Microsoft Small Business Server 2011, védekezés ransomware ellen

 ( csikoben | 2016. november 24., csütörtök - 11:48 )

Sziasztok!

A segítségeteket szeretném kérni! Adott egy SBS 2011-es Windows Server, amin ugyebár használunk Exchange-t is. Rendszeresen érkeznek rá Spam-ek, amik valamilyen ransomware-t tartalmaznak. Különös ismertetőjelük ezen e-maileknek, hogy mindegyikhez csatolva van egy 10 kb méretű fájl, valamint a nevükben is vannak azonos részek. Ez minden esetben 10 kb, a feladó pedig mindig más, így az adott e-mail címet hiába rakjuk fekete listára, előbb vagy utóbb így is úgy is érkezik ilyen levél.
Arra gondoltunk, hogy létre kéne hozni egy szabályt, hogy a 10 kb méretű, vagy mondjuk a 10 kb méretű és az alatti méretű csatolmányokkal küldött e-maileket automatikusan elutasítsa, vagy spam-ként kezelje a Server. Eddig nem találtunk erre semmilyen megoldást. Persze a klienseken is megoldható lenne a szűrés, de ott sem találtunk ilyen opciót. Az összes kliens Office 2010-es Outlook-ot használ.

Előre is köszönöm a segítséget!

Ezekben a ransomware-es csúnya időkben, mindig jól jön a segítség!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

100% védelem nincs. A védelem elemei lehetnek:

  • ismerten problémás csatolmányok élből eldobása
  • gateway-szintű SPAM és vírusszűrés kereskedelmi adatbázisokkal
  • gateway-szintű SPAM és vírusszűrés ingyenes adatbázisokkal
  • oktatás, körlevél a NE NYISD MEG ami nem neked szól vagy gyanús mondakörben
  • egyéb általad kitalált dolgok

A lényeg, hogy a ransomware-es levelek már lehetőleg ne jussanak el a felhasználó gépére, mert ha már oda jutnak, ott az esetleges végponti AV szoftverek sok esetben semmit sem érnek. Tehát ezeket már célszerű a mail szerver előtt kiszűrni, ha egy mód van rá.

Offsite backup mindig legyen. Lehetőleg agent-en vagy más megoldáson keresztüli mentés másik gépre, amin "keresztül" a ransomware nem tudja törölni a mentést (nyilván nem helyi d: meghajtóra, másik gépről felmappelt share-re stb.)

--
trey @ gépház

Tisztában vagyok vele, hogy 100%-os védelem nincs. Jómagam is a rendszeres mentések híve vagyok, de legjobb lenne ha nem kéne hozzájuk nyúlni. Sajnos a "NE NYISD MEG!" felszólítás pedig nem működik. Előbb vagy utóbb, de valaki mindig megteszi. Sajnos ez tapasztalat. Na meg persze az is, hogy az a valaki rendszerint letagadja. De ez már mellékes.

"oktatás, körlevél a NE NYISD MEG ami nem neked szól vagy gyanús mondakörben "

Oktatas, peeersze... Mindenki tudja, hogy az ilyen leveleket azert kell kikuldeni, hogy ha (vagyis inkabb mikor) beut a krach, akkor tudjuk lobogtatni mint a veres zaszlot, hogy mi figyelmeztettunk mindenkit.
Sajat tapasztalatbol mondom az ilyen leveleket az a 50-60% nem olvassa el akinek eppen szolna... Ok siman megnyitjak a proformaszamla.pdf.exe nevu csatolmanyt is...
Aztan hogy ok nem is csinaltak semmit, csak megjelent ez a kep.

Ahogy trey is irta, azt kell megelozni, eljussanak az user gepere mert ha eljutott, akkor az nagyjabol egyenerteku azzal, hogy le is futott.

Spamassassin+ClamAV sokat meg tud fogni, de az eletem nem biznam ra.
Lehet meg probalkozni greylistel is, de azt altalaban (valamilyen szinten jogosan) nem kedvelik a managerek/vezetok.

--

"You can hide a semi truck in 300 lines of code"

Oktatás

part1: Légyszi ne...

part2: nem kéne mégegyszer (a backup visszatöltése idő amit értelmesebb dolgokkal is el lehet tölteni)

part3:
1.) "Windows Script Host access is disabled on this machine" :P
2.) IE user agent on squid went to blacklist (use a browser)

Ennyire egyszerű szabállyal nem fogod tudni megoldani ezt. Kell az exchange elé egy normális gateway szűrő. A klienseken legjobban még mindig a futtatási jogosultságok elvételével tudod megfogni a dolgot (applockerrel kitiltasz minden futtatást, ami nem az előre meghatározott telepített programok futtatása. Persze sok helyen ez nem igazán járható út).

Zavard össze a világot: mosolyogj hétfőn.

Jelen esetben megoldaná a problémát, ugyanis napi szinten 8-10 ilyen levél is érkezik kb. minden felhasználó számára. Mindegyik 10 kb-os .zip csatolmánnyal. A .zip-et pedig nem tilthatom ki, mert használják napi szinten.
A gateway szűrő nem lenne rossz, de jelen esetben nem igazán tudunk berakni egy új szervert erre a feladatra, az SBS pedig eléggé terhelt már, hogy ezt a célt is ellássa.

Szolgáltatásként is elérhető a saját géptermi levelezőszerverek védelme, például ilyen az Exchange Online Protection, mely listaáron 0,84€/felhasználó/hó.

Üdv,
Marci
A Microsoftnál dolgozom.

Nálunk az lett a megoldás, h zfs+snapshot, ami a szerveren van, az fontos, ami az user gépén, az nem.

ez mi modon ved meg a ransomware-ek ellen?

igy ranezesre azt mondanam, jobban jarsz, ha egy spamszuro szolgaltatot valasztasz, vagy ha az egesz levelezesed tokkal-vonoval egy profi cegre bizod.

létre kéne hozni egy szabályt, hogy a 10 kb méretű, vagy mondjuk a 10 kb méretű és az alatti méretű csatolmányokkal küldött e-maileket automatikusan elutasítsa, vagy spam-ként kezelje a Server.

ezt akar meg spamassassin-nal is ossze lehet hozni egy custom rule-lal.

Eddig nem találtunk erre semmilyen megoldást.

go to 1. bekezdes...