Schutz vor Ransomware

Ransomware ist weiterhin ein sehr aktuelles Thema. Immer wieder hört und liest man von komplett verschlüsselten Systemen und Servern. Ein Umstand der sehr viele Privatpersonen aber auch immer noch einige Firmen betrifft. Dabei lässt mit dem „Ressourcen-Manager für Dateiserver“ (FSRM) ein guter Schutz vor Ransomware aufbauen und somit der Verbreitung auf wichtigen Dateien vorbeugen.

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

Schutz vor Ransomware aktivieren

Der FSRM ist Bestandteil der Serverrolle „Datei- und Speicherdienste“, wird aber standardmäßig nicht mit diesen mit installiert. Zu finden ist er unter „Datei- und Speicherdienste“ -> „Datei- und iSCSI-Dienste“. Alternativ lässt sich die Rolle auch über die PowerShell mit dem Befehl „Install-WindowsFeature –Name FS-Ressource-Manager –IncludeManagementTools“ installieren. Mit dem Ressourcen-Manager für Dateiserver ist es unter anderem möglich, das Speichern bestimmter Dateien in einem frei wählbaren Verzeichnis zu verhindern. Genau diese Funktion lässt sich hervorragend dafür nutzen, einen wirksamen Schutz vor Ransomware auf dem Fileserver zu konfigurieren.

Nach der Installation lässt sich der FSRM über den Server Manager starten. Die gewünschte Funktion befindet sich unter der „Dateiprüfungsverwaltung“. Dort sind bereits einige Dateigruppen hinterlegt (z.B. Audio- und Videodateien, Bilddateien, usw.). Es lassen sich aber auch neue Dateigruppen erstellen. In den „Dateiprüfungen“ können dann Pfade hinterlegt werden, auf welche ausgewählte Dateigruppen angewendet werden. Damit ließe sich z.B. auch verhindern, dass Benutzer mp3-Dateien in bestimmten Freigabeordnern ablegen.

Schutz vor Ransomware mit der Dateiprüfungsverwaltung

Mit Dateigruppen und Dateiprüfungen lässt sich wirkungsvoll ein Schutz vor Ransomware konfigurieren.

Mit der folgenden Anleitung wird eine neue Dateigruppe „Anti-Ransomware File Groups“ angelegt, welche hunderte aktuell verwendeter Dateierweiterungen zum Schutz vor Ransomware enthält. Diese Dateigruppe wird dann auf einen Freigabeordner angewendet, in dem dann zukünftig keine Dateien mehr mit diesen Dateierweiterungen gespeichert werden können. Versucht dann beispielsweise eine Ransomware eine Datei zu verschlüsseln und mit der Erweiterung .locky abzuspeichern, schlägt dies aufgrund der Dateiprüfung fehl und die ursprüngliche Datei bleibt unverändert.

Anlegen der Dateigruppe „Anti-Ransomware File Groups“

Voraussetzung für den erfolgreichen Import der Dateigruppen ist Microsoft PowerShell in Version 5 oder höher (Download hier: https://www.microsoft.com/en-us/download/details.aspx?id=54616. Zu erkennen auch am Copyright-Datum beim Öffnen der PowerShell (mindestens 2015).

Der Import der aktuellen Liste an Dateiendungen wird mittels PowerShell von der Webseite fsrm.experiant.ca durchgeführt. Der folgende PowerShell-Befehl erstellt eine neue Dateigruppe mit dem Namen „Anti-Ransomware File Groups“ und importiert hunderte von bekannten Dateiendungen von bekannter Ransomware:

FSRM Anti-Ransomware Dateigruppen anlegen

Die Dateigruppe „Anti-Ransomware..“ beinhaltet alle bekannten Dateiendungen von Ransomware.

Sobald der Befehl erfolgreich ausgeführt wurde, wird im Ressourcen-Manager für Dateiserver die neue Dateigruppe angezeigt, welche zusammen mit einer Dateiprüfung Ransomware verhindern kann.

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

Anschließend muss eine neue Dateiprüfung erstellt werden, und die neu angelegte Dateigruppe dieser Prüfung zugewiesen werden.

Schutz vor Ransomware - FSRM Dateiprüfung erstellen

 

FSRM Dateiprüfung erstellen

Im Feld Dateiprüfungspfad muss der vor Ransomware zu schützende Ordner eingetragen werden (Unterordner werden automatisch berücksichtigt).

 

FSRM Dateiprüfung erstellen - Schutz vor Ransomware

In den benutzerdefinierten Eigenschaften die Dateigruppe „Anti-Ransomware File Groups“ aktivieren und auf „OK“ klicken.

Dateigruppe automatisch aktualisieren

Da es auch weiterhin neue Ransomware geben wird, empfiehlt es sich, die Liste der Dateiänderungen zum Schutz vor Rasnomware aktuell zu halten. Glücklicherweise handelt es sich bei dem Projekt fsrm.experiant.ca um ein sehr aktives Projekt, welches derzeit regelmäßig Updates herausgibt. Der folgende PowerShell-Befehl (als Administrator ausgeführt) aktualisiert die oben angelegte Dateigruppe „Anti-Ransomware File Groups“:

Um die Aktualisierung zu automatisieren, empfiehlt es sich, dieses Update-Befehl in ein .ps1-Skript einzubinden und dieses über die Windows Aufgabenplanung regelmäßig auszuführen.

Wer möchte, kann in den Optionen des Ressourcen-Managers für Dateiserver auch eine E-Mailbenachrichtigung anlegen, die beispielsweise sofort eine Mail an den Administrator generiert, sobald versucht wird eine ausgeschlossene Datei(endung) auf dem Server zu speichern.

Quelle: https://fsrm.experiant.ca

Ebenfalls interessant:

Unterstütze TECH-FAQ.NET auf steady

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.