FSRM : Protéger son serveur de fichiers des ransomwares

I. Présentation

Les données qu’elles soient personnelles ou professionnelles ont une valeur certaine, et ça il y a des personnes malintentionnées qu’ils l’ont bien compris et qui veulent en tirer profit avec des malwares, ou plus particulièrement avec les ransomwares qui sont la grande tendance depuis quelque temps. Pour rappel, un ransomware, en français rançongiciel, est un logiciel qui va chiffrer vos données et vous demander de l’argent pour pouvoir récupérer les données, sous peine de les perdre.

Pour se protéger face à cette menace, que l’on peut représenter par Cryptolocker ou plus récemment Locky, il y a différentes couches de sécurité à mettre en place. Tout d’abord, ça passe par une protection au niveau des e-mails avec un filtre anti-spam, du filtrage web pour éviter que les utilisateurs aillent sur des sites où ils n’ont rien à faire, ou encore protéger votre serveur de fichiers, c’est d’ailleurs ce dernier point qui nous intéresse.

Dans le cadre de ce tutoriel, il sera question de protéger un serveur de fichiers sous Windows Server 2012 R2, pour cela on s’appuie sur le File Server Resource Manager (FSRM) , en français « Gestionnaire de ressources du serveur de fichiers ». Il intègre une fonctionnalité qui permet de filtrer les fichiers, l’objectif sera alors de bloquer certaines extensions (et fichiers) propres au comportement d’un ransomware, et d’en avertir l’administrateur par e-mail et/ou par une entrée dans l’observateur d’événements. Par exemple, un ransomware qui chiffre vos fichiers avec l’extension « .locky » donc on va bloquer cette extension.

II. Installation du gestionnaire de ressources du serveur de fichiers

Tout d’abord, nous allons installer la fonctionnalité FSRM et la console associée qui permet de la gérer. Pour cela, on va passer par PowerShell, déjà on peut vérifier si la fonctionnalité est déjà installée ou pas :

Get-WindowsFeature
ou
Get-WindowsFeature -Name FS-Resource-Manager

fsrm-crypto-11

Comme la fonctionnalité n’est pas installée (état « Available »), on va l’installer et installer sa console de gestion :

Install-WindowsFeature -Name FS-Resource-Manager -IncludeManagementTools

fsrm-crypto-12

Voilà, la fonctionnalité est installée vous pouvez lancer la console « Gestionnaire de ressources du serveur de fichiers » depuis les outils d’administration.

III. Configurer le SMTP pour recevoir les notifications

Si vous souhaitez recevoir des notifications par e-mail, il faut préciser un serveur SMTP au sein des options de la console FSRM. Pour cela, effectuez un clic droit sur « Gestionnaire de ressources du serveur de fichiers » et cliquez sur « Configurer les options ».

fsrm-crypto-13

Dans l’onglet « Notifications par courrier électronique » remplissez les champs « Serveur SMTP » et « Administrateurs destinataires par défaut ». Validez.

Note : Il n’est pas proposé de rentrer des credentials pour s’authentifier auprès du serveur SMTP, ce qui est plutôt dommage, si vous avez besoin d’une solution de contournement vous pouvez vous appuyer sur un serveur relai SMTP.

fsrm-crypto-14

IV. Création d’un groupe d’extensions de fichiers

On va continuer en créant un groupe de fichiers qui va regrouper un ensemble d’extensions liées aux ransomwares dans notre cas. Pour cela, sous « Gestion du filtrage de fichiers », effectuez un clic droit sur « Groupes de fichiers » puis « Créer un groupe de fichiers ».

fsrm-crypto-15

Nommez ce groupe de fichiers comme vous le souhaitez, « Fichiers ransomwares » ou « Fichiers Crypto » par exemple. Ensuite, il va falloir inclure les extensions, il y en a une bonne quantité et le processus d’ajout en mode graphique est assez long (voir juste après la liste pour le faire en PowerShell).

fsrm-crypto-16

Voici une liste non exhaustive des extensions et des fichiers de note qui accompagne généralement ces ransomwares :

_Locky_recover_instructions.txt
DECRYPT_INSTRUCTIONS.TXT
DECRYPT_INSTRUCTIONS.HTML
DECRYPT_INSTRUCTION.TXT
DECRYPT_INSTRUCTION.HTML
HELP_DECRYPT.TXT
HELP_DECRYPT.HTML
DecryptAllFiles.txt
enc_files.txt
HowDecrypt.txt
How_Decrypt.txt
How_Decrypt.html
HELP_TO_DECRYPT_YOUR_FILES.txt
HELP_RESTORE_FILES.txt
HELP_TO_SAVE_FILES.txt
restore_files*.txt
restore_files.txt
RECOVERY_KEY.TXT
how to decrypt aes files.lnk
HELP_DECRYPT.PNG
HELP_DECRYPT.lnk
DecryptAllFiles*.txt
Decrypt.exe
ATTENTION!!!.txt
AllFilesAreLocked*.bmp
MESSAGE.txt
*.locky
*.ezz
*.ecc
*.exx
*.7z.encrypted
*.ctbl
*.encrypted
*.aaa
*.xtbl
*.abc
*.JUST
*.EnCiPhErEd
*.cryptolocker
*.micro
*.vvv

Si vous recherchez sur Google « Update list extension ransomware » vous tomberez sur différentes pages avec des listes comme celle ci-dessus, ce qui vous permettra de maintenir à jour dans le temps votre liste. Par exemple : Ransomware Extensions

Vous noterez que j’ai bloqué également l’extension « *.vvv » qui correspond à TeslaCrypt, un ransomware récemment découvert. Pour créer ce groupe de fichiers directement en PowerShell et gagner du temps dans la création, voici la commande correspondante :

New-FsrmFileGroup -Name "Fichiers Crypto" –IncludePattern @("_Locky_recover_instructions.txt","DECRYPT_INSTRUCTIONS.TXT", "DECRYPT_INSTRUCTIONS.HTML", "DECRYPT_INSTRUCTION.TXT", "DECRYPT_INSTRUCTION.HTML", "HELP_DECRYPT.TXT", "HELP_DECRYPT.HTML", "DecryptAllFiles.txt", "enc_files.txt", "HowDecrypt.txt", "How_Decrypt.txt", "How_Decrypt.html", "HELP_TO_DECRYPT_YOUR_FILES.txt", "HELP_RESTORE_FILES.txt", "HELP_TO_SAVE_FILES.txt", "restore_files*.txt", "restore_files.txt", "RECOVERY_KEY.TXT", "how to decrypt aes files.lnk", "HELP_DECRYPT.PNG", "HELP_DECRYPT.lnk", "DecryptAllFiles*.txt", "Decrypt.exe", "ATTENTION!!!.txt", "AllFilesAreLocked*.bmp", "MESSAGE.txt","*.locky","*.ezz", "*.ecc", "*.exx", "*.7z.encrypted", "*.ctbl", "*.encrypted", "*.aaa", "*.xtbl", "*.abc", "*.JUST", "*.EnCiPhErEd", "*.cryptolocker","*.micro","*.vvv")

Dans cette commande, il suffit d’utiliser le paramètre Name pour le nom du groupe et IncludePattern pour la liste des fichiers et extensions à inclure. Vous pourrez toujours la modifier plus tard en PowerShell également avec Set-FsrmFileGroup.

Passons à l’étape suivante.

