none
Sharepoint 2010, как защититься от шифровальщика? RRS feed

  • Вопрос

  • Добрый день! Поймали шифровальщик, который зашифровал файлы в базе шарепоинта.
    Интересует опыт коллег, кто как защищается от шифровальщиков?
    Что пришло в голову:
    1. Запрет групповой политикой запуска исполняемых файлов с %temp% директории.
    2. Настройка теневых копий. Тут вопрос как это будет работать, размер БД порядка 1Тб с количеством файлов под 2млн.
    3. В Sharepoin есть настройка запрещенных типов файлов, но нет возможности настроить сохранение  только разрешенных типов файлов. Есть идея повесить powershell скрипт и проверять расширение файлов на допустимые, но как это сделать и будет ли оно работать, пока даже не представляю.

    Буду благодарен за любые советы.

    16 января 2017 г. 16:29

Ответы

  • Да, злоумышленника нашли, но я хочу максимально защититься от повторных случаев. Очень долго восстанавливаться с бекапов.
    Тогда только запретить WebDAV...

    MS,MCTS,MCP,MCPD: SharePoint Developer 2010

    17 января 2017 г. 14:59
  • Добрый день,

    хоть убей пользователей, но раз в 1-2 месяца у кого-нибудь ПК зашифруется...

    Локально решаем теневыми копиями, ну а SharePoint - только backup'ы.


    MS,MCTS,MCP,MCPD: SharePoint Developer 2010

    Практика показывает, что если на протяжении нескольких лет делать регулярные внутренние почтовые рассылки о вредоносных ссылках, документах, архивах и др вложениях. То случаи заражения ПК становятся реже. Раз в месяц не трудно отправить готовый шаблон письма с предупреждениями и скриншотами, и пусть это делает, к примеру, директор HR. 2 секунды делов, а вкупе с принятыми мерами по безопасности ИТ эффект в комплексе будет хоть чуть, но выше. Безопасность всегда в опасности ничем нельзя пренебрегать. )  
    17 января 2017 г. 16:10

Все ответы

  • Скажите пожалуйста а у вас у пользователей какой-либо ресурс Sharepoint подключен сетевым диском, папкой у какой-либо группы пользователей? Уберите возможность доступа напрямую к данным. Это защитит в будущем от таких инцидентов. Или шифрование произошло другим способом ? 
    17 января 2017 г. 7:28
  • Добрый день! Поймали шифровальщик, который зашифровал файлы в базе шарепоинта.
    Интересует опыт коллег, кто как защищается от шифровальщиков?
    Что пришло в голову:
    1. Запрет групповой политикой запуска исполняемых файлов с %temp% директории.
    2. Настройка теневых копий. Тут вопрос как это будет работать, размер БД порядка 1Тб с количеством файлов под 2млн.
    3. В Sharepoin есть настройка запрещенных типов файлов, но нет возможности настроить сохранение  только разрешенных типов файлов. Есть идея повесить powershell скрипт и проверять расширение файлов на допустимые, но как это сделать и будет ли оно работать, пока даже не представляю.

    Буду благодарен за любые советы.

    Есть ли смысл вешать скрипт из-за единичного случая? Тем более вы уже нашли злоумышленника, для проверки файлов через Powershell можно попробовать такой вариант скрипта:
    foreach ($line in $lines) {
        $extn = [IO.Path]::GetExtension($line)
        if ($extn -eq ".xml" )
        {
        #delete or not *xml file
        }
    }

    17 января 2017 г. 8:14
  • Заразились именно через сетевые диски, Диски подключаются через webdav. Убрать доступ пользователям нет возможности.
    17 января 2017 г. 9:31
  • Заразились именно через сетевые диски, Диски подключаются через webdav. Убрать доступ пользователям нет возможности.
    Ну как вариант заменить всем сетевой диск на ярлык сетевого диска ), раньше шифровальщики не ходили по ярлыкам дисков и папок, но сейчас не уверен, может они стали умнее.  По 1 пункту по запрету исполняемых файлов такой пункт в корпоративной безопасности обязательно должен быть (во всяком случае отрезать exe, с остальными по анализу). + обязательна регулярная разъяснительная работа с пользователями ) 
    17 января 2017 г. 10:00
  • Добрый день,

    хоть убей пользователей, но раз в 1-2 месяца у кого-нибудь ПК зашифруется...

    Локально решаем теневыми копиями, ну а SharePoint - только backup'ы.


    MS,MCTS,MCP,MCPD: SharePoint Developer 2010

    17 января 2017 г. 10:09
  • Да, злоумышленника нашли, но я хочу максимально защититься от повторных случаев. Очень долго восстанавливаться с бекапов.
    17 января 2017 г. 14:32
  • Да, злоумышленника нашли, но я хочу максимально защититься от повторных случаев. Очень долго восстанавливаться с бекапов.
    Тогда только запретить WebDAV...

    MS,MCTS,MCP,MCPD: SharePoint Developer 2010

    17 января 2017 г. 14:59
  • Добрый день,

    хоть убей пользователей, но раз в 1-2 месяца у кого-нибудь ПК зашифруется...

    Локально решаем теневыми копиями, ну а SharePoint - только backup'ы.


    MS,MCTS,MCP,MCPD: SharePoint Developer 2010

    Практика показывает, что если на протяжении нескольких лет делать регулярные внутренние почтовые рассылки о вредоносных ссылках, документах, архивах и др вложениях. То случаи заражения ПК становятся реже. Раз в месяц не трудно отправить готовый шаблон письма с предупреждениями и скриншотами, и пусть это делает, к примеру, директор HR. 2 секунды делов, а вкупе с принятыми мерами по безопасности ИТ эффект в комплексе будет хоть чуть, но выше. Безопасность всегда в опасности ничем нельзя пренебрегать. )  
    17 января 2017 г. 16:10