Jak zabránit zašifrování dat na Windows serveru? | Buchtič blog o IT a PC Buchtič blog

... je jedním z nejnavštěvovanějších tuzemských blogů zabývajících se IT a češtinami do programů a her. Pokud máte problém nejen
s počítačem pravděpodobně u mě naleznete řešení, případně si o něj napište. Zajímám se rovněž o herní průmysl a internet věcí - každý produkt pořádně prověřím. Přiblížíme si tvorbu webových prezentací a budeme cestovat po světě skrz Google Earth. »

 

Jak zabránit zašifrování dat na Windows serveru?

17 Úno 2017

Pokud se staráte o Windows server a ukládáte na něj data, měli byste znát File Server Resource Manager / Správce prostředků souborového serveru. Jedná se o volitelnou komponentu serverového operačního systému, prostřednictvím které můžete monitorovat kdo manipuluje se soubory, ale také blokovat jejich vytváření.

Šifrovací havěť (ransomware) funguje tak, že nejprve vytvoří kopii souboru s pozměněnou koncovkou (.ctbl, .locky, .crypt, .crysis, atp.). Vytvořenou kopii zašifruje a původní soubor smaže. Tohoto chování můžete využít a činnost ransomware pomocí FSRM zastavit již v samotném začátku – pokusu o vytvoření kopie. Je to skutečně jednoduché, potřebujete jen seznam známých přípon a jedno pravidlo.

Komplexní a pravidelně aktualizovaný seznam přípon naleznete na webu fsrm.experiant.ca (k dnešnímu dni čítá 759 přípon). Abyste nemuseli šablonu vytvářet ručně a zadávat přípony postupně, využijte PowerShell skript uvedený na výše uvedeném webu nebo použijte CryptoBlocker z GitHubu. Tento skript doinstaluje potřebné komponenty Windows Serveru a sdělí vám, jaké složky máte na serveru sdílené.

Následně vytvořte nové blokovací pravidlo (File screen):

  1. Jako file screen path vyberte sdílenou složku.
  2. Screening type nastavte na Active screening.
  3. Ve file groups vyberte vámi vytvořený seznam ransomware přípon.

Blokovací pravidlo můžete dále doplnit o zaslání notifikací na e-mail nebo spuštění vámi požadovaného příkazu. Na Technetu je pěkný skript a příklad toho, jak uživateli z Active Directory, který se snažil data zašifrovat, deaktivovat účet.

Vytvořený seznam přípon nezapomeňte pravidelně aktualizovat. V opačném případě se míjí účinkem, protože nebude účinné vůči nových variantám škodlivého kódu.

Martin Buchta | Kategorie: Internet, IT

← Líbil se vám článek? Podělte se o něj s přáteli!