FSRM का उपयोग करके रैंसमवेयर को रोकें - कैसे

FSRM का उपयोग करके रैंसमवेयर को रोकें

इसमें मैं आपको Windows Server 2008/2012 पर PowerShell का उपयोग करके फ़ाइल सर्वर संसाधन प्रबंधक स्थापित करने का तरीका बताने जा रहा हूँ। फिर मैं आपको यह दिखाने जा रहा हूं कि अपनी कंपनी की फाइलों को रैंसमवेयर द्वारा एन्क्रिप्ट करने से रोकने के लिए इसे कैसे कॉन्फ़िगर किया जाए।

यदि आप अब FRSM स्थापित कर रहे हैं, तो कृपया जान लें कि इसके लिए सर्वर रिस्टार्ट की आवश्यकता होगी। कृपया व्यावसायिक घंटों के बाहर इसकी योजना बनाएं।

इन परिवर्तनों को करने के लिए कुल समय: 20-30 मिनट
इन परिवर्तनों को करके कुल समय बचाया गया: MUCH!

कुल 6 चरण

चरण 1: FSRM (फ़ाइल सर्वर संसाधन प्रबंधक) स्थापित करें


Windows सर्वर के आपके संस्करण के आधार पर, PowerShell खोलें और निम्न आदेशों में से एक को चलाएं;

विंडोज सर्वर 2012/2012 R2
WindowsFeature -Name FS-Resource-Manager -IncludeManagementTools स्थापित करें

विंडोज सर्वर 2008
Add-WindowsFeature FS-FileServer, FS-Resource-Manager

नोट: इसके लिए नए घटक को स्थापित करने के लिए सर्वर रीस्टार्ट की आवश्यकता होगी। ऐसा करने के लिए अपना समय बुद्धिमानी से चुनें।

चरण 2: एफएसआरएम खोलें


यह प्रशासनिक उपकरण> फ़ाइल सर्वर संसाधन प्रबंधक के अंतर्गत पाया जा सकता है।

चरण 3: अपने फ़ाइल समूह बनाएँ


फ़ाइल स्क्रीनिंग प्रबंधन> फ़ाइल समूहों पर ब्राउज़ करें। आपको यहां कुछ डिफ़ॉल्ट दिखाई देंगे जो Microsoft द्वारा प्रदान किए गए हैं। ये सभी अक्षम हैं, चिंता न करें। आप चाहें तो उन्हें हटा सकते हैं। फ़ाइल समूह बनाने के लिए, फ़ाइल समूह या खाली स्थान पर राइट क्लिक करें और फ़ाइल समूह बनाएँ पर क्लिक करें।

फ़ाइल समूह को एक नाम दें। मैंने अपना नाम "रामसोवर एक्सटेंशन" और "आम फ़ाइल प्रकार जो रैनसमवेयर एक्सटेंशन हैं" रखा। मैं समझाता हूँ कि बाद में क्यों। चलो मुख्य "रैंसमवेयर एक्सटेंशन" समूह के साथ शुरू करते हैं।

हम फ़ाइलों को सम्मिलित करना चाहते हैं। शामिल करने के लिए फ़ाइलों के तहत, इन सभी एक्सटेंशनों को बिल्कुल दिखाए गए अनुसार जोड़ें। एक तारांकन * का उपयोग उस एक्सटेंशन के किसी भी फ़ाइल नाम को शामिल करने के लिए किया जाता है। हम इन एक्सटेंशनों के साथ किसी भी फ़ाइल को जोड़े जाने या किसी मौजूदा फ़ाइल का नाम बदलने से रोकना चाहते हैं।

*। {} CRYPTENDBLACKDC
* .73i87A
* .aaa
* .abc
* .AES256
*।बेहतर कॉल शाऊल
* .bloc
* .btc
* .Btc-सहायता-आप
* .btcbtcbtc
* .cbf
* .cerber
*[email protected]_com
* .clf
* .code
* .coverton
* .crime
* .crinf
* .crjoker
*।रोना
* .crypt
* .crypted
* .CryptoTorLocker2015!
* .CrySiS
* .ctbl
* .czvxce
* .darkness
*[email protected]_com
* .ecc
*।एन सी
* .encedRSA
* .EnCiPhErEd
* .encrypt
*।को गोपित
* .encryptedAES
* .encryptedRSA
* .encryptedped
* .enigma
* .exx
* .ezz
* .fucked
*।मज़ा
*[email protected]_com
* .gws
* .ha3
* .hb15
*[email protected]_net
* .infected
* .justbtcwillhelpyou
*[email protected]_com
* .KEYHOLES
* .KEYZ
* .kimcilware
* .kkk
* .korrektor
* .kraken
* .LeChiffre
* .lock (कुछ वातावरण को मॉनिटर करने की आवश्यकता हो सकती है लेकिन इसे रोकने के लिए नहीं, अपने जोखिम पर जोड़ें)
* .locked
* .locky
*।जबरदस्त हंसी!
* .micro
*[email protected]_com
*।कोई मौका नहीं
*।हे भगवान!
* .One-we_can-help_you
* .oor
*[email protected]_com
* .oshit
* .p5tkjw
*[email protected]_com
* .PoAr2w
* .R4A
* .R5A
* .RADAMANT
* .RDM
*[email protected]_com
*।ध्यान दिलाना
* .rokku
* .RRK
* .ryp
* .sanction
* .scl
* .sport
* .surprise
*[email protected]_com
* .trun
* .ttt
* .vault
* .vscrypt
* .vvv
* .xort
* .xrtn
* .xtbl
* .xxx
* .xyz
* .zzz

