4 Antworten Neueste Antwort am 28.06.2017 07:30 von nobody

    Datev Fileserver - Aktivieren von FileSreening

    nobody Neuling

      Hallo zusammen,

       

      ich beschäftige mich, wie viele andere von euch bestimmt auch, recht viel mit der Sicherheit unseres EDV Systems.

       

      Neben einem Virenscanner halte ich es für Sinnvoll bestimmte Dateiendungen auf dem Fileserver zu verbieten. Dazu gibt es von Microsoft das sg. File Screening. (Sicher auch von anderen Herstellern, aber hier ist nur das interessant da der Datev Server nun mal ein Windows Server ist.)

       

      Wir setzen Windows Server 2012R2 als Plattform für den Fileserver ein.

       

      Ich würde den Datevserver gern damit schützen. Allerdings habe ich keine Erfahrung damit ob Datev bzw. der SQL Server damit klar kommt.

      Gibt es jmd. der das bereits getan hat?

      Haben wir Datev Spezialisten die hier eine Empfehlung abgeben können?

       

      Hier einige Infos zum Thema:

      https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce

      https://technet.microsoft.com/en-us/library/cc732074(v=ws.11).aspx

       

      Vielen Dank für eure Hilfe.

      Einen schönen Tag noch!

       

      Gruß Nobody

      • 0. Re: Datev Fileserver - Aktivieren von FileSreening
        dombrowski Einsteiger

        Wir nutzen FSRM seit anderthalb Jahren auf allen Fileservern, inklusive DATEV SQL und DMS Server. Insgesamt kann ich nur positives berichten, da dadurch bereits 1-2 Mal Crypto Viren im letzten Augenblick geblockt wurden.

         

        Bei der Pilot DVD 11.0B ist das allerdings zum ersten Mal gegen die Wand gelaufen bei mir, da DATEV zwei Dateien (einmal in DATEV Basis, einmal in DMS classic) schreiben wollte, die auf der roten Liste standen. Selbiges hatte man allerdings recht schnell heraus bekommen, da im DATEV Log ein entsprechender Hinweis mit ungenügenden Schreibrechten vorhanden war. Das "Problem" habe ich an die Entwicklung adressiert, mal sehen ob's ernst genommen wird. Zur Not vor der DATEV Installation/Update das FSRM beenden.

        • Alle Antworten
          • 1. Re: Datev Fileserver - Aktivieren von FileSreening
            dombrowski Einsteiger

            Wir nutzen FSRM seit anderthalb Jahren auf allen Fileservern, inklusive DATEV SQL und DMS Server. Insgesamt kann ich nur positives berichten, da dadurch bereits 1-2 Mal Crypto Viren im letzten Augenblick geblockt wurden.

             

            Bei der Pilot DVD 11.0B ist das allerdings zum ersten Mal gegen die Wand gelaufen bei mir, da DATEV zwei Dateien (einmal in DATEV Basis, einmal in DMS classic) schreiben wollte, die auf der roten Liste standen. Selbiges hatte man allerdings recht schnell heraus bekommen, da im DATEV Log ein entsprechender Hinweis mit ungenügenden Schreibrechten vorhanden war. Das "Problem" habe ich an die Entwicklung adressiert, mal sehen ob's ernst genommen wird. Zur Not vor der DATEV Installation/Update das FSRM beenden.

            • 2. Re: Datev Fileserver - Aktivieren von FileSreening
              nobody Neuling

              Super, Danke für die Info. Hättest du noch zufällig eine Liste mit Endungen welche Ihr nutzt? Es gibt zwar von Microsoft einen Artikel, wo eine menge drinne stehen, aber da werden auch ne menge txt Dateien gefiltert. Erfahrun ist immer besser als ausprobieren

              • 3. Re: Datev Fileserver - Aktivieren von FileSreening
                jan Aufsteiger

                Meiner Meinung nach wäre es sinnvoller, das Nachladen bzw. das Ausführen des Shadcodes am Client mittles SRP / AppLocker oder z.B. Palo Alto Traps zu hindern.

                 

                Die NSA schreibt da z.B. folgendes zu: https://www.iad.gov/iad/customcf/openAttachment.cfm?FilePath=/iad/library/ia-guidance/security-configuration/operating-s…

                • 4. Re: Datev Fileserver - Aktivieren von FileSreening
                  nobody Neuling

                  Hi,

                  das ist mir bewusst, aktuell migriere ich gerade die bestehende Terminalserver 2008r2 Umgebung auf 2012 R2. Applocker werde ich dann auch konfigurieren.

                   

                  In einer bestehenden Umgebung ist das nicht so Einfach.

                   

                  Ich denke ein drei Komponenten Schutz ist einfach am Wirkungsvollsten.

