Bloccare i Ransomware su File Server Microsoft Windows con l’utility File Server Resource Manager (FSRM)

da | Giu 13, 2019

File Server Resource Manager (FSRM) è un servizio ruolo in Windows Server che consente di gestire e classificare i dati memorizzati su file server. È possibile utilizzare Gestione risorse file server per classificare automaticamente i file, eseguire attività in base a queste classificazioni, impostare quote su cartelle e creare report per monitorare l’utilizzo dello spazio di archiviazione.

In questo tutorial vedremo come è possibile creare un filtro sul file per evitare di prendere dei ransomware.

Lanciare lo snap-in Gestione Risorse File Server

Cliccare su Gruppi di File quindi selezionare Crea Gruppo di File…

Inserire il nome del gruppo. Nel mio caso ho inserito Block-Ransomware

Inserire un estensione di un file da includere altrimenti non ci farà salvare il gruppo. (Ad esempio potete inserire *.crypt)

Quindi cliccare su Aggiungi

Cliccare OK per terminare la creazione del gruppo

Adesso da una Powershell eseguita con diritti amministrativi lanciare la seguente stringa di codice

NOTA BENE: cambiare solo il nome del gruppo (-Name “Block-Ransomware”) se l’avete creato con un nome diverso da Block-Ransomware quindi attendere qualche secondo fino al caricamento di tutte le estensioni.

Se andiamo di nuovo sullo snap-in del FSRM noteremo che in corrispondenza del Gruppo Block-Ransomware sono comparse tutte le estensioni che abbiamo caricato via script.

Selezionare sempre dallo snap-in la voce Modelli per lo screening dei file

Cliccare con il tasto destro quindi selzionare Crea modello per lo screening dei file…

Diamo quindi un nome al modello (Es: Blocca Ransomware) e selezioniamo il gruppo di file da bloccare che abbimo creato in precedenza (Es: Block-Ransomware)

Selezionare il Tab Messaggio di Posta Elettronica e spuntare entrambe le opzioni per inviare una mail all’amministratore e a chi ha cercato di salvare il file in modo da essere sempre allertati in caso di file con estensioni pericolose.

Selezionare il Tab Registro Eventi e spuntare l’opzione Invia avviso al registro eventi se vogliamo registrare all’interno dell’Event Viewer di Microsoft tutti i tentativi di copia di file con estensioni pericolose

Cliccare su OK per confermare tutte le modifiche.

Dovremmo vedere il modello come mostrato nell’immagine sovrastante

Procedere alla creazione dello screening cliccando con il tasto destro su Screening dei File e selezionando l’opzione Crea screening dei file…

Indicare il path dove si intende applicare lo screening quindi selezionare dal menù a tendina il modello creato in precendenza (Es: Blocca Ransomware)

Cliccare su Crea

Se è tutto corretto dovremmo vedere una schermata come quella sovrastante

Quindi da questo momento in poi ogni qual volta verrà salvato un file con le estensioni vietate verrà bloccata la copia con il classico popup di Windows e verrà inviata una mail all’Amministratore di sistema e una mail all’utente che ha cercato di copiare il file.

Naturalmente la lista delle estensioni pericolose va aggiornata regolarmente.

Ad oggi, alla stesura del tutorial, la lista che ho inserito nello script contiene circa 2400 estensioni pericolose.

Scritto da Raffaele Chiatto

Sono Raffaele Chiatto, un appassionato di informatica a 360 gradi.
Tutto è iniziato nel 1996, quando ho scoperto il mondo dell'informatica grazie a Windows 95, e da quel momento non ho più smesso di esplorare e imparare.
Ogni giorno mi dedico con curiosità e passione a scoprire le nuove frontiere di questo settore in continua evoluzione.

Articoli Recenti

Veeam Backup

Monitoring

Friends

  • My English Lab  English School
  • ChrSystem   Infrastrutture IT
  • ACT For Cange  Mental Coach
  • Since 01  Kreative Graphics

Database

Networking

Autori

  • Raffaele Chiatto  Amministratore
  • Marco Valle  Autore Collaboratore

Related Post

3 Commenti

  1. Buongiorno,
    volevo segnalare un problema riscontrato nella mia azienda bloccando la lista di file suggerita da questo articolo:
    nella lista compare anche “*.FFF” e questo blocca anche il file “Dummy_test_filedjsjfkdskk.fff” creato dal software ArubeSign durante la firma digitale di qualunque documento impedendo di portare a termine la firma, per cui ho rimosso l’estensione “*.FFF” dalla lista dei possibili ransomware.

  2. WebMaster

    Salve il ruolo di screening con FSRM utilizza poca RAM e CPU con accessi normali al file server.
    Per esperienza su file server con migliaia di accessi contemporanei utilizza neanche l’1% di RAM e CPU.
    Poi dipende anche da quanti files vengono segnalati come dannosi, è chiaro che se contemporaneamente 100 utenti salvano dei file rischiosi il livello di CPU e RAM aumenterà leggermente (ma neanche tanto) rispetto a 10 salvataggi contemporanei.
    Però in buona sostanza è un tool davvero valido che consiglio di installare sempre su file server.
    Per quanto riguarda la lista delle estensioni basta cercare su internet una volta al mese e di sicuro qualche sito ti tirerà fuori le nuove estensioni di Ransomware.
    Io di solito vado sempre su questo sito https://fsrm.experiant.ca/
    Qui puoi anche segnalare tu eventuali estensioni dannose.
    Ciao e buona giornata

  3. Salve ho letto con interesse diversi articoli sul tuo blog ,che ritengo molto interessante ed esaustivo,e mi chiedevo in particolare riguardo questo tuo post:

    1) Sai per caso darmi qualche info sull’impatto ( cpu … ram ) che questo ruolo ha sulle risorse del server ? ( tieni conto che lo installerei esclusivavente per l’azione di filtraggio da te illustrata )

    2) da dove si possono prendere le estensioni per aggiornare la lista che hai già costruito ?

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Virtualizzazione

Linux

Microsoft

Apple

Backup

Database

Security

Automazione