Se protéger des ransomwares

De WIKI Les fourmis du libre
Aller à : navigation, rechercher

Nous allons vois ici comment bloquer des extension, exe, msi, cab ... La plupart des ransomwares utilise des exe ou des msi ou des cab


Bloquer les téléchargements des exe avec squid3

Ajouter l'acl correspondante:

 acl url_exe url_regex -i \.exe$ \.msi$ \.dll$

Avec le http_access

 http_access deny url_exe

Cette solution est pas mal mais elle ne bloque pas le téléchargement lorsque le lien est en https


Masquer les exe dans les partage samba

Dans votre smb.conf (ou include), rajouter la ligne hide files (dernière ligne) :

 [homes]
 comment = Répertoire personnel %U
 browseable = no
 path = /SMP/users/%U
 read only = no
 create mask = 0700
 directory mask = 0700
 valid users = %S
 hide files = /Desktop.ini/*.exe/

Cette méthode méthode est bien mais elle fonctionne uniquement si l'exe est exécutée depuis un partage

Interdire l’exécution des exe avec les GPO

Stratégie de sécurité pour bloquer les applications malicieuses

Présentation

C'est la meilleur méthode a mon goût. Je part sur le principe qu'un utilisateur n'a pas l'autorisation d’exécuter un exe dans un répertoire dans lequel il a les droits en écriture.

Cette méthode permet également de garder les utilisateurs si nécessaire administrateur de leur postes tout en leur interdisant l’exécution des exe, msi ...

La Stratégie de Restriction Logiciel (ou SRP : Software Restriction Policy ) est un mécanisme introduit avec Windows Server 2000 et Windows XP.

Il permet de limiter l’exécution d'application non autorisés par l'administrateur système par une règle de sécurité.

Image001.jpg

Configuration

La configuration se déroule dans l'édition de stratégies de groupes sur votre contrôleur de domaine.

2 solutions sont possibles :

  • Soit vous appliquez cette solution aux ordinateur, ce a quoi tous les utilisateurs y compris locaux sont soumis aux restrictions
  • Soit vous appliquez cette solution aux utilisateur, auquel cas seulement les utilisateurs domaine seront impactés.
 Configuration ordinateur  -> Paramètres de Windows -> Paramètres de sécurité
 Configuration utilisateur -> Paramètres de Windows -> Paramètres de sécurité


Contrôle obligatoire

Le contrôle obligatoire vous permet d'activer ou non le contrôle sur vos DLL.

Par défaut le contrôle des DLL n'est pas activé pour éviter un ralentissement du système car sinon, la stratégie sera testée systématiquement à chaque appel de DLL, ce qui nuiras largement au temps de réponse de votre système.

SRP-1.PNG

Types de fichiers désignés

Laissez les paramètres par défaut dans ce paramétrage.

SRP-3.PNG

Règles Supplémentaires

Par défaut donc certains chemins sont ajoutés dans ce repertoire (C:\Windows\System32\ et ProgramFiles ).

Ces règles vont fonctionner comme une WhiteList qui va définir les chemins UNC a autoriser et comme une BlackList qui va définir les chemins a restreindre.

La NSA (National Security Agency), agence nationale de la sécurité Américaine, définit dans une de ses recommandations les différents chemins par défaut a restreindre : Application Whitelisting using Software Restriction Policies

Les voici sous forme de tableau :

Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Debug
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\PCHEALTH\ERRORREP
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Registration
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\catroot2
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\com\dmp
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\FxsTmp
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\drivers\color
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\PRINTERS
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\SERVERS
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\Tasks
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\com\dmp
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\FxsTmp
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\Tasks
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Tasks
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\tracing
Clé restreinte/Non autorisé runas.exe

Une fois mis en application ça donne ça, en plus des chemins réseaux Non restreint SRP-2.PNG

Je rajoute Egalement \\serveur\sysvol\