Windows: GPO para prevenir Cryptolocker
- Formar a los usuarios (o intentarlo :-)).
- Disponer de un sistema de backups que permitan una restauración rápida de los ficheros afectados.
- Configurar las instantáneas de volumen en los servidores de ficheros, ya que nos permitirán una restauración más rápida.
- Repasar los recursos compartidos y permisos NTFS a los que puede acceder cada usuario: La idea es que en caso de infección, minimizar el número de ficheros encriptados.
- Verificar antivirus de scan en tiempo real, en todos los equipos: configuración, actualización de firmas y motor.
- Mejorar/verificar el filtrado de contenido web.
- Mejorar/verificar el filtrado de correo electrónico.
Sin embargo, podemos configurar GPOs SRP que bloqueen extensiones en rutas.
Una GPO SRP de bloqueo de rutas, el bloqueo se efectuará independientemente de los permisos NTFS asignados en la ruta.
User Configuration (Enabled) > Policies > Windows Settings > Security > Settings > Software Restriction Policies
Enforcement
Apply software restriction policies to the following: All software files except libraries (such as DLLs)
Apply software restriction policies to the following users: All users
When applying software restriction policies: Ignore certificate rules
Designated File Types
ADE ADE File ADP ADP File BAS BAS File BAT Windows Batch File CHM Compiled HTML Help file CMD Windows Command Script COM MS-DOS Application CPL Control panel item CRT Security Certificate EXE Application HLP Help file HTA HTML Application INF Setup Information INS INS File ISP ISP File LNK Shortcut MDB MDB File MDE MDE File MSC Microsoft Common Console Document MSI Windows Installer Package MSP Windows Installer Patch MST MST File OCX ActiveX control PCD PCD File PIF Shortcut to MS-DOS Program REG Registration Entries SCR Screen saver SHS SHS File URL Internet Shortcut VB VB File WSC Windows Script Component
Trusted publisher management: Allow all administrators and users to manage user’s own Trusted Publishers
Certificate verification: None
Software Restriction Policies/Security Level
Default Security Level: Unrestricted
Software Restriction Policies/Additional Rules
Path Rules
Disallowed:
%AppData%\ %AppData%\*\ %localappdata%\ %localappdata%\*\ %localappdata%\Microsoft\Windows\Temporary Internet Files\ %localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\ %localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\ %localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\*\ %Temp%\ %Temp%\$*\ %Temp%\*.zip\ %userprofile%\
Unrestricted: (ejemplo de proceso que si se desea que se ejecute)
%Temp%\Procmon64.exe %localappdata%\*\Procmon64.exe %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Comentarios recientes