18/2/18

La mejor proteccion contra ransomwares en servidores Windows.

Mas allá de las recomendaciones de seguridad clásicas (mantener el OS actualizado, usar un antivirus/antimalware, reglas de seguridad granulares en firewall y compartidos), la solución más efectiva que podemos aplicar a Servidores Windows es vetar la posibilidad de crear archivos con extensiones conocidas que son utilizadas por los ransomware; esto lo logramos instalando en el servidor un rol denominado File Server Resource Manager (FSRM) o en español "Administrador de recursos del servidor de archivos".

No explicaré el proceso de instalación de un rol pero mostraré capturas de las diferentes ediciones de Windows server, para que puedan ubicarlo.

Windows Server 2016 y 2012:
Clic en la imagen para agrandar.
Windows Server 2008:
Clic en la imagen para agrandar.

Clic en la imagen para agrandar.
Windows Server 2003 R2:

Clic en la imagen para agrandar.








Una vez instalado el rol para facilitar la implementación en equipos con Windows Server 2012 y 2016, he creado un script de powershell que hará todo el trabajo por ustedes con solo ejecutarlo:


Copien el contenido del script, peguenlo en un bloc de notas y guardenlo con extinción .ps1

IMPORTANTE: Verifiquen con Windows PowerShell ISE (El editor), que cada símbolo sea interpretado exactamente como mostré anteriormente, de lo contrario no funcionará.

Como podrán apreciar el scritp toma las extensiones de una fuente publicada en  hitgub, por el usuario @kinomakino, la cual mantiene actualizada. 

 

Mantener el listado de extensiones actualizado.

Para esto utilizamos el siguiente script:

Guardenlo en la ruta "C:\AntiRansomware\AntiRSWUpdate" que el primer script creó y le asignan como nombre AntiRSWUpdate.ps1

El primer script también creó una tarea, modifiquenla agregando el siguiente argumento a la acción:

  • Argumento: -ExecutionPolicy Bypass C:\Antiransonware\AntiRSWUpdate.ps1
Clic en la imagen para agrandar.

  Notas Finales:

  • Compatibilidad de los script:  Fueron probados en equipos con Windows Server 2012 y 2016 en ambos funcionan correctamente.
  • Windows server 2008: Requiere Powershel v4, pero no todas las funciones del script son compatibles.
  • Windows Server 2003: La instalación deberán hacerla manual y utilizar otro método para actualizar el listado.
  • Verificado: El método fue probado en un entorno aislado exponiéndolo a una muestra del ransomware Dharma que utiliza la extensión .java y la implementación fue exitosa, el servidor continuó 100% operativo con la data intacta.
  • Volume Shadow Copy: Las versiones anteriores no son protegidas por este método ya que el ransomware las elimina con un comando de powershell y no encriptandolas.
  • No es la panacea: El éxito depende de la base de datos de las extensiones y si el ataque proviene de un ransomware que utilice una extensión que no se encuentre en el listado, el equipo se encriptará.

No hay comentarios :

Publicar un comentario