Likes Likes:  0
  1. #1
    Avatar von DKK007
    Mitglied seit
    16.12.2013
    Liest
    PCGH.de & Heft
    Beiträge
    26.846

    Ordnerzugriff auf wenige Anwendungen beschränken?

    Auf einer Workstation liegt ein Ordner, auf den regelmäßig von einem kleinen Tool Backups von wichtigen Projektdateien inkl. MD5-Hash angelegt werden.
    Gibt es eine Möglichkeit den Schreibzugriff bei dem Ordner und den enthaltenen Dateien auf dieses eine Tool zu beschränken, um eine Verschlüsselung durch Ransomware gleich unmöglich zu machen?
    Selbst lesen müssen auf dem Ordner eigentlich nur wenige Programme, wie der Virenscanner oder das Backup-Programm.
    PC: CPU: i7-4770K @3.5GHz, MB: ASUS Z87-Pro, RAM: 20GiB, NT: bq Straight Power E9 CM 580W, GPU: Sapphire RX580 Nitro 8 GiB, Win7 Ultimate (64bit) + OpenSuse 13.1 (64bit)
    2. PC: CPU: R9-3900X, bis 4,54 GHz, MB: ASUS X570 TUF, RAM: 32GiB, NT: bq Straight Power E10 400W, GPU: Gigabyte GTX1050ti G1 Gaming 4 GiB, Gehäuse: R5 PCGH, Win10 LTSC (64bit)
    Laptop: ASUS Pro P55VA, CPU: i5-3210M @ 2x2,5GHz, RAM: 8GiB, HD4000, Win10 + Linux Mint 19.1 Cinnamon

    • Bitte einloggen, um diese Anzeige auszublenden.
  2. #2

    Mitglied seit
    30.07.2011
    Beiträge
    3.606

    AW: Ordnerzugriff auf wenige Anwendungen beschränken?

    Die klassische Methode wäre wohl, einfach ein anderes Benutzerkonto zu erstellen und das Backup dann mit diesem Benutzer laufen zu lassen.

    Vor Virenscanner und Ransomware schützt das aber nur bedingt, wie auch jede andere denkbare, lokale Lösung. Sobald ein Programm mit lokalen Adminrechten gestartet wird, hat es auch Zugriff auf den Ordner oder zumindest auf die Sektoren der Partition.

    Jetzt könnte man zwar das Auslesen der Datei noch durch Nutzung von Dateiverschlüsselung erschweren (Bitlocker). Der Ransomware ist das aber im Zweifel egal und sie verschlüsselt einfach die Datei nochmal (zur Not auf Sektorebene). Das Selbe ist auch dann denkbar, wenn Du für den Ordner eine eigene Partiton anlegst und diese gesamtehaft mit VeraCrypte verschlüsselst. Da es keine Systempartition ist, kann die Ransomware diese Partition nochmals komplett "verschlüsseln" ohne die eigene Lauffähigkleit zu beeinträchtigen.

    Sprich, so lange die Dateien physikalisch auf dem PC liegen, kann ein Programm auf diesem PC, das mit Admin/Systemrechten ausgeführt wird, diese Datei auch überschreiben/verschlüsseln. Die einzige mir bekannte Lösung wäre eine kleines NAS, auf dem man das Backup-Programm ausführt und auf das der Windows-User nur Leserechte hat.

  3. #3
    Avatar von DKK007
    Mitglied seit
    16.12.2013
    Liest
    PCGH.de & Heft
    Beiträge
    26.846

    AW: Ordnerzugriff auf wenige Anwendungen beschränken?

    Das mit dem extra Benutzer wäre natürlich eine Idee. Ist es möglich, dass dieser zwar existiert, aber keine Anmeldung möglich ist (geht zumindest bei Linux)?

    Mit Adminrechten kann man auch Nutzern wie dem Administrator selbst, oder Systemnutzern wie TrustedInstaller frei Rechte geben oder entziehen.

    Wobei die meiste Ransomware komplett ohne Adminrechte läuft, da sie diese erst durch zusätzliche Exploits erlangen müsste, während die normale Schadfunktion auch ohne geht.

    Um Fehler auch Sektorebene zu erkennen, werden die Prüfsummen hinterlegt. Aber auch da kenne ich keine Schadsoftware, die sich diesen Aufwand macht. Da geht es wirklich v.A. darum, nach einem Dateisystemfehler feststellen zu können welche Dateien defekt sind.

