Inicio / Microsoft / Proteger los servidores de ficheros Windows con FSRM ante un Ransomware

Proteger los servidores de ficheros Windows con FSRM ante un Ransomware

Este año está siendo un poco locura con tanto Ransomware que está circulando últimamente por la red, lo cual, está viniendo bien, en parte, ya que parece que tanto los usuarios como las empresas están tomando algo de conciencia en la importancia de la seguridad.

Con este artículo pretendo recoger o mostrar un método que podemos utilizar para detectar y bloquear la propagación de un ransomware en nuestros servidores de ficheros bajo plataforma Microsoft.

No hablaré de como desinfectarte, ni de qué antivirus instalar, simplemente mostraré una medida más a implementar dentro de nuestra infraestructura para detectar y bloquear a tiempo una propagación que encripte nuestros ficheros y te amargue la mañana siguiente.

Escenario:

  • Active directory (Windows Server 2012R2)
  • File Server (Windows Server 2012 R2)

Aunque el escenario descrito es para Windows Server 2012R2, también aplica en Windows Server 2016

Instalando FSRM

Si nuestro servidor de ficheros no tiene instalada la característica de FSRM (File Server Resource Manager), debemos instalarla y lo podremos hacer de dos formas, desde consola o mediante la interface GUI.

Instalando FSRM desde consola

Para instalar FSRM desde una consola de powershell, abriremos la consola y ejecutaremos el siguiente comando:

Ahora podemos verificar que se ha instalado correctamente ejecutando en la misma consola la siguiente instrucción:

 

Configurar las notificaciones por e-mail de FSRM

Al igual que en el paso anterior, para configurar las notificaciones por e-mail, tenemos dos opciones, hacerlo desde una consola o bien utilizando la GUI, veremos ambas.

Configurando las notificaciones desde consola

Para configurar las notificaciones desde consola, utilizaremos la misma consola de powershell que anteriormente pero antes necesitaremos conocer los siguientes datos:

  • El FQDN de nuestro servidor SMTP (En este ejemplo utilizaremos smtp.tudominio.com)
  • La cuenta de correo o lista de correo que reciban los administradores (Utilizaremos como ejemplo alertas@tudominio.com)
  • La cuenta de correo desde la que se enviarán los e-mails (Utilizaremos alertas@tudominio.com)

Ahora que ya tenemos los datos que necesitaremos, ejecutaremos lo siguiente:

Crear grupo de archivos y extensiones para detectar los Ransomware

En este paso crearemos un grupo de ficheros que contendrán las extensiones y los nombres de ficheros conocidos hasta el día de hoy que se crean cuando un ransomware está realizando sus tareas de encriptación.

¿Te estás asustando de la cantidad de ficheros y extensiones que vas a tener que picar?

Lo más grande de internet y de la comunidad de Sysadmins es la colaboración que existen en estos casos por lo que nos apoyaremos en una lista publicada y actualizada con cierta periodicidad, que obtendremos directamente desde un WebService.

Si cerraste la consola de Powershell, te recomiendo que la vuelvas a abrir ya que la necesitarás para ejecutar lo siguiente:

En este caso de ejemplo al Grupo de ficheros le hemos puesto el nombre “AntiRasomware”, vosotros podéis poner el que mejor reconozcáis.

Crear Plantilla de filtro de Archivos

Estas plantillas lo que nos permiten es definir las acciones que se tomarán si se detectan estos ficheros.

Para realizar esta configuración si utilizaremos la interface GUI, por lo que en la misma consola de Powershell, ejecutáis el comando “fsrm.msc” y os abrirá directamente la consola de FSRM.

 

Para crear la Plantilla de Filtro de Archivos, nos desplazaremos en el menú de la izquierda a “Administración del filtrado de archivos” y dentro del árbol de opciones que se nos muestra, nos situaremos sobre “Plantillas de filtro de archivos”

Pulsaremos botón derecho del ratón y seleccionaremos la opción de “Crear plantilla de filtro de archivos”

En la ventana que se nos muestra comenzaremos rellenando datos en la pestaña de “Configuración”:

  • Nombre de la plantilla: Bloquear_Rasomware
  • Tipo de filtrado: Filtrado activo
  • Grupos de archivos: Marcamos AntiRasomware

Nos vamos a la pestaña de “Mensaje de correo electrónico” y rellenamos los siguientes datos:

  • Marcamos la casilla: “Enviar mensaje de correo electrónico a los siguientes administradores” (No hace falta escribir el e-mail)
  • El resto de valores podéis dejarlos por defecto, excepto que necesitéis personalizar el e-mail por algún motivo.

En la pestaña “Registro de eventos” marcaremos la opción de enviar advertencia al registro de eventos y en la parte de “Entrada de registro”, dejaremos sólo el texto: [Source Io Owner]

Llegamos a la pestaña “Comando”, esta es la que más controversia puede tener ya que aquí vamos a decidir que hacer en caso de que se detecte que un usuario de nuestra red, está infectando los directorios a los que tiene acceso o va a terminar encriptando todo el contenido de nuestra empresa.

Voy a hacer un pequeño “break” y decir que mi forma de pensar en esto es muy radical, por lo que sé que lo que describiré a continuación puede ser que en ciertas empresas no encaje.

