trojaner/Virus zu installieren oder nachzuladen. Deshalb setzen wir hier bei den folgenden temporären Ordnern an:

• %appdata%
• %localappdata%
• %temp%

Als erstes wird eine neue GPO erzeugt und die Benutzerkonfigurationseinstellungen deaktiviert.

Die neue GPO wird jetzt bearbeitet und die Softwareeinschränkung aktiviert.

Jetzt werden neue Pfadregeln mit den oben genannten Ordnern erstellt. Das geschieht in dem unter Zusätzliche Regeln, neue Pfadregeln konfiguriert werden.

• %appdata%\*.exe
• %appdata%\*\*.exe
• %localappdata%\*.exe
• %localappdata%\*\*.exe
• %temp%\*exe
• %temp%\*\*.exe

Wie ein Test zeigt werden Anwendungen, aus einem der oben konfigurierten Verzeichnisse, nicht mehr ausgeführt. Die GPO sollte erst nach einem Test mit der Domain verknüpft werden.

Office Makros deaktivieren

Vermehrt verbreitet sich die Ransomware über Word Dokumente die per E-Mail zugeschickt werden. Das Word Dokument enthält dann ein Makro, welches den eigentlich Schadcode nachlädt. Auch Makros lassen sich via GPO deaktivieren. Die entsprechenden Vorlagen für Office müssen hierfür erst herunter geladen und eingebunden werden.

• Office 2007 ADM/ADMX
• Office 2010 ADM/ADMX
• Office 2013 ADM/ADMX
• Office 2016 ADM/ADMX

Im Beispiel für Office 2007 auf einem Server 2012 R2:

In der EXE-Datei sind u.a. die ADM/ADMX Vorlagen zu finden. Hier wurden alle Dateien aus dem Ordner ADMX in das Verzeichnis (lokaler Speicher) C:WindowsPolicyDefinitions kopiert.

Wie schon bei der Konfiguration der Softwareeinschränkungen, wird jetzt eine neue Gruppenrichtlinie angelegt. Da in diesem Fall aber nur Benutzerkonfigurationen verändert werden, deaktivieren wir bei dieser GPO die Computerkonfigurationseinstellungen.

Innerhalb der GPO schalten wir nun die Makros ab.

Die Gruppenrichtlinien-Einstellungen die das Office 2016 bietet sind in der Hinsicht noch etwas feiner geregelt und sollten dann wie folgt konfiguriert werden.

Wie auch bei der ersten Gruppenrichtlinie, sollte auch diese vor der Verknüpfung mit der Domain getestet werden.

Java Script im Internet Explorere deaktivieren

Da sich Ransomware auch über infizierte Webseiten (Hauptsächlich Joomla basierte) verbreitet. Und dies mit Java Script geschieht deaktivieren wir als letztes auch dieses über eine Gruppenrichtlinie des Internet Explorers.

Diese Gruppenrichtlinie kann analog zu der für die Softwareeinschränkung konfiguriert werden. Hier kommt auch ebenfalls eine Computerkonfguration zum tragen.

Wir navigieren zu folgendem Punkt:
Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Internet Explorer > Internetsystemsteuerung > Sicherheitsseite > Internetzone

In der Zone Internet lässt sich nun das Active Scripting deaktivieren.

Auch hier sollte anschließend die GPO getestet und dann mit der Domain/OU verknüpft werden.

—

Bei allen Clients sollte, zu allen oben genannten Schutzmaßnahmen, immer Grundsätzlich…

• …die Benutzer keine lokalen Administratoren sein.
• …ein aktueller Virenschutz vorhanden sein (Signatur < 12 h)
• …die Windows Firewall aktiviert sein.
• …die Windows UAC aktiviert sein.

Alle Angaben sind ohne Gewähr, die Veränderung Ihres Betriebssystem erfolgt auf eigene Gefahr.