Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する

この記事では、Windows Server 2012 R2を実行しているファイルサーバーでファイルサーバーリソースマネージャー(FSRM)機能を使用して、ランサムウェアを検出およびブロックする方法について検討します。特に、ファイルサーバーにFSRMサービスをインストールする方法、ファイルスクリーニングを構成する方法、ランサムウェアの検出によって共有へのユーザーアクセスをブロックする方法について説明します。

FSRMを使用してランサムウェアを検出する方法

ファイルサーバーリソースマネージャー(FSRM)機能がファイルサーバーにインストールされていない場合は、サーバーマネージャーのグラフィックコンソールまたはPowerShellコマンドプロンプトを使用してインストールします。

Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools

ロールがインストールされていることを確認してください:

Get-WindowsFeature -Name FS-Resource-Manager

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する

機能がインストールされたら、サーバーを再起動します。

電子メール通知を送信するようにFSRMのSMTP設定を構成する方法

次のステップは、管理者に電子メール通知を送信するためのFSRMのSMTP設定の構成です。これを行うには、 fsrm.mscを起動します 、File Server Resource Managerコンソールのルートを右クリックし、[オプションの構成]を選択します。 。

SMTPサーバー名またはIPアドレス、管理者および送信者の電子メールアドレスを指定します。

ヒント 。内部メールサーバーがない場合は、SMTPリレーを使用してメールを送信するように設定できます。

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する

SMTPサーバーが正しく構成されていることを確認するには、[テスト電子メールの送信]ボタンを使用してテスト電子メールを送信します。

FSRMのSMTP設定は、PowerShellからも構成できます。

Set-FsrmSetting -AdminEmailAddress "[email protected]" –smtpserver smtp.adatum.com –FromEmailAddress "[email protected]"

ランサムウェアのファイル拡張子のグループを作成する方法

次のステップは、作業中に暗号化マルウェアによって作成された、既知の拡張子とファイル名を含むファイルのグループを作成することです。

このリストは、FSRMコンソールで作成できます。これを行うには、ファイルスクリーニング管理->ファイルグループを展開します ファイルグループの作成を選択します 。

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する

グループ名を指定する必要があります(たとえば、暗号ファイル )そして、含めるファイルを使用して、既知のすべての拡張子をリストに入力します フィールド。

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する

ランサムウェアによって作成される既知のファイル拡張子のリストは非常に長いため、PowerShellを使用して作成する方が簡単です。

Windows Server 2012では、PowerShellを使用して次のようにファイルグループを作成できます。

New-FsrmFileGroup -Name "Crypto-files" –IncludePattern @("_Locky_recover_instructions.txt","DECRYPT_INSTRUCTIONS.TXT", "DECRYPT_INSTRUCTION.TXT", "HELP_DECRYPT.TXT", "HELP_DECRYPT.HTML", "DecryptAllFiles.txt", "enc_files.txt", "HowDecrypt.txt", "How_Decrypt.txt", "How_Decrypt.html", "HELP_RESTORE_FILES.txt", , "restore_files*.txt", "restore_files.txt", "RECOVERY_KEY.TXT", "how to decrypt aes files.lnk", "HELP_DECRYPT.PNG", "HELP_DECRYPT.lnk", "DecryptAllFiles*.txt", "Decrypt.exe", "AllFilesAreLocked*.bmp", "MESSAGE.txt","*.locky","*.ezz", "*.ecc", "*.exx", "*.7z.encrypted", "*.ctbl", "*.encrypted", "*.aaa", "*.xtbl", "*.abc", "*.JUST", "*.EnCiPhErEd", "*.cryptolocker","*.micro","*.vvv")