Por mi parte sea el usuario que sea, sea quién sea en la compañía se le bloquea de manera inmediata; lo primero es el contenido que se almacena en los servidores de ficheros de la compañía, después el solucionar el malestar del usuario.

Bloquear automáticamente al usuario infectado por un Ransomware.

Antes de comenzar a configurar los parámetros en la pestaña “Comando”, nos descargaremos en nuestro servidor de ficheros los siguientes archivos:

Es una herramienta que permite obtener información de seguridad sobre los archivos, claves de registro, servicios y transferir esta información de usuario a usuario, de grupo a grupo local o global y de dominio a dominio; pero lo que más nos interesa es que nos permitirá cambiar desde consola los permisos de directorios compartidos.

Este script es el que se ejecutará y realizará una análisis del registro de eventos para prohibir a un usuario escribir archivos dentro de un directorio compartido; por lo que bloqueará el acceso del usuario infectado al recurso compartido.

Como recomendación meramente personal, os recomiendo crear en el directorio raíz c:\ un directorio que se llame “Scripts”, por tanto ubicaremos todo el contenido de lo descargado en c:\Scripts

Instalación de SubInACL

Al contrario que RansomwareBlockSmb.zip, SubInACL, viene en formato instalable, así que para que no existan dudas, voy a describir el paso a paso.

Ya tenemos descargado y descomprimido todo en nuestro directorio c:\scripts, ahora vamos a proceder a ejecutar el instalable de SubInACL.

Ejecutamos el fichero subinacl y se nos mostrará lo siguiente:

En esta pantalla, pulsaremos sobre el botón “Next” para que comience el proceso de instalación.

Aceptaremos los términos.

En la pantalla que se nos mostrará ahora, nos informará de la ruta por defecto en la que instalará subinacl, nosotros la editaremos; en esta captura mostraré los datos por defecto que va a mostrar y en la siguiente captura, los editados:

Pulsamos en el botón “Install Now” y al finalizar nos quedaría así nuestro directorio:

Configurando / Editando el Script RamsomwareBlockSmb

Por defecto este script trae una configuración que de primera no encaja con lo que aquí estamos describiendo y de segundas, seguramente tampoco con la estructura o la forma en la que habéis compartido los directorios, por tanto, pulsaremos botón derecho sobre el script de powershell (Tiene el icono con la consola de Powershell) y seleccionaremos Editar, para que así de forma automática se nos abra la el PowerShell ISE y editemos de una forma más cómoda:

Partes que debemos editar:

  • Lo primero nosotros tenemos el aplicativo subinacl en c:\scripts, por tanto editaremos la línea número 18 para que quede de la siguiente forma:

Ahora hay una parte de esta misma línea que cada uno deberá verificar en cómo ha compartido sus directorios y es la parte en la que pone:

Si los directorios a la hora de compartirlos lo habéis realizado con “Nombredirectorio$”, debéis dejarla tal y como está, en caso contrario debéis ponerla de la siguiente forma:

Lo siguiente que debemos modificar es la línea 20, donde hace mención al “Grupo de Archivos”, en nuestro caso le llamamos “AntiRasomware, por tanto quedaría de la siguiente forma:

Ahora que ya hemos editado el script, lo guardamos y continuamos con nuestro proceso 🙂

Bien, después de este pequeño “descanso”,  comenzaremos a editar la pestaña “Comando” que por defecto se nos mostrará así una vez activemos la casilla “Ejecutar este comando o script”

En el primer campo introduciremos:

En los argumentos de comandos, introducimos lo siguiente:

En ejecutar el comando como, seleccionaremos “Sistema Local”

Ahora ya estamos listos para pulsar en el botón aceptar y se nos preguntará como queremos aplicar los cambios; en mi caso seleccioné la opción de “Aplicar la plantilla a todos los filtros de archivos derivados”, así la podré utilizar para otros recursos compartidos.

Crear Filtros de Archivos

En la pantalla de la consola de FSRM, nos situaremos sobre “Filtros de Archivos”, pulsaremos botón derecho y seleccionaremos “Crear filtro de archivos…”

Los campos que cumplimentaremos:

  • Ruta de acceso al filtro de Archivos (Aquí seleccionaremos el directorio a proteger)
  • Derivar propiedades de esta plantilla de filtro de archivos (Seleccionaremos en el desplegable “Bloquear_Rasomware”)

 

Comprobando que todo funciona.

Ahora que ya tenemos montado el sistema, debemos comprobar que funciona como nosotros queremos, así que dentro del directorio/árbol de directorios que estemos protegiendo, con un usuario del dominio accederemos y crearemos un fichero con una extensión .txt, por ejemplo.

Este fichero intentaremos renombrarlo a una de las “extensiones” prohibidas, como .locky o .paym y nos debería llegar la siguiente información al e-mail:

Espero que el artículo os sea de ayuda y en caso de que lo encontréis interesante penséis en compartirlo 🙂

 

 

 

Sobre Bosco López

/dev/null

Te puede interesar también

Cómo establecer distintos fondos para múltiples monitores en Windows 10

Al trabajar con varios monitores (en la actualidad trabajar con dos es lo más normal), …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *