Neopolis 19 Geschrieben 31. März 2020 Melden Teilen Geschrieben 31. März 2020 Halo zusammen, bei mir flatterte eine Mail rein und ein Kollege fragte mich wie wir uns sinnvoll vor dem Emotet Trojaner schützen können. Ich musste erstmal Google befragen um mich zu informieren was das überhaupt ist. Bei Microsoft gibt es scheinbar Ansätze per GPO einfach die Makros zu deaktivieren. Frage. Ist das sinnvoll? Es gibt ja auch Mitarbeiter die Makros in ihren Excellisten und Worddateien benötigen. Wie kann man sich sinnvoll schützen durch Maßnahmen? Wie habt ihr das gemacht? Danke für eure Beiträge. Gruß Thomas Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 31. März 2020 Melden Teilen Geschrieben 31. März 2020 Hier noch ein bissl weitere Lektüre: https://www.heise.de/ct/artikel/Was-Emotet-anrichtet-und-welche-Lehren-die-Opfer-daraus-ziehen-4665958.html Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 31. März 2020 Melden Teilen Geschrieben 31. März 2020 Wir lassen keinerlei Office-Dokumente von extern zu Zitieren Link zu diesem Kommentar
Neopolis 19 Geschrieben 31. März 2020 Autor Melden Teilen Geschrieben 31. März 2020 Danke Olaf und danke Nobby für eure Beiträge. Das ist wirklich noch mal interessant gewesen. Keine Office Dokumente von Außen zu lassen ist natürlich eine Idee die ich schon hatte und die gerade geprüft wird. Klappt das gut? Beschweren sich bei euch viele darüber? Gruß Thomas Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 31. März 2020 Melden Teilen Geschrieben 31. März 2020 vor 5 Minuten schrieb Neopolis: Danke Olaf und danke Nobby für eure Beiträge. Das ist wirklich noch mal interessant gewesen. Keine Office Dokumente von Außen zu lassen ist natürlich eine Idee die ich schon hatte und die gerade geprüft wird. Klappt das gut? Beschweren sich bei euch viele darüber? Kommt drauf an, was vor dem Mailserver steht. Früher hatten wir nur die Filterung von dem Reddoxx, inzwischen ist eine Stufe mehr vorhanden, der NoSpamProxy Der macht aus eingehenden Dokumenten ein pdf, das Original kann dann intern bei Bedarf von dem Dateway angefordert werden Vorteil an der Lösung: es gibt keine Quarantäne mehr, NSP ist ja oder nein. Für Outbound kann man Whitelisten erzeugen, damit z.B. das Word.Dokument aus der BuHa auch bei der Bank ankommt. Zitieren Link zu diesem Kommentar
Neopolis 19 Geschrieben 31. März 2020 Autor Melden Teilen Geschrieben 31. März 2020 Okay. Verstehe! Ich muss das mal eruieren wie das hier gehandhabt wird. Danke für die ausführliche Erklärung Zitieren Link zu diesem Kommentar
Neopolis 19 Geschrieben 7. April 2020 Autor Melden Teilen Geschrieben 7. April 2020 Ich hatte am Wochenende ein Gespräch mit einem Bekannte von mir. Er sagte warum wir nicht mit Vertrauenswürdigen Speicherorten arbeiten. Dazu wollte ich mal gern eure Meinung einholen. Was haltet ihr von der Idee? Ist das ein gangbarer Weg Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 7. April 2020 Melden Teilen Geschrieben 7. April 2020 (bearbeitet) Hi, vor 8 Minuten schrieb Neopolis: Er sagte warum wir nicht mit Vertrauenswürdigen Speicherorten arbeiten. Die User kriegen früher oder später zwangsweise mit wo sich die Speicherorte befinden und speichern den E-Mail-Anhang dann einfach dort ab. ;) Momentan(?) wäre wohl nur signierte Makros zu erlauben eine Option. Allerdings werden sicherlich bald auch die ersten signierten Emotet & Co. Makros unterwegs sein. Eine Firewall/Ein Proxy die/der die entsprechenden Ziele, von wo der Shadcode geladen wird / von