Nach dem wir durch den Windows Ressourcen-Manager schon auf Dateiserver-Ebene einen Schutzmechanismus eingebaut haben, gehen wir jetzt zu den Clients über. Auch an dieser Stelle können wir etwas konfigurieren um einer Infektion mit Ransomware zu vermeiden.
Im ersten Teil konfigurieren wir eine Softwareeinschränkung mit einer gleichnamigen Richtlinien. Im weiteren werden mit Hilfe von Office ADM/ADMX Vorlagen Makros deaktiviert und guter letzt noch JavaScript im Internet Explorer per GPO deaktiviert.
Softwareeinschränkungen konfigurieren
Vielen Trojaner (Ransomware) und Viren gehen nach dem gleichen Muster vor. Es wird häufig ein temporärer Ordner verwendet um den Trojaner/Virus zu installieren oder nachzuladen. Deshalb setzen wir hier bei den folgenden temporären Ordnern an:
%appdata%%localappdata%%temp%
Als erstes wird eine neue GPO erzeugt und die Benutzerkonfigurationseinstellungen deaktiviert.
Die neue GPO wird jetzt bearbeitet und die Softwareeinschränkung aktiviert.
Jetzt werden neue Pfadregeln mit den oben genannten Ordnern erstellt. Das geschieht in dem unter Zusätzliche Regeln, neue Pfadregeln konfiguriert werden.
- %appdata%\*.exe
- %appdata%\*\*.exe
- %localappdata%\*.exe
- %localappdata%\*\*.exe
- %temp%\*exe
- %temp%\*\*.exe
Wie ein Test zeigt werden Anwendungen, aus einem der oben konfigurierten Verzeichnisse, nicht mehr ausgeführt. Die GPO sollte erst nach einem Test mit der Domain verknüpft werden.
Office Makros deaktivieren
Vermehrt verbreitet sich die Ransomware über Word Dokumente die per E-Mail zugeschickt werden. Das Word Dokument enthält dann ein Makro, welches den eigentlich Schadcode nachlädt. Auch Makros lassen sich via GPO deaktivieren. Die entsprechenden Vorlagen für Office müssen hierfür erst herunter geladen und eingebunden werden.
Im Beispiel für Office 2007 auf einem Server 2012 R2:
In der EXE-Datei sind u.a. die ADM/ADMX Vorlagen zu finden. Hier wurden alle Dateien aus dem Ordner ADMX in das Verzeichnis (lokaler Speicher) C:WindowsPolicyDefinitions kopiert.
Wie schon bei der Konfiguration der Softwareeinschränkungen, wird jetzt eine neue Gruppenrichtlinie angelegt. Da in diesem Fall aber nur Benutzerkonfigurationen verändert werden, deaktivieren wir bei dieser GPO die Computerkonfigurationseinstellungen.
Innerhalb der GPO schalten wir nun die Makros ab.
Die Gruppenrichtlinien-Einstellungen die das Office 2016 bietet sind in der Hinsicht noch etwas feiner geregelt und sollten dann wie folgt konfiguriert werden.
Wie auch bei der ersten Gruppenrichtlinie, sollte auch diese vor der Verknüpfung mit der Domain getestet werden.
Java Script im Internet Explorere deaktivieren
Da sich Ransomware auch über infizierte Webseiten (Hauptsächlich Joomla basierte) verbreitet. Und dies mit Java Script geschieht deaktivieren wir als letztes auch dieses über eine Gruppenrichtlinie des Internet Explorers.
Diese Gruppenrichtlinie kann analog zu der für die Softwareeinschränkung konfiguriert werden. Hier kommt auch ebenfalls eine Computerkonfguration zum tragen.
Wir navigieren zu folgendem Punkt:
Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Internet Explorer > Internetsystemsteuerung > Sicherheitsseite > Internetzone
In der Zone Internet lässt sich nun das Active Scripting deaktivieren.
Auch hier sollte anschließend die GPO getestet und dann mit der Domain/OU verknüpft werden.
—
Bei allen Clients sollte, zu allen oben genannten Schutzmaßnahmen, immer Grundsätzlich…
- …die Benutzer keine lokalen Administratoren sein.
- …ein aktueller Virenschutz vorhanden sein (Signatur < 12 h)
- …die Windows Firewall aktiviert sein.
- …die Windows UAC aktiviert sein.
Alle Angaben sind ohne Gewähr, die Veränderung Ihres Betriebssystem erfolgt auf eigene Gefahr.
Die genannten Werte sind leider nicht korrekt geschrieben und somit ohne Funktion!
Falsch= %appdata%*.exe, %appdata%**.exe
Richtig= %appdata%\*.exe, %appdata%\*\*.exe
Grüße
Vielen Dank für den Hinweis! Du hast natürlich recht, da müssen mir die ‚\‘ durch die Lappen gegenagen sein.
Im Screenshot sieht man aber dir richtigen Pfadregeln.