7 Medidas para evitar que el ramsonware secuestre tu empresa. (Parte II)
Tras el diagnostico el analisis y las primeras medias del primer post, como te prometimos aqui te traemos el resto de medidas estas un poco mas complejas, esperando como siempre que te sea de utilidad a ti y a tu empresa
Medidas a implementar para prevenir infección de cualquier Ransomware
3.- Vacunas y politicas de seguridad
CryptoPrevent (Básicamente aplica políticas de seguridad con GPO)
Raccine Equivalente a una vacuna en la vida real, detecta camios y llamadas al ejecutable vssadmin.exe (y wmic.exe) para eliminar la posibilidad de restaurar las versiones anteriores de los ficheros y las instantaneas de windows o shadow copies para evitar que la victima no pueda tirar de ningun backup anterior del sistema
4.-Desactivar Windows Script Host
Opcion 1
En el registro de windows viajar a la carpeta MicrosoftWindows Script HostSettings en esta ruta HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Script HostSettings
Crear un nuevo valor DWORD denominado «Enabled» y establezca los datos de valor a «0«.
Opcion2
Descargar de recitoners el archivo rt seguridad que incluye el archivo desactivar w_host.batt asi como otras herramientas aqui mostradas en descargas de recitoners y ejecutarlo.
5.-Desactivar macros Microsoft Office
Microsoft tiene una opcion de habilitar contenido cuando visualiza una macro, si tiene dudas solo tiene que pulsar mayusculas y el macro no funcionara. Si desesa desactivar las macros de forma permanente:
- clic en la pestaña Archivo.
- Opciones.
- Centro de confianza —> Configuración del Centro de confianza. –>Configuración de macros.
- Deshabilitar todas las macros con o sin notificacion, como prefieras.
6.-Evitar que los usuarios red ejecuten Powershell a través de GPO
La politica por defecto del scrip de powershell es:
RemoteSigned» para servidores,
«Restricted» para no servidores
«Unrestricted»
para aquellos sistemas operativos que dependan de Active Directory pero no sean Windows. No obstante al no haber definido «scopes» en la ejecucion de scrips un usuario malicioso o pograma cambiar las politicas de forma escalonada obteniendo permisos suficientes para la ejecucion de sofware malicioso remotamente incluso sin escalar privilegios.
Para mitigarlo habria que subir mediante politicasa»ALLSIGFED» mediante politicas de grupo.
gpedit.msc
Configuración del equipo –> Plantillas administrativas –> Componentes de Windows –> Windows PowerShell–>Activar la ejecución de scripts
Elige Habilitar y una opción de Directiva de ejecución:
gpedit.msc
Configuración del equipo –> Plantillas administrativas –> Componentes de Windows –> Windows PowerShell–>Activar la ejecución de scripts
Elige Habilitar y una opción de Directiva de ejecución:
Permitir solo scripts firmados
Permitir scripts locales y scripts remotos firmados
Permitir todos los scripts
O bien si eliges Activar la ejecución de scripts –> «Deshabilitada » –> Si deshabilita esta configuración de directiva, no se permitirá la ejecución de ningún script
gpedit.msc :
Configuración de usuario –> Plantillas administrativas –> Sistema
Doble click en:No ejecutar aplicaciones de Windows especificadas
Hacer click en «Habilitada»
Lista de aplicaciones no permitidas –>Mostrar –> Valor –> powershell.exe
No ejecutar aplicaciones de Windows especificadas
Hacer click en «Habilitada»
Lista de aplicaciones no permitidas –>Mostrar –> Valor –> powershell.exe
7. Configurar Archivos comartidos y copias seguridad
Windows Server es vulnerable al ransomware mediante los archivos compartidos por varios usuarios. Si el ordenador o carpeta de un usuario se infecta , puede cifrar datos en ese dispositivo y utilizar los permisos para cifrar el contenido de cualquier unidad de servidor de archivos asignada a ese dispositivo.
Como practica recomendada se debe restringir a los usuarios al uso de solo los archivos que necesitan, contabilidad no tiene que poder acceder a los documentos de diseño y diseño no debe acceder a los de produccion.
En el punto de vista de las copias de seguridad se debe implementar la regla del 3,2,1.
tres copias de seguridad , si hubiera dos y se estuviera actualizando una sobre otra y sobreviene un corte de luz se perderian ambas
dos medios diferentes, por ejemplo un disco duro externo y el servidor
una ubicacion fisica diferente: proteccion frente a daños fisicos, incendios inundaciones.
SI has continuado hasta el final como un campeon, te felicito, el proximo lunes publicaremos la segunda parte.
Desde recitoners esperamos haberte sido de utilidad y como siempre nos tienes a tu disposicion para aydarte con tu informatica y consumibles en nuestros telefonos, tienda on line y correo habituales
Si tienes cualquier duda, podrás ponerte en contacto con nosotros a través de:
https://recitoners.net/ | 948225989 | 607449840 | informacion@recitoners.net |
.
gralion torile
19 de abril de 2023 @ 14:07
Hello! I’ve been following your site for a long time now and finally got the courage to go ahead and give you a shout out from New Caney Tx! Just wanted to mention keep up the great job!