grandeduc - Fotolia
Estrategias de prevención de ransomware para administradores de Windows Server
Una infección de ransomware puede bloquear datos críticos e interrumpir el negocio, pero estos consejos pueden ayudar a mejorar las defensas de su centro de datos.
Una infección de ransomware puede entrar en una organización de varias maneras –correo electrónico, sitio web o ataque de programa– y los administradores están en primera línea para frustrar estos ataques de encriptar datos y apagar sistemas críticos.
Históricamente, los esfuerzos de prevención de ransomware se concentraron donde las infecciones casi siempre se originan: los dispositivos de punto final. Pero esta estrategia puede ser inadecuada para proteger los recursos de Windows Server. La mejor manera de bloquear el ransomware es practicar la defensa en profundidad, y envolver a la organización en múltiples capas de protección.
Empezar con los puntos finales
La prevención del ransomware debe comenzar en esos extremos de red vulnerables. Los administradores pueden tomar tres pasos para evitar que un punto final sea víctima de ransomware.
En primer lugar, equipe los puntos finales de la red con software antimalware de calidad y bien mantenido. Si bien es una buena medida preventiva, la mayoría del software antimalware se basa en firmas de malware. El nuevo malware sale a un ritmo constante, lo que hace que sea poco realista depender del software antimalware basado en firmas para una protección completa contra el ransomware.
A continuación, los administradores deben bloquear el uso de aplicaciones no autorizadas, secuencias de comandos y archivos ejecutables en dispositivos de punto final mediante una política de restricción de software mediante Group Policy o Device Guard. Las herramientas de terceros pueden incluir en la lista blanca las aplicaciones autorizadas e impedir que otras se ejecuten.
Por último, ejecute la gestión de parches completa con puntos finales. Mantener el sistema operativo y las aplicaciones parchadas evita que el malware explote fallas de seguridad.
Confinar Windows Server
Los administradores normalmente no usan navegadores web o clientes de correo en los servidores de red, lo que ayuda a prevenir el ransomware. Pero si un punto final de la red sucumbe al malware, existe la posibilidad de que el contenido del servidor también sea vulnerable.
De alguna manera, los administradores deben proteger los sistemas Windows Server contra el ransomware con las mismas técnicas utilizadas para proteger estaciones de trabajo. Mantenga el sistema operativo de Windows Server actualizado, con parches, y configure el software antimalware y una lista blanca de aplicaciones para el servidor. Las opciones pueden estar limitadas por el tipo de implementación del servidor. Por ejemplo, puede que no sea posible ejecutar estos esquemas de protección en Nano Server, la versión minimalista de Microsoft de su sistema operativo Windows Server 2016.
Ajustar los privilegios de usuario
Windows Server es vulnerable al ransomware a través de archivos compartidos. Si el dispositivo de un usuario se infecta mediante ransomware, puede cifrar datos en el dispositivo del usuario y utilizar los permisos para cifrar el contenido de cualquier unidad de servidor de archivos asignada a ese dispositivo.
Los administradores pueden impedir que el ransomware acceda a los archivos de los servidores de red evitando el uso de servidores de archivos tradicionales. Por ejemplo, almacene archivos dentro de una biblioteca de documentos de SharePoint para ofrecer un grado adicional de protección, siempre y cuando los puntos finales de red no tengan una asignación de unidades hacia la biblioteca.
Pero esta estrategia no siempre es práctica y no garantiza la protección. Como práctica recomendada, restrinja a los usuarios a que solo tengan acceso a los datos que necesitan. Un límite en el acceso de usuario compartimentaliza el daño de una infección de ransomware; si el usuario no puede acceder a los datos, tampoco puede el ransomware.
Implementar la protección continua de datos
En caso de un brote de ransomware, el personal de TI necesita una forma de recuperar los datos cifrados.
Los productos de protección de datos continuos respaldan datos a nivel de bloque de forma continua, a medida que se modifican los datos. Si el ransomware cifra el contenido de un servidor de archivos, el sistema de protección de datos continuo interpretará el cifrado malicioso como una modificación de archivo, y escribirá los bloques de almacenamiento modificados para realizar copias de seguridad. Sin embargo, el software de protección también hace que sea fácil para un administrador revertir los cambios y deshacer el daño causado por la infección.