• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Windows Server] 2k12 R2| alle 30-45min Verbindungsabbrüche bei 2 Win10-64bit Clients

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
Zu Crypto gibt es im übrigen sehr geniale neue Policys in Win10
AFAIK konnte man in Windows schon immer einrichten, dass ausführbare Dateien nur von bestimmten Orten aus gestartet werden dürfen. Ein Cryptotrojaner sollte es ziemlich schwer haben, wenn nur Dateien aus den beiden Programmverzeichnissen gestartet werden dürfen...
@Metal_Warrior: Ich glaube aufgrund dessen das nur Prozesse gesendet werden, diese als Hash sollte das bzgl dsvgo kein Problem darstellen.

Sicher, dass es nur Hashes sind? Die Cloud-Implementierungen, die ich so kenne (Kaspersky zum Beispiel), schicken verdächtige Dateien komplett in die Cloud, zur genaueren Überprüfung. So sind der NSA vor einiger Zeit auch ein paar Tools abhanden gekommen, wenn ich mich recht erinnere (weil deren Contractor die hatte und Kaspersky sie als potentiell gefährlich eingestuft und direkt ans Labor geschickt hat).
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
die meisten Crypto-nervlinge nutzen erstmal ja keine Anwendung sondern vorhandene Scriptsprachen. Hier gibt es Policys die den Scriptsprachen (VBA, VBS, zum teil Powershell - aber das sollte man eh auf anderem Weg zusätzlich konfigurieren) das Starten von Child-Prozessen, Kontakte ins Internet und ähnliches vergbieten können und damit das Nachladen von Code z.B. aus Makros unterbunden wird.

