Экономьте деньги: предотвратите программы-вымогатели с помощью диспетчера ресурсов файлового сервера

Сегодня защита сети вашей компании от атак программ-вымогателей является серьезной и растущей проблемой для ИТ-специалистов. Я даже посвятил целый выпуск WServerNews, нашего еженедельного информационного бюллетеня для ИТ-специалистов, проблемам, с которыми сталкиваются компании и частные лица, пытаясь предотвратить программы-вымогатели. Кстати, пока вы на нем, посетите эту страницу и убедитесь, что вы подписаны как на наши электронные письма TechGenix Weekly IT Update, так и на наш популярный информационный бюллетень WServerNews — вы не пожалеете об этом!

В любом случае, бизнес-лидеры всегда задают мне вопрос: как я могу защитить свою компанию от атаки программ-вымогателей? К сожалению, на эту проблему нет простого ответа, как нет и надежного способа обезопасить себя от мошенников, как в фильмах «Одиннадцать друзей Оушена» и «Афера». Требуется проницательность, мозги и даже параноидальная личность, чтобы быть уверенным, что вас никто, где-нибудь, когда-нибудь не обманет. К счастью, есть некоторые технические инструменты и решения, которые могут помочь, если вы используете их правильно, и мой коллега Эндрю Перчалук расскажет нам об использовании одного из них: File Server Resource Manager. FRSM — это служба ролей в Windows Server, которая позволяет вам управлять данными, хранящимися на файловых серверах, и классифицировать их. Он включает в себя такие возможности, как просмотр файлов, управление котировками, отчеты о хранении, а также различные возможности классификации и управления файлами. Эндрю собирается объяснить нам, как администраторы Windows Server могут использовать FSRM для защиты своих сред от атак программ-вымогателей. Эндрю является старшим системным администратором Университета Манитобы в Виннипеге, Канада, и работает в сфере информационных технологий почти 20 лет. Он муж, отец и любитель собак, и ему нравится делиться своим опытом с другими в сообществе ИТ-специалистов. Для получения дополнительной информации об Эндрю см. его профиль в LinkedIn, а также следите за его новостями в Twitter. Давайте теперь послушаем, что Эндрю должен сказать по этому поводу.

Проблема программ-вымогателей

Программы-вымогатели свирепствовали последние пару месяцев, используя уязвимость SMB в Microsoft Windows. Если вам повезло, вы слышали только новости о NotPetya, Petya и WannaCry. Если вам не повезло, ваш бизнес стал заложником этого вымогателя или его разновидности, и вы не понаслышке понимаете, какой ущерб был нанесен. Microsoft выпустила исправление для этой уязвимости даже для операционных систем с истекшим сроком службы, таких как Windows XP и Windows Server 2003, но многие предприятия до сих пор не применили это исправление.

Как вы можете предотвратить программы-вымогатели и обезопасить свой бизнес? Установите исправления для своих систем, обучите своих сотрудников и заблокируйте протокол SMB на своих пограничных брандмауэрах. Еще один способ предотвратить программу-вымогатель — использовать компонент проверки файлов Microsoft File System Resource Manager на файловых серверах Windows. Вы можете быть знакомы с FSRM и даже использовать его для управления квотами, но он также имеет мощную функцию проверки файлов, которую можно настроить для активного мониторинга общих сетевых ресурсов и отправки предупреждений, когда программа-вымогатель пытается сохранить себя в этих общих ресурсах.

Что нужно для эффективной проверки файлов?

Во-первых, если на файловых серверах Windows не запущена роль FSRM, установите ее. Как мы знаем, выполнение действий вручную может привести к отставанию или ошибке пользователя. Из-за этого мы хотели максимально автоматизировать этот процесс, а также предусмотреть некоторые меры безопасности. Моей целью было реализовать на наших файловых серверах следующее:

• Ежедневно загружайте известные расширения программ-вымогателей и автоматически блокируйте их.
• Мы решили использовать этот список с более чем 1200 известными расширениями и файлами программ-вымогателей. (Используйте этот URL-адрес для отформатированного списка, так как он регулярно обновляется и является хорошим исчерпывающим источником расширений программ-вымогателей.)
• Нам нужен был белый список для расширений, которые мы не хотели блокировать, поэтому мы предварительно заполнили файл skiplist.txt, начиная с 45 наших распространенных расширений файлов.
• Мы хотели получать оповещения, если кто-то попытается сохранить файл программы-вымогателя в сети, а также мы хотели предупредить пользователя и нашу службу поддержки по электронной почте.
• Мы хотели получать ежедневные оповещения по электронной почте о «новых» расширениях программ-вымогателей, которые были автоматически добавлены в список.
• Мы также в конечном итоге хотели, чтобы у пользователей была возможность автоматически удалять разрешения на доступ к общему ресурсу пользователей с помощью запрещающего правила после того, как они сохраняли файл программы-вымогателя в сетевом ресурсе.

Внедрение эффективной проверки файлов

Эти сценарии будут использовать функции FSRM, называемые фильтрацией файлов, которые включают в себя:

• Файловые экраны.
• Шаблоны экранов файлов.
• Группы файлов.

В итоге вы получите экран файлов, созданный для каждой сетевой папки, и шаблон экрана файлов, который выглядит следующим образом:

И ряд групп файлов, которые являются файлами и расширениями, которые будут заблокированы:

ПРИМЕЧАНИЕ. Исходный код PowerShell, из которого мы адаптировали наш код, доступен на Github благодаря nexxai.

Шаг 1: Настройте папку на каждом файловом сервере C:powershellscriptsFSRM-Ransomware.

Шаг 2: Поместите скрипт.ps1 в эту папку. Он содержит код PowerShell, с которым мы работаем. Сценарий разбивает расширения программы-вымогателя на пять файлов, чтобы обойти ограничение размера файла 4 КБ для файловых групп FSRM. Вы можете скачать этот скрипт здесь в виде файла.txt и просто переименовать его в файл.ps1.

Шаг 3: Создайте файл с именем skiplist.txt и заполните его расширениями/именами файлов, которые вы хотите исключить (по одному элементу в строке). Вот скриншот того, что мы вставили в наш, который содержит 45 элементов:

Шаг 4: Создайте подпапку с именем «скачать». Он будет содержать ваши ежедневные (при условии, что вы решите запускать скрипт ежедневно) файлы с новыми расширениями программ-вымогателей.

Шаг 5: Чтобы автоматизировать это, настройте запланированное задание на запуск ежедневно или так часто, как вам нравится.

Шаг 6. Чтобы получать ежедневные оповещения по электронной почте о новых расширениях программ-вымогателей, которые были автоматически добавлены в список, используйте этот сценарий PowerShell и поместите его в папку C:powershellscriptsFSRM-Ransomware только на одном файловом сервере. (Если вы добавите его на все файловые серверы, вы получите несколько уведомлений по электронной почте.)

Шаг 7: Настройте запланированное задание для ежедневного запуска после запланированного задания исходной проверки файлов.

Предотвращение программ-вымогателей: чем больше инструментов, тем лучше

У нас это автоматизировано и работает уже несколько месяцев, и я рекомендую оставить его на месте в течение нескольких месяцев, прежде чем пытаться автоматически удалить доступ пользователей к общим ресурсам (выполняется с помощью сценария правила запрета, прикрепленного к вашему шаблону экрана файлов). Делая это, вы можете устранить любые ложные срабатывания, которые могут возникнуть. Я надеюсь, что это даст вам еще один инструмент для вашего швейцарского армейского ножа для предотвращения программ-вымогателей!