Cegah ransomware dengan menggunakan FSRM - Bagaimana-Untuk

Cegah ransomware dengan menggunakan FSRM

Dalam caranya ini saya akan menunjukkan kepada Anda bagaimana menginstal File Server Resource Manager menggunakan PowerShell pada Windows Server 2008/2012. Saya kemudian akan menunjukkan kepada Anda cara mengkonfigurasinya untuk mencegah file perusahaan Anda dienkripsi oleh ransomware.

Jika sekarang Anda menginstal FRSM, ketahuilah bahwa itu akan membutuhkan server restart. Harap rencanakan ini di luar jam kerja.

Total waktu untuk melakukan perubahan ini: 20-30 menit
Total waktu yang dihemat dengan melakukan perubahan ini: JAUH!

Total 6 langkah

Langkah 1: Instal FSRM (Manajer Sumberdaya Server File)


Buka PowerShell dan jalankan salah satu dari perintah berikut, tergantung pada versi Windows Server Anda;

Windows Server 2012/2012 R2
Instal-WindowsFeature –Nama FS-Resource-Manager –IncludeManagementTools

Windows Server 2008
Tambahkan-WindowsFeature FS-FileServer, FS-Resource-Manager

CATATAN: Ini akan membutuhkan server restart untuk menginstal komponen baru. Pilih waktu Anda dengan bijak untuk melakukan ini.

Langkah 2: Buka FSRM


Ini dapat ditemukan di bawah Alat Administratif> Manajer Sumber Daya Server File.

Langkah 3: Buat Grup File Anda


Jelajahi Manajemen Penyaringan File> Grup File. Anda akan melihat beberapa default di sini yang disediakan oleh Microsoft. Ini semua dinonaktifkan, jangan khawatir. Anda dapat menghapusnya jika mau. Untuk membuat grup file, klik kanan pada Grup File atau ruang kosong dan klik Buat Grup File.

Beri nama Grup File nama. Saya menamai milik saya "ekstensi Ramsomware" dan "Jenis file umum yang merupakan ekstensi Ransomware". Saya akan jelaskan mengapa nanti. Mari kita mulai dengan grup "ekstensi Ransomware" utama.

Kami ingin TERMASUK file. Di bawah file yang akan disertakan, tambahkan semua ekstensi ini persis seperti yang ditunjukkan. Tanda bintang * digunakan untuk menyertakan nama file apa pun untuk ekstensi itu. Kami ingin mencegah file mana pun dengan ekstensi ini agar tidak ditambahkan atau file yang ada diubah namanya.

*. {CRYPTENDBLACKDC}
* .73i87A
* .aaa
* .abc
* .AES256
* .better_call_saul
*.blok
* .btc
* .btc-help-you
* .btcbtcbtc
* .cbf
* .cerber
*[email protected]_com
* .clf
*.kode
* .coverton
*.kejahatan
* .crinf
* .crjoker
*.menangis
*.ruang bawah tanah
* .crypted
* .CryptoTorLocker2015!
*.Krisis
* .ctbl
* .czvxce
*.kegelapan
*[email protected]_com
* .baik
* .enc
* .encedRSA
* .EnCiPhErEd
* .encrypt
*. Dienkripsi
* .encryptedAES
* .encryptedRSA
*. dienkripsi
* .enigma
* .exx
* .ezz
*. kacau
* .fun
*[email protected]_com
* .gws
* .ha3
* .hb15
*[email protected]_net
* .terinfeksi
* .justbtcwillhelpyou
*[email protected]_com
* .KEYHOLES
* .KEYZ
* .kimcilware
* .kkk
* .korrektor
* .kraken
* .LeChiffre
* .lock (beberapa lingkungan mungkin perlu memonitor tetapi tidak mencegah yang ini, menambah risiko Anda sendiri)
*.terkunci
* .locky
* .LOL!
*.mikro
*[email protected]_com
*.tidak mungkin
*.OH TUHAN!
* .one-we_can-help_you
* .Tidak
*[email protected]_com
* .suih
* .p5tkjw
*[email protected]_com
* .PoAr2w
* .R4A
* .R5A
* .RADAMANT
* .RDM
*[email protected]_com
*.mengingatkan
* .rokku
* .RRK
* .ryp
* .santtion
* .scl
*.olahraga
*.mengherankan
*[email protected]_com
* .trun
* .ttt
*.kubah
* .vscrypt
* .vvv
* .xort
* .xrtn
* .xtbl
* .xxx
* .xyz
* .zzz

Klik OK untuk menyimpan grup ini. Mari kita buat yang kedua untuk jenis file umum yang juga digunakan untuk ecryption oleh ransomware. Ini adalah;

* .exe
* .html
* .mp3
*.txt

Ada dokumen yang bagus untuk memberi tahu Anda tentang file baru / ekstensi variasi ransomware baru. Anda harus meminta akses ke sana. Pada saat panduan ini dilakukan, ini semua ekstensi yang tercantum dalam dokumen https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/htmlview?sle=true

Langkah 4: Buat Template Layar File


Kami akan membuat templat aktif DAN pasif untuk grup file ini. Layar aktif akan mencegah file dibuat atau diganti namanya dengan ekstensi itu. Layar pasif akan memungkinkan pembuatan tetapi akan memberi tahu Anda melalui email ketika itu terjadi.

