Das große Thema ist Ransomware in den Medien nicht mehr, die Gefahr bleibt aber trotzdem akut mit immer neueren und schlaueren Varianten. Heute geht es um einen kurzen Einblick in die Gefahr eines Administrator-Kontos auf einem Kundensystem und die Alternativen.

Als Administrator darf man alles. Logisch, aber genau das macht diese Konten so gefährlich. Oft ist es so, dass Kunden vor Ort unnötigerweise über Administratoren-Rechte verfügen. Dadurch ist es ein Leichtes, sich Infektionen über E-Mail oder Word Dokumente einzufangen. Gerade Ransomware verteilt sich durch scheinbar ungefährliche Dateien, die sogar von einem vermeintlichen Kollegen kommen können (falscher E-Mail Absender). Ein Klick und schon kann es zu spät sein.

Ein Ansatz

Genau deswegen verfolgen wir einen anderen Ansatz. Es ist ein Ansatz der mehr Arbeit und Geduld benötigt, aber jedem sollte klar sein was eine Infektion durch Ransomware für ein Unternehmen bedeuten kann. Demnach sollte hier sowohl bei dem Betreuer, als auch dem Kunden selbst das notwendige Verständnis vermittelt werden, wie wichtig dieser Mehrwert ist.

Wir haben vor Ort genau einen Administrator, der aber nur von einem technischen Betreuer genutzt wird. Kein Kunde hat ein Administrator Account, sondern bekommt durch Boardmittel wie Windows Safer, alle benötigten Programme freigeschaltet. Gibt es etwas neues, kann der Kunde sich melden und um Freischaltung bitten. Zusätzlich überwachen wir dies mit Server-Eye und prüfen regelmäßig blockierte Anwendungen um Fehlverhalten zu erkennen. Das stärkt gleichzeitig auch die Kundenbindung, da man in stetigem Kontakt ist und dem Kunden auch direkt aufzeigt, was man leistet.

Das ist nicht nur ein Schutz gegen Ransomware, sondern gegen Viren jeder Art. Die eben beschriebene WORD Datei würde sich zwar öffnen lassen, aber vorhandene Infektionen über Makros werden blockiert (da diese sich erst in temporäre Verzeichnisse kopieren), denn es liegen weder Admin-Rechte für eine Verbreitung vor, noch wurde die Datei vorher freigegeben.

safer event

 

Wir raten auch davon ab, das Ganze in Kombination mit der UAC durchzuführen. Bei technisch versierten Personen mag dies funktionieren, ansonsten wird der Schutz aber direkt wieder ausgehebelt, da die UAC auch nur ein „nerviges Fenster“ ist was wegklickt wird.

100% Schutz bringt keine Lösung, aber ich hoffe unser Ansatz regt etwas zum Nachdenken an!

Bewerten Sie diesen Beitrag