इस समूह को बचाने के लिए ओके पर क्लिक करें। आइए सामान्य फ़ाइल प्रकारों के लिए दूसरा बनाएं जो रैनसमवेयर द्वारा एन्क्रिप्शन के लिए भी उपयोग किया जाता है। य़े हैं;

*।प्रोग्राम फ़ाइल
* .html
*।एमपी 3
*।टेक्स्ट

नई रैनसमवेयर विविधताओं की नई फ़ाइलों / एक्सटेंशनों से आपको अवगत कराने के लिए एक उत्कृष्ट दस्तावेज है। आपको इसे एक्सेस करने का अनुरोध करना होगा। इस कैसे-के समय, ये सभी डॉक्यूमेंट्स में सूचीबद्ध हैं, https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEWIMGY0Hvmc5g/htmlview?sle=true

चरण 4: फ़ाइल स्क्रीन टेम्पलेट बनाएँ


हम इन फ़ाइल समूहों के लिए एक सक्रिय और निष्क्रिय टेम्पलेट बनाने जा रहे हैं। एक सक्रिय स्क्रीन उन एक्सटेंशन के साथ फ़ाइलों को बनाने या नाम बदलने से रोकेगी। एक निष्क्रिय स्क्रीन निर्माण की अनुमति देगा लेकिन ऐसा होने पर ईमेल के माध्यम से आपको सूचित करेगा।

फ़ाइल स्क्रीनिंग प्रबंधन के लिए ब्राउज़ करें> फ़ाइल स्क्रीन टेम्पलेट। फ़ाइल समूह की तरह, या तो टेम्पलेट बनाने के लिए नाम या रिक्त स्थान पर राइट क्लिक करें।

उसे एक नाम दे दो। सक्रिय समूह के लिए मैंने अपना नाम "Ecrypted File Block" रखा

सेटिंग्स टैब के तहत, सक्रिय स्क्रीनिंग का चयन करें। अपने "रैनसमवेयर एक्सटेंशन" फ़ाइल समूह को ब्लॉक करने के लिए फ़ाइल समूह का चयन करें।

ई-मेल संदेश के तहत, किसी व्यवस्थापक को ई-मेल भेजने के लिए बॉक्स की जाँच करें। अपना ई-मेल पता जोड़ें। एक डिफ़ॉल्ट विषय और निकाय दिखाई देगा। जैसा कि आप फिट देखते हैं, संशोधित करें, लेकिन यह बॉक्स से बहुत सीधे आगे है। मैं डिफ़ॉल्ट टेम्प्लेट का उपयोग करता हूं और अंत में "स्रोत कंप्यूटर की समीक्षा एक बार" करता हूं।

ईवेंट लॉग टैब के तहत, ईवेंट लॉग बनाने के लिए बॉक्स को चेक करें। क्यों नहीं, है ना?

बस। ओके पर क्लिक करें। अगला टेम्पलेट बनाएं। "पैसिव स्क्रीनिंग" को छोड़कर उसी निर्देशों का पालन करें।

चरण 5: अब वास्तविक फ़ाइल स्क्रीन बनाएं


यह FSRM बताएगा कि आप किस शेयर (ओं) को मॉनिटर करना चाहते हैं। मन के रूप में अच्छी तरह से उन सभी की निगरानी! क्यों नहीं? जितना ज़्यादा उतना अच्छा!

