3 votes

Insidi0us avatar

Cryptolocker/Cryptowall GPO/SPO

Demandé el 25 de Juin, 2014
Quand la question a-t-elle été
9216 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Quelqu'un a-t-il élaboré un "plan préventif" contre les problèmes de plus en plus importants liés à Cryptolocker et Cryptowall?

L'objectif:

Sur un serveur avec DC et AD, appliquer des règles à tous les utilisateurs avec un script ou un ensemble manuel pour chaque utilisateur afin d'empêcher l'installation de fichiers indésirables sur le(s) PC de l'utilisateur.

Je regardais le site http://www.foolishit.com/posts/cryptolocker-prevention/, mais il ne semble pas avoir la possibilité de l'utiliser sur un serveur pour plusieurs utilisateurs en même temps, il semble que chaque utilisateur doit appliquer un script individuel.

Je souhaite pouvoir déployer des règles sur tous les utilisateurs dans le répertoire Utilisateurs d'un domaine.

Demandé el 25 de Juin, 2014 par Insidi0us

Réponses

Trop de publicités?

7voto

Travis Stoll avatar
Travis Stoll Points 341

Vous pouvez utiliser des Stratégies de restriction de logiciel pour bloquer l'exécution des exécutables lorsqu'ils se trouvent dans le dossier %AppData%, ou tout autre dossier.

Les chemins des infections sont:
C:\Utilisateurs\Utilisateur\AppData\Roaming\{213D7F33-4942-1C20-3D56=8-1A0B31CDFFF3}.exe (Vista/7/8) C:\Documents and Settings\Utilisateur\Application Data\{213D7F33-4942-1C20-3D56=8-1A0B31CDFFF3}.exe

Donc la règle de chemin que vous voulez essentiellement mettre en place est une nouvelle stratégie de configuration Windows :

Chemin : %AppData%\*.exe
Niveau de sécurité : Interdit
Description : Ne pas autoriser les exécutables provenant d'AppData.

Source: http://www.thirdtier.net/downloads/CryptolockerPreventionKit.zip

Le téléchargement ci-dessus contient les GPO pour Win7/8 et XP.

Répondu el 25 de Juin, 2014 par Travis Stoll (341 Points )

4voto

Prosun avatar
Prosun Points 203

Je voudrais reprendre la réponse n°1 concernant la politique de configuration de Windows, mais ajouter une recommandation : testez de manière agressive pour tous vos groupes d'utilisateurs avant de le déployer dans un environnement généralisé. Mon organisation a utilisé ce paramètre de politique exactement pareil, mais nous avons vite réalisé que cela bloquait les mises à jour et les installations de notre propre logiciel de ticketing IT. Par conséquent, nous avons dû créer des exceptions telles que :

Chemin : %LocalAppData%\[chemin vers l'installateur]\[nom de l'installateur].exe
Niveau de sécurité : Non restreint.

Il s'avère que beaucoup de logiciels valides, mal écrits font un usage intensif du dossier %AppData, donc des tests poussés peuvent être nécessaires pour éviter des problèmes majeurs avec vos utilisateurs.

Répondu el 25 de Juin, 2014 par Prosun (203 Points )

0voto

Max avatar
Max Points 454

Vous devez également vous protéger contre le lancement d'exécutables à partir de fichiers zip et d'autres archivages populaires. Ces chemins attraperont presque tout.

%LocalAppData%\*\*.exe
%LocalAppData%\*.exe
%temp%\*\*.exe
%temp%\*.exe
%Userprofile%\*.exe

Mais rappelez-vous, ceux-ci ne sont pas récursifs. Par exemple : %temp%\aaa\aaa*.exe serait quand même exécuté.

Une autre approche serait de tout bloquer et de débloquer uniquement ce qui est autorisé.

Voici quelques bonnes ressources de départ :

http://mechbgon.com/srp/

http://home.arcor.de/skanthak/SAFER.html

Répondu el 6 de Juillet, 2016 par Max (454 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X