NilsK 2.957 Geschrieben 2. August 2018 Melden Teilen Geschrieben 2. August 2018 Moin, aufgrund der Empfehlung in der letzten c't habe ich mal den Ransomware-Schutz des Windows Defender eingeschaltet. In dem Artikel hieß es, dass das praktikabel sei. Nun habe ich allerdings festgestellt, dass der Ransomware-Schutz offenbar gerade keine praktikablen Voreinstellungen hat. Er hindert praktisch alle Prozesse daran, etwa im Userprofil Änderungen vorzunehmen - darunter auch der Explorer, weswegen nach einem Neustart plötzlich meine Taskleiste leer war. Erst nach expliziter Freigabe der Applikationen funktioniert das. Es scheint mir aber nicht zielführend, jetzt -zig Ausnahmen für den Explorer, Office und alles Weitere vorzunehmen. Eigentlich bin ich deshalb kurz davor, das wieder abzuschalten. Hat da jemand schon nähere Erfahrungen? Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 2. August 2018 Melden Teilen Geschrieben 2. August 2018 Hi, nachdem MS selber schon damit Zitat Warning Some security mitigation technologies may have compatibility issues with some applications. You should test Exploit protection in all target use scenarios by using audit mode before deploying the configuration across a production environment or the rest of your network. warnt, habe ich mich noch nicht über den Audit-Mode hinausgetraut. Mir scheint es so, als müsse man derzeit einmalig einen Client passend konfigurieren, die Konfig(s) in XML exportieren und diese dann per GPO verteilen. Alternativ kann man, falls vorhanden, seine EMET Konfig konvertieren: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-exploit-guard/import-export-exploit-protection-emet-xml In den GPOs findet sich häufig halt nur: Zitat Windows Defender Antivirus ermittelt automatisch, welche Anwendungen vertrauenswürdig sind. Sie können diese Einstellung so konfigurieren, dass zusätzliche Anwendungen hinzugefügt werden. (Was bei dir ja scheinbar nicht so gut lief. ;-)) Ich werde mich vom Audit-Mode-Ergebnis mal überraschen lassen und hoffe, dass man damit irgendwie sinnvoll eine Konfig bauen kann. Gruß Jan Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 2. August 2018 Melden Teilen Geschrieben 2. August 2018 Moin, ich habe bisher auch nur den Audit-Mode entdeckt. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 2. August 2018 Autor Melden Teilen Geschrieben 2. August 2018 Moin, OK, danke. Dann schalt ich das erst mal wieder aus. Gruß, Nils Zitieren Link zu diesem Kommentar
Gu4rdi4n 60 Geschrieben 2. August 2018 Melden Teilen Geschrieben 2. August 2018 Ist es nicht einfacher einfach SRPs mit Whitelist zu nutzen? So kommt eine Ransomware erst garnicht zum Schuss Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 2. August 2018 Melden Teilen Geschrieben 2. August 2018 vor 1 Minute schrieb Gu4rdi4n: Ist es nicht einfacher einfach SRPs mit Whitelist zu nutzen? So kommt eine Ransomware erst garnicht zum Schuss AFAIK sind SRPs "deprecated". Zitieren Link zu diesem Kommentar
Gu4rdi4n 60 Geschrieben 2. August 2018 Melden Teilen Geschrieben 2. August 2018 (bearbeitet) Und warum? Kann man die irgendwie umgehen? Und was würdest du eher empfehlen? Wahrscheinlich der AppLocker, oder? Funktioniert nur leider mit W7 nicht (und ja gerade gesehen dass wir hier im W10 forum sind ) bearbeitet 2. August 2018 von Gu4rdi4n Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 2. August 2018 Autor Melden Teilen Geschrieben 2. August 2018 Moin, der Ransomware-Schutz macht ja schon was anderes. Die Idee ist auch nicht schlecht. Vor allem ist die Marketing-Aussage ja, dass die Funktion mit sinnvollen Vorgabewerten arbeite. Das scheint so aber nicht zu stimmen. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 2. August 2018 Melden Teilen Geschrieben 2. August 2018 vor 3 Stunden schrieb testperson: AFAIK sind SRPs "deprecated". Dann eben applocker. @NilsK: ja ich hatte es für einen Vormittag an, und hab den Kram dann wieder abgeschaltet. ;) vor 3 Stunden schrieb Gu4rdi4n: Wahrscheinlich der AppLocker, oder? Funktioniert nur leider mit W7 nicht (und ja gerade gesehen dass wir hier im W10 forum sind ) Naja srp wird solange funktionieren, wie es supportete Windows Versionen gibt. Also mindestens bis Auslauf Windows 7, 8.1 und 1607 ltsb/ltsc. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.