                  (AV, FileScreening,Applocker)

                   

                  Zur Info für andere, ich habe jetzt folgende Liste genommen (muss selbstverständlich aktuell gehalten werden):

                   

                  (Kann mit Powershell eingefügt werden)

                   

                  New-FsrmFileGroup -Name "Ransomware_Extensions" –IncludePattern @("*.k","*.encoderpass","*.ecc","*.ezz","*.exx","*.zzz","*.xyz","*.aaa","*.abc","*.ccc","*.vvv","*.xxx","*.ttt","*.micro","*.encrypted","*.locked","*.crypto","_crypt","*.crinf","*.r5a","*.xrtn","*.XTBL","*.crypt","*.R16M01D05","*.pzdc","*.good","*.LOL!","*.OMG!","*.RDM","*.RRK","*.encryptedRSA","*.crjoker","*.EnCiPhErEd","*.LeChiffre","*.keybtc@inbox_com","*.0x0","*.bleep","*.1999","*.vault","*.HA3","*.toxcrypt","*.magic","*.SUPERCRYPT","*.CTBL","*.CTB2","*.locky","HELPDECRYPT.TXT","HELP_YOUR_FILES.TXT","HELP_TO_DECRYPT_YOUR_FILES.txt","RECOVERY_KEY.txt","HELP_RESTORE_FILES.txt","HELP_RECOVER_FILES.txt","HELP_TO_SAVE_FILES.txt","DecryptAllFiles.txt","DECRYPT_INSTRUCTIONS.TXT","INSTRUCCIONES_DESCIFRADO.TXT","How_To_Recover_Files.txt","YOUR_FILES.HTML","YOUR_FILES.url","Help_Decrypt.txt","DECRYPT_INSTRUCTION.TXT","HOW_TO_DECRYPT_FILES.TXT","ReadDecryptFilesHere.txt","Coin.Locker.txt","_secret_code.txt","About_Files.txt","Read.txt","ReadMe.txt","DECRYPT_ReadMe.TXT","DecryptAllFiles.txt","FILESAREGONE.TXT","IAMREADYTOPAY.TXT","HELLOTHERE.TXT","READTHISNOW!!!.TXT","SECRETIDHERE.KEY","IHAVEYOURSECRET.KEY","SECRET.KEY","HELPDECYPRT_YOUR_FILES.HTML","help_decrypt_your_files.html","HELP_TO_SAVE_FILES.txt","RECOVERY_FILES.txt","RECOVERY_FILE.TXT","RECOVERY_FILE*.txt","HowtoRESTORE_FILES.txt","HowtoRestore_FILES.txt","howto_recover_file.txt","restorefiles.txt","howrecover+*.txt","_how_recover.txt","recoveryfile*.txt","recoverfile*.txt","recoveryfile*.txt","Howto_Restore_FILES.TXT","help_recover_instructions+*.txt","_Locky_recover_instructions.txt")@("*.k","*.encoderpass","*.key","*.ecc","*.ezz","*.exx","*.zzz","*.xyz","*.aaa","*.abc","*.ccc","*.vvv","*.xxx","*.ttt","*.micro","*.encrypted","*.locked","*.crypto","_crypt","*.crinf","*.r5a","*.xrtn","*.XTBL","*.crypt","*.R16M01D05","*.pzdc","*.good","*.LOL!","*.OMG!","*.RDM","*.RRK","*.encryptedRSA","*.crjoker","*.EnCiPhErEd","*.LeChiffre","*.keybtc@inbox_com","*.0x0","*.bleep","*.1999","*.vault","*.HA3","*.toxcrypt","*.magic","*.SUPERCRYPT","*.CTBL","*.CTB2","*.locky","HELPDECRYPT.TXT","HELP_YOUR_FILES.TXT","HELP_TO_DECRYPT_YOUR_FILES.txt","RECOVERY_KEY.txt","HELP_RESTORE_FILES.txt","HELP_RECOVER_FILES.txt","HELP_TO_SAVE_FILES.txt","DecryptAllFiles.txt","DECRYPT_INSTRUCTIONS.TXT","INSTRUCCIONES_DESCIFRADO.TXT","How_To_Recover_Files.txt","YOUR_FILES.HTML","YOUR_FILES.url","Help_Decrypt.txt","DECRYPT_INSTRUCTION.TXT","HOW_TO_DECRYPT_FILES.TXT","ReadDecryptFilesHere.txt","Coin.Locker.txt","_secret_code.txt","About_Files.txt","DECRYPT_ReadMe.TXT","DecryptAllFiles.txt","FILESAREGONE.TXT","IAMREADYTOPAY.TXT","HELLOTHERE.TXT","READTHISNOW!!!.TXT","SECRETIDHERE.KEY","IHAVEYOURSECRET.KEY","SECRET.KEY","HELPDECYPRT_YOUR_FILES.HTML","help_decrypt_your_files.html","HELP_TO_SAVE_FILES.txt","RECOVERY_FILES.txt","RECOVERY_FILE.TXT","RECOVERY_FILE*.txt","HowtoRESTORE_FILES.txt","HowtoRestore_FILES.txt","howto_recover_file.txt","restorefiles.txt","howrecover+*.txt","_how_recover.txt","recoveryfile*.txt","recoverfile*.txt","recoveryfile*.txt","Howto_Restore_FILES.TXT","help_recover_instructions+*.txt","_Locky_recover_instructions.txt")

                   

                  Basis war das hier:

                  https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce

                   

                  Allerdings sind dort min. 3 Dateitypen drinne die Datev scheinbar tatsächlich nutzt. (.key, "Read.txt","ReadMe.txt", wobei letztere beiden denke ich öfter vorkommen )

                   

                  Vll. Hilfts noch jmd. Für mich ist die Sache erledigt.

                  Vielen Dank noch mal für die Hilfe.

                  Geändert am 28.06.17 um 07:30 Uhr