Das wird bei Kaspersky bei Teilnahme am KSN (Kaspersky Security Network) was die Cloud-Komponente der Enterprise-Lösung ist übertragen:
- Datum der Software-Installation und -Aktivierung
- Informationen über die auf dem Computer installierte Software, einschließlich Kernel-Objekte, Treiber, Dienste, Microsoft Internet Explorer-Erweiterungen, Drucksystemerweiterung, Windows Explorer-Erweiterungen, heruntergeladene Objekte, Active Setup-Elemente, Systemsteuerungs-Applets, Einträge in der HOSTS-Datei und Systemregistrierung, Versionen von Browsern und Mail-Clients
- Informationen zur Hardware des Computers, einschließlich Prüfsumme für die Seriennummer der Festplatte
- Daten über die Software-Tools, die zur Problembehebung bei Software, welche auf dem Computer des Benutzers installiert ist, oder zum Ändern der Software-Funktionalität verwendet werden; Rückgabecodes, die nach der Installation der einzelnen Software-Komponenten empfangen werden
- Informationen zum Status des Virenschutzes auf dem Computer einschließlich der Versionen und Releasedaten und Uhrzeiten der verwendeten Antiviren-Datenbank, Statistik über Updates und Verbindungen mit Kaspersky Lab-Services, Positionskennung und die Kennung der Softwarekomponente, die das Scanning durchführt;
- Informationen über die vom Benutzer heruntergeladenen Dateien einschließlich der URL- und IP-Adressen der Downloads und der heruntergeladenen Seiten, ID des Download-Protokolls und Nummer des Verbindungsports, der Status der als bedrohlich oder als nicht bedrohlich eingestuften URLs, Dateiattribute, -größe und Prüfsummen (MD5, SHA2-256, SHA1); Informationen über den Prozess, der die Datei heruntergeladen hat (Prüfsummen (MD5, SHA2-256, SHA1), Erstellung/Builddatum und -Uhrzeit, Status der automatischen Wiedergabe, Attribute, Namen der Packprogramme, Informationen zu Signaturen, Kennzeichen der ausführbaren Datei, Formatkennzeichen und Entropie), Dateiname und Dateipfad, digitale Signatur der Datei und Zeitstempel deren Erstellung, die URL, unter der die Erkennung stattgefunden hat, die Skript-Nummer auf der Seite, die verdächtig oder schädlich erscheint, Informationen über generierte HTTP-Anforderungen und die entsprechenden Antworten.
- Informationen über laufende Anwendungen und deren Module, einschließlich Informationen über auf dem System laufende Prozesse (Prozess-ID (PID), Prozessname, Informationen über das Benutzerkonto, von dem aus der Prozess gestartet wurde, Anwendung und Befehl, mit dem der Prozess gestartet wurde, Kennzeichen eines vertrauenswürdigen Programms oder Prozesses, vollständiger Pfad der Prozessdateien, und Befehlszeile für den Start, Beschreibung des Produktes, zu dem der Prozess gehört (einschließlich Name des Produktes und Informationen über den Herausgeber), sowie verwendete digitale Zertifikate und Informationen, die zur Überprüfung ihrer Authentizität erforderlich sind, oder Informationen über das Fehlen einer digitalen Signatur der Datei) und Informationen über die in die Prozesse geladenen Module, einschließlich deren Namen, Größen, Typen, Erstellungsdaten, Attribute, Prüfsummen (MD5, SHA2-256, SHA1), Dateipfade, Informationen über den PE-Datei-Header und Namen von Packprogrammen (sofern die Datei gepackt ist)
- Informationen über alle potentiell schädlichen Objekte und Aktionen, einschließlich Name des gefundenen Objektes und vollständiger Pfad des Objektes auf dem Computer, Prüfsummen (MD5, SHA2-256, SHA1) der verarbeiteten Prozesse, Datum und Uhrzeit des Fundes, Namen und Größe der heruntergeladenen Dateien und die entsprechenden Pfade, Code der Pfadvorlage, Name des Packprogramms (sofern die Datei gepackt ist), Code des Dateityps, ID des Dateiformats, Liste der Aktivitäten schädlicher Anwendungen und der damit verbundenen Entscheidungen der Software und des Benutzers, IDs für die Antiviren-Datenbanken, welche die Software für eine Entscheidung verwendet hat, Name der gefundenen Bedrohung gemäß der Kaspersky-Lab-Klassifizierung, Gefahrenstufe und Erkennungsstatus, Grund, aus welchem eine Datei in den analysierten Kontext aufgenommen wurde, und Seriennummer der Datei im Kontext, Prüfsummen (MD5, SHA2-256, SHA1), Name und Attribute der ausführbaren Datei für die Anwendung, welche die infizierte Nachricht weitergeleitet hat, anonymisierte IP-Adresse (IPv4 und IPv6) des Hosts des blockierten Objektes, Entropie der Datei, Status der automatischen Wiedergabe, Zeitpunkt, zu dem die Datei erstmals im System gefunden wurde, Anzahl der Dateiausführungen, seitdem zum letzten Mal eine Statistik gesendet wurde, Informationen über den Namen, Prüfsummen (MD5, SHA2-256, SHA1) und Größe des Mail-Clients, mit dem das schädliche Objekt empfangen wurde, ID des Eintrags in den Antiviren-Datenbanken, die zur Entscheidung verwendet wurden, Aufgaben-ID der Software, welche die Untersuchung ausgeführt hat, Kennzeichen für die Reputationsüberprüfung oder für die Überprüfung der Dateisignatur, Ergebnis der Dateiverarbeitung, Prüfsumme (MD5) des Objektmusters und Größe des Musters (in Bytes)
- Informationen über untersuchte Objekte, einschließlich zugewiesener Sicherheitsgruppe, zu der eine und/oder aus der eine Datei dieser Kategorie zugeordnet wurde, ID der Kategorie, Informationen über die Quelle der Kategorien und die Version der Datenbank für die Kategorie, Kennzeichen für das vertrauenswürdige Zertifikat der Datei, Name des Dateilieferanten, Dateiversion, Name und Version des Software-Produktes, zu dem die Datei gehört