    Eine Dateisystemverschlüsselung nützt gegen Spyware überhaupt nichts, da das Dateisystem bei laufendem System entschlüsselt ist.
    Geändert von DKK007 (28.07.2019 um 22:25 Uhr)
    PC: CPU: i7-4770K @3.5GHz, MB: ASUS Z87-Pro, RAM: 20GiB, NT: bq Straight Power E9 CM 580W, GPU: Sapphire RX580 Nitro 8 GiB, Win7 Ultimate (64bit) + OpenSuse 13.1 (64bit)
    2. PC: CPU: R9-3900X, bis 4,54 GHz, MB: ASUS X570 TUF, RAM: 32GiB, NT: bq Straight Power E10 400W, GPU: Gigabyte GTX1050ti G1 Gaming 4 GiB, Gehäuse: R5 PCGH, Win10 LTSC (64bit)
    Laptop: ASUS Pro P55VA, CPU: i5-3210M @ 2x2,5GHz, RAM: 8GiB, HD4000, Win10 + Linux Mint 19.1 Cinnamon

  4. #4

    Mitglied seit
    30.07.2011
    Beiträge
    3.606

    AW: Ordnerzugriff auf wenige Anwendungen beschränken?

    Zitat Zitat von DKK007 Beitrag anzeigen
    Das mit dem extra Benutzer wäre natürlich eine Idee. Ist es möglich, dass dieser zwar existiert, aber keine Anmeldung möglich ist (geht zumindest bei Linux)?
    Ich bin kein Windows-Admin, per GPO geht aber so einiges
    Deny log on locally (Windows 10) | Microsoft Docs
    Dazu dann mind. noch das Login per RDP ebenfalls deaktivieren, falls RDP aktiv ist.

    Zitat Zitat von DKK007 Beitrag anzeigen
    Aber auch da kenne ich keine Schadsoftware, die sich diesen Aufwand macht.
    Ich weiss von keiner einzigen Schadsoftware wie die aktuelle Implementierung wirklich intern funktioniert.

    Ob da wirklcih Exploits benötigt werden, hängt auch vom eigenen User ab. Workstation/Projaktdateien hört sich fast schon nach Softwareentwicklung an. Da hat man sehr schnell lokale Admin-Rechte um überhaupt arbeiten zu können.

    Zitat Zitat von DKK007 Beitrag anzeigen
    Eine Dateisystemverschlüsselung nützt gegen Spyware überhaupt nichts, da das Dateisystem bei laufendem System entschlüsselt ist.
    Wennn Du jede Minute Backups erstellt werden, dann ja. Sonst könnte man Veracrypt auch remote inkl. Keyfile aufrufen und die verschlüsselte Partition damit nur so lange einhängen, wie das Backup-Programm sie benötigt. Klar, wenn die Spyware dann dauerhaft läuft, bringt auch das nichts.

  5. #5
    Avatar von DKK007
    Mitglied seit
    16.12.2013
    Liest
    PCGH.de & Heft
    Beiträge
    26.846

    AW: Ordnerzugriff auf wenige Anwendungen beschränken?

    Ich hab die obige Anleitung auch noch mal auf Deutsch gefunden: Lokale Anmeldung verweigern (Windows 10) | Microsoft Docs

    Geht aber anscheinend auch unter Win7 Pro. Deny and allow workstation logons with Group Policy – 4sysops
    Klicken Sie auf die Grafik für eine größere Ansicht 

Name:	denylogon.png 
Hits:	17 
Größe:	61,6 KB 
ID:	1053965

    Zitat Zitat von fotoman Beitrag anzeigen
    Ich weiss von keiner einzigen Schadsoftware wie die aktuelle Implementierung wirklich intern funktioniert.
    Wobei es da ganz interessant ist, sich die einfach mal mit einem Debugger wie IDA Pro anzuschauen.
    Samples findet man bei GitHub. Andere Leute haben bisher auch das Glück gehabt, die frei Haus per Mail geliefert zu bekommen.
    Geändert von DKK007 (29.07.2019 um 16:07 Uhr)
    PC: CPU: i7-4770K @3.5GHz, MB: ASUS Z87-Pro, RAM: 20GiB, NT: bq Straight Power E9 CM 580W, GPU: Sapphire RX580 Nitro 8 GiB, Win7 Ultimate (64bit) + OpenSuse 13.1 (64bit)
    2. PC: CPU: R9-3900X, bis 4,54 GHz, MB: ASUS X570 TUF, RAM: 32GiB, NT: bq Straight Power E10 400W, GPU: Gigabyte GTX1050ti G1 Gaming 4 GiB, Gehäuse: R5 PCGH, Win10 LTSC (64bit)
    Laptop: ASUS Pro P55VA, CPU: i5-3210M @ 2x2,5GHz, RAM: 8GiB, HD4000, Win10 + Linux Mint 19.1 Cinnamon

  6. #6

    Mitglied seit
    30.07.2011
    Beiträge
    3.606

    AW: Ordnerzugriff auf wenige Anwendungen beschränken?

    Zitat Zitat von DKK007 Beitrag anzeigen
    Ich hab die obige Anleitung auch noch mal auf Deutsch gefunden: Lokale Anmeldung verweigern (Windows 10) | Microsoft Docs
    Wie bei allen MS-Übersetungen gilt leider "Teile dieses Themas wurden möglicherweise maschinell übersetzt." was sehr oft zu unverständlichem Kauderwelsch führt, weshalb ich die MSDN nur noch auf Englisch lese.

