랜썸웨어(ransomware)는 파일에 암호화를 걸어 확장자를 변경하는것이다.
그럼 윈도우에 FSRM 기능을 사용하면 파일에 확장자가 변경되는 사항을 확인하여
일부 파일이 변환되는것을 방어 할 수 있다.
FSRM 에는
- 할당량 관리
- 파일 분류 인프라
- 파일 관리 작업
- 파일 검색 관리
- Storage 보고서
위 내용에 대해서는 아래 링크로 확인 가능하다.
https://docs.microsoft.com/ko-kr/windows-server/storage/fsrm/fsrm-overview#whats-new
FSRM(파일 서버 리소스 관리자) 개요
FSRM(파일 서버 리소스 관리자)은 Windows Server 파일 서버에서 데이터를 관리하고 분류할 수 있는 도구입니다.
docs.microsoft.com
Windows 2012 R2 기준.
파일 및 저장소 서비스 -> 파일및 iSCSI 서비스 -> 파일 서버 리소스 관리자.
## 파워쉘에서 설치하기.
Install-WindowsFeature -Name FS-Resource-Manager, RSAT-FSRM-Mgmt
-------------------------------------------
해당 기능을 실행하기 위해서는
Windows 2016 이상에서는 리부팅이 필요하지 않는다. 그 이하 버전에서는 필히 리부팅을 해줘야 된다.
-------------------------------------------
아래 파일을 다운로드 하여 룰정책에 넣는다.
넣고 나면 아래와 같은 [파일 그룹] 이 생긴다.
수동으로 넣을려면... 힘드니, filescrn 을 이용해서 넣어보자.
신규 그룹 가져오기
c:\windows\system32\filescrn filegroup import /file:d:\ransomware-check.xml /filegroup:"ransomware-check"
기존 그룹 내보내기
c:\windows\system32\filescrn filegroup export /file:d:\ransomware-check.xml /filegroup:"ransomware-check"
## 이제 [파일 차단] 메뉴에서 설정하면 된다.
파일 차단 속성을 [적극적] 으로 설정할경우, 다 막힌다.
[소극적]으로 설정할경우 로그만 남는 식이다.
속성 내역을 잘 설정하여 필요에 따라 설정이 가능하니. 속성을 잘 살펴보기 바란다.
-추가-
드라이브의 파일을 랜섬웨어 파일인 *.777로 변경시도했을시 변경할수 없다는 메세지이다.
- 그때 나타난 이벤트 로그이다.
- FSRM 을 설정한 상태 값이다.
Rss Feed