- Informationen über die erkannten Schwachstellen einschließlich der Anfälligkeitenkennung in der Datenbank der Anfälligkeiten, die Gefahrenklasse der Schwachstellen und den Erkennungsstatus;
- Informationen über die Emulation der ausführbaren Datei einschließlich Dateigröße und Prüfsummen (MD5, SHA2-256, SHA1), der Version der Emulationskomponente, Emulationsumfang, eine Reihe von Eigenschaften logischer Blöcke und Funktionen innerhalb logischer Blöcke, die im Zuge der Emulation erhalten wurden, Daten aus den PE-Headern ausführbarer Dateien;
- Informationen über Netzwerkangriffe, einschließlich der IP-Adressen des angreifenden Computers (IPv4 und IPv6), Nummer des Ports auf dem Benutzer-Computer, gegen den sich der Netzwerkangriff richtet, Kennzeichen des Protokolls des IP-Pakets, das den Angriff enthält, Ziel des Angriffs (Name der Organisation, Website), Kennzeichen für die Reaktion auf den Angriff, Schweregrad des Angriffs, Vertrauensstufe;
- Informationen über Angriffe mit gefälschten Netzwerkressourcen, einschließlich der DNS- und IP-Adressen (IPv4 und IPv6) der besuchten Websites, Anzahl der IP-Adresszuweisungen für den Domänennamen;
- Informationen über das Rollback von Schadsoftware-Aktivitäten, einschließlich Daten über die Datei, für welche das Rollback durchgeführt wurde (Dateiname, vollständiger Dateipfad, Größe und Prüfsummen (MD5, SHA2-256, SHA1) der Datei), Daten über erfolgreiche und erfolglose Aktionen zum Löschen, Umbenennen und Kopieren von Dateien und zur Wiederherstellung von Werten in der Registrierung (Namen der Registrierungsschlüssel und entsprechende Werte), Informationen über von Schadsoftware veränderte Systemdateien (vor und nach dem Rollback), Name der gefundenen Bedrohung gemäß der Kaspersky-Lab-Klassifizierung, IDs für die Antiviren-Datenbanken und ID des Eintrags in den Antiviren-Datenbanken, welche die Software für eine Entscheidung verwendet hat
- Informationen über die geladenen Software-Module, einschließlich Name, Größe und Prüfsummen (MD5, SHA2-256, SHA1) der Moduldatei, ihr vollständiger Dateipfad und Vorlagencode des Dateipfads, Parameter der digitalen Signatur der Moduldatei, Zeitstempel der Signaturerstellung, Name des Subjekts und der Organisation, welche die Moduldatei signiert hat, ID des Prozesses, in dessen Verlauf das Modul geladen wurde, Name des Verkäufers des Moduls, Indexnummer des Moduls in der Lade-Warteschlange;
- Informationen zur Ermittlung von Datei- und URL-Reputationen, einschließlich der Prüfsummen der untersuchten Datei (MD5, SHA2-256, SHA1) und des während der Emulation der Datei erhaltenen Musters (MD5), Größe des Musters, Emulationstiefe, Version der Emulationskomponente, Typ der erkannten Bedrohung und deren Name gemäß der Klassifizierung von Kaspersky Lab, ID für die Antiviren-Datenbanken, URL-Adresse, unter der die Reputation angefragt wird, sowie Referrer der URL-Adresse, ID des Verbindungsprotokolls und Nummer des verwendeten Ports;
- Serviceinformationen über die Softwareoperation einschließlich der Compilerversion, Merker für die potentielle Bösartigkeit des untersuchten Objektes, Version der gesendeten Statistik, Informationen über die Verfügbarkeit und Gültigkeit dieser Statistik, Kennzeichen des Modus zum Generieren der gesendeten Statistik, Kennzeichen, das angibt, ob die Software im interaktiven Modus ausgeführt wird;
- Wird ein potentiell schädliches Objekt erkannt, werden Informationen über die Daten im Prozessspeicher, Elemente der Objekthierarchie des Systems (ObjectManager), Daten im UEFI-BIOS-Speicher sowie Namen von Registrierschlüsseln und deren Werte zur Verfügung gestellt;
- Informationen über Ereignisse in den Systemprotokollen, einschließlich Zeitstempel des Ereignisses, Name des Protokolls, in dem das Ereignis gefunden wurde, Typ und Kategorie des Ereignisses, Name der Ereignisquelle und Ereignisbeschreibung
- Informationen über Netzwerkverbindungen, einschließlich Version und Prüfsummen (MD5, SHA2-256, SHA1) der Datei, von welcher der Prozess gestartet wurde, der den Port geöffnet hat; Pfad der Prozessdatei und entsprechende digitale Signatur, lokale und Remote-IP-Adressen, Nummern der lokalen und Remote-Ports, Verbindungsstatus, Zeitstempel für das Öffnen des Ports

Dateien die in Quarantäne landen können manuell übertragen werden -klar kann man hier auch eine Aufgabe machen die das automatisch macht.
vermutlich schädliche Dateien werden aber nicht zwingend einfach so übertragen. Ja die Story mit dem "Agenten" gab es - aber welche Version dort Installiert war wurde meines Wissens nicht erwähnt oder ob der Client nun mal so konfiguriert wurde.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Ich hatte auch am Anfang Kopfschmerzen, eine permanente Datenverbindung mit der Pandacloud zu haben, jedoch ist das momentan einer der wenigen Wege sich vor Cryptotrojaner zu sichern. Eben weil kein unbekannter Prozess ausgeführt wird.

Eine sehr trügerische Sicherheit. Da wären doch Whitelists viel besser – da müsste man sich aber mit dem System auskennen.

https://msdn.microsoft.com/de-de/library/hh831534(v=ws.11).aspx
https://www.heise.de/ct/artikel/Restric-tor-Profi-Schutz-fuer-jedes-Windows-3690890.html
 
Oben