Vorbemerkungen To Do halbautomatisch 9 / 22 RBSrv_noRansomware | Version 1.0 2.4.3.2. Windows 2012 (R2)

  • View
    1

  • Download
    0

Embed Size (px)

Text of Vorbemerkungen To Do halbautomatisch 9 / 22 RBSrv_noRansomware | Version 1.0 2.4.3.2. Windows 2012...

  • 1 / 22 RBSrv_noRansomware | Version 1.0

    Besuchen Sie uns im Internet unter

    http://www.vobs.at/rb © 2016 Schulmediencenter des Landes Vorarlberg

    IT-Regionalbetreuer des Landes Vorarlberg

    Autor: Erich Vonach

    6900 Bregenz, Römerstraße 15

    Alle Rechte vorbehalten

    RBSrv_noRansomware

    Vorbemerkungen Die hier gewählte Vorgangsweise stellt keinen 100%igen Schutz vor Ransomwarangriffen dar, da sich

    die Angriffs-Varianten sehr rasch ändern.

    Sollte also ein Crypto-Trojaner (Erpressungs-Trokaner) seinen Weg ins Schulnetz gefunden haben, so

    empfiehlt sich die im Anhang zu findende Vorgangsweise “Leider doch erwischt”

    To Do halbautomatisch Funktioniert auf allen Standardschulservern ab Windows 2008 (R2).

     Kopie des heruntergeladenen Paketes (RBSrv_noRansomware.zip) nach beispielsweise C:\Temp

    auf den Server.

     Entpacken der Datei

     Ausführen der Datei copy_Ransomware.bat

    o Welche Änderungen am System vorgenommen werden, kann im Kapitel Kampf der

    Ransomware – „Ich lass mich ungern erpressen“ nachgelesen werden. Im Anhang sind

    außerdem die Einstellungen der Tasks nachzulesen.

    o Folgende Einstiegsmeldung erscheint:

     Bearbeiten der Einstellungen von AllePCs in der Gruppenrichtlinienverwaltung

    http://www.vobs.at/rb

  • 2 / 22 RBSrv_noRansomware | Version 1.0

    Computerkonfiguration  Richtlinien  Administrative Vorlagen  Windows Komponenten 

    Windows PowerShell (Skriptausführung aktivieren: Aktiviert)

     Erstellen einer Dateiprüfung im Ressourcen-Manager für Dateiserver

    Windows Server 2012 (R2) Windows Server 2008 (R2)

    Servermanager  Tools  Ressourcen-Manager

    für Dateiserver

    Start  Verwaltung  Ressourcen-Manager für

    Dateiserver

    Es können selbstverständlich auch mehrere Dateiprüfungspfade festgelegt werden:

  • 3 / 22 RBSrv_noRansomware | Version 1.0

     Optionen für den Ressourcenmanager

     Einstellung in der Firewall

    IPFire  Netzwerk  URL-Filter

    o Ergänzung der Blacklist um die im Anhang gelistetenEinträge (siehe Ransomware-Tracker)

    o Sperre ausführbarer Dateien

    Wichtig:

    Die IP-Adressen des Servers (nicht

    unbedingt von DCSchule und Host)

    müssen ungefiltert bleiben.

    https://ransomwaretracker.abuse.ch/

  • 4 / 22 RBSrv_noRansomware | Version 1.0

    Kampf der Ransomware „Ich lass mich ungern erpressen“

    Vorarlberger Standardschulinstallation

    Autor: Martin Köb

    Besuchen Sie uns im Internet

    http://www.vobs.at/rb

    © 2016 Schulmediencenter des Landes Vorarlberg © IT-Regionalbetreuer des Landes Vorarlberg

    6900 Bregenz , Römerstraße 15

    Alle Rechte vorbehalten

  • 5 / 22 RBSrv_noRansomware | Version 1.0

    Inhalt

    1. Vorbemerkung ................................................................................................................................... 6

    2. Implementierung auf unseren Servern ........................................................................................... 7 2.1. PowerShell Scriptausführung zulassen .......................................................................................... 7 2.2. Ordner erstellen ............................................................................................................................... 7 2.2.1. Server 2008 (R2) ............................................................................................................................ 7 2.2.2. Server 2012 (R2) ............................................................................................................................ 7 2.3. Skriptdateien .................................................................................................................................... 7 2.4. Implementierung ............................................................................................................................ 7 2.4.1. Dateigruppe ................................................................................................................................. 7 2.4.2. Dateiprüfungsvorlage .................................................................................................................. 7 2.4.3. Dateiprüfung ................................................................................................................................. 8 2.4.4. Ergebnis ........................................................................................................................................ 10 2.4.5. E-Mailbenachrichtigung, wenn Ereignis ID 8215 erzeugt wird............................................. 11

    3. Anhang ............................................................................................................................................. 14 3.1. Ransomware-Dateiendungen .................................................................................................... 14 3.2. Blacklist-Einträge für die Firewall ................................................................................................. 16 3.3. Leider doch erwischt … ............................................................................................................... 22

  • 6 / 22 RBSrv_noRansomware | Version 1.0

    1. Vorbemerkung Quellen:

    https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen

    https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-update/

    https://www.lanwerker.de/support/lan-tipps.html (Server 2008)

    Laut obigen Quellen wird ein etwas anderer Ansatz ausgeführt:

    Eine Liste von bekannten Datei-Endungen und Dateien, die bei der Verschlüsselung erzeugt

    werden, wird als Dateigruppe angelegt.

    Ich habe diese Dateigruppe einfach ‚Ransomware‘ genannt.

    Bei der anzulegenden Dateiprüfung wir diese Dateiliste als Kriterium einbezogen, sodass alle der Liste

    entsprechenden Dateien nicht gespeichert werden können.

    Die Dateiprüfung lege ich auch als Vorlage an, damit schnell eine Prüfung für die

    gewünschten Laufwerke / Shares erzeugt werden kann.

    Im Artikel wird beim Versuch, eine solche Datei zu erzeugen, auch ein cmd –Befehlt ausgeführt,

    dieser wiederum ruft einen Powershell Befehl auf (diese Vorgangsweise ist notwendig, damit

    nicht UAC das Ganze verhindert).

    Was macht der Powershell Befehl?

    a. Ein Anwendungs-Ereignis mit der ID 8215 erzeugen

    b. Einen Eintrag in ein Logfile schreiben: user und Verzeichnis, in das der Schreibversuch

    gemacht wurde)

    c. Share für diesen User sperren, indem auf diese Freigabe dem User die Rechte auf die

    Freigabe verweigert werden.

    Das Freigabe entziehen, hat bei mir nicht geklappt. Das andere schon, deshalb habe ich das

    Powershell script eine wenig geändert – es wird „nur“ noch a und b ausgeführt.

    d. Zusätzlich lasse ich mir aber über den RB-Commandline-Mailer die Ereignis-ID auslesen und ein

    Mail mit Text „ACHTUNG: Möglicherweise Ransomware“ schicken.

    Es ist sehr mühsam, auf jedem Server diese Liste, die natürlich laufend ergänzt werden kann und soll,

    zu erzeugen, deshalb mache ich das über einen Befehl auf der Kommandozeile.

    https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-update/ https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-update/ https://www.lanwerker.de/support/lan-tipps.html http://www.vobs.at/fileadmin/user_upload/itservice/downloads/rb_tools/rb_clm/RBCLM-Tasks_v1.4.exe

  • 7 / 22 RBSrv_noRansomware | Version 1.0

    2. Implementierung auf unseren Servern

    2.1. PowerShell Scriptausführung zulassen

    GPO Alle PCs

    Computerkonfiguration  Richtlinien  Administrative Vorlagen  Windows Komponenten 

    Windows PowerShell (Skriptausführung aktivieren: Aktiviert)

    2.2. Ordner erstellen

    2.2.1. Server 2008 (R2)

    H:\Setup$\_Administrator\Ransomware

    2.2.2. Server 2012 (R2)

    D:\Install\Setup$\_Administrator\Ransomware

    2.3. Skriptdateien

    In diesen Ordner werden folgende Skripts kopiert (jeweils zum Serverbetriebssystem passend)

     block-smbshare.cmd

     block-smbshare.ps1

     ransomware_filegroup.xml

     ransomware_template.xml

     optional: subinacl.msi

    2.4. Implementierung

    2.4.1. Dateigruppe

    In diesem Ordner wird (mit Administratorenrechten) ein Kommandozeilenfenster geöffnet

    filescrn filegroup i /file:ransomware_filegroup.xml /filegroup:Ransomware

    Damit wird die Dateiliste importiert und als Ransomware bezeichnet

    2.4.2. Dateiprüfungsvorlage

    filescrn t i /file:ransomware_template.xml /template:Ransomware

  • 8 / 22 RBSrv_noRansomware | Version 1.0

    Hier wird eine Dateiprüfungsvorlage (‚Ransomware‘) importiert, auf deren Basis dann

    Dateiprüfungen erstellt werden können, die die beschriebenen Kommandos auslösen.

    2.4.3. Dateiprüfung