Deschideți PowerShell și executați una dintre următoarele comenzi, în funcție de versiunea dvs. de Windows Server;

Windows Server 2012/2012 R2
Install-WindowsFeature –Name FS-Resource-Manager –IncludeManagementTools

Windows Server 2008
Add-WindowsFeature FS-FileServer,FS-Resource-Manager

NOTĂ: Aceasta va necesita o repornire a serverului pentru a instala noua componentă. Alegeți-vă timpul cu înțelepciune pentru a face acest lucru.

Deschide FSRM din Administrative Tools

3 Adauga extensiile de fisiere care sunt periculoase (se gasesc liste pe internet)

Navigați la Gestionarea ecranului de fișiere> Grupuri de fișiere. Veți vedea aici câteva dintre cele implicite furnizate de Microsoft. Acestea sunt toate cu handicap, nu vă faceți griji. Puteți să le ștergeți dacă doriți. Pentru a crea grupuri de fișiere, faceți click dreapta pe Grupuri de fișiere sau un spațiu gol și faceți click pe Creare grup de fișiere.

Dați grupului de fișiere un nume. Am denumit a mea “Extensii Ramsomware” și “Tipuri de fișiere comune care sunt extensii Ransomware”. Voi explica de ce mai târziu. Să începem cu grupul principal “Extensii Ransomware”.

Vrem să INCLUDEM fișiere. Sub fișierele pe care trebuie să le includeți, adăugați toate aceste extensii exact așa cum se arată. Un asterisc * este folosit pentru a include orice nume de fișier pentru extensia respectivă. Vrem să împiedicăm adăugarea pe file server a oricăror fișiere cu aceste extensii sau redenumirea unui fișier existent.

Cateva exemple: *.CryptoTorLocker2015!
*.CrySiS
*.ctbl
*.czvxce
*.darkness
*.dyatel@qq_com
*.ecc
*.enc
*.encedRSA
*.EnCiPhErEd
*.encrypt
*.Encrypted
*.encryptedAES
*.encryptedRSA
*.encryptedped
*.enigma
*.exx
*.ezz
*.fucked
*.fun
*.gruzin@qq_com
*.gws
*.ha3
*.hb15
*.helpdecrypt@ukr_net
*.infected
*.justbtcwillhelpyou
*.keybtc@inbox_com
*.KEYHOLES
*.KEYZ
*.kimcilware
*.kkk
*.korrektor
*.kraken
*.LeChiffre
*.lock (some environments may need to monitor but not prevent this one, add at your own risk)
*.locked
*.locky
*.LOL!
*.micro

Faceți click pe OK pentru a salva acest grup

PASUL4 Crearea de sabloane

Vom crea un șablon activ și pasiv pentru aceste grupuri de fișiere. Un ecran activ va împiedica crearea fișierelor sau redenumirea acestora cu respectivele extensii. Un ecran pasiv va permite crearea, dar vă va avertiza prin e-mail atunci când se întâmplă.

Navigați la Gestionarea ecranului de fișiere> Șabloane de ecran de fișiere. Ca grupuri de fișiere, fie faceți click dreapta pe nume, fie pe spațiul gol pentru a crea un șablon.

Dă-i un nume. Pentru grupul activ pe care l-am numit “fișierul criptat”.

În fila Setări, selectați Proiecție activă. Selectați Grupul de fișiere “Extensii Ransomware” din secțiunea Selectare grupuri de fișiere pentru a le bloca.

Sub mesajul E-mail, bifați caseta pentru a trimite un e-mail unui administrator. Adăugați adresa dvs. de e-mail. Va apărea un subiect și un corp implicit. Modificați după cum doriți, dar este destul de drept din cutie. Eu folosesc șablonul implicit și tocmai am adăugat la sfârșit “Revizuirea computerului sursă”.

În fila Jurnal evenimente, bifați caseta pentru a crea un jurnal de evenimente. De ce nu, nu?

Asta e. Faceți click pe OK. Creați următorul șablon. Urmați aceleași instrucțiuni, cu excepția selectării “Screening pasiv”.

Crearea supravegherii

Acest lucru va indica FSRM ce acțiuni doriți să monitorizați. Cu cat mai multi cu atat mai bine!

Navigați la Gestionarea ecranului de fișiere> Ecranele de fișiere. Faceți click dreapta pe Ecranele de fișiere sau un spațiu gol pentru a crea ecranul de fișiere. Am numit-o pe “blocul de fișiere criptate”.

Selectați calea pe care o va monitoriza. Am ales întreagul D: / drive pe serverul nostru cu șablonul activ pe care l-am făcut de când această unitate găzduiește toate acțiunile. Deci, selectați șablonul “Blocare fisier criptat” și creați primul ecran de fișiere.

Acum creați un nou fișier de fișiere pentru șabloanele pasive. Din păcate, dacă ați selectat o întreagă unitate ca cea pe care am făcut-o pentru șablonul activ, nu puteți face același lucru pentru șabloanele pasive. Va trebui să creați un ecran de fișiere pasiv pentru fiecare acțiune (dosarul rădăcină).

Configurarea alertelor pe email

În cele din urmă, trebuie să configurați FSRM cu privire la modul de trimitere a e-mailurilor. Faceți click dreapta pe File Resource Manager (Local) din arborele de navigare din stânga și faceți click pe Configure Options. Sub adresa SMTP sau IP, adăugați numele de gazdă sau adresa IP a serverului de e-mail.

Apoi adăugați destinatarii și ce ar trebui să fie e-mailul “de la”. Trimiteți un e-mail de test pentru a verifica dacă ați introdus corect acest lucru.

Apoi, dați-i un test rapid. Creați două fișiere simple .txt. Adăugați unul la o acțiune. Ar trebui să vă permiteți să salvați fișierul, dar să trimiteți o confirmare prin e-mail pentru a vă avertiza. Acum redenumiți cealaltă la ceva de genul .locky. Veți primi un “acces refuzat” atunci când îl salvați. Redenumiți fișierul .txt salvat pe partajare și redenumiți-l la aceeași extensie. Va preveni și asta.

Adăugarea acestor extensii NU este o afacere “setată și uită”. Activați noi extensii de fișiere pentru fișierele criptate și adăugați-le în grupurile de fișiere.

Ați făcut pașii pentru a preveni criptarea fișierelor companiei de către ransomware. Rețineți că acest lucru nu împiedică salvarea fișierelor salvate local pe PC vostru ci numai fișierele din acțiunile găzduite de serverul (fișierele) de fișiere.

Nu va bazați exclusiv pe FSRM pentru protecția împotriva răscumpărării. Utilizați o strategie multi-strat pentru o securitate optimă. Rulați un AV gestionat, detectarea zilei zero, filtrul de e-mail spam, eliminați drepturile de administrare de la utilizatori, eliminați accesul la citire / scriere de la utilizatori la acțiunile care nu au nevoie de acces, creați restricții prin politica de grup, faceți backup offsite / deconectate pentru a le împiedica să fie criptate.