Windows 2022-Server vor RansomWare-Angriffen schützen [ID 1220]

1. Vorbereitungen auf dem Server

Öffnen Sie die Windows-Powershell und geben Sie folgenden Befehl ein:

set-executionpolicy remotesigned

Bestätigen Sie die Abfrage durch Eingabe des Buchstabens „J“.

Drücken Sie dann auf „Enter“.:

Abb. 1

2. Download der notwendigen Tools

Erstellen Sie auf dem Server ein Verzeichnis „C:DownloadBlock-SMBShare“

Laden Sie aus dem Anhang dieses Helpdeskartikels das Paket
„RansomWareShield für Windows Server“ in das Verzeichnis „C:DownloadBlockSMBShare“ Ihres Servers.

Packen Sie das Paket dort aus:

Abb. 2

Laden Sie von der Webseite…
https://github.com/nexxai/CryptoBlocker

das Archiv „CryptoBlocker-master.zip“ in den Ordner „C:DownloadBlock-SMBShare“.

Abb. 3

Packen Sie das Paket dort aus. Es entsteht dadurch ein Ordner „CryptoBlocker-master“:

Abb. 4

3. Grundkonfiguration des Ressourcenmanagers für Dateiserver

Klicken Sie mit der rechten Maustaste auf „DeployCryptoBlocker“. Wählen Sie „Mit PowerShell ausführen“:

Abb. 5

Es läuft nun ein PowerShell-Script ab, das Ihren Server so einrichtet, dass er vor RansomWare-Angriffen geschützt ist:

Abb. 6

Öffnen Sie nun unter Start/Verwaltung den „Ressourcen-Manager für Dateiserver":

Abb. 7

Erweitern Sie die „Dateiprüfungsverwaltung" und klicken Sie auf „Dateiprüfungen“. Sie sehen nun, dass alle Ihre Serverpartitionen und alle Partitionen, auf denen Freigaben eingerichtet sind, vor RansomWare-Angriffen geschützt sind. Sollte dies nicht der Fall sein, arbeiten Sie bitte Kapitel 4 durch. Sonst gehen Sie zu Kapitel 5.

Abb. 8

4. Passive Prüfungen auf „Aktiv“ setzen

Wählen Sie die betroffene Partition aus und klicken Sie sie mit der rechten Maustaste an. Wählen Sie: „Dateiprüfungseigenschaften bearbeiten“:

Abb. 9

Aktivieren Sie im folgenden Fenster „Aktives Prüfen…“:

Abb. 10

5. Protokollierung konfigurieren

Wählen Sie Ihre PaedNet-Partition aus und klicken Sie sie mit der rechten Maustaste an.

Wählen Sie: „Dateiprüfungseigenschaften bearbeiten“:

Abb. 11

Öffnen Sie im folgenden Fenster den Reiter „E-Mail-Nachricht“.

Wählen Sie den Haken bei "E-Mail an..." ab.

Abb. 12

Öffnen Sie im folgenden Fenster den Reiter „Ereignisprotokoll“.
Editieren Sie im Dialog „Protokolleintrag“ den vorhandenen Text, bis er die folgende Form angenommen hat.

[Source lo Owner];[Source File Path]

Achten Sie bei den Protokolleinträgen auf die Trennung durch ein Semikolon.

Abb. 13

Klicken Sie auf „OK“

Öffnen Sie den Reiter „Befehl“.

Wählen Sie den Befehlspfad nach Abb. 13 und geben Sie das Befehlsargument:

/c C:DownloadBlock-SMBShareblock.cmd

ein.

Abb. 14

Öffnen Sie den Reiter „Bericht“.

Generieren Sie einen Bericht zur „Überwachung der Dateiprüfung“

Abb. 15

Bestätigen Sie alles mit Klick auf OK.

6. Prüfung der Funktionalität:

Erstellen Sie auf einem Client eine Datei mit der Endung *.xxx. Versuchen Sie sie über ein Netzlaufwerk auf den Server zu abspeichern. Sie sollten folgende Meldung erhalten:

Abb. 16

In der Ereignisanzeige finden Sie unter Windows-Protokolle/Anwendung nun eine Warnung mit dem Hinweis auf die geblockte Datei.

Abb. 17

Außerdem finden Sie nach einigen Minuten im Ordner „c:downloadBlockSMBShare“ eine Logdatei mit dem Hinweis auf die verkryptete Datei und den Benutzer, der Sie ablegen wollte:

Abb. 18

7. RansomWare Filterliste aktualisieren

Die Liste mit den Dateiendungen, die RansomWare verwendet, wird im Internet täglich aktualisiert und sollte auch auf dem zu schützenden Server immer aktuell sein. Darum wird sie über einen Scheduler täglich aktualisiert.

Öffnen Sie die Computerverwaltung Ihres Servers:

Abb. 19

Gehen Sie in der Computerverwaltung auf „Aufgabenplanung“

Abb. 20

Klicken Sie in der rechten Seitenleiste auf „Einfache Aufgabe erstellen“ und geben wie auf der Abb. 21 zu sehen, die entsprechenden Zeilen ein und bestätigen Sie mit Klick auf „Weiter“.

Abb. 21

Wählen Sie „täglich“ aus und bestätigen Sie mit „Weiter“.

Abb. 22

Stellen sie Ihre gewünschte Zeit, und „Wiederholung alle 1 Tage“ ein, an der die Filterliste aktualisiert werden soll. Bestätigen sie mit „Weiter“.

Abb. 23