Ordnerzugriff auf wenige Anwendungen beschränken?

DKK007

DKK007

PCGH-Community-Veteran(in)
Ordnerzugriff auf wenige Anwendungen beschränken?

Auf einer Workstation liegt ein Ordner, auf den regelmäßig von einem kleinen Tool Backups von wichtigen Projektdateien inkl. MD5-Hash angelegt werden.
Gibt es eine Möglichkeit den Schreibzugriff bei dem Ordner und den enthaltenen Dateien auf dieses eine Tool zu beschränken, um eine Verschlüsselung durch Ransomware gleich unmöglich zu machen?
Selbst lesen müssen auf dem Ordner eigentlich nur wenige Programme, wie der Virenscanner oder das Backup-Programm.
 
AW: Ordnerzugriff auf wenige Anwendungen beschränken?

Die klassische Methode wäre wohl, einfach ein anderes Benutzerkonto zu erstellen und das Backup dann mit diesem Benutzer laufen zu lassen.

Vor Virenscanner und Ransomware schützt das aber nur bedingt, wie auch jede andere denkbare, lokale Lösung. Sobald ein Programm mit lokalen Adminrechten gestartet wird, hat es auch Zugriff auf den Ordner oder zumindest auf die Sektoren der Partition.

Jetzt könnte man zwar das Auslesen der Datei noch durch Nutzung von Dateiverschlüsselung erschweren (Bitlocker). Der Ransomware ist das aber im Zweifel egal und sie verschlüsselt einfach die Datei nochmal (zur Not auf Sektorebene). Das Selbe ist auch dann denkbar, wenn Du für den Ordner eine eigene Partiton anlegst und diese gesamtehaft mit VeraCrypte verschlüsselst. Da es keine Systempartition ist, kann die Ransomware diese Partition nochmals komplett "verschlüsseln" ohne die eigene Lauffähigkleit zu beeinträchtigen.

Sprich, so lange die Dateien physikalisch auf dem PC liegen, kann ein Programm auf diesem PC, das mit Admin/Systemrechten ausgeführt wird, diese Datei auch überschreiben/verschlüsseln. Die einzige mir bekannte Lösung wäre eine kleines NAS, auf dem man das Backup-Programm ausführt und auf das der Windows-User nur Leserechte hat.
 
AW: Ordnerzugriff auf wenige Anwendungen beschränken?

Das mit dem extra Benutzer wäre natürlich eine Idee. Ist es möglich, dass dieser zwar existiert, aber keine Anmeldung möglich ist (geht zumindest bei Linux)?

Mit Adminrechten kann man auch Nutzern wie dem Administrator selbst, oder Systemnutzern wie TrustedInstaller frei Rechte geben oder entziehen.

Wobei die meiste Ransomware komplett ohne Adminrechte läuft, da sie diese erst durch zusätzliche Exploits erlangen müsste, während die normale Schadfunktion auch ohne geht.

Um Fehler auch Sektorebene zu erkennen, werden die Prüfsummen hinterlegt. Aber auch da kenne ich keine Schadsoftware, die sich diesen Aufwand macht. Da geht es wirklich v.A. darum, nach einem Dateisystemfehler feststellen zu können welche Dateien defekt sind.

Eine Dateisystemverschlüsselung nützt gegen Spyware überhaupt nichts, da das Dateisystem bei laufendem System entschlüsselt ist.
 
Zuletzt bearbeitet:
AW: Ordnerzugriff auf wenige Anwendungen beschränken?

DKK007 schrieb:
Das mit dem extra Benutzer wäre natürlich eine Idee. Ist es möglich, dass dieser zwar existiert, aber keine Anmeldung möglich ist (geht zumindest bei Linux)?
Zum Vergrößern anklicken....
Ich bin kein Windows-Admin, per GPO geht aber so einiges
Deny log on locally (Windows 10) | Microsoft Docs
Dazu dann mind. noch das Login per RDP ebenfalls deaktivieren, falls RDP aktiv ist.

DKK007 schrieb:
Aber auch da kenne ich keine Schadsoftware, die sich diesen Aufwand macht.
Zum Vergrößern anklicken....
Ich weiss von keiner einzigen Schadsoftware wie die aktuelle Implementierung wirklich intern funktioniert.

Ob da wirklcih Exploits benötigt werden, hängt auch vom eigenen User ab. Workstation/Projaktdateien hört sich fast schon nach Softwareentwicklung an. Da hat man sehr schnell lokale Admin-Rechte um überhaupt arbeiten zu können.

DKK007 schrieb:
Eine Dateisystemverschlüsselung nützt gegen Spyware überhaupt nichts, da das Dateisystem bei laufendem System entschlüsselt ist.
Zum Vergrößern anklicken....
Wennn Du jede Minute Backups erstellt werden, dann ja. Sonst könnte man Veracrypt auch remote inkl. Keyfile aufrufen und die verschlüsselte Partition damit nur so lange einhängen, wie das Backup-Programm sie benötigt. Klar, wenn die Spyware dann dauerhaft läuft, bringt auch das nichts.
 
AW: Ordnerzugriff auf wenige Anwendungen beschränken?

Ich hab die obige Anleitung auch noch mal auf Deutsch gefunden: Lokale Anmeldung verweigern (Windows 10) | Microsoft Docs

Geht aber anscheinend auch unter Win7 Pro. Deny and allow workstation logons with Group Policy – 4sysops
denylogon.png

fotoman schrieb:
Ich weiss von keiner einzigen Schadsoftware wie die aktuelle Implementierung wirklich intern funktioniert.
Zum Vergrößern anklicken....

Wobei es da ganz interessant ist, sich die einfach mal mit einem Debugger wie IDA Pro anzuschauen. :devil:
Samples findet man bei GitHub. Andere Leute haben bisher auch das Glück gehabt, die frei Haus per Mail geliefert zu bekommen.
 
Zuletzt bearbeitet:
AW: Ordnerzugriff auf wenige Anwendungen beschränken?

DKK007 schrieb:
Ich hab die obige Anleitung auch noch mal auf Deutsch gefunden: Lokale Anmeldung verweigern (Windows 10) | Microsoft Docs
Zum Vergrößern anklicken....
Wie bei allen MS-Übersetungen gilt leider "Teile dieses Themas wurden möglicherweise maschinell übersetzt." was sehr oft zu unverständlichem Kauderwelsch führt, weshalb ich die MSDN nur noch auf Englisch lese.

DKK007 schrieb:
Wobei es da ganz interessant ist, sich die einfach mal mit einem Debugger wie IDA Pro anzuschauen.
Zum Vergrößern anklicken....
Das ist sicher interessant, wenn man sich die Zeit dazu nehmen möchte. Mir genügen die gelegentlichen Beschreibungen in der C't.

Privat bin ich nur alleine in meinem Netz unterwegs und beruflich nicht für den Schutz des Netzes oder der Rechner verantwortlich. Da investiere ich meine Zeit lieber in andere Hobbys und die Programmierung von Tools für eines der Hobbys. Die Analyse oder gar Implementierung von x86-Assembler habe ich mit der Pleite der vorletzten Firma, bei der ich angestellt war, aufgegeben.
 
AW: Ordnerzugriff auf wenige Anwendungen beschränken?

Also über die GPO lässt sich zwar die Anmeldung des Nutzers deaktivieren, allerdings ging jetzt das "Starten als" auch nicht.
 
AW: Ordnerzugriff auf wenige Anwendungen beschränken?

Schau ich mir nächste Woche mal an.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

M
Backups auf SSD
Antworten
12
Aufrufe
4K
soulstyle
soulstyle
INU.ID
(Backup leicht gemacht) Aktuell gibts Aomei Backupper Pro 7.1.2 kostenlos (Empfehlung!)
Antworten
6
Aufrufe
2K
INU.ID
INU.ID
R
Manche Anwendungen crashen direkt nach dem Start
Antworten
5
Aufrufe
692
RandomGamer374
R
R
Spiele/Anwendungen stürzen direkt nach dem Start bzw. nach kurzer Zeit ab
Antworten
5
Aufrufe
3K
Pyrodactil
Pyrodactil
Xanrel
Wie Spiele auf R9 280X auf Linux spielen?
Antworten
14
Aufrufe
17K
Stryke7
Stryke7
Oben Unten
Zurück