Cari ke Manajemen Penyaringan File> Templat Layar File. Seperti Grup File, klik kanan pada nama atau ruang kosong untuk membuat templat.

Beri nama. Untuk grup aktif yang saya beri nama tambang "Blok File Ecrypted"

Di bawah tab Pengaturan, pilih Pemutaran Aktif. Pilih Grup File "ekstensi Ransomware" di bawah Pilih Grup File yang akan Diblokir.

Di bawah Pesan Email, centang kotak untuk mengirim email ke administrator. Tambahkan alamat email Anda. Subjek dan badan default akan muncul. Ubah sesuai keinginan Anda, tetapi cukup lurus ke depan. Saya menggunakan templat default dan hanya menambahkan "Tinjau komputer sumber sekaligus" di akhir.

Di bawah tab Log Kejadian, centang kotak untuk membuat log peristiwa. Kenapa tidak?

Itu dia. Klik OK. Buat template berikutnya. Ikuti instruksi yang sama kecuali pilih "Penapisan pasif".

Langkah 5: Sekarang buat Layar File yang sebenarnya


Ini akan memberi tahu FSRM bagian apa yang ingin Anda pantau. Pikiran juga memonitor semuanya! Kenapa tidak? Semakin meriah!

Telusuri ke Manajemen Penyaringan File> Layar File

Klik kanan pada Layar File atau ruang kosong untuk membuat Layar File. Saya menamai milik saya "Blok File Terenkripsi".

Pilih jalur yang akan dipantau. Saya melakukan seluruh D: / drive di server kami dengan template aktif yang saya buat karena drive ini menampung semua bagian. Jadi pilih templat "Encrypted File Block" dan buat Layar File pertama.

Sekarang buat Layar File baru untuk templat pasif. Sayangnya, jika Anda memilih seluruh drive seperti yang saya lakukan untuk templat aktif, Anda tidak dapat melakukan hal yang sama untuk templat pasif. Anda harus membuat Layar File pasif untuk setiap share (folder root). Saya memiliki 4 saham utama, jadi itu bukan masalah bagi saya.

Langkah 6: Konfigurasikan FSRM dengan nama host server e-mail Anda untuk mengirim e-mail


Terakhir kita perlu mengkonfigurasi FSRM tentang cara mengirim email. Klik kanan pada File Resource Resource Manager (Lokal) di pohon navigasi kiri dan klik Configure Options.

Di bawah SMTP atau alamat IP, tambahkan nama host atau alamat IP dari server surat Anda.

Kemudian tambahkan penerima dan seperti apa "e-mail" seharusnya. Kirim email percobaan untuk memverifikasi bahwa Anda memasukkan ini dengan benar.

Kemudian berikan tes cepat di alam liar. Buat dua file .txt sederhana. Tambahkan satu ke satu saham. Seharusnya memungkinkan Anda untuk menyimpan file tetapi mengirim konfirmasi email untuk memperingatkan Anda tentang hal itu. Sekarang ganti nama yang lain menjadi sesuatu seperti .locky. Anda akan mendapatkan "akses ditolak" saat menyimpannya. Ganti nama file .txt yang Anda simpan di share dan ganti namanya menjadi ekstensi yang sama. Itu akan mencegahnya juga.

Menambahkan ekstensi ini BUKAN satu kali "set dan lupakan saja". Secara aktif memonitor ekstensi file baru untuk file terenkripsi dan menambahkannya ke grup file Anda.

Anda sekarang telah mengambil langkah-langkah untuk mencegah file perusahaan Anda dienkripsi oleh ransomware. Perlu diingat, ini tidak mencegah file yang disimpan secara lokal di mesin pengguna akhir Anda. Ini hanya melindungi file pada bagian yang dihosting oleh server file Anda. Ada sebuah program bernama WatchNRun yang dibagikan di komunitas yang dapat digunakan pada mesin pengguna akhir http://jpelectron.com/ tetapi tidak akan mencegah akses untuk menulis ulang file. Ini hanya akan memicu notifikasi email. Saya tidak punya pengalaman dalam menggunakan ini jadi tolong jangan meminta instruksi tentang cara mengkonfigurasinya.

Jangan hanya mengandalkan FSRM untuk perlindungan terhadap ransomware. Gunakan strategi berlapis-lapis untuk keamanan optimal. Luncurkan AV terkelola, deteksi nol hari, filter spam e-mail, hapus hak admin dari pengguna, hapus akses baca / tulis dari pengguna untuk dibagikan yang tidak perlu mereka akses, buat pembatasan melalui kebijakan grup, buat backup setiap hari, dan memiliki cadangan di luar / terputus untuk mencegahnya dienkripsi juga.