Descripción general del Administrador de recursos del servidor de archivos
En este tutorial, le presentaré el Administrador de recursos del servidor de archivos (FSRM), que es una característica de la función del servidor de archivos.
FSRM permite varias cosas a nivel del servidor de archivos:
- Aplicar cuota a una carpeta
- Manchas automáticas en carpetas y archivos (archivado automático de archivos no abiertos desde xxxx)
- Informe de almacenamiento (Volumen por grupo de archivos, duplicados, etc.)
- Filtrar archivos, lo que veremos en este tutorial
- …
En el tutorial, veremos cómo configurar un filtro de archivos para evitar el almacenamiento en el servidor y luego cómo agregar una capa de protección contra cryptolockers.
Instalación de la funcionalidad FSRM
Desde el administrador del servidor, haga clic en Agregar roles y características 1.
Al iniciar el asistente, haga clic en Siguiente 1.
Tipo de instalación: según un rol o funcionalidad, haga clic directamente en Siguiente 1.
Seleccione el servidor 1 donde se realizará la instalación y haga clic en el botón Siguiente 2.
En la lista de roles, vaya a Servicios de archivos y almacenamiento > Servicio de archivos e iSCSI 1 y luego marque Administrador de recursos del servidor de archivos 2.
Haga clic en el botón Agregar características 1.
Para ir directamente a la instalación haga clic en Confirmación A o haga clic en Siguiente 1.
Omita las funciones haciendo clic en Siguiente 1.
Haga clic en el botón Instalar 1.
Espere mientras instala…
La instalación está completa, haga clic en Cerrar 1 para salir del asistente.
Abra la consola del Administrador de recursos del servidor de archivos usando el siguiente icono disponible en el menú de inicio
Descripción general de la consola de administración:
Configurar notificaciones por correo electrónico en FSRM
Desde la consola, haga clic derecho en Administrador de recursos del servidor de archivos 1 y haga clic en Configurar opciones 2.
Vaya a la pestaña Notificación por correo electrónico 1, ingrese el servidor SMTP 2 y un destinatario 3. Es posible probar la configuración A. Haga clic en Aceptar para validar 4.
La configuración del servidor SMTP permite recibir un correo electrónico cuando un archivo prohibido intenta copiarse al servidor o avisar cuando se acerca el límite de cuota…
Usar filtrado de archivos
Utilice un filtro predefinido
En esta parte, veremos cómo agregar un filtro de archivos predefinido (bloquear archivos ejecutables) al directorio que contiene perfiles de usuario.
Desde la consola, vaya a Gestión de filtros de archivos > Filtro de archivos 1 y haga clic en Crear filtro de archivos… 2. Seleccione o ingrese la ruta 3 de la carpeta donde se debe aplicar el filtro. Seleccione el filtro 4 (Bloquear archivos ejecutables) y haga clic en el botón Crear 5.
El filtro está activo 1.
Desde una estación de trabajo cliente y un usuario con sus documentos redirigidos, copié un ejecutable en la carpeta Mis documentos. Aquí está el mensaje 1 que aparece:
Desde el visor de eventos también es posible ver el mensaje FSRM con el ID 8215 1.
Si se configura un servidor SMTP, se envía un correo electrónico para notificar la acción.
Utilice un filtro personalizado
Para ilustrar este tutorial, crearemos un grupo de archivos que contiene las extensiones conocidas por los cryptolockers, luego crearemos un modelo de filtrado y luego lo aplicaremos a un lector.
Con este filtro, el virus no podrá escribir archivos cifrados en el servidor.
El uso de un filtro personalizado pasa por 3 pasos:
- La creación de un grupo de archivos, que contendrá todas las extensiones de cryptolocker. Los grupos se pueden utilizar en múltiples modelos.
- Un modelo de filtrado de archivos, que tiene como objetivo elegir el tipo de filtrado (activo/pasivo) así como la configuración de notificaciones.
- Un filtro de archivos, que aplica la plantilla a una ubicación en el servidor.
Creando un grupo de archivos
Desde la consola, vaya a Administración de filtrado de archivos > Grupo de archivos 1. Haga clic derecho en el área central y haga clic en Crear grupo de archivos. 2 o vaya al menú Acciones.
Nombra el grupo 1, ingresa las extensiones de los archivos a bloquear en el formato *.extensión 2 y haz clic en el botón Aceptar 3.
Se agrega el grupo 1.
Creando la plantilla de filtro de archivos
Vaya a Plantilla de filtro de archivos 1, haga clic derecho y luego haga clic en Crear plantilla de filtro de archivos… 2 o vaya al menú Acciones.
Asigne un nombre a la plantilla 1, elija cómo se aplica el filtro* 2 y luego seleccione los grupos de archivos 3 que componen la plantilla.
* Hay dos tipos de filtrado, el filtro activo evitará que se escriba el tipo de archivo, el modo pasivo se utiliza con fines de auditoría.
Vaya a la pestaña Mensaje de correo electrónico 1 y marque las alertas de correo electrónico 2 si es necesario.
Vaya a la pestaña Registro de eventos y marque la casilla Enviar advertencia al registro de eventos 2. Haga clic en el botón OK 3 para validar la creación del modelo.
El modelo 1 está disponible en la lista.
Aplicar un filtro de archivos
En esta parte veremos cómo aplicar un filtro de archivos usando el grupo creado anteriormente.
Vaya a Filtros de archivos 1 y cree uno nuevo 2.
Indique la ruta raíz donde se debe aplicar el filtro 1, seleccione el filtro 2 y haga clic en Crear 3.
Se crea el filtro, de esta forma se bloquea la creación de archivos cifrados en la partición D del servidor.
Puede encontrar una lista de extensiones de cryptolocker conocidas en Internet
Solución de problemas
Aplicar múltiples filtros a la misma carpeta
No es posible crear varios filtros diferentes en la misma carpeta. Este es el mensaje de error que recibirá: No se puede crear un filtro de archivos en la ruta especificada porque ya existe un filtro de archivos para esta ruta.
Seleccione el filtro 1 y haga clic derecho sobre él, luego haga clic en Modificar propiedades del filtro de archivo… 2.
Marque los grupos que desea filtrar 1 y haga clic en Aceptar 2.
De la lista vemos que el filtro se aplica a varios grupos de archivos 1.
También podríamos agregar la ejecución de un script de PowerShell donde, en X intentos de cifrado, activamos una regla de firewall que bloquea el acceso de SMB al servidor o lo desactiva.