CRYPTO - Mettre à jour les extensions connues dans FSRM

Posté le par

Suite aux récents événements concernant le ransomware WannaCry, voici une façon simple de mettre à jour automatiquement votre FSRM avec les extensions connues. Il est indispensable de coupler le Gestionnaire de ressources du serveur de fichiers (FSRM) avec d'autre solutions de sécurité.

Prérequis

Il est nécessaire d'avoir un serveur de fichier avec le rôle Gestionnaire de ressources du serveur installé et configuré. Je vous invite à lire cet article pour son installation : Protéger son serveur de fichiers contre les ransomware

Procédure

Le nom que vous renseignez pour le groupes de fichiers contenant les extensions des différents ransomware / crypto est important. Dans mon exemple, il portera le nom Fichiers Crypto

1) Ouvrir le bloc note Windows

2) Renseigner le contenu suivant

set-FsrmFileGroup -name "Fichiers Crypto" -IncludePattern @((Invoke-WebRequest -Uri "https://fsrm.experiant.ca/api/v1/combined").content | convertfrom-json | % {$_.filters})

Remplacer Fichiers Crypto par le nom de votre groupe

Merci au site https://fsrm.experiant.ca/ de fournir cette liste d’extensions qui est régulièrement mise à jour

3) Enregistrer le fichier avec une extension .ps1

4) Vous pouvez vérifier le bon fonctionnement du script en l’exécutant en Powershell. Si vous rencontrez une erreur concernant les autorisations d'exécution, vous pouvez saisir la commande suivante en powershell :

Set-ExecutionPolicy Unrestricted

Pour plus de détails et adapter la commande à vos besoins, je vous invite à lire l'article suivant de Microsoft : Using the Set-ExecutionPolicy Cmdlet

5) Pou automatiser la mise à jour, il est nécessaire de créer une tâche planifier suivant vos besoins (heure, répétition...etc). Pour exécuter un script powershell via une tâche planifier, je vous invite à lire cet article : Exécuter un script PowerShell via une tâche planifiée

Comme toutes les solutions, il y a des avantages et des inconvénients.

Inconvénients :
- On est tributaire du site Internet qui héberge la liste des extentions
- Si les extensions sont supprimées de la liste sur le site, elle seront supprimées de votre FSRM

Avantage :
- Une mise en place rapide et simple

Un FSRM bien configuré vous permettra d'identifier plus rapidement la source de l'infection, vous alertera avec une notification, et vous fournira des logs qui vous aideront à agir rapidement et efficacement. N'oublier pas, il est important de maintenir à jour vos systèmes d'exploitation (mises à jour Windows Update) et de disposer d'une solution antivirus à jour et performante.

Articles suggérés :

  1. Mappage lecteur réseau via script BAT
  2. Trouver la clé d'activation d'un Windows à distance
  3. Exécuter un fichier .REG en BAT/CMD sans confirmation
  4. Exécuter un script PowerShell via une tâche planifiée

5 commentaires sur “CRYPTO - Mettre à jour les extensions connues dans FSRM

  1. Julien Reply

    Bonjour,
    merci pour ces explications et ce script qui fonctionnent à merveille.
    Petit up pour MAJ sur Windows server 2022 ? Il semblerait que les commandes ne soient plus les mêmes.

  4. Edouard Reply

    Bonjour,et merci
    Ce script fonctionne sur serveur W2008R2 ?
    Je n'y arrive que sur W2012 🙁

  5. Philippe Reply

    Merci à toi pour ce script Powershell, j'étais sur un ancien système de mise à jour de la liste du FSRM qui ne fonctionnait plus; la tienne est up to date, merci bcq

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *