fPolicy erstellen zur Verhinderung der Erstellung von Dateien bestimmter Erweiterungen:
Beispielkonfiguration:
Filterpolicyname: f_Ransomware
Event: e_Ransomware
Hier wird generell das Anlegen, Schreiben, Umbenennen, Öffnen und Lesen der entsprechenden Datei mit der Filextension verboten.
In Kontext fpolicy / policy / event wechseln:
- Event anlegen:
create -vserver <vservername> -event-name e_Ransomware -volume-operation false -protocol cifs -file-operations create,rename,write,open,read - Policy anlegen:
create -vserver <vservername> -policy-name f_Ransomware -events e_Ransomware -engine native - Scope anlegen: (set advanced !!!)
create -vserver <vservername> -policy-name f_Ransomware -is-file-extension-check-on-directories-enabled true -shares-to-include “*” -volumes-to-include cifs -file-extensions-to-include locky,bleep - Policy aktivieren:
enable -vserver <vservername> -policy-name f_Ransomware -sequence-number 1 - Kontrolle:
show
Modifizieren des Scopes (extensions hinzufügen):
modify -vserver <vservername> -policy-name f_Ransomware -shares-to-include "*" -volumes-to-include <volumes-des-vservers> -file-extensions-to-include locky,bleep,key,ecc,ezz,exx,zzz,xyz,aaa,abc,encoderpass,ccc,vvv,xxx,ttt,micro,encrypted,locked,crypto,_crypt,crinf,r5a,xrtn,XTBL,crypt,R16M01D05, pzdc,good,LOL!,OMG!,RDM,RRK,encryptedRSA,crjoker,EnCiPhErEd,LeChiffre,keybtc@inbox_com,0x0,1999,HA3,toxcrypt,magic,vault,SUPERCRYPT,CTBL,CTB2 -is-file-extension-check-on-directories-enabled true
Ein Befehl !
Anmerkung:
Keine Reaktivierung des Scopes notwendig nach Änderung – Änderung greift in Echtzeit.