Aller à : navigation, rechercher

SAMBA - Bloquer les cryptolocker ransomware sur Windows avec Samba Active Directory et les GPO


Pour accéder aux autres documentations Samba4, cliquez ici : Autres documentations Samba

Besoins d'accompagnement, n'hésitez pas à nous contacter chez http://www.tranquil.it

Objectifs

Utiliser les Software Restriction Policies avec les GPO Domain de Samba Active Directory.

Nous utilisons cette sécurité chez tout nos clients en infogérance afin d’empêcher l’exécution exécutable ou d’extensions non Approuvées.

Ce type de projet demande un temps conséquent afin d'être mis en place, mais une fois maitrisé les ransonware et autre virus exécutable ne peuvent plus être lancé depuis les profils et sessions Utilisateurs

Nous allons mettre en place 2 GPO SRP:

  • SRP_LIGH: Permettant de travailler en mode "BLACKLIST" afin de bloquer uniquement les applications et extensions non Approuvées
  • SRPHARD: Permettant de travailler en mode "WHITELIST" afin de n'autoriser que les applications et extentions Approuvées

Dans un premier temps, déplacer vos utilisateurs vers l'OU SRP_LIGH, puis petit à petit basculé les vers SRP_HARD

Configuration Software Restriction Policies

  • Créer 2 "OU" SRP LIGHT et SRP HARD


SRPLIGHT

Créer la gpo UTILISATEUR SRP_LIGHT sur l'ou SRP_LIGHT

Activer la gpo La stratégie de restriction utilisateur :

Configuration Utilisateur --> Stratégies --> Paramètres Windows --> Paramètre de sécurité --> Stratégie de Restriction logicielle

--> Clique droit , Nouvelle Stratégie de restriction logiciel

--> Dans niveau de sécurité, laisser le niveau de sécurité sur non restreint

---> Dans Règle supplémentaires ajouter :

           -    *.js           en restreint
           -   %USERPROFILE%\Download\*     en restreint

SRPHARD

  • Créer la gpo utilisateurs SRP_HARD sur l'ou SRP_HARD
  • Activer la GPO

Stratégie de Restriction Logiciels utilisateurs

Configuration Utilisateur --> Stratégies --> Paramètres Windows --> Paramètre de sécurité --> Stratégie de Restriction logicielle

Clique-droit > Nouvelle Stratégie de restriction logiciels.

Stratégies de restriction logiciels > Niveau de sécurité

Passer le niveau de sécurité sur Non autorisé (clique droit sur non autorisé puis Par défaut) (Le niveau Utilisateur standard est intéressant mais pas suffisamment documenté)

Stratégies de restriction logiciels > Type de fichiers désignés

      - Ajouter js
      - Ajouter .PS1 dans la liste
      - Supprimer lnk (sinon problème avec xp)

Stratégies de restriction logiciels > Règles supplémentaires

Liste des répertoires courants et maitrisés, ajouter ces règles en non restreint (Ajouter tout répertoire ou des exécutable référencées se trouvent)

           - %allusersprofile%
           - %LOGONSERVER%
           - %public%
           - %tmp%\getpath.cmd
           - \\ipsrvad
           - \\srvads.domaine.local
           - \\srvads
           - \\applicationmetier
           - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
           - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%

Liste des répertoires à ajouter en règle non autorisé

     - C:\Windows\Temp\*

Liste des répertoires pour sécurisation de niveau élevé des dossiers Windows a potentiellement restreindre (ne pas appliquer pour le moment) :

        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Debug
        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\PCHEALTH\ERRORREP
        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Registration
        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\catroot2
        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\com\dmp
        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\FxsTmp
        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\drivers\color
        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\PRINTERS
        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\SERVERS
        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\Tasks
        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\com\dmp
        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\FxsTmp
        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\Tasks
        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Tasks
        %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\tracing

Logiciels métiers clients

Liste de répertoires déjà connus à ajouter en non-restreint, dépend des besoins, ne pas tout ajouter par défaut

          C:\AFICEGI
          C:\AFISRV
          C:\AFIWEB2
          C:\Arpege
          C:\Carteplus
          C:\Cilw
          C:\cygwin64
          C:\DDS
          C:\DGFIP
          C:\Gescime
          C:\INTERBP
          C:\INTERCA
          C:\liger
          C:\Logitud
          C:\Milord.net
          C:\PassAvenir
          C:\sedi
          C:\SIS
          C:\Sirap
          C:\Sonate
          C:\WSMAGNUS
          C:\MEDDIRF
          

Règles spécifiques Berger-Levrault Paie :

          %localappdata%\SpoonBL\
          C:\dds\
          %localappdata%\Citrix\ICA Client\

Règles spécifiques pour gescime :

          %temp%\Imprimer.vbs


Pour le i-Parapheur

           %localappdata%\LiberSign

Pour les logiciels qui s'extraient dans Local Settings sous Windows XP, exemple avec applet LogMeIn

           %userprofile%\Local Settings\Application Data\LogMeIn Rescue Applet\

Utilisation des règles de hashage

Il est possible d'ajouter des hash de fichiers pour des exécutables sur clé USB par exemple :

  • Copier/coller la binaire concerné sur un partage du serveur de fichier
  • Rapatrier la binaire sur la machine de management
  • Créer une nouvelle règle de hachage et selectionner la binaire en question

Répéter jusqu'à ce que l’exécutable se lance convenablement (exemple TISHelp ou Berger Levrault Paie)

Utilisation des règles de certificats

Il est nécessaire d'utiliser une règle GPO pour forcer le contrôle des certificats avant d'éxecuter un logiciel (baisse des performances). Nécessite une phase de tests préalable sur une OU témoin.

 Article SpiceWorks : https://community.spiceworks.com/topic/1557033-trouble-getting-gotomeeting-to-work-with-software-restriction-policy?page=1#entry-5710079
 Now the tricky part is, just because you have turned the cert enforcement on in the SRP, that does not automatically make Windows pay attention to the certs. 
 You need to set another policy, this one under 
 Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options > and enable System settings: Use Certificate Rules on Windows Executables

Procédure de debug lors de blocages

  • Placer tous les utilisateurs sans l'OU SRP_LIGHT
  • Placer vous avec votre compte non adm dans l'OU SRP et lancer toute les application possible de tous les serveur possible.
  • Sur les TSE rechercher les .exe dans c:\users
  • Sur serveur de fichiers chercher dans partage les .exe
  • Analyser dans l'observateur d’événement de chaque serveur ou poste les potentiel chose bloquée et ajouter si besoin le chemin dans les règle supplémentaire.
  • Déplacer ensuite quelques utilisateurs volontaire d'horizon différent dans l'OU SRP HARD et laissez le temps faire son oeuvre ...
  • En fonction des problèmes déplacer les utilisateurs petit a petit dans SRP HARD

Modification rapide

En cas de blocage et de correction, pas besoin de redémarrer le poste, rentrer la commande suivante en contexte utilisateur

    gpupdate /force

Cela permet de rappliquer les nouveaux paramètres GPO dans redémarrer la session