abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Datev Fileserver - Aktivieren von FileSreening

4
letzte Antwort am 28.06.2017 06:30:21 von nobody
Dieser Beitrag ist geschlossen
0 Personen hatten auch diese Frage
nobody
Beginner
Offline Online

am ‎27.06.2017 07:51

Nachricht 1 von 5
709 Mal angesehen

Hallo zusammen,

ich beschäftige mich, wie viele andere von euch bestimmt auch, recht viel mit der Sicherheit unseres EDV Systems.

Neben einem Virenscanner halte ich es für Sinnvoll bestimmte Dateiendungen auf dem Fileserver zu verbieten. Dazu gibt es von Microsoft das sg. File Screening. (Sicher auch von anderen Herstellern, aber hier ist nur das interessant da der Datev Server nun mal ein Windows Server ist.)

Wir setzen Windows Server 2012R2 als Plattform für den Fileserver ein.

Ich würde den Datevserver gern damit schützen. Allerdings habe ich keine Erfahrung damit ob Datev bzw. der SQL Server damit klar kommt.

Gibt es jmd. der das bereits getan hat?

Haben wir Datev Spezialisten die hier eine Empfehlung abgeben können?

Hier einige Infos zum Thema:

https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce

https://technet.microsoft.com/en-us/library/cc732074(v=ws.11).aspx

Vielen Dank für eure Hilfe.

Einen schönen Tag noch!

Gruß Nobody

0 Kudos
Antworten
dombrowski
Fortgeschrittener
Offline Online

am ‎27.06.2017 08:01

Nachricht 2 von 5
165 Mal angesehen

Wir nutzen FSRM seit anderthalb Jahren auf allen Fileservern, inklusive DATEV SQL und DMS Server. Insgesamt kann ich nur positives berichten, da dadurch bereits 1-2 Mal Crypto Viren im letzten Augenblick geblockt wurden.

Bei der Pilot DVD 11.0B ist das allerdings zum ersten Mal gegen die Wand gelaufen bei mir, da DATEV zwei Dateien (einmal in DATEV Basis, einmal in DMS classic) schreiben wollte, die auf der roten Liste standen. Selbiges hatte man allerdings recht schnell heraus bekommen, da im DATEV Log ein entsprechender Hinweis mit ungenügenden Schreibrechten vorhanden war. Das "Problem" habe ich an die Entwicklung adressiert, mal sehen ob's ernst genommen wird. Zur Not vor der DATEV Installation/Update das FSRM beenden.

0 Kudos
Antworten
nobody
Beginner
Offline Online

am ‎27.06.2017 16:22

Nachricht 3 von 5
165 Mal angesehen

Super, Danke für die Info. Hättest du noch zufällig eine Liste mit Endungen welche Ihr nutzt? Es gibt zwar von Microsoft einen Artikel, wo eine menge drinne stehen, aber da werden auch ne menge txt Dateien gefiltert. Erfahrun ist immer besser als ausprobieren

0 Kudos
Antworten
jan
Fortgeschrittener
Offline Online

am ‎27.06.2017 21:33

Nachricht 4 von 5
165 Mal angesehen

Meiner Meinung nach wäre es sinnvoller, das Nachladen bzw. das Ausführen des Shadcodes am Client mittles SRP / AppLocker oder z.B. Palo Alto Traps zu hindern.

Die NSA schreibt da z.B. folgendes zu: https://www.iad.gov/iad/customcf/openAttachment.cfm?FilePath=/iad/library/ia-guidance/security-configuration/operating-s…

0 Kudos
Antworten
nobody
Beginner
Offline Online

am ‎28.06.2017 06:30

Nachricht 5 von 5
165 Mal angesehen

Hi,

das ist mir bewusst, aktuell migriere ich gerade die bestehende Terminalserver 2008r2 Umgebung auf 2012 R2. Applocker werde ich dann auch konfigurieren.

In einer bestehenden Umgebung ist das nicht so Einfach.

Ich denke ein drei Komponenten Schutz ist einfach am Wirkungsvollsten.

(AV, FileScreening,Applocker)

Zur Info für andere, ich habe jetzt folgende Liste genommen (muss selbstverständlich aktuell gehalten werden):

(Kann mit Powershell eingefügt werden)

