Gestern hatte ich ja bereits darüber berichtet, wie sich Windows Fileserver mittels Dem „Resourcen-Manager für Dateiserver“ vor Ransomware wie Cryptolocker, Cryptwall oder Locky schützen lassen.
Zu dem Artikel wurde der folgende Kommentar abgegeben:
Hallo Frank,
super Beitrag!
Gibt es einen Trick, wie man den Benutzer abfangen kann und ggf. nur dem Benutzer den Zugriff auf die Freigabe/en verweigert?
Dann müsste man den Server nicht vom Netz nehmen und andere Benutzer könnten weiterarbeiten.Gruß
Chonta
Erst einmal vielen Dank für die gute Idee und um die Frage zu beantworten: Ja die Möglichkeit gibt es, zwar über Umwege aber es ist möglich.
Auf dem folgenden Weg, ist es mit Server 2012 R2 möglich:
Ladet zunächst das folgende ZIP-Archiv runter und entpackt die beiden enthaltenen Scripte nach c:\Scripts (oder einem anderen Ordner)
Falls ein anderer Ordner als c:\Scripts gewählt wurde, müssen in den beiden Scripten die Pfade entsprechend angepasst werden.
Jetzt kann in den Dateiprüfungseigenschaften das Senden von Warnungen an das Ereignisprotokoll aktiviert werden:
Dann wird auf dem Reiter „Befehl“ die CMD-Datei wie folgt hinterlegt:
In den Optionen des Ressourcen-Managers werden jetzt noch die Limits für Ereignisprotokollbenachrichtigungen und Befehlsbenachrichtigungen aufgehoben
Die Funktionsweise ist nun folgende:
Wenn ein Benutzer (oder eben der Trojaner) auf dem Netzlaufwerk eine Datei mit der geblockten Endung erstellt, erzeugt der Ressourcen-Manager das Event mit der ID 8215 im Ereignisprotokoll:
Zusätzlich wird das Script „block-smbshare.cmd“ gestartet, welches nur dazu dient, das PowerShell Script „block-smbshare.ps1“ zu starten. Den Umweg über die CMD-Datei musste ich gehen, da sonst immer die UAC dazwischen gefunkt hat.
Das PowerShell Script holt sich nun auf dem Ereignisprotokoll das Benutzerkonto welches versucht hat, eine Datei zu verschlüsseln, bzw. eine geblockte Datei anzulegen. Dann wird dem Benutzer auf der jeweiligen Freigabe der Zugriff verweigert:
In diesem Fall war es der Benutzer „Administrator“. Damit später nachvollzogen werden kann, auf welchen Freigaben der Benutzer gesperrt wurde, wird im Order Scripts eine CSV-Datei erstellt, welches den Benutzer und den Pfad zur Freigabe enthält:
Die Scripte lassen sich natürlich auch weiter anpassen, ich habe zum Beispiel in dem PowerShell Script eingebaut, dass der Server runtergefahren wird, wenn mehr als 50 Ereignisse von unterschiedlichen Benutzern auftreten, denn das würde einen Flächenbrand bedeuten.
Denkbar wäre ja auch mittels des Benutzernamens das AD-Konto zu sperren, allerdings wirkt das nicht sofort und im Fall der Fälle ist Eile geboten.