फ़ाइल स्क्रीनिंग प्रबंधन> फ़ाइल स्क्रीन पर ब्राउज़ करें

फ़ाइल स्क्रीन बनाने के लिए फ़ाइल स्क्रीन या रिक्त स्थान पर राइट क्लिक करें। मैंने अपना नाम "एनक्रिप्टेड फ़ाइल ब्लॉक" रखा।

उस पथ का चयन करें जो यह निगरानी करेगा। मैंने पूरे डी: / ड्राइव को सक्रिय सर्वर के साथ हमारे सर्वर पर किया था क्योंकि यह ड्राइव सभी शेयरों को होस्ट करता है। तो "एन्क्रिप्टेड फ़ाइल ब्लॉक" टेम्पलेट का चयन करें और पहली फ़ाइल स्क्रीन बनाएं।

अब निष्क्रिय टेम्पलेट्स के लिए एक नई फ़ाइल स्क्रीन बनाएं। दुर्भाग्य से अगर आपने एक पूरी ड्राइव को चुना जैसे मैंने सक्रिय टेम्पलेट के लिए किया था, तो आप निष्क्रिय टेम्प्लेट के लिए भी ऐसा नहीं कर सकते। आपको प्रत्येक शेयर (रूट फ़ोल्डर) के लिए एक निष्क्रिय फ़ाइल स्क्रीन बनानी होगी। मेरे 4 मुख्य शेयर हैं, इसलिए मेरे लिए कोई समस्या नहीं थी।

चरण 6: ई-मेल भेजने के लिए अपने मेल सर्वर होस्टनाम के साथ FSRM कॉन्फ़िगर करें


अंत में हमें ई-मेल भेजने के तरीके पर एफएसआरएम को कॉन्फ़िगर करने की आवश्यकता है। बाएं नेविगेशन ट्री पर फ़ाइल सर्वर संसाधन प्रबंधक (स्थानीय) पर राइट क्लिक करें और कॉन्फ़िगर विकल्प पर क्लिक करें।

SMTP या IP पते के अंतर्गत, अपने मेल सर्वर का होस्टनाम या IP पता जोड़ें।

फिर प्राप्तकर्ता (ओं) को जोड़ें और ई-मेल से "क्या" होना चाहिए। यह सत्यापित करने के लिए कि आपने इसे सही ढंग से दर्ज किया है, परीक्षण ई-मेल भेजें।

फिर इसे जंगली में त्वरित परीक्षण दें। दो साधारण .txt फ़ाइलें बनाएँ। एक शेयर में जोड़ें। यह आपको फ़ाइल को सहेजने की अनुमति देनी चाहिए लेकिन आपको इसके बारे में चेतावनी देने के लिए एक ई-मेल पुष्टिकरण भेजें। अब दूसरे का नाम बदलें जैसे .locky। इसे सहेजते समय आपको "एक्सेस अस्वीकृत" मिलेगा। शेयर पर सहेजी गई .txt फ़ाइल का नाम बदलें और उसी एक्सटेंशन में नाम बदलें। इसे भी रोका जा सकेगा।

इन एक्सटेंशनों को जोड़ना "इसे सेट करना और इसे भूल जाना" एक बार का सौदा नहीं है। एन्क्रिप्टेड फ़ाइलों के लिए नई फ़ाइल एक्सटेंशन की सक्रिय रूप से निगरानी करें और इन्हें अपने फ़ाइल समूहों में जोड़ें।

अब आपने अपनी कंपनी की फाइलों को रैंसमवेयर द्वारा एन्क्रिप्ट होने से रोकने के लिए कदम उठाए हैं। ध्यान रखें, यह आपके अंत उपयोगकर्ता मशीनों पर स्थानीय रूप से सहेजी गई फ़ाइलों को नहीं रोकता है। यह केवल आपके फ़ाइल सर्वर (एस) द्वारा होस्ट किए गए शेयरों पर फ़ाइलों की सुरक्षा करता है। WatchNRun नामक एक कार्यक्रम है जिसे समुदाय में साझा किया गया था, जिसका उपयोग अंत उपयोगकर्ता मशीनों http://jpelectron.com/ पर किया जा सकता है, लेकिन यह फ़ाइलों को फिर से लिखने के लिए उपयोग को नहीं रोकेगा। यह केवल एक ई-मेल सूचना को ट्रिगर करेगा। मुझे इसका उपयोग करने का अनुभव नहीं है, इसलिए कृपया इसे कॉन्फ़िगर करने के तरीके के बारे में निर्देश न मांगें।

केवल रैंसमवेयर से सुरक्षा के लिए एफएसआरएम पर निर्भर न रहें। इष्टतम सुरक्षा के लिए बहुस्तरीय रणनीति का उपयोग करें। एक प्रबंधित AV, शून्य दिन का पता लगाना, ई-मेल स्पैम फ़िल्टर, उपयोगकर्ताओं से व्यवस्थापक अधिकारों को हटाना, उपयोगकर्ताओं से उन शेयरों को पढ़ने / लिखने के लिए पहुँच को हटा दें, जिनकी उन्हें एक्सेस करने की आवश्यकता नहीं है, समूह नीति के माध्यम से प्रतिबंध बनाएँ, दैनिक बैकअप लें, और उन्हें एन्क्रिप्टेड होने से रोकने के लिए बैकअप ऑफ़साइट / डिस्कनेक्ट किया गया है।