Защита от шифровальщиков с помощью FSRM на Windows Server

While it’s true that threat actors are constantly innovating, it’s also true that, with a hacker mindset, attackers are always looking for the easy way in. There’s no need to reinvent the wheel or detonate a zero day when you can just as easily ‘live off the land’ and keep your best exploits under wraps. In many cases, attackers can simply scrape credentials to use without getting detected by traditional security tools. 

Установка Диспетчера ресурсов файлового сервера и настройка шаблона.

Сперва установим роль “Диспетчер ресурсов файлового сервера”. Сделать это можно через Диспетчер сервера или через Powershell.  Рассмотрим второй вариант:

Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools

После установки FSRM обязательно перегружаем сервер.

После перезагрузки Пуск -> Выполнить ->

Создадим группу Anti-Ransomware File Groups и добавим в нее какое-нибудь расширение которое хотим блокировать.

Вручную все добавлять очень долго, поэтому мы процесс автоматизируем. Список запрещенных расширений будем брать  с сайта 

Создадим и запустим от имени администратора скрипт на Powershell.

$gr_name = «Anti-Ransomware File Groups» $url_site = «» $req=(Invoke-WebRequest -Uri $url_site).content | convertfrom-json | % {$_.filters} set-FsrmFileGroup -name $gr_name -IncludePattern @($req)

Установка Диспетчера ресурсов файлового сервера и настройка шаблона.

После исполнения скрипта проверяем группу Anti-Ransomware File Groups, в ней должны появится расширения и имена файлов подлежащие блокировке.

Далее переходим к шаблонам фильтров и создаем фильтр Block_crypto_files.

В настройках шаблона выбираем группу Anti-Ransomware File Groups  нажимаем Ok. Дополнительно можно настроить оповещение на электронную почту, запись в лог, запуск скрипта или программы по событию.

Установка Диспетчера ресурсов файлового сервера и настройка шаблона.

В завершении, переходим в раздел Фильтры блокировки файлов.

Читайте также:  Machine check exception Windows 10 как исправить?

Здесь указываем путь к каталогу который необходимо защитить и применяемый шаблон.

В результате при попытке поменять расширение файла на то, что есть в нашем списке Anti-Ransomware File Groups мы получим запрет на запись.

Установка Диспетчера ресурсов файлового сервера и настройка шаблона.

Настройка и использование Cyberarms Intrusion Detection and Defense Software (IDDS).

Открываем оф. сайт программы и скачиваем Cyberarms:

Настройка и использование Cyberarms Intrusion Detection and Defense Software (IDDS).

После загрузки, у нас будет архив, с двумя файлами. Один .msi, а второй .exe

Настройка и использование Cyberarms Intrusion Detection and Defense Software (IDDS).
Настройка и использование Cyberarms Intrusion Detection and Defense Software (IDDS).

Распаковываем содержимое архива в любую папку. Установите ПО при помощи установщика на выбор и запустите программу Cyberarms.

Настройка и использование Cyberarms Intrusion Detection and Defense Software (IDDS).

Было замечено, что меньше сбоев происходит в процессе установки, если использовать установочный пакет/установщик .msi

Настройка и использование Cyberarms Intrusion Detection and Defense Software (IDDS).

Дополнительно, стоит обратить внимание, что по умолчанию указан в программе RDP стандартный/по умолчанию порт 3389. Если вы меняли стандартный порт RDP на свой, укажите его в программе Cyberarms:

Настройка и использование Cyberarms Intrusion Detection and Defense Software (IDDS).

Блокировка происходит через созданное правило в брандмауэре Windows (поэтому он должен быть включен и работать на сервере), куда записываются IP-адреса, с которых происходит перебор.

Настройка и использование Cyberarms Intrusion Detection and Defense Software (IDDS).

Если вы используете FTP сервер бекапов, можно настроить защиту и для FTP сервера.

Настройка и использование Cyberarms Intrusion Detection and Defense Software (IDDS).

Технические средства обеспечения информационной безопасности

Другим направлением для обеспечения информационной безопасности являются технические средства и программное обеспечение.

Рис.4 Технические средства защиты информации

Это могут быть, например:

  • Специализированное защищенное сетевое оборудование – маршрутизаторы, сетевые шлюзы, канальные шифраторы и т.д.;
  • Построение изолированных сетей для обращения конфиденциальной информации с многоуровневой защитой доступа – как физического (защищенные помещения и здания), так и логического (идентификация и аутентификация, шифрование);
  • Для купирования рисков потери актуальной информации в результате сбоя или сетевой атаки необходимо использовать хорошо проработанные планы резервного копирования с размещением архивной информации на защищенных от порчи и несанкционированного доступа носителях;
  • Для защиты от атак на уровне программного обеспечения нужно использовать современные антивирусные интеллектуальные пакеты, использующие актуальные антивирусные базы, принципы эвристического анализа, возможности искусственного интеллекта и нейронных сетей;
  • Применение современных криптографических средств защиты и шифрования информации для однозначного разграничения доступа к ней, применения технологии блок-чейн для сохранности и исключения фальсификации данных.
Читайте также:  Написание и запуск скриптов в PowerShell

Наряду с этим даже электронная подпись, которая сегодня является обязательным элементом бизнес-среды любой организации вне зависимости от формы собственности, сферы деятельности или масштабов, представляет собой такое же техническое средство защиты. Без ЭП невозможно сдать обязательную налоговую отчетность, использовать электронный обмен юридически значимой документацией с контрагентами, а также обеспечить нормальное и эффективное функционирование компании.

Обеспечим защищенный обмен документами с вашими контрагентами

Включение удалённого рабочего стола

Проверить есть ли доступ к удалённому рабочему столу можно с помощью команды telnet, попробовав подключиться к соответствующему порту. Для Windows штатным является подключение по протоколу RDP на порт 3389 (хотя, конечно, и порт для RDP можно изменить и использовать другие протоколы). В случае открытого порта (подключения разрешены) мы увидим приглашение командной оболочки telnet:

Если же подключение запрещено, то команда зависнет на этапе «Trying …»

Даже если удалённое подключение к рабочему столу отключено его можно удалённо же и включить, а затем подключиться как обычно. Для этого внесём изменение в реестр удалённого ПК.

Если мы получили доступ к командной строке удалённого ПК (см. PsExec выше), то выполняем:

reg add «HKLMSYSTEMCurrentControlSetControlTerminal Server» /v fDenyTSConnections /t REG_DWORD /d 0 /f

Иначе, можно подключиться к реестру через оснастку.

1) Запускаем на удалённом ПК службу «Удаленный реестр».

  • Входим в локальную оснастку «Службы»:
  • Подключаемся к службам удалённого ПК: в боковом меню Службы в контекстном меню выбрать «Подключиться к другому компьютеру…»
  • Находим службу «Удаленный реестр» и меняем тип запуска на «Вручную»
  • Запускаем службу: кнопка «Запустить»

2) Подключаемся к реестру удалённого ПК.

  • На локальном ПК запускаем редактор реестра:

regedit

Пробуем подключиться:

mstsc

3) Если подлкючиться не удаётся, то нужно ещё донастроить брандмауэр на удалённом ПК

  • Получаем досутп к командной строке удалённого ПК с помощью PsExec:
Читайте также:  Как найти файл на компьютере с Windows 10

\ cmd

  • Добавляем разрешающее правило в брандмауэр Windows на удалённое подключение к рабочему столу (порт 3389):

netsh advfirewall firewall add rule name=»Allow Remote Desktop» dir=in protocol=TCP localport=3389 action=allow

См. также