Buscar

Windows: GPO para prevenir Cryptolocker

Algunas medidas que puede tomar el administrador de sistemas para prevenir incidentes relacionados con Cryptolocker son:

  • Formar a los usuarios (o intentarlo :-)).
  • Disponer de un sistema de backups que permitan una restauración rápida de los ficheros afectados.
  • Configurar las instantáneas de volumen en los servidores de ficheros, ya que nos permitirán una restauración más rápida.
  • Repasar los recursos compartidos y permisos NTFS a los que puede acceder cada usuario: La idea es que en caso de infección, minimizar el número de ficheros encriptados.
  • Verificar antivirus de scan en tiempo real, en todos los equipos: configuración, actualización de firmas y motor.
  • Mejorar/verificar el filtrado de contenido web.
  • Mejorar/verificar el filtrado de correo electrónico.

Además de lo anterior, como medida adicional, podemos utilizar GPOs para fortificar la configuración e intentar evitar la ejecución de Cryptolockers.

Para ello, utilizaremos las Software Restriction Policies (SRP).

Encontraremos la posibilidad de configurar directivas SRP como GPOs de equipo o usuario:

Vista GPMC

Un ejemplo de uso de GPO basada en SRP lo podemos encontrar en el siguiente enlace:


En nuestro caso, no podemos prevenir la ejecución del Cryptolocker con una GPO SRP basada en hash, hasta que no dispongamos de un fichero EXE del virus del Cryptolocker para obtener su hash.

Sin embargo, podemos configurar GPOs SRP que bloqueen extensiones en rutas.

Una GPO SRP de bloqueo de rutas, el bloqueo se efectuará independientemente de los permisos NTFS asignados en la ruta.

Deberemos personalizar la GPO con las exclusiones necesarias según nuestro entorno: aplicaciones instaladas, sistema operativo, descompresor utilizado, etc.

Ejemplo:

Vista completa de la GPO SRP texto:

User Configuration (Enabled) > Policies > Windows Settings > Security > Settings > Software Restriction Policies

Enforcement

Apply software restriction policies to the following:  All software files except libraries (such as DLLs)
Apply software restriction policies to the following users: All users
When applying software restriction policies: Ignore certificate rules

Designated File Types

ADE ADE File
ADP ADP File
BAS BAS File
BAT Windows Batch File
CHM Compiled HTML Help file
CMD Windows Command Script
COM MS-DOS Application
CPL Control panel item
CRT Security Certificate
EXE Application
HLP Help file
HTA HTML Application
INF Setup Information
INS INS File
ISP ISP File
LNK Shortcut
MDB MDB File
MDE MDE File
MSC Microsoft Common Console Document
MSI Windows Installer Package
MSP Windows Installer Patch
MST MST File
OCX ActiveX control
PCD PCD File
PIF Shortcut to MS-DOS Program
REG Registration Entries
SCR Screen saver
SHS SHS File
URL Internet Shortcut
VB  VB File
WSC Windows Script Component


Trusted publisher management: Allow all administrators and users to manage user's own Trusted Publishers

Certificate verification: None

Software Restriction Policies/Security Level

Default Security Level: Unrestricted

Software Restriction Policies/Additional Rules

Path Rules

Disallowed:
 

%AppData%\
%AppData%\*\
%localappdata%\
%localappdata%\*\
%localappdata%\Microsoft\Windows\Temporary Internet Files\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\*\
%Temp%\
%Temp%\$*\
%Temp%\*.zip\
%userprofile%\

Unrestricted:
 

%Temp%\Procmon64.exe
%localappdata%\*\Procmon64.exe
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

Vista parcial de la GPO SRP imagen:

HTML de la GPMC, parte 1

HTML de la GPMC, parte 2

Para completar nuestra GPO SRP, podemos utilizar el siguiente recurso:


¡Gracias Sergio Araya por la información!

2 comentarios:

  1. Genial Xavi, como siempre. Lo acabo de aplicar en un cliente.
    Una pregunta, por que añades en "unrestricted" %Temp%\Procmon64.exe y %localappdata%\*\Procmon64.exe? entiendo que es un ejemplo de lo que si quieres que se ejecute.
    Un abrazo,
    Roberto

    ResponderEliminar
    Respuestas
    1. ¡Gracias Roberto!

      Efectivamente, es tan solo un ejemplo de proceso que quiero que se ejecute.

      Eliminar