Présentation du gestionnaire de ressources du serveur de fichiers
Dans ce tutoriel, je vais vous présenter le Gestionnaire de ressources du serveur de fichiers (File Server Ressource Manager FSRM) qui est une fonctionnalité du rôle Serveur de fichiers.
FSRM permet plusieurs choses au niveau des serveurs de fichiers :
- Application de quota sur un dossier
- Taches automatiques sur les dossiers et fichiers (archivage automatique des fichiers non ouvert depuis xxxx)
- Rapport sur le stockage (Volumétrie par groupe de fichiers, doublons…)
- Filtrer les fichiers, ce que nous allons voir dans ce tutoriel
- …
Dans le tutoriel, nous allons voir comment mettre en place un filtre de fichiers pour empêcher le stockage sur le serveur, puis comment ajouter une couche de protection contre les cryptolockers.
Installation de la fonctionnalité FSRM
Depuis le gestionnaire de serveur, cliquer sur Ajouter des rôles et fonctionnalités 1.
Au lancement de l’assistant, cliquer sur Suivant 1.
Type d’installation : basé sur un rôle ou une fonctionnalité, cliquer directement sur Suivant 1.
Sélectionner le serveur 1 où l’installation doit être effectuée et cliquer sur le bouton Suivant 2.
Dans la liste des rôles, aller à Services de fichiers et de stockage > Service de fichiers et iSCSI 1 puis cocher Gestionnaire de ressources du serveur de fichiers 2.
Cliquer le bouton Ajouter des fonctionnalités 1.
Pour passer directement à l’installation cliquer sur Confirmation A ou cliquer sur Suivant 1.
Passer les fonctionnalités en cliquant sur Suivant 1.
Cliquer sur le bouton Installer 1.
Patienter pendant l’installation …
L’installation est terminée, cliquer sur Fermer 1 pour quitter l’assistant.
Ouvrir la console du Gestionnaire de ressources du serveur de fichiers à l’aide l’icône suivante disponible dans le menu démarrer
Aperçu de la console d’administration :
Configurer les notifications par email dans FSRM
Depuis la console faire un clic droit sur le Gestionnaire de ressources du serveur de fichiers 1 et cliquer sur Configurer les options 2.
Aller sur l’onglet Notification par courrier électronique 1, entrer le serveur SMTP 2 et un destinataire 3. Il est possible de tester la configuration A. Cliquer sur OK pour valider 4.
La configuration du serveur SMTP permet de recevoir un email lors qu’un fichier interdit essaie d’être copié sur le serveur ou d’avertir lors de l’approche de la limite du quota …
Utiliser le filtrage de fichiers
Utiliser un filtre prédéfini
Dans cette partie, nous allons voir comment ajouter un filtre de fichier prédéfini (bloquer les fichiers exécutables) sur le répertoire qui contient les profils utilisateurs.
Depuis la console, aller sur Gestion du filtrage de fichiers > Filtre de fichiers 1 et cliquer sur Créer un filtre de fichier... 2. Sélectionner ou entrer le chemin 3 du dossier où le filtre doit être appliqué. Sélectionner le filtre 4 (Bloquer les fichiers exécutables) et cliquer sur le bouton Créer 5.
Le filtre est actif 1.
Depuis un poste client et d’un utilisateur ayant ses documents redirigés, j’ai copié un exécutable dans le dossier Mes documents. Voici le message 1 qui s’affiche :
Depuis l’observateur d’événement il est également possible de voir le message FSRM sous l’ID 8215 1.
Si un serveur SMTP est configuré, un email est envoyé pour notifier l’action.
Utiliser un filtre personnalisé
Pour illustrer ce tutoriel, nous allons créer un groupe de fichiers qui contient les extensions connus des cryptolocker, puis créer un modèle de filtrage et ensuite l’appliquer à un lecteur.
Avec ce filtre, il ne sera pas possible au virus d’écrire les fichiers cryptés sur le serveur.
L’utilisation d’un filtre personnalisé passe par 3 étapes :
- La création d’un groupe de fichiers, qui va contenir l’ensemble des extensions des cryptolockers. Les groupes peuvent être utilisés dans plusieurs modèles.
- Un modèle de filtre de fichiers, qui a pour but de choisir le type de filtrage (actif/passif) ainsi que la configuration des notifications.
- Un filtre de fichiers, qui est l’application du modèle à un emplacement sur le serveur.
Création d’un groupe de fichiers
Depuis la console, aller sur Gestion du filtrage de fichiers > Groupe de fichiers 1. Faire un clic droit dans la zone centrale et cliquer sur Créer un groupe de fichiers .. 2 ou passer par le menu Actions.
Nommer le groupe 1, entrer les extensions des fichiers à bloquer sous la forme *.extension 2 et cliquer sur le bouton OK 3.
Le groupe est ajouté 1.
Création du modèle de filtre de fichiers
Aller sur Modèle de filtres de fichiers 1, faire clic droit puis cliquer sur Créer un modèle de filtre de fichiers … 2 ou passer par le menu Actions.
Nommer le modèle 1, choisir comment le filtre est appliqué* 2 puis sélectionner le/les groupes de fichiers 3 qui compose le modèle.
* Il y a deux types de filtrage, le filtre actif va empêcher l’écriture du type de fichiers, le mode passif est utilisé à des fins d’audit.
Passer sur l’onglet Message électronique 1 et cocher 2 les alertes e-mail si besoin.
Aller sur l’onglet Journal des événements et cocher la case Envoyer un avertissement au journal des événements 2. Cliquer sur le bouton OK 3 pour valider la création du modèle.
Le modèle 1 est disponible dans la liste.
Appliquer un filtre de fichiers
Dans cette partie, nous allons voir comment appliquer un filtre de fichiers en utilisant le groupe créer précédemment.
Aller sur Filtres de fichiers 1 et créer en un nouveau 2.
Indiquer le chemin racine où doit être appliqué le filtre 1, sélectionner le filtre 2 et cliquer sur Créer 3.
Le filtre est créé, de cette manière la création de fichiers cryptés est bloquée sur la partition D du serveur.
Vous pourrez trouver sur Internet la liste des extensions de cryptolockers connus
Troubleshooting
Appliquer plusieurs filtres sur un même dossier
Il n’est pas possible de créer plusieurs filtres différents sur un même dossier. Voici le message d’erreur que vous aurez : Impossible de créer un filtre de fichiers sur le chemin d’accès spécifié, car un filtre de fichier existe déjà pour ce chemin d’accès.
Sélectionner le filtre 1 et faire un clic droit dessus puis cliquer sur Modifier les propriétés du filtre de fichiers … 2.
Cocher les groupes que vous souhaitez filtrer 1 et cliquer sur OK 2.
Depuis la liste, on voit que le filtre est appliqué sur plusieurs groupes de fichiers 1.
On pourrait également ajouter l’exécution d’un script PowerShell où à X tentative(s) de cryptage, on active une règle de pare-feu qui bloque l’accès SMB au serveur ou qui l’éteint.