2022. 2. 21. 13:51

FSRM(파일서버리소스), Ransomware 방지.

랜썸웨어(ransomware)는 파일에 암호화를 걸어 확장자를 변경하는것이다.

 

그럼 윈도우에 FSRM 기능을 사용하면 파일에 확장자가 변경되는 사항을 확인하여 

일부 파일이 변환되는것을 방어 할 수 있다.

 

FSRM 에는 

- 할당량 관리

- 파일 분류 인프라

- 파일 관리 작업

- 파일 검색 관리

- Storage 보고서

 

위 내용에 대해서는 아래 링크로 확인 가능하다.

https://docs.microsoft.com/ko-kr/windows-server/storage/fsrm/fsrm-overview#whats-new

 

FSRM(파일 서버 리소스 관리자) 개요

FSRM(파일 서버 리소스 관리자)은 Windows Server 파일 서버에서 데이터를 관리하고 분류할 수 있는 도구입니다.

docs.microsoft.com

 

 

Windows 2012 R2 기준.

파일 및 저장소 서비스 -> 파일및 iSCSI 서비스 -> 파일 서버 리소스 관리자.

 

## 파워쉘에서 설치하기.

Install-WindowsFeature -Name FS-Resource-Manager, RSAT-FSRM-Mgmt

 

 

-------------------------------------------

해당 기능을 실행하기 위해서는

Windows 2016 이상에서는 리부팅이 필요하지 않는다. 그 이하 버전에서는 필히 리부팅을 해줘야 된다.

-------------------------------------------

 

 

아래 파일을 다운로드 하여 룰정책에 넣는다.

ransomware-check.xml
0.46MB

 

 

넣고 나면 아래와 같은 [파일 그룹] 이 생긴다.

 

 

 

 

수동으로 넣을려면... 힘드니, filescrn 을 이용해서 넣어보자.

 

신규 그룹 가져오기
c:\windows\system32\filescrn filegroup import /file:d:\ransomware-check.xml /filegroup:"ransomware-check"

 

 

기존 그룹 내보내기
c:\windows\system32\filescrn filegroup export /file:d:\ransomware-check.xml /filegroup:"ransomware-check"

 

 

 

## 이제 [파일 차단] 메뉴에서 설정하면 된다.

 

파일 차단 속성을 [적극적] 으로 설정할경우, 다 막힌다.

[소극적]으로 설정할경우 로그만 남는 식이다.

 

속성 내역을 잘 설정하여 필요에 따라 설정이 가능하니. 속성을 잘 살펴보기 바란다.

 

-추가-

 

드라이브의 파일을 랜섬웨어 파일인 *.777로 변경시도했을시 변경할수 없다는 메세지이다.

 

 

 

- 그때 나타난 이벤트 로그이다.

 

 

 

 

- FSRM 을 설정한 상태 값이다.

Trackback 0 Comment 0