Windows Server 2008 R2では、filescrn.exeを使用する必要があります:

filescrn.exe filegroup add /filegroup:"Crypto-files" /members:"DECRYPT_INSTRUCTIONS.TXT|DECRYPT_INSTRUCTION.TXT| DecryptAllFiles.txt|enc_files.txt|HowDecrypt.txt|How_Decrypt.txt| How_Decrypt.html|HELP_TO_DECRYPT_YOUR_FILES.txt|HELP_RESTORE_FILES.txt| HELP_TO_SAVE_FILES.txt|restore_files*.txt| restore_files.txt|RECOVERY_KEY.TXT|HELP_DECRYPT.PNG|HELP_DECRYPT.lnk| DecryptAllFiles*.txt|Decrypt.exe|ATTENTION!!!.txt|AllFilesAreLocked*.bmp| MESSAGE.txt|*.locky|*.ezz|*.ecc|*.exx|*.7z.encrypted|*.ctbl| *.encrypted|*.aaa|*.xtbl|*.EnCiPhErEd|*.cryptolocker|*.micro|*.vvv| *.ecc|*.ezz|*.exx|*.zzz|*.xyz|*.aaa|*.abc|*.ccc|*.vvv|*.xxx| *.ttt|*.micro|*.encrypted|*.locked|*.crypto|*_crypt|*.crinf| *.r5a|*.XRNT|*.XTBL|*.crypt|*.R16M01D05|*.pzdc|*.good| *.LOL!|*.OMG!|*.RDM|*.RRK|*.encryptedRSA|*.crjoker| *.LeChiffre|*.keybtc@inbox_com|*.0x0|*.bleep|*.1999| *.vault|*.HA3|*.toxcrypt|*.magic|*.SUPERCRYPT|*.CTBL|*.CTB2|*.locky"

ヒント。 既知のファイル拡張子のリストを自分で作成するか、次のページから定期的に更新される準備ができたリストを使用できます。

https://www.bleib-virenfrei.de/ransomware/

https://fsrm.experiant.ca/api/v1/combined

2番目のケースでは、Invoke-WebRequest

を使用して、FSRMのファイル拡張子の最新リストをWebサーバーから直接ダウンロードできます。

new-FsrmFileGroup -name "Anti-Ransomware File Groups" -IncludePattern @((Invoke-WebRequest -Uri "https://fsrm.experiant.ca/api/v1/combined").content | convertfrom-json | % {$_.filters})

または、準備ができたファイルcrypto_extensions.txtを使用します。このファイルをディスクに保存し、作成したFSRMファイルグループを更新することができます:

$ext_list = Get-Content .\ransomware_extensions.txt
Set-FsrmFileGroup -Name "Crypto-files" -IncludePattern ($ext_list)

ファイル画面テンプレートの構成

新しいファイル画面テンプレートを作成して、FSRMがこれらのファイルを検出した場合に実行する必要のあるアクションを決定します。これを行うには、FSRMコンソールでファイル画面の管理->ファイル画面テンプレートに移動します。 。 ファイル画面テンプレートの作成を選択して、新しいテンプレートを作成します 。

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する

[設定]タブで、テンプレート名「 Block_crypto_files」を指定します 」、スクリーニングタイプアクティブスクリーニング (これらのファイルタイプの保存を許可しないでください)そしてファイルグループのリストで暗号ファイルを選択します。

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する

電子メールメッセージ タブで、電子メール通知の送信を有効にし、メッセージの件名と本文のテキストを指定します。

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する
イベント ログ タブで、ユーザーの名前のみを指定するメモを使用してシステムログにエントリを作成することを確認します: [Source Io Owner]

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する

コマンド タブで、これらのファイルタイプのいずれかが検出された場合の対処方法を選択できます。後で説明します。

変更を保存します。もう1つのテンプレートがリストに表示されます。

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する

ファイル画面テンプレートをディスクまたはフォルダに適用する方法

これで、作成したテンプレートをサーバー上のディスクまたはネットワーク共有に割り当てるだけで済みます。 FSRMコンソールで、新しいルールを作成しますファイル画面の作成

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する

[ファイル画面のパス]フィールドで、ローカルディスクまたはランサムウェアから保護するディレクトリへのパスを指定し、テンプレートのリストで前に作成したテンプレートBlock_crypto_filesを選択します。

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する

ランサムウェアに感染したユーザーの自動ブロック

次に、暗号化マルウェアによって作成されたファイルが検出された場合にFSRMが実行するアクションを構成する必要があります。すぐに使えるスクリプトを使用します:FSRMとPowershellを使用してファイルサーバーをランサムウェアから保護します (https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce)。このスクリプトは何をしますか?禁止されているファイルの種類をネットワーク共有に書き込もうとすると、FSRMはこのスクリプトを実行します。このスクリプトは、イベントログを分析し、ユーザーが共有フォルダーにファイルを書き込めないようにします。したがって、感染したユーザーのネットワーク共有へのアクセスはブロックされます。

