Problem
- Konfiguration der ESET Remote Administrator (6.3 oder neuer) Anti-Spam Policy-Einstellungen in der ESET Mail Security für Microsoft Exchange Server, um gegen die Filecoder Malware (Ransomware) geschützt zu sein.
Allgemeine Best Practices und Support gegen Ransomware finden Sie in folgendem Knowledgebase Artikel:
Best Practices zum Schutz vor der Filecoder Malware (Ransomware).
Einzelheiten
Mithilfe richtiger Anti-Spam-Regel werden eingehende E-Mail bereits direkt auf dem Mail-Server gefiltert. Damit können bösartige Anhänge, die die Ransomware enthalten, vor der Auslieferung an die Mailbox der Endnutzer abgefangen und somit nicht beim Endnutzer ausgeführt werden.
Lösung
Um mögliche Ransomware Malware auf Ihrem Microsoft Exchange Server zu verhindern, erstellen Sie folgende Policy in Ihrem ESET Remote Administrator Version 6.3 oder neuer:
-
Klicken Sie auf Admin → Policies, wählen die Policy, welche auf Ihrem Server / Ihren Servern angewandt wird / werden (Ihre Standard-Haupt-Policy) und klicken auf Policies → Bearbeiten.
Alternativ können Sie auch eine neue Policy im ESET Remote Administrator (6.x) anlegen.
-
Erweitern Sie die Einstellungen und klicken Server → Regeln.
- Unter Mail-Transportschutz, klicken Sie rechts neben Regeln auf Bearbeiten.
Abbildung 1-1
Klicken Sie in das Bild, um eine vergrößerte Ansicht in einem neuen Fenster zu erhalten
- Klicken Sie auf Hinzufügen, um ein neue Regel hinzuzufügen und um Ransomware und das Nachladen von Schad-Code unter Quarantäne zu stellen.
Abbildung 1-2
-
Geben Sie für die neue Regel einen Namen ein, bspw. “Ransomware droppers”.
- Unter Bedingungstyp, klicken Sie Hinzufügen.
Abbildung 1-3
Klicken Sie in das Bild, um eine vergrößerte Ansicht in einem neuen Fenster zu erhalten
- Im Drop-down-Menü Typ wählen Sie Name des Anhangs aus und klicken auf Hinzufügen.
Abbildung 1-4
Klicken Sie in das Bild, um eine vergrößerte Ansicht in einem neuen Fenster zu erhalten
-
Klicken Sie unten links auf Mehrere Werte eingeben und geben anschließend folgende Namen ein (drücken Sie Return oder Enter nach jedem Eintrag):
- *.js
- *.hta
- *.docm
- *.xlsm
- *.pptm
- *.vbs
- *.bat
- *.wsf
Abbildung 1-5
-
Klick Sie zweimal OK.
-
Klicken Sie unter Aktionstyp den Button Hinzufügen. Wählen Sie nun Ihre bevorzugte Aktion aus. In diesem Beispiel wurde E-Mail in Quarantäne verschieben ausgewählt.
-
Klicken Sie auf OK.
Abbildung 1-6
-
Aktivieren Sie die Checkbox Gefähliche ausführbare Dateiananhänge und klicken anschließend auf Bearbeiten.
Abbildung 1-7
-
Klicken Sie unter Aktionstyp den Button Bearbeiten.
Die folgenden ausführbaren Dateianhänge werden verarbeitet - falls Ihre Netzwerkumgebung einige dieser Dateiformate benötigt, können Sie auch die Dateiformate bearbeiten. Oft werden .exe und .msi abgewählt.- Ausführbare Windows-Datei (*.exe, *.dll,* .sys*, *.drv; *.ocx, *.scr)
- Ausführbare MS-DOS-Datei (*.exe)
- ELF Executable and Linkable format (for example, Linux) (*.elf)
- Adobe Flash (*.swf)
- Java Class Bytecode (*.class)
- Windows-Installationspaket (*.msi)
- Ausführbare Binärdatei für Apple OS X, allgemein
- Ausführbare Binärdatei für Apple OS X Mach-O
- Ausführbare Android-Datei (*.dex)
Abbildung 1-8
- Klicken Sie das Plus-Symbol , um die Ausführbare Dateien zu erweitern. Aktivieren Sie die Checkboxen, um die entsprechenden Dateitypen in Ihrer Systemumgebung zuzulassen (Aktivieren der Checkboxen deaktiviert das Löschen, welches Sie unter Aktionstyp in Schritt 10 ausgewählt haben). Klicken Sie anschließend zweimal auf OK.
Abbildung 1-9
-
Klicken Sie auf Speichern im Fenster Regeln.
- Falls Sie eine neue Policy erstellt haben, erweitern Sie den Abschnitt Zuweisen und weisen Sie die neue Policy einer Gruppe zu, andernfalls wählen Sie direkt Fertigstellen.
Ihre Policy-Einstellungen werden nun auf Ihre Zielgruppe oder Client-Computer angewandt, wenn Sie mit dem ESET Remote Administrator Verbindung aufnehmen.