wo "gesteuert" wird, blockt sowie AppLocker / SRP wären meiner Meinung nach die besten Ansätze zusätzlich zum Blocken möglichst vieler Anähnge. Gruß Jan bearbeitet 7. April 2020 von testperson Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 7. April 2020 Melden Teilen Geschrieben 7. April 2020 vor 1 Stunde schrieb testperson: Die User kriegen früher oder später zwangsweise mit wo sich die Speicherorte befinden und speichern den E-Mail-Anhang dann einfach dort ab. ;) Momentan(?) wäre wohl nur signierte Makros zu erlauben eine Option. Allerdings werden sicherlich bald auch die ersten signierten Emotet & Co. Makros unterwegs sein. Vertrauenswürdige Speicherort in Kombination mit signierten Makros. Aber! Jeder User kann sich selbst mit Hilfe der SelfCert.exe ein Zertifikat ausstellen und damit das Makro signieren. (Bis hierhin sind wir schon gekommen, den Rest haben wir noch nicht gemacht) Man muss also dem User den Zugriff auf die gen. EXE entziehen, dann können ausgewählte Personen den Code auf einem abgeschotteten Client lesen. Passt alles, das Makro signieren und die Datei rausgeben. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 7. April 2020 Melden Teilen Geschrieben 7. April 2020 vor 29 Minuten schrieb Sunny61: Aber! Jeder User kann sich selbst mit Hilfe der SelfCert.exe ein Zertifikat ausstellen und damit das Makro signieren Dann ist die Signatur aber nicht vertrauenswürdig... Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 7. April 2020 Melden Teilen Geschrieben 7. April 2020 vor einer Stunde schrieb zahni: vor 1 Stunde schrieb Sunny61: Aber! Jeder User kann sich selbst mit Hilfe der SelfCert.exe ein Zertifikat ausstellen und damit das Makro signieren Dann ist die Signatur aber nicht vertrauenswürdig... Doch, hatten wir hier getestet. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 7. April 2020 Melden Teilen Geschrieben 7. April 2020 vor 16 Minuten schrieb Sunny61: Doch, hatten wir hier getestet. Auch bei einem anderen User? Dann solltet Ihr Eure Einstellungen prüfen. Ein Self-Signed-Zertifikat kann nicht automatisch vertrauenswürdig sein. Bei dem User, der es erstellt, u.U. schon. Da kann man aber auch per GPO verhindern, dass ein User etwas in den entsprechenden Store importieren kann... Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 7. April 2020 Melden Teilen Geschrieben 7. April 2020 vor einer Stunde schrieb zahni: Auch bei einem anderen User? Dann solltet Ihr Eure Einstellungen prüfen. Ein Self-Signed-Zertifikat kann nicht automatisch vertrauenswürdig sein. Bei dem User, der es erstellt, u.U. schon. Da kann man aber auch per GPO verhindern, dass ein User etwas in den entsprechenden Store importieren kann... Nein, der eine User hat es erstellt und konnte das Makro wieder ausführen. Er kann es auch in seinen Store importieren. Und genau das reicht ja schon aus. Hast Du einen Hinweis für mich welche Einstellung im GPO das sein könnte? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 8. April 2020 Melden Teilen Geschrieben 8. April 2020 (bearbeitet) Ich schaue nachher mal in der Fa. Ich meine irgendwo da, wo man zentral Zertifikate per GPO importieren kann... Habs, müsste das hier sein: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc781964(v=ws.10)?redirectedfrom=MSDN bearbeitet 8. April 2020 von zahni Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 8. April 2020 Melden Teilen Geschrieben 8. April 2020 Danke, Test wird demnächst gemacht. :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.