Zamislite scenario – imate hiljade korisnika podeljenih na desetine eskpozitura, stotine odeljenja, svako odeljenje ima svoj fileshare, korisnici mu pristupaju preko mapiranog diska i većina ima read/write prava. Kompanije ove veličine su kod nas retke, ali priča podjednako važi i za mala preduzeća sa jednim fileshare serverom i desetak zaposlenih koji imaju full pristup. Sada zamislite da neko od zaposlenih nesvesno aktivira ransomware – i niko ništa ne primećuje sve dok neko ne pristupi fileshare-u i vidi da su sva dokumenta zaključana…

Nažalost, ovaj scenario se dogodio previše puta i događaće se sve češće. Antivirus program može da stopira ransomware samo ukoliko ima tačnu definiciju pretnje što otvara vremensku rupu u kojoj nove verzije neometano operišu po korisničkim podacima. Backup je najsigurnija zaštita, ali i za povrat podataka je potrebno određeno vreme, a vreme je novac. Dakle, potrebno je osmisliti reaktivni sistem koji će na vreme obavestiti administratora i sprečiti sumnjive aktivnosti na mreži. Na sreću, na ovo pitanje postoji odgovor, dostupan je od MS Windows Servera 2003 R2 i zove se File Server Resource Manager.

FSRM

Linkovi na kraju članka će vas odvesti na detaljna uputstva za potrebna podešavanja. Ukratko, evo ideje:

  • Aktivirajte File Server Resource Manager  na fileshare-u (nije podrazumevano aktivan)
  • Napravite folder-zamku sa odgovarajućim imenom u postojećem fileshare-u
  • Ime foldera mora da odvrati prave korisnike od neželjenog pristupa
  • Prilikom sortiranja, poželjno je da ime pozicionira folder-zamku na početak fileshare-a
  • Ukoliko kreirate više ovakvih foldera, pozicionirajte ih na različita mesta u fileshare-u
  • Dajte svim korisnicima read/write prava nad tim folderom
  • Podesite File Server Resource Manager da prati promene na tom folderu
  • Ukoliko se promena desi, podesite notifikaciju i aktiviranje određene komande

Ova ideja se može izvesti na dva načina – moguće je pratiti bilo kakve promene na određenom folderu ili pojavu poznatih ransomware ekstenzija u bilo kom folderu. Možete primeniti i oba načina.

Praćenje određenog foldera: Stop Cryptolocker from Hitting Windows File Shares with FSRM 

Praćenje pojave zaključanih fajlova: Stop crypto badware before it ruins your day