V. Créer un modèle de filtre de fichiers

On va désormais appliquer une politique sur notre groupe de fichiers précédemment créé, pour cela créez un modèle de filtre de fichiers via un clic droit sur l’entrée du même nom.

fsrm-crypto-17

Dans l’onglet « Paramètres », vous devez impérativement sélectionner le filtrage actif pour réaliser un blocage des extensions et fichiers du groupe de fichiers que nous venons de créer, et que vous devez sélectionner juste en dessous. Pensez également à nommer ce modèle avec un nom explicite.

fsrm-crypto-18

Dans l’onglet « Message électronique », on va activer la première option pour activer les notifications, si vous ne souhaitez pas recevoir d’e-mail n’activez pas l’option. Vous pouvez alors personnaliser l’objet et le corps du message, il y a un bon nombre de variables pour personnaliser les messages.

fsrm-crypto-19

Pour activer la génération d’entrée dans le journal des événements, il suffit d’aller dans l’onglet correspondant et d’activer l’option. Nous verrons à la fin du tutoriel dans notre test un exemple d’entrée générée.

fsrm-crypto-20

Validez et vous verrez notre filtre apparaître auprès de ceux présents par défaut. À ce moment-là, le filtre est prêt à être utilisé, mais n’a aucun lien avec les lecteurs locaux où se situent nos données, c’est la dernière étape à réaliser.

fsrm-crypto-21

VI. Créer un filtre de fichiers

Sur « Filtres de fichiers », effectuez un clic droit et créer un filtre de fichiers.

fsrm-crypto-22

Dans le champ « Chemin d’accès du filtre de fichiers », indiquez le chemin vers un de vos partages ou même la racine d’un lecteur de données pour une protection globale. Sélectionnez ensuite votre modèle de filtre de fichiers, comme sur l’image ci-dessous et validez.

fsrm-crypto-23

VII. Test de la configuration

La configuration est validée et active sur le chemin « C:\Partage » dans le cadre de mon exemple, si j’ouvre une console PowerShell et que je tente de créer un fichier avec une extension interdite, j’obtiens un accès refusé bien que je sois administrateur. À l’inverse, si je crée un fichier avec une extension autorisée, la création s’effectue.

fsrm-crypto-24

Dans l’observateur d’événement, un nouvel événement est arrivé :

fsrm-crypto-25

La configuration est opérationnelle, j’espère que cela vous permettra de sécuriser vos serveurs de fichiers. Il reste la question des données en local sur les sessions de vos utilisateurs, une solution peut-être d’utiliser les profils itinérants et la redirection de dossiers pour déporter le contenu des profils sur un serveur de fichiers et appliquer la même stratégie.

Pour aller plus loin dans le blocage, j’ai vu sur le Script Center un script qui permet en supplément de bloquer l’accès à l’utilisateur qui a était utilisé pour tenter de créer le fichier ransomware, l’objectif est de le refuser au niveau des droits NTFS. Il y aura une modification à faire dans votre filtre de fichiers pour exécuter une commande. Pour ceux que ça intéresse : Script Block SMB

Sinon, il est à noter que l'ensemble de cette configuration peut-être réalisée en PowerShell car il y a un lot de commandlets dédiés à FSRM.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Co-Fondateur d'IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno' est importante je partage aussi des actus.

florian a publié 1601 articles sur IT-Connect.See all posts by florian

40 réactions sur “FSRM : Protéger son serveur de fichiers des ransomwares

  • 19/12/2016 à 15:34
    Permalink

    Bonjour,

    Quelqu’un a-t-il déjà eu affaire au ransomware OSIRIS? Comment a-t-il réussi à l’éliminer?

    Répondre
  • 05/01/2017 à 15:37
    Permalink

    Bonjour,

    Le plus simple ne serait-il pas de mettre interdire *.* et accepter les fichiers *.docx *.jpec etc ?

    Pas de problème de mise à jour de fsrm, ni pour ceux qui sont aléatoire

    Répondre
    • 09/10/2017 à 20:42
      Permalink

      bonjour,
      je viens de tester les scripts

      tres bien ….
      Cerise sur le gâteau le maintient des extensions

      ps:
      bon tuto encore une fois….

      Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *