Kaspersky Security For Windows Serveur 10 – Protection contre le chiffrement des partages de fichiers


Si vous avez installé Kaspersky Security For Windows Serveur 10 vous bénéficiez de la protection contre le chiffrement des fichiers des partages de votre serveur Windows. Voir lien pour l’installation.

Depuis quelques années, les pirates informatiques utilisent ce type de code malicieux (ransomware) pour chiffrer vos fichiers, qu’ils se trouvent sur votre poste de travail ou sur les partages réseau de vos serveurs Windows voir même ces derniers temps votre disque dur.

Nota : Bien évidemment les codes malicieux tels que les ransomwares sont capables de retrouver facilement la liste de vos serveurs et leurs partages disponibles, sans s’appuyer sur les disques montés dans la session utilisateur. Autre point important, le code malicieux utilisera les droits du compte qui aura lancé celui-ci donc seuls les fichiers ou répertoires dont l’utilisateur a les droits d’écriture seront touchés.

Pour commencer voici un exemple de ce qui se passe sur votre serveur lorsque la protection n’est pas activée ou si vous n’en avez pas. Nous allons utiliser un petit utilitaire qui va simuler le chiffrement des fichiers d’un partage monté sous la forme d’une lettre de disque depuis un poste de travail.https://www.youtube.com/watch?v=ns5pWQ-w3DY

1 – Mise en place de la protection :

Configuration de la stratégie de paramétrage de Kaspersky Security For Windows Serveur 10. Ouvrir la console d’administration Kaspersky Security Center.

image

Sélectionner la stratégie de paramétrage de l’application Kaspersky Security 10 For Windows Serveur et cliquer sur le lien “Gérer les tâches”.

image

Il est nécessaire d’activer 2 modules. Il vous suffit de fermer les cadenas dans l’interface :

  • “Blocage de l’accès aux fichiers réseau” = permettant de bloquer le poste client infecté dès que le la protection détectera qu’un fichier sur le partage réseau est chiffré.
  • “Protection contre le chiffrement” = surveillance et analyse des fichiers partagés sur le serveur. Dès qu’un fichier est chiffré, le module déclenche le blocage d’accès aux partages du serveur via le module “Blocage de l’accès aux fichiers réseau”.

Nota : Le premier fichier sera chiffré, il faudra donc le restaurer depuis une sauvegarde. Par défaut le poste client est bloqué 30mn.

Voici les options de configuration de ces 2 modules :

  • Configuration du module “Blocage de l’accès aux fichiers réseau” :

image

Réglage du délai de blocage du client.

  • “Protection contre le chiffrement”

image

Vous pouvez définir le niveau de l’analyse heuristique et donc la sensibilité de détection des outils malveillants de chiffrement de fichiers ainsi que les exclusions ou inclusions des partages du serveur.

Pour vérifier que les fonctions sont bien activées, ouvrir la console d’administration de l’application Kaspersky Security 10 For Windows Serveur.

image

Les 2 modules sont bien installés et en cours d’exécution.

2- Démonstration de la protection :

Publicités

2 réflexions sur “Kaspersky Security For Windows Serveur 10 – Protection contre le chiffrement des partages de fichiers

  1. Bonjour Vincent ,
    merci pour tes articles très très informatif , je consulte ton blog tous les semaine pour voir les nouveauté , merci , j’ai juste une petit question par rapport au 1 premier vidéo « chiffrement fichier serveur non protégé » je me demande pourquoi les modules de KES « Antivirus fichier » non pas réagis ?! normalement system watcher censé bloqué la menace non ? a moins que les dossier partagé son exclusion , merci

    • En fait j’ai désactivé la protection sur le poste pour éviter toute détection. Point de détail concernant la protection du poste avec KES, j’ajouterai que c’est la protection AV + System Watcher et KSN qui vont détecter ensemble le ransomware lorsque celui-ci n’est pas détecté par la signature de l’AV.

Répondre

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s