New-FsrmFileGroup -Name "Ransomware_Extensions" –IncludePattern @("*.k","*.encoderpass","*.ecc","*.ezz","*.exx","*.zzz","*.xyz","*.aaa","*.abc","*.ccc","*.vvv","*.xxx","*.ttt","*.micro","*.encrypted","*.locked","*.crypto","_crypt","*.crinf","*.r5a","*.xrtn","*.XTBL","*.crypt","*.R16M01D05","*.pzdc","*.good","*.LOL!","*.OMG!","*.RDM","*.RRK","*.encryptedRSA","*.crjoker","*.EnCiPhErEd","*.LeChiffre","*.keybtc@inbox_com","*.0x0","*.bleep","*.1999","*.vault","*.HA3","*.toxcrypt","*.magic","*.SUPERCRYPT","*.CTBL","*.CTB2","*.locky","HELPDECRYPT.TXT","HELP_YOUR_FILES.TXT","HELP_TO_DECRYPT_YOUR_FILES.txt","RECOVERY_KEY.txt","HELP_RESTORE_FILES.txt","HELP_RECOVER_FILES.txt","HELP_TO_SAVE_FILES.txt","DecryptAllFiles.txt","DECRYPT_INSTRUCTIONS.TXT","INSTRUCCIONES_DESCIFRADO.TXT","How_To_Recover_Files.txt","YOUR_FILES.HTML","YOUR_FILES.url","Help_Decrypt.txt","DECRYPT_INSTRUCTION.TXT","HOW_TO_DECRYPT_FILES.TXT","ReadDecryptFilesHere.txt","Coin.Locker.txt","_secret_code.txt","About_Files.txt","Read.txt","ReadMe.txt","DECRYPT_ReadMe.TXT","DecryptAllFiles.txt","FILESAREGONE.TXT","IAMREADYTOPAY.TXT","HELLOTHERE.TXT","READTHISNOW!!!.TXT","SECRETIDHERE.KEY","IHAVEYOURSECRET.KEY","SECRET.KEY","HELPDECYPRT_YOUR_FILES.HTML","help_decrypt_your_files.html","HELP_TO_SAVE_FILES.txt","RECOVERY_FILES.txt","RECOVERY_FILE.TXT","RECOVERY_FILE*.txt","HowtoRESTORE_FILES.txt","HowtoRestore_FILES.txt","howto_recover_file.txt","restorefiles.txt","howrecover+*.txt","_how_recover.txt","recoveryfile*.txt","recoverfile*.txt","recoveryfile*.txt","Howto_Restore_FILES.TXT","help_recover_instructions+*.txt","_Locky_recover_instructions.txt")@("*.k","*.encoderpass","*.key","*.ecc","*.ezz","*.exx","*.zzz","*.xyz","*.aaa","*.abc","*.ccc","*.vvv","*.xxx","*.ttt","*.micro","*.encrypted","*.locked","*.crypto","_crypt","*.crinf","*.r5a","*.xrtn","*.XTBL","*.crypt","*.R16M01D05","*.pzdc","*.good","*.LOL!","*.OMG!","*.RDM","*.RRK","*.encryptedRSA","*.crjoker","*.EnCiPhErEd","*.LeChiffre","*.keybtc@inbox_com","*.0x0","*.bleep","*.1999","*.vault","*.HA3","*.toxcrypt","*.magic","*.SUPERCRYPT","*.CTBL","*.CTB2","*.locky","HELPDECRYPT.TXT","HELP_YOUR_FILES.TXT","HELP_TO_DECRYPT_YOUR_FILES.txt","RECOVERY_KEY.txt","HELP_RESTORE_FILES.txt","HELP_RECOVER_FILES.txt","HELP_TO_SAVE_FILES.txt","DecryptAllFiles.txt","DECRYPT_INSTRUCTIONS.TXT","INSTRUCCIONES_DESCIFRADO.TXT","How_To_Recover_Files.txt","YOUR_FILES.HTML","YOUR_FILES.url","Help_Decrypt.txt","DECRYPT_INSTRUCTION.TXT","HOW_TO_DECRYPT_FILES.TXT","ReadDecryptFilesHere.txt","Coin.Locker.txt","_secret_code.txt","About_Files.txt","DECRYPT_ReadMe.TXT","DecryptAllFiles.txt","FILESAREGONE.TXT","IAMREADYTOPAY.TXT","HELLOTHERE.TXT","READTHISNOW!!!.TXT","SECRETIDHERE.KEY","IHAVEYOURSECRET.KEY","SECRET.KEY","HELPDECYPRT_YOUR_FILES.HTML","help_decrypt_your_files.html","HELP_TO_SAVE_FILES.txt","RECOVERY_FILES.txt","RECOVERY_FILE.TXT","RECOVERY_FILE*.txt","HowtoRESTORE_FILES.txt","HowtoRestore_FILES.txt","howto_recover_file.txt","restorefiles.txt","howrecover+*.txt","_how_recover.txt","recoveryfile*.txt","recoverfile*.txt","recoveryfile*.txt","Howto_Restore_FILES.TXT","help_recover_instructions+*.txt","_Locky_recover_instructions.txt")

Basis war das hier:

https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce

Allerdings sind dort min. 3 Dateitypen drinne die Datev scheinbar tatsächlich nutzt. (.key, "Read.txt","ReadMe.txt", wobei letztere beiden denke ich öfter vorkommen )

Vll. Hilfts noch jmd. Für mich ist die Sache erledigt.

Vielen Dank noch mal für die Hilfe.

0 Kudos
Antworten
  • Erster Beitrag Zum ersten Beitrag
  • Letzter Beitrag Zum letzten Beitrag
    • 4
    letzte Antwort am 28.06.2017 06:30:21 von nobody
    Dieser Beitrag ist geschlossen
    0 Personen hatten auch diese Frage
    avatar rank icon
    Rang:
    Status:offline
    Mitglied seit:
    Zum Profil