    Zitat Zitat von DKK007 Beitrag anzeigen
    Wobei es da ganz interessant ist, sich die einfach mal mit einem Debugger wie IDA Pro anzuschauen.
    Das ist sicher interessant, wenn man sich die Zeit dazu nehmen möchte. Mir genügen die gelegentlichen Beschreibungen in der C't.

    Privat bin ich nur alleine in meinem Netz unterwegs und beruflich nicht für den Schutz des Netzes oder der Rechner verantwortlich. Da investiere ich meine Zeit lieber in andere Hobbys und die Programmierung von Tools für eines der Hobbys. Die Analyse oder gar Implementierung von x86-Assembler habe ich mit der Pleite der vorletzten Firma, bei der ich angestellt war, aufgegeben.

  7. #7
    Avatar von DKK007
    Mitglied seit
    16.12.2013
    Liest
    PCGH.de & Heft
    Beiträge
    26.846

    AW: Ordnerzugriff auf wenige Anwendungen beschränken?

    Also über die GPO lässt sich zwar die Anmeldung des Nutzers deaktivieren, allerdings ging jetzt das "Starten als" auch nicht.
    PC: CPU: i7-4770K @3.5GHz, MB: ASUS Z87-Pro, RAM: 20GiB, NT: bq Straight Power E9 CM 580W, GPU: Sapphire RX580 Nitro 8 GiB, Win7 Ultimate (64bit) + OpenSuse 13.1 (64bit)
    2. PC: CPU: R9-3900X, bis 4,54 GHz, MB: ASUS X570 TUF, RAM: 32GiB, NT: bq Straight Power E10 400W, GPU: Gigabyte GTX1050ti G1 Gaming 4 GiB, Gehäuse: R5 PCGH, Win10 LTSC (64bit)
    Laptop: ASUS Pro P55VA, CPU: i5-3210M @ 2x2,5GHz, RAM: 8GiB, HD4000, Win10 + Linux Mint 19.1 Cinnamon

  8. #8

    Mitglied seit
    30.07.2011
    Beiträge
    3.606

    AW: Ordnerzugriff auf wenige Anwendungen beschränken?

    Anscheinend gibt es zumindest für Tasks/Aufgaben eine eigene GPO
    Deny log on as a batch job (Windows 10) | Microsoft Docs
    Genauso wie es eine eigene GPO für Dienste gibt

    RunAs ist nichts anderes wie ein lokaler Benutzerwechsel in der GUI für das Programm, also immer noch die interaktive Nutzung des Accounts.

    • Bitte einloggen, um diese Anzeige auszublenden.
  9. #9
    Avatar von DKK007
    Mitglied seit
    16.12.2013
    Liest
    PCGH.de & Heft
    Beiträge
    26.846

    AW: Ordnerzugriff auf wenige Anwendungen beschränken?

    Schau ich mir nächste Woche mal an.
    PC: CPU: i7-4770K @3.5GHz, MB: ASUS Z87-Pro, RAM: 20GiB, NT: bq Straight Power E9 CM 580W, GPU: Sapphire RX580 Nitro 8 GiB, Win7 Ultimate (64bit) + OpenSuse 13.1 (64bit)
    2. PC: CPU: R9-3900X, bis 4,54 GHz, MB: ASUS X570 TUF, RAM: 32GiB, NT: bq Straight Power E10 400W, GPU: Gigabyte GTX1050ti G1 Gaming 4 GiB, Gehäuse: R5 PCGH, Win10 LTSC (64bit)
    Laptop: ASUS Pro P55VA, CPU: i5-3210M @ 2x2,5GHz, RAM: 8GiB, HD4000, Win10 + Linux Mint 19.1 Cinnamon

Ähnliche Themen

  1. PC zur Musikproduktion, Anwendungen (Cubase, Photoshop etc.), wenig Gaming
    Von raphaelm im Forum Komplette Rechner: Zusammenstellung
    Antworten: 30
    Letzter Beitrag: 06.09.2010, 19:02
  2. zu wenig Vcore
    Von Clown[AUT] im Forum Overclocking: Mainboards und Speicher
    Antworten: 35
    Letzter Beitrag: 03.11.2007, 22:56
  3. Toledo X2 3800+ ab 45 zu billig?weniger Cache?
    Von der Jo im Forum Prozessoren
    Antworten: 8
    Letzter Beitrag: 10.10.2007, 12:01
  4. Übersicht: Dual-/Quadcore-optimierte Anwendungen (WiP)
    Von PCGH_Chris im Forum Prozessoren
    Antworten: 6
    Letzter Beitrag: 01.10.2007, 21:48
  5. Weniger Punkte trotz OC
    Von AlterKadaver im Forum Benchmarks
    Antworten: 21
    Letzter Beitrag: 03.09.2007, 15:17

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •