Schutz vor Ransomware
Per E-Mail kam eine Anfrage zum Thema Zone.Identifier. Gerne möchte ich darüber ein paar Worte schreiben.
Microsoft schützt uns mit dem Anlagen-Manager vor nicht sicheren Anlagen, die per E-Mail oder aus dem Internet heruntergeladen wurden. Hat der Anlagen-Manager eine mögliche potenzielle Anlage erkannt werden wir am Öffnen gehindert.
Häufiger jedoch treten Probleme bei heruntergeladenen Dateien auf. Wenn wir mit dem Internet Explorer oder dem Edge Dateien aus dem Internet herunterladen, werden für diese Dateien Streams erzeugt, sogenannte ADS (alternative Datenströme). Diese werden mit der heruntergeladenen Datei verknüpft.
Es gibt verschiedene Streams:
- shield
- SmartScreen
- Zone.Identifier
Ein Stream enthält unterschiedlichste Informationen zu einer Datei:
- ReferrerUrl
- HostUrl
- ZoneId
- AppZoneId
- HostIpAddress
- LastWriterPackageFamilyName
Probiert es einfach mal aus. Öffnet die Powershell und untersuch eure heruntergeladenen Dateien etc.
gci -recurse | % { gi $_.FullName -stream * } | where stream -ne ‘:$Data’
oder
Get-Item -Path L:\* -stream * | Select-Object -Property Filename, Stream, Length | fl
Alternative Datenströme ADS Zone.Identifier
Diese Datei hält für den Windows Explorer eine Information namens „Zone.Identifier” bereit. Anhand dieser Information weiß der Windows Explorer nun, dass es sich hier um eine Datei aus dem Internet handelt und potenziell gefährlich sein könnte. Also werden wir vor dem Öffnen mit einem Warnhinweis konfrontiert.
Wird diese Datei außerhalb eines NTFS-formatierten Datenträgers kopiert oder verschoben, gehen diese Informationen (Data-Streams) verloren.
Alternative Datenströme ADS Zone.Identifier
Microsoft Office 2016/2019 richtig schützen und sicher nutzen