このスクリプトをダウンロードして、ファイルサーバーのC:\ディレクトリのルートに解凍します。 SubInACLをコピーします (ネットワーク共有のアクセス許可を変更できるツール)同じディレクトリに移動します。次のファイルをディレクトリに配置する必要があります:

  • RansomwareBlockSmb.ps1
  • StartRansomwareBlockSmb.cmd
  • subinacl.exe

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する

。 PSスクリプトでこれらの文字列を変更する必要がありました:

$SubinaclCmd = "C:\subinacl /verbose=1 /share \\127.0.0.1\" + "$SharePart" + " /deny=" + "$BadUser"

および

if ($Rule -match "Crypto-Files")

「暗号ファイルのブロック」テンプレート設定の[コマンド]タブで、引数StartRansomwareBlockSmb.cmdを含むコマンドプロンプトを開始する必要があることを指定します。

次のコマンドまたはスクリプトを実行します: c:\ windows \ system32 \ cmd.exe

コマンド引数 :/ c“ c:\ StartRansomwareBlockSmb.cmd”

コマンドはローカルシステムとして実行する必要があります。

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する

FSRM保護テスト

ランサムウェアに対するFSRMの保護方法をテストしてみましょう。これを行うには、保護されたディレクトリに任意の拡張子のファイルを作成し、この拡張子を禁止されている拡張子.lockyに変更してみてください。

禁止されているファイルを保存しようとすると、FSRMはログにエントリを作成します:

Event ID: 8215
Source: SRMSVC

ログのデータに基づいて、RansomwareBlockSmb.ps1スクリプトは、共有アクセス許可を変更することにより、現在のユーザーがこのディレクトリにアクセスすることを禁止します。

ランサムウェアを防ぐためにWindowsファイルサーバーでFSRMを使用する

保護は機能します!ディスクのルートにあるログには、ランサムウェアの実行が試みられたディレクトリとユーザーアカウントが表示されます。

より高い保護レベルが必要な場合は、ファイルのブラックリストからホワイトリストに切り替えると、許可されているファイルタイプのみを保存できるようになります。

そこで、ランサムウェアに感染したコンピューターのユーザーへのネットワーク共有アクセスを自動的にブロックする方法を検討しました。当然、このようにFSRMを使用しても、サーバー上のファイルをこの種のマルウェアから完全に保護することはできませんが、保護レベルの1つとしては適しています。次の記事では、暗号化ランサムウェアに対する保護の別のバリエーションについて検討します。

  • ランサムウェアに感染した後にVSSスナップショットからユーザーファイルを回復する方法
  • ランサムウェアを防止するためのソフトウェア制限ポリシー


  1. Windows 10 または Windows 11 で cmd を使用してファイルまたはフォルダーを削除する方法

    Windows で不要なファイルやフォルダーを削除するのは、とても簡単です。特定のファイルまたはフォルダーを右クリックし、[削除] を選択します。しかし、なんらかの理由で、GUI の方法に興味がなく、代わりにコマンド プロンプトに賭けたい場合は、適切な場所にいます。 以下の手順に従うと、Windows 内の特定のファイルとフォルダーを簡単に削除できます。 コマンド プロンプトを使用して Windows のファイルまたはフォルダーを削除する方法 コマンド プロンプトには、ほとんどすべての重要なタスクのための特別なコマンドがあります。特定のファイルまたはフォルダを削除するには、 del を使

  2. Windows 10 で Powershell を使用してファイルを圧縮/解凍する方法

    ジップ機能 を使用すると、関連するすべての構成を 1 つのファイルに圧縮して、ファイルをより小さいサイズに圧縮できます。このようにして、このような圧縮された Zip ファイルは、電子メールやその他のファイル共有メディアを介して他のユーザーと簡単に共有できます。 Zip 機能を実行するには、ユーザーは通常、WinRAR や 7-zip などの RAR ソフトウェアを使用します。しかし、組み込みの Windows Powershell を使用してファイルを圧縮/解凍することもできることをご存知でしたか?プロセスに取り掛かりましょう– 続きを読む: Windows と Mac でファイルを圧縮す