Jak zabránit zašifrování dat na Windows serveru? | Buchtič blog o IT a PC

... je jedním z nejnavštěvovanějších tuzemských blogů zabývajících se IT a češtinami do programů a her. Pokud máte problém nejen
s počítačem pravděpodobně u mě naleznete řešení, případně si o něj napište. Zajímám se rovněž o herní průmysl a internet věcí - každý produkt pořádně prověřím. Přiblížíme si tvorbu webových prezentací a budeme cestovat po světě skrz Google Earth. »

 

Jak zabránit zašifrování dat na Windows serveru?

17 Úno 2017

Pokud se staráte o Windows server a ukládáte na něj data, měli byste znát File Server Resource Manager / Správce prostředků souborového serveru. Jedná se o volitelnou komponentu serverového operačního systému, prostřednictvím které můžete monitorovat kdo manipuluje se soubory, ale také blokovat jejich vytváření.

Šifrovací havěť (ransomware) funguje tak, že nejprve vytvoří kopii souboru s pozměněnou koncovkou (.ctbl, .locky, .crypt, .crysis, atp.). Vytvořenou kopii zašifruje a původní soubor smaže. Tohoto chování můžete využít a činnost ransomware pomocí FSRM zastavit již v samotném začátku – pokusu o vytvoření kopie. Je to skutečně jednoduché, potřebujete jen seznam známých přípon a jedno pravidlo.

Komplexní a pravidelně aktualizovaný seznam přípon naleznete na webu fsrm.experiant.ca (k dnešnímu dni čítá 759 přípon). Abyste nemuseli šablonu vytvářet ručně a zadávat přípony postupně, využijte PowerShell skript uvedený na výše uvedeném webu nebo použijte CryptoBlocker z GitHubu. Tento skript doinstaluje potřebné komponenty Windows Serveru a sdělí vám, jaké složky máte na serveru sdílené.

Následně vytvořte nové blokovací pravidlo (File screen):

  1. Jako file screen path vyberte sdílenou složku.
  2. Screening type nastavte na Active screening.
  3. Ve file groups vyberte vámi vytvořený seznam ransomware přípon.

Blokovací pravidlo můžete dále doplnit o zaslání notifikací na e-mail nebo spuštění vámi požadovaného příkazu. Na Technetu je pěkný skript a příklad toho, jak uživateli z Active Directory, který se snažil data zašifrovat, deaktivovat účet.

Vytvořený seznam přípon nezapomeňte pravidelně aktualizovat. V opačném případě se míjí účinkem, protože nebude účinné vůči nových variantám škodlivého kódu.

Martin Buchta | Kategorie: Internet, IT
| Počet zobrazení: 1382

← Líbil se vám článek? Podělte se o něj s přáteli!

 
  • Lukáš

    Funguje to tak, že „legální“ kopii normálního uživatele to tedy nezabrání – jde mi o to, abych tím neomezil uživatele, kteří si chtějí udělat kopii souboru (např. před jeho úpravou).

    • Uživatel při vytváření kopie souboru nemění jeho koncovku. Naopak šifrovací havěť během kopírování souboru mění koncovku (dokument.doc > dokument.bart). Běžné činnosti toto pravidlo nijak neovlivní.

      • Lukáš

        Super, děkuji moc za tip!

 

Více v Nezařazené
Jak zprovoznit TeamViewer na Windows 10?

TeamViewer 11 je plně kompatibilní s Windows 10 a již není nutné provádět žádné ruční zásahy do registru systému. Dokonce...

Zavřít