magnify
Home Güvenlik File System Resource Manager FSRM ile Anti-Ransomware List Kullanımı
formats

File System Resource Manager FSRM ile Anti-Ransomware List Kullanımı

Tarih 13 Nisan 2018 yazar içinde Güvenlik

Windows Server işletim sistemi üzerinde Microsoft tarafından bizlere sunulan pek çok bütünleşik özellikten bir tanesi de File Server sunucu rolü ve onun ile beraber gelen FSRM özelliğidir. Ben bu makalemde hem FSRM kurulum kullanımı hem de bunun üstüne çok popüler bir konu olan Ransomware türevleri için en azından Windows File Server kullanan müşteriler için nasıl temel bir koruma özelliğini devreye alabileceğimizi anlatacağım.

Öncelikle şunu belirtmek isterim ki temel mantık ransomware türevlerinin sürekli olarak dosya uzantılarını değiştirip şifreleyerek gerçekleştirdiği atakları dosya uzantısı bazlı yasaklama ile engellemeye çalışacağız. Ancak unutmayın ki bu son kullanıcı bilgisayarlarını, Windows olmayan dosya sunucularını, CRM, SAP, SQL, Oracle veya aslında Windows file server dışındaki hiçbir sistemi korumaz. Hatta file server üzerinde bile listede bulunmayan yeni bir atak türü gelir ise onda da koruma başarısız olur. Peki madem bu kadar başarılı değil neden makalesini yazıyorsun diye bir soru sorabilirsiniz, malum herkesin bir alım gücü var ve kimi küçük şirketler için en yeni nesil güvenlik ürünlerini almak pek mümkün değil, hal böyle olunca da en azından “hiç yoktan bir güvenlik önemli” olsun tadıyla bu yazıya başladım.

Tabiki yazıya başlamamdaki en büyük motivasyon aslında bu işle uğraşan ve sürekli olarak yeni çıkan dosya uzantılarını güncelleyen bir alt yapının olması.

https://fsrm.experiant.ca/

Tabiki bu makaleyi bundan birkaç yıl sonra okuyanlar için hala bu site var olur mu onu da bilmiyorum.

Şimdi ilk amacımıza dönelim ve diyelim ki Server 2016 da FSRM nasıl kurulur, nasıl çalışır hatta daha önemlisi ne işe yarar?

Temel aslında tüm bu adımları sevgili dostum Rıza son derece güzel bir şekilde burada anlatmış, mutlaka okumanızı tavsiye ediyorum

www.cozumpark.com/blogs/windows_server/archive/2017/05/07/windows-server-2016-file-server-resource-manager-genel-yapilandirma.aspx

Makalede olmayan kısımları ben eklemek istiyorum.

Temel olarak FSRM aşağıdaki başlıklarda bize hizmet sunar;

  • File Classification Infrastructure
  • File Management Tasks
  • Quota management
  • File screening management
  • Storage reports

File Classification Infrastructure

Temel olarak FSRM ile beraber gelen sınıflandırma özelliği sayesinde file server üzerindeki dosyalarımızı belirlediğimiz kriterlere göre sınıflandırabiliriz. Son derece kullanışlı ve önemli bir özellik olan veri sınıflandırma son dönemde GDPR ve KVKK konularından tekrar gündeme gelmiştir. Peki dosyalarımızı neden sınıflandırmak isteriz? Bundan sonraki başlık “File Management Tasks” ile aslında sınıflandırdığımız dosyalarımıza farklı ilkeler atayabiliriz. Bu ilkeler erişim, şifreleme veya yaşlandırma içerebilir.

Bildiğiniz gibi Microsoft 2012 sürümü ile beraber Dynamic Access Control adı altında artık daha gelişmiş dosya ve klasör yetkilendirme, izin mimarisine geçti. Bu sayede artık sadece A kullanıcısı B grubu değil daha fazla değişkenden oluşan izinler verme imkanına kavuştuk. Bu konuda ki bilgiyi de aşağıdaki linkte bulabilirsiniz.

http://tv.cozumpark.com/video/584/Windows-Server-2012-R2-ile-Dynamics-Access-Control-Bolum1

http://tv.cozumpark.com/video/69/Dynamic-Access-Control-Server-2012

http://tv.cozumpark.com/video/220/Windows-Server-2012-Dynamic-Access-Control-DAC

Benzer şekilde erişim ilkesi dışında diğer aksiyonlar içinde veri sınıflandırma bu işin en temel ayağıdır.

File Management Tasks

Veri sınıflandırma işleminden sonra File Management işleri sayesinde sınıflandırılan dosyalar için erişim ilkeleri, şifreleme veya yaşlandırma gibi görevlerin yerine getirilmesini sağlayan özelliktir. Aşağıdaki gibi aslında temel görevlerin dışında custom diyerek ek görevler de tanımlayabilirsiniz.

Quota management

Adından da anlaşılacağı üzere file server için kota yönetimi yapmamızı sağlar.

