Protegendo File Server (Win2012R2) do Ransomware

Na semana passado o mundo quase parou devido ao vírus de criptografia (Tipo Ransomware), realizei algumas pesquisa (fontes no final) para melhorar a segurança nos servidores File Server Resource Manager (FSRM) do Windows Server 2012 R2, siga os passos abaixo que irão auxiliar para o aumento na segurança. 

Script em Powershell (PS) para incluir o grupo de arquivos e extensões utilizadas pelo vírus. Esse script inclui a restrição no FSRM do Windows 2012 R2 desses arquivos e extensões, veja abaixo:

New-FsrmFileGroup -Name "Crypt Files" -IncludePattern @("_Locky_recover_instructions.txt","DECRYPT_INSTRUCTIONS.TXT","DECRYPT_INSTRUCTION.TXT","HELP_DECRYPT.TXT","HELP_DECRYPT.HTML","HELP_TO_DECRYPT_YOUR_FILES.txt","HELP_TO_SAVE_FILES.txt","HELP_DECRYPT.PNG","HELP_DECRYPT.lnk","DecryptAllFiles*.txt","DecryptAllFiles.txt","enc_files.txt","HowDecrypt.txt","How_Decrypt.txt","How_Decrypt.html","HELP_RESTORE_FILES.txt","restore_files*.txt","restore_files.txt","RECOVERY_KEY.TXT","ATTENTION!!!.txt","how to decrypt aes files.lnk","HELP_DECRYPT.PNG","HELP_DECRYPT.lnk","Decrypt.exe","AllFilesAreLocked*.bmp","MESSAGE.txt","*.locky","*.ezz","*.ecc","*.exx","*.7z.encrypted","*.ctbl","*.encrypted","*.aaa","*.xtbl","*.abc","*.JUST","*.EnCiPhErEd","*.cryptolocker","*.micro","*.vvv","*.zzz","*.xyz","*.ccc","*.xxx","*.ttt","*.locked","*.crypto","*_crypt","*.crinf","*.r5a","*.XRNT","*.XTBL","*.crypt","*.R16M01D05","*.pzdc","*.good","*.LOL!","*.OMG!","*.RDM","*.RRK","*.encryptedRSA","*.crjoker","*.LeChiffre","*.keybtc@inbox_com","*.0x0","*.bleep","*.1999","*.vault","*.HA3","*.toxcrypt","*.magic","*.SUPERCRYPT","*.CTBL","*.CTB2")

Note que após a execução do PS, o grupo foi criado e já consta na lista, veja abaixo:

Depois crie um novo template com o nome “Block Crypt Files” a atribua o File Groups “Block Crypt” criado anteriormente, veja abaixo:

Depois crie a regra para todas as unidades do servidor atribuindo o template “Block Crypt Files”, conforme abaixo:

Isso irá bloquear salvar os tipos de arquivos utilizados pelos vírus de criptografia (tipo o Wanna Cry – Ransomware) no servidor.

Fontes:

  • https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce
  • https://blog.netwrix.com/2016/04/11/ransomware-protection-using-fsrm-and-powershell/
  • https://www.scconfigmgr.com/2017/03/21/protect-file-servers-from-ransomware-with-sccm-cicb/

Failed to renew the IP address for the virtual interface (Global VPN Client)

Erro encontrado ao utilizar o software Global VPN Client  da Dell Sonicwall:

# Erro – Global VPN Client

Unable to manage network componet. The condition can be transient. If it persists, it maybe because you’re member of the Network Configuration Operators group on this computer. Members of this group cannot install network filter driver. More as http://support.microsoft.com/kb/975608/de

unnamed

# Erro no log de conexão

<local host> Failed to renew the IP address for the virtual interface.

unnamed

Para corrigir acesse o “Gerenciamento do computador”.

2016-02-16_16-50-42

Clique em “Usuários e grupos locais / Local  Users and Groups >> Grupos/Groups”, clique no grupo “Operadores de configuração de rede / Network Configuration Operations” e adicione o usuário.

2016-02-16_15-44-13

2016-02-16_16-51-10

Reinicie a máquina e tente conectar novamente.

Espero ter ajudado e até a próxima…

 

Script de backup do GLPI (MySQL e Diretórios) para Linux

Olá galera!

Esse é o script de backup que uso no Linux Debian para fazer backup do MySQL e diretórios do GLPI.

Arquivo backups.sh

#!/bin/bash

#################################################
# Autor     : Thiago Passamani                  #
# Descrição : Backup usando o CRONTAB do Linux  #
# URL 	    : http://www.thiagopassamani.com.br #
#################################################

# Define o diretório de backup do GLPI
DIR="/var/www/glpi/backups";

# Define o formato do nome do arquivo de backup
DB="glpi-DB-`date +%d_%m_%Y-%H_%M`"

# Gerando o arquivo SQL com o mysqldump.
mysqldump --host=LOCALHOST --user=root --password=123456 --databases glpi > $DIR/$DB.sql

# Verifica se o diretório existe, se não ele irá criar e dar permissão
if [ ! -d $DIR ]; then
	mkdir $DIR
	chmod -R 0777 $DIR
fi

# Abrindo o diretório
cd $DIR

# Compactando o arquivo para que não fique muito grande
tar -zvcf $DB.tar.gz $DB.sql

# Removendo o arquivo original para liberar espaço
rm -f $DIR/$DB.sql

# Removendo arquivos com mais de 1 dias
find $DIR/*.tar.gz -ctime +0 -exec rm -rf {} \; 

# Removendo o backup da instalação completa anterior
rm -f $DIR/glpi.tar.gz

# Refaz o backup da instalação completa
tar -zvcf $DIR/glpi.tar.gz /var/www/glpi

# Usar o CRONTAB e dessa forma irá executar de 6 em 6 horas
# crontab -e
# 0 0,6,12,18 * * * sh /var/www/glpi/backups.sh 

Espero ter ajudado e até a próxima.

Resolvendo problema com MSLicensig do Terminal Server

Olá galera!

Me deparei com esse erro:

“A sessão remoto foi desconectada porque a licença de acesso de cliente do computador local não pode ser atualizada nem removida. Entre em contato com o administrador do servidor.”

Isso ocorreu várias vezes e a solução encontrada foi excluir o registro MSLicensing usando o regedit.exe do Windows (cliente):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing

Depois reinicia a máquina e acesso novamente o servidor de terminal server.

Espero ter ajudado e até a próxima.