Können Cryptolocker die NTFS Berechtigungen Ignorieren?
 

Hi,

Ich habe mir öfter mal die Frage gestellt, wie es aussieht mit den Cryptolockern und dem allseits bekannten NTFS Zugriffsystems.

Ich mache zur verständigung mal ein kleines Szenario:

Anwender X hat eine Externe Backup sowie eine Interne Datenplatte. Der Anwender verwendet das aktuellste Windows System mit Updates pipapo. Nun hat er aber seine Berechtigungen für die Platten so eingestellt, dass die externe Backup Platte nur ein spezieller User im Windows System schreibrechte drauf hat. Nur der User und der Nutzer "SYSTEM". Seine Dattenplatte hat er so eingestellt, dass er nur die Berechtigungen zum Lesen sowie zum Ordnerinhaltauflisten hat.

Anwender X Hauptaccount hat dementsprechend nur Lese und die Berechtigungen um den Ordnerinhalt auflisten zu können auf der Backup-Platte und keinerlei Schreibrechte auf der Datenplatte. Nun fängt er sich aber einen Cryptolocker wie Cypher, Locky ein, welche Anfangen die gesamten Platten zu verschlüsseln.

Wie sieht es nun mit den 2 Festplatten aus, welche noch aktiv im System eingebunden sind? Macht der Cryptolocker davor halt oder holt der sich Systemrechte und verschlüsselt lustig vor sich hin?

Ich denke es ist eine ganz schlechte Idee nur darauf zu hoffen, dass er keine Rechte verbiegt. Wenn mit Adminrechten gestartet kann ein Schädling sich auch die Rechte holen bzw umbiegen, so wie er es braucht. Ausgeschlossen ist das erst bei einem eingeschränkten also normalen User.

Ein Krypto-Trojaner versucht ja auch zB Schattenkopien zu löschen. Das kann er nicht, wenn er nur als normaler User ausgeführt wurde.

Okay, also nur auf die Rechte zu hoffen ist dann eher nicht ratsam.

Habe nämlich unter meiner Windows Maschine mit dem Gedanken gespielt, die Rechte dementsprechend zu verbiegen, dass nur ein Nutzer und halt das System darauf zugriff haben und ich dann 24/7 mit einem normalen Nutzerkonto im System Arbeite.

Prinzipiell ist das ja eine gute Idee. Sollte man auch so machen. Aber dann darf man halt für die normale Arbeit auch kein Konto mit Admin- oder Hauptbenutzerrechten haben.

Das ist unter Windows alles nur sehr unbequem. Wenn man dann mal ein Backup machen will muss man mit "Ausführen als" arbeiten oder ein Task anlegen und bei diesem die credentials hinterlegen. Kommt drauf an was man genau machen will.

Prinzipiell ist das ja eine gute Idee. Sollte man auch so machen. Aber dann darf man halt für die normale Arbeit auch kein Konto mit Admin- oder Hauptbenutzerrechten haben.

Das ist unter Windows alles nur sehr unbequem. Wenn man dann mal ein Backup machen will muss man mit "Ausführen als" arbeiten oder ein Task anlegen und bei diesem die credentials hinterlegen. Kommt drauf an was man genau machen will.

Unbequem ist es schon, aber der Mensch ist halt ein Gewohnheitstier. Irgendwann gewöhnt man sich sicherlich an die Abläufe wie z.B. runas etc.

Voraussetzung ist natürlich wie du oben sagtest ein Nutzer, welcher keinerlei Administrative oder gar Systemberechtigungen hat. (Gibt ja diesen "Hack" womit man sich Systemrechte holt)

Prinzipell war mein Gedanke, dass ich dem User "Backup" den Vollzugriff auf die Backup Platte gebe, welcher ebenfalls nur ein "Normaler" User ist. Den Admin-Account nutze ich dann nur, um vertrauenswürdige Software zu installieren. Ist in der Vertrauenswürdigen Software dann schadware bin ich halt auf gut deutsch gesagt am arsch.

Schau dir doch mal diese Backup-Software an => https://www.veeam.com/de/endpoint-backup-free.html

Vllt kannst du damit einiges vereinfachen

Ich muss nur noch ein Windows-Gerät daheim pflegen, das W10-Notebook von meinem Vater...da mach ich 1-2x im Monat ein Image mit drivesnapshot und das hat mehr als dicke gereicht bisher. Die Backupplatte liegt immer im Schrank wenn sie nicht im Einsatz ist.