Protegendo File Server (Win2012R2) do Ransomware

Na semana passado o mundo quase parou devido ao vírus de criptografia (Tipo Ransomware), realizei algumas pesquisa (fontes no final) para melhorar a segurança nos servidores File Server Resource Manager (FSRM) do Windows Server 2012 R2, siga os passos abaixo que irão auxiliar para o aumento na segurança. 

Script em Powershell (PS) para incluir o grupo de arquivos e extensões utilizadas pelo vírus. Esse script inclui a restrição no FSRM do Windows 2012 R2 desses arquivos e extensões, veja abaixo:

New-FsrmFileGroup -Name "Crypt Files" -IncludePattern @("_Locky_recover_instructions.txt","DECRYPT_INSTRUCTIONS.TXT","DECRYPT_INSTRUCTION.TXT","HELP_DECRYPT.TXT","HELP_DECRYPT.HTML","HELP_TO_DECRYPT_YOUR_FILES.txt","HELP_TO_SAVE_FILES.txt","HELP_DECRYPT.PNG","HELP_DECRYPT.lnk","DecryptAllFiles*.txt","DecryptAllFiles.txt","enc_files.txt","HowDecrypt.txt","How_Decrypt.txt","How_Decrypt.html","HELP_RESTORE_FILES.txt","restore_files*.txt","restore_files.txt","RECOVERY_KEY.TXT","ATTENTION!!!.txt","how to decrypt aes files.lnk","HELP_DECRYPT.PNG","HELP_DECRYPT.lnk","Decrypt.exe","AllFilesAreLocked*.bmp","MESSAGE.txt","*.locky","*.ezz","*.ecc","*.exx","*.7z.encrypted","*.ctbl","*.encrypted","*.aaa","*.xtbl","*.abc","*.JUST","*.EnCiPhErEd","*.cryptolocker","*.micro","*.vvv","*.zzz","*.xyz","*.ccc","*.xxx","*.ttt","*.locked","*.crypto","*_crypt","*.crinf","*.r5a","*.XRNT","*.XTBL","*.crypt","*.R16M01D05","*.pzdc","*.good","*.LOL!","*.OMG!","*.RDM","*.RRK","*.encryptedRSA","*.crjoker","*.LeChiffre","*.keybtc@inbox_com","*.0x0","*.bleep","*.1999","*.vault","*.HA3","*.toxcrypt","*.magic","*.SUPERCRYPT","*.CTBL","*.CTB2")

Note que após a execução do PS, o grupo foi criado e já consta na lista, veja abaixo:

Depois crie um novo template com o nome “Block Crypt Files” a atribua o File Groups “Block Crypt” criado anteriormente, veja abaixo:

Depois crie a regra para todas as unidades do servidor atribuindo o template “Block Crypt Files”, conforme abaixo:

Isso irá bloquear salvar os tipos de arquivos utilizados pelos vírus de criptografia (tipo o Wanna Cry – Ransomware) no servidor.

Fontes:

  • https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce
  • https://blog.netwrix.com/2016/04/11/ransomware-protection-using-fsrm-and-powershell/
  • https://www.scconfigmgr.com/2017/03/21/protect-file-servers-from-ransomware-with-sccm-cicb/

Substituição do nome do plugin DashTV para Wallboards for GLPI

Olá galera!

Estou alterando o nome do plugin “DashTV” para “Wallboards for GLPI”, devido algumas alterações que estou realizando e novos estudos em gestão de TI. O plugin contará com as funções iniciais já descritas em outro post e novas idéias.

Essa mudança estará disponível brevemente e conto com ajuda de todos para realizar testes e novas idéias para o projeto.

Peço desculpas pela demora, pois só consigo desenvolver nos períodos vagos.

Até a próxima…

Failed to renew the IP address for the virtual interface (Global VPN Client)

Erro encontrado ao utilizar o software Global VPN Client  da Dell Sonicwall:

# Erro – Global VPN Client

Unable to manage network componet. The condition can be transient. If it persists, it maybe because you’re member of the Network Configuration Operators group on this computer. Members of this group cannot install network filter driver. More as http://support.microsoft.com/kb/975608/de

unnamed

# Erro no log de conexão

<local host> Failed to renew the IP address for the virtual interface.

unnamed

Para corrigir acesse o “Gerenciamento do computador”.

2016-02-16_16-50-42

Clique em “Usuários e grupos locais / Local  Users and Groups >> Grupos/Groups”, clique no grupo “Operadores de configuração de rede / Network Configuration Operations” e adicione o usuário.

2016-02-16_15-44-13

2016-02-16_16-51-10

Reinicie a máquina e tente conectar novamente.

Espero ter ajudado e até a próxima…