15. Mai 2017

    WannaCry? Not really!

    WannaCry & Co verhindern - einfach Patchen

    Wie schützen Sie sich gegen Schadsoftware?

     

    WannaCry ist ein spektakulärer aber bei weitem nicht der einzige Schädling, mit dem wir es heute zu tun haben.

     

    Nach einem Ransomware-Befall hilft die Neuinstallation der betroffenen Arbeitsplätze und die Wiederherstellung der verlorenen Daten aus einem aktuellen Backup.

    Kein Spaß aber immerhin hat man das akute Problem danach beseitigt.

     

    Noch unerfreulicher wäre der Abfluss oder die unbemerkte Veränderung vertraulicher Daten über einen längeren Zeitraum - ohne dass sie dies auch nur bemerken.

    4 Maßnahmen, mit denen Sie Ihren Schutz drastisch verbessern können:

    1 - Patching!

    Schadsoftware verbreitet sich vor allem über bekannte Sicherheitslücken. Sicherheitslücken, die von den Herstellern längst gestopft wurden.

    Das Risiko, dass es zu Schäden kommt, lässt sich also dramatisch reduzieren, in dem man Hersteller-Patches bzw. neuere, sicherere Programmversionen zeitnah installiert. Siehe auch Gartner.

     

    Wir reden hier nicht ausschließlich von Microsoft - andere Hersteller tragen >50% der bekannten Sicherheitslücken bei (Java, Adobe Reader, etc.). Die Microsoft Betriebssystem, Office, Internet Explorer und andere Microsoft-Applikationen zu patchen ist also bestenfalls die halbe Miete.

     

    Patches vieler Hersteller automatisch zu installieren und auch nachvollziehen zu können, dass alle gewünschten Patches auf allen gewünschten Computern installiert sind ist möglich - mit dem richtigen System ist das gar nicht mal so schwierig - siehe Patching - nicht nur von Microsoft.

     

    2 - Administrative Rechte nur für Administratoren

    Auch Benutzer ohne administrative Rechte bzw. Schadsoftware, die im Benutzerkontext läuft, kann erheblichen Schaden anrichten. Betroffen sind alle Bereiche, auf die ein Benutzer Schreibrechte hat -  und die benötigen Benutzer im Regelfall um arbeiten zu können. Wo Benutzer aber administrative Rechte haben, hat es Schadsoftware umso einfacher sich dauerhaft und unbemerkt im System einzunisten.

     

    Software sollte ohnehin von der IT-Abteilung und damit Profi-Administratoren installiert werden. Vertrauenswürdige Software, Programme die stabil laufen und die Benutzern wirklich helfen ihre Arbeit zu erledigen und eben keine unbekannte Software aus dubiosen Quellen.

     

    Der Aufwand für die Installation der wirklich gewünschten Software kann durch Automatisierung auf ein Minimum reduziert werden – auch ganz ohne administrative Rechte des Benutzers - siehe ohne zusätzliche IT-Mitarbeiter

     

    3 - Ausführung von fremder Software verhindern

    Wie gesagt – Schadsoftware kann auch ganz ohne administrative Rechte des Benutzers große Schäden verursachen. Stichwort: Ransomware. Wenn nicht nur Dokumente auf der lokalen Festplatte des befallenen Computers, sondern auch alle Daten auf den Fileservern verschlüsselt wurden, muss ein aktuelles Backup eingespielt werden. Die Änderungen seit dem letzten Backup sind verloren.

     

    Die Zugriffsrechte können für Benutzer auf ein sinnvolles bzw. notwendiges Maß reduziert werden, ganz ohne Schreibrechte wird es aber im Regelfall nicht gehen.

    Die Einschränkung der überhaupt ausführbaren Programme kann die Sicherheit an dieser Stelle signifikant erhöhen.

     

    Über Software Restriction Policies bzw. AppLocker lassen sich Programme entsprechend definierter Regeln kontrollieren. Voraussetzung ist allerdings Punkt 2: keine administrativen Rechte für die Benutzer!

     

    Die Regeln für die Programmausführung können z.B. so aussehen:

    • Erlaube alle Programme in den Programmverzeichnissen und im Windows-Verzeichnis
      Hier haben Benutzer im Regelfall keine Schreibrechte, die Programme wurden also von einem Administrator da installiert und sind damit vertrauenswürdig. Die Ausnahmen von der Regel, also Unterverzeichnisse, auf die auch normale Benutzer Schreibrechte haben, müssen explizit ausgeschlossen werden.
    • Erlaube alle Programme, die mit einem vertrauenswürdigen Zertifikat signiert sind.
      Damit können auch Programme außerhalb der pauschal berechtigten Pfade berechtigt werden, z.B. Programme, die im Benutzerprofil liegen, wie Microsoft Onedrive oder verschiedene Fernwartungstools, die vom Benutzer zu Beginn jeder Session heruntergeladen werden müssen.
    • Erlaube einzelne Programme, die durch einen Hashwert identifiziert werden
      Wenn nichts anderes hilft, können einzelne Programme per Hash erlaubt werden.

    Damit werden heruntergeladene Programme und Programme aus Mailanhängen effizient an der Ausführung gehindert, auch wenn der Benutzer versucht sie absichtlich oder unabsichtlich auszuführen.

     

    Der Aufwand für die Einrichtung und Pflege der Regeln hält sich sehr in Grenzen und Administratoren können auch weiterhin überall alle Programme ausführen - siehe https://msdn.microsoft.com/de-de/library/hh831534(v=ws.11).aspx

     

     

    4 - Virenscanner

    Auch wenn Virenscanner immer wieder in die Diskussion geraten weil sie zu Störungen beitragen und teilweise sogar selbst Sicherheitslöcher aufreißen - zumindest die Erkennung bekannter Schädlinge erledigen Virenscanner zuverlässig. Ein Virenscanner mit aktuellen Signaturen gehört daher m. E. nach wie vor auf jeden Arbeitsplatz.

    Fazit

    Diese Aufzählung listet 4 einzelnen Maßnahmen für die Erhöhung des Schutzes auf. 4 Maßnahmen, die alleine keine komplette Sicherheitsstrategie darstellen, aber erhebliche, praktische Verbesserungen beim Schutz gegen Schadsoftware bringen können. Überlegen Sie nochmal: WannaCry?

     

    Bitte zögern Sie nicht uns zu kontaktieren - wir helfen Ihnen gerne, Ihre Sicherheit und die Verwaltung Ihrer Computerarbeitsplätze zu verbessern.

    Tags: Security

    Kommentar schreiben

    Kommentare: 0