In passato questa policy l'ho usata per blindare delle Organization Unit
per alcuni reparti, come quelli accessibili al pubblico (tipo kiosk) o
dove non c'è una sorveglianza particolare sui computer.
E' sicuramente una soluzione "fattibile" anche se non sempre praticabile
visto che con gli applicativi di oggi, le personalizzazioni ed una certa
libertà che devono avere alcune tipologie di utenze per lavorare,
avrebbe un costo di gestione non indifferente.
Potrebbe essere utile utilizzarla restringendo la policy al solo APPDATA
con le relative eccezioni e lavorare a compartimenti tramite OU. Anche
le VLAN possono essere utili per limitare i danni.
Il 11/12/2015 01:05, ml ha scritto:
Perdonatemi se riposto la soluzione postata ad agosto, che ho adottato
io dove lavoro.
Ma sta cosa di cryptovarianti mi sta troppo antipatica per non
condividere la mia soluzione, purtroppo per esperienza gli antivirus
sono sempre in ritardo:
"
Buongiorno,
anche se e’ passato un po’ di tempo dalla manifestazioni di
cryptolocker e varianti, penso che questo di cryptolocker sia un
problema che continuera’ nel tempo ed anche se oggettivamente tardi
posto la mia soluzione.
Premetto che riguarda l’ambiente windows, funziona a costo 0, e penso
sia molto efficace e potente come tecnica contro cryptolocker e varianti.
Sono partito dalla considerazione dalla premessa forse per molti ovvie
ma che e’ meglio dire cioe’ che tutti i client sono joinati in AD e
nessuno e’ amministratore della macchina, ovviamente questa policy
funziona anche su pc standalone con apposita modifica di secpol etc.
Mi sono controllato e documentato su tutte le voci di AD e mi sono
imbattuto in una dicitura che ha suscitato la mia curiosita’ “Software
Restriction Policy”
cid:[email protected]
Praticamente con questa policy TUTTI i pc joinati in AD nella versione
professional sicuramente enterprise no, gli si puo’ deliverare la
policy che consente SOLO l’esecuzione di software installato.
Quindi ogni software eseguibile etc, che non e’ installato non puo’
essere eseguito, quindi crypto…. Maledetto mettiti pure dove vuoi,
scarica tutti gli exe che vuoi ma quando li esegui ottieni questo
risultato.
cid:[email protected]
Quindi con questo sistema e’ possibile non solo bloccare ad esempio
cryptolocker ma anche tutti quegli eseguibili che l’utente si scarica
(ie: portable) etc, google chrome installato sotto il profilo utente
etc. (io per esempio faccio l’installazione di chrome via msi etc)
L’applicazione della policy iniziale e’ stata adottata nel giro di una
settimana per consentire la gestione delle eccezioni, ad esempio
teamviwer nella versione exe, quindi non installato se non si
impostano eccezioni non parte neanche a piangere.
Ritengo che questa sia una buona soluzione per affrontare con
efficacia la minaccia di cryptolocker e non solo, questa non e’ una
guida, vi invito a provare e rilasciare qualche policy di test e
consultare il sito m$.
Ciao, livio daina.
PS: tra le altre cose l’event viewer del pc dice chiaro netto e tondo
che ha bloccato l’esecuzione del file eseguibile xyz e quindi si
possono tracciare con policy tutte le eccezioni ed adottare la polici
si gruppi di utenti progressivamente senza causare troppi disagi tutti
insieme.
"
-----Messaggio originale-----
Da: Enrico Bassetti [mailto:[email protected]]
Inviato: giovedì 26 novembre 2015 10:11
A: [email protected]
Oggetto: [ml] Un canarino per Cryptolocker
Salve a tutti,
recentemente mi è capitato l'ennesimo Cryptolocker in azienda.
Purtroppo non sono riuscito a recuperare l'esemplare perché le 3
macchine probabilmente infette sono state spianate immediatamente.
Mi ricordo che tempo fa si parlava di un sistema per identificare
Cryptolocker in esecuzione in qualche modo (eg. un file "canarino" da
sacrificare per capire quando c'è in azione il virus in questione).
Qualcuno ha qualche notizia?
So che esistono soluzioni migliori, ma per una serie interminabile di
motivi non sono (ancora) attuabili.
PS: l'host in questione era dotato di Antivirus, ma o è una nuova
variante oppure l'antivirus è abbastanza stupido.
Enrico
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
