Wenn Sie den Anti-Ransom Sensor anlegen, müssen Sie sich nicht um kleinere Freigaben oder spezielle verbotene Pfade kümmern, die jedes System/Umgebung betreffen.
Bereits vordefinierte Regeln (intern) sind:
Blockierte Pfadregeln
- %windir%\Tasks
- %windir%\tracing
- %windir%\debug\WIA
- %windir%\Registration\CRMLog
- %windir%\System32\Microsoft\Crypto\RSA\MachineKeys
- %windir%\System32\spool\drivers\color
- %windir%\System32\Tasks bzw. %windir%\SysWOW64\Tasks
- %windir%\Logs
- %windir%\System32\winevt\Logs
- %windir%\temp
Erlaubte Pfadregeln
- %ProgramFiles%
- %SystemRoot%
- %windir%
- %logonserver%\netlogon
- %logonserver%\sysvol
- \\%userdnsdomain%\netlogon
- \\%userdnsdomain%\sysvol
- \\%userdomain%\netlogon
- \\%userdomain%\sysvol
Zusätzlich sei noch erwähnt, dass die Einstellung "useInternalData" im Sensor aktuell eine temporäre Einstellung darstellt. Diese Einstellung ist derzeit nicht zu beachten und kann ignoriert werden. Wie diese in der Zukunft genutzt wird, bei einer erweiterten Version von Anti-Ransom muss noch genau definiert werden.