Tổng quan

Không cho phép các phần mở rộng ransomware đã biết được ghi vào hệ thống tệp có thể là một cơ chế đơn giản và hiệu quả để ngăn chặn và/hoặc phòng ngừa ransomware. Hệ thống tệp PowerStore bao gồm khả năng lọc phần mở rộng tệp hạn chế các phần mở rộng tệp cụ thể được lưu trữ trên một chia sẻ SMB. Theo truyền thống, tính năng này được sử dụng để ngăn người dùng lưu trữ dữ liệu không liên quan đến doanh nghiệp trên một chia sẻ, tuy nhiên, công dụng của nó mở rộng đến việc chặn các phần mở rộng độc hại được ghi vào một chia sẻ.

Lọc phần mở rộng tệp có thể được tận dụng kết hợp với các tính năng khác như CEPA để triển khai chiến lược chống phần mềm tống tiền với nhiều lớp phòng thủ. Hãy cùng tìm hiểu cách cấu hình lọc phần mở rộng tệp PowerStore để bảo vệ hệ thống của bạn tốt hơn ngay hôm nay.

Cấu hình

Để cấu hình lọc phần mở rộng tệp:

• Đi đến thư mục \\<SMB_Server>\c$\.etc\.filefilter với tư cách là quản trị viên
• Để cấu hình bộ lọc, hãy tạo một tệp trống bằng cách sử dụng quy ước đặt tên  extension@sharename
  • Ví dụ, để lọc các tệp ransomware .wcry trên chia sẻ FS1 , hãy tạo một tệp có tên wcry@FS1
  • Để bật bộ lọc trên tất cả các chia sẻ trên máy chủ SMB, hãy tạo tệp chỉ có phần mở rộng, chẳng hạn như wcry

Bạn có thể cấu hình nhiều bộ lọc bằng cách tạo các tệp bổ sung trong thư mục này. Đối với các trường hợp sử dụng phòng ngừa ransomware, hãy tạo các bộ lọc bổ sung cho các phần mở rộng ransomware đã biết khác. Mỗi máy chủ SMB có cấu hình lọc phần mở rộng tệp độc lập riêng, do đó mỗi máy chủ có thể được tùy chỉnh bằng cấu hình riêng. Hình sau đây hiển thị ví dụ về cấu hình lọc phần mở rộng tệp.

Sau khi cấu hình bộ lọc phần mở rộng tệp, bạn có thể cho phép ngoại lệ cho những người dùng hoặc nhóm cụ thể bằng cách thay đổi ACL trên tệp bộ lọc để cung cấp quyền Kiểm soát hoàn toàn cho những người dùng hoặc nhóm cần loại trừ.

Ví dụ, nếu nhóm Administrators được cấp quyền Full Control trên tệp bộ lọc wcry , thì người dùng trong nhóm Administrators có thể lưu trữ tệp .wcry trên chia sẻ, trong khi những người khác thì không. Có thể cấu hình ngoại lệ độc lập cho từng bộ lọc tệp đang được tạo, như thể hiện trong hình sau.

Khi người dùng cố gắng sao chép một tệp có phần mở rộng bị chặn, họ sẽ nhận được lỗi Quyền truy cập bị từ chối , như thể hiện trong hình sau.

Những cân nhắc

Lưu ý rằng tính năng này chỉ hoạt động trên SMB và không lọc phần mở rộng tệp khi ghi qua NFS. Người dùng có thể đổi tên thủ công phần mở rộng tệp để bỏ qua bộ lọc này, miễn là các phần mở rộng khác không bị chặn rõ ràng, tuy nhiên phần mềm độc hại có thể không thích ứng và giải quyết vấn đề này dễ dàng. Vì danh sách các phần mở rộng đã lọc phải được kiểm tra mỗi khi ghi tệp, nên việc có nhiều bộ lọc có thể ảnh hưởng đến hiệu suất.

Phần kết luận

Lọc phần mở rộng tệp là một khả năng đơn giản và mạnh mẽ cung cấp cho người quản trị khả năng kiểm soát loại dữ liệu được lưu trữ trên chia sẻ SMB. Dễ dàng cấu hình và có thể cung cấp thêm một lớp bảo vệ chống lại hoạt động của phần mềm tống tiền, lọc phần mở rộng tệp là một bổ sung hiệu quả cho bất kỳ chiến lược an ninh mạng toàn diện nào để bảo vệ và bảo mật dữ liệu của bạn.