Hallo,
ich hab auf unserem File-Server die "Dateiüberprüfungsverwaltung" so eingestellt, dass bei einer Änderung einer Datei zu *.locky (und noch ein paar anderen Endungen) das verhindert wird, ein Eintrag in das Ereignisprotokoll geschrieben wird und mir über ein startendes Powershell-Script eine Mail mit Informationen zur Datei und zum Nutzer geschickt wird.
Ich würde jetzt gerne den befallenen Rechner automatisch vom Netz nehmen, trennen oder zumindest ihn von der Freigabe trennen. Leider sind nicht alle Rechner in unserer Domäne, dann könnte man sie leicht remote abschießen, auch ist es nicht möglich die aktive Freigabe zu beenden in dem man den Nutzer sperrt oder deaktiviert (klappt zumindest bei mir nicht), die Verbindung bleibt bestehen.Was ich gerne machen würde ist, die Session der Verbindung auf dem Server finden und trennen, die IP des Rechners in den FW eintragen und sperren oder eine andere Idee (außer den gesamten Fileserver herunterfahren)?
Natürlich haben wir schon die üblichen Maßnahmen ergriffen, es geht um eine Minimierung des Schadens wenn das Kind doch noch in den Brunnen fällt.
MfG