File screening management

Makalemizin konusu olan özellik, yani hangi dosya türlerinin file server üzerinde saklanacağını yönetebildiğimiz özelliktir. Bu konuda çok sorulan bir soru, dosya mp3 ama birisi uzantısını dll olarak değiştirdi, ne olur? Screening dosyaların sadece uzantısına bakar, içeriğini tarayamaz, bu nedenle buradaki koruma temel olarak uzantı bazlı çalışır.

Storage reports

Aklınıza gelebilecek pek çok temel rapor sunar. Duplicate Files, File Screening Audit yani kimlerin ne tür dosyalar kayıt ettiği veya edemediği (etmeye çalıştığı), gruplara göre dosyalar, sahipliğine göre dosyalar, sınıflandırmasına göre dosyalar, büyük dosyalar, en az erişilen, en çok erişen dosyalar gibi pek çok dosya sunucusu raporunu bulabilirsiniz.

Peki öncelikle hızlıca özelliği yüklüyorum.

Install-WindowsFeature –Name FS-Resource-Manager –IncludeManagementTools

Hızlıca server manager üzerinden konsola gidiyorum

Rıza’ nın makalesinden zaten tüm özellikleri nasıl kullanacağınızı öğrenebilirsiniz. Benim amacım Ransomware için entegrasyon yapmak. Öncelikle ilgili PS’ I aşağıdaki URL adresinden indirelim.

https://fsrm.experiant.ca/installation

Deploy ile başlayan PS dosyasını indirin, önce

Import-Module FileServerResourceManager yazdıktan sonra Deploy PS komutunu çalıştırın.

Not: ben test DC de bu makaleyi yazdığım için sysvol gibi paylaşımların olması normal.

Ama ortak isminde gerçek bir file server paylaşımımda var ve bunun için ilgili şablon hazırlanmış durumda. Hemen control edelim.

Öncelikle File Groups bölümünü control ediyoruz.

Gördüğünüz gibi CryptoBlocked ile başlayan dosya gruplarını görüyoruz.

Hemen üstünde File Screen Templates var

Şablon içerisinde ilgili grupları da görüyoruz.

Son olarak paylaşımlar için uygulanan bu şablonları control edelim.

Evet sorunsuz bir şekilde uyguladık.

Hızlıca test edelim, örnek bir uzantı seçiyorum.

Seçtiğim uzantı “zycrypt” olsun.

Mevcut file server’ a istemci makineden bağlanıyorum.

Örneğin 1.bmp dosyasını 1.jpg yapacağım öncelikle.

Sorunsuz bir şekilde yaptım, şimdi yasaklanmış olan bir dosya uzantısı olan “zycrypt” deneyeceğim.

Yes diyorum ama sonuç aşağıdaki gibi;

Özetle sistem 10 numara 5 yıldız çalışıyor.

Peki asıl soru bunu sürekli olarak nasıl güncel tutacağımız. Aslında bunun içinde yapmamız gereken tek şey Windows sunucumuzda zamanlanmış bir görev oluşturmak olacaktır.

Öncelikle ilgili PS dosyasını C:\Komut şeklinde sabit bir dizine koyun.

Daha sonra zamanlanmış görevleri açın ve yeni bir task oluşturun.

Bir isim vererek ilerliyoruz.

Günlük, her gün 22:00 de çalışacak şekilde ayarlıyorum, siz isterseniz bunu günde birkaç kez olacak şekilde ayarlayabilirsiniz ama bu kadar hızlı yani av veri tabanı gibi değil sonuçta bu belki haftada bir ancak güncelleniyordur.

Start a program seçeneği ile ilerlerseniz eğer aşağıdaki gibi bir ekran çıkacaktır karşınıza.

Powershell.exe

-ExecutionPolicy Bypass c:\komut\DeployCryptoBlocker.ps1 -RunType $true -Path c:\komut

İlgili alanları yukarıdaki gibi dolduruyoruz.

Son olarak Open the Properties kutucuğunu işaretleyerek Finish düğmesine basıyoruz. Hemen ardından ilgili zamanlanmış görev için ayarlar penceresi açılacaktır.

Alt bölümde siz logon olsanız da olmasanız da çalışması ve yine çalışırken yetki kullanımı için izin vermeniz gerekiyor. Sonra ok düğmesine basarak sizden yetkili bir hesap istenecektir.

Çalıştığını nasıl anlayacağız?

İlgili gruplardan örneğin 7 içerisinden bir dosya uzantısını silelim.

En alttaki zzz ile başlayanı siliyorum ve zamanlanmış görevi çalıştırıyorum.

History bölümünden görevin tamamlanıp tamamlanmadığını görebilirsiniz.

Şimdi tekrar ilgili grup içerisindeki uzantıyı kontrol ediyorum.

Evet tekrar zzz ile başlayan uzantının eklendiğini görebiliyoruz.

Umarım faydalı bir Makale olmuştur, bir sonraki makalemde görüşmek üzere.

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
File System Resource Manager FSRM ile Anti-Ransomware List Kullanımı için yorumlar kapalı  comments 
© Hakan Uzuner
credit