Estrategias de prevención de ransomware para administradores de Windows Server

Empezar con los puntos finales

La prevención del ransomware debe comenzar en esos extremos de red vulnerables. Los administradores pueden tomar tres pasos para evitar que un punto final sea víctima de ransomware.

En primer lugar, equipe los puntos finales de la red con software antimalware de calidad y bien mantenido. Si bien es una buena medida preventiva, la mayoría del software antimalware se basa en firmas de malware. El nuevo malware sale a un ritmo constante, lo que hace que sea poco realista depender del software antimalware basado en firmas para una protección completa contra el ransomware.

A continuación, los administradores deben bloquear el uso de aplicaciones no autorizadas, secuencias de comandos y archivos ejecutables en dispositivos de punto final mediante una política de restricción de software mediante Group Policy o Device Guard. Las herramientas de terceros pueden incluir en la lista blanca las aplicaciones autorizadas e impedir que otras se ejecuten.

Por último, ejecute la gestión de parches completa con puntos finales. Mantener el sistema operativo y las aplicaciones parchadas evita que el malware explote fallas de seguridad.

Confinar Windows Server

Los administradores normalmente no usan navegadores web o clientes de correo en los servidores de red, lo que ayuda a prevenir el ransomware. Pero si un punto final de la red sucumbe al malware, existe la posibilidad de que el contenido del servidor también sea vulnerable.

De alguna manera, los administradores deben proteger los sistemas Windows Server contra el ransomware con las mismas técnicas utilizadas para proteger estaciones de trabajo. Mantenga el sistema operativo de Windows Server actualizado, con parches, y configure el software antimalware y una lista blanca de aplicaciones para el servidor. Las opciones pueden estar limitadas por el tipo de implementación del servidor. Por ejemplo, puede que no sea posible ejecutar estos esquemas de protección en Nano Server, la versión minimalista de Microsoft de su sistema operativo Windows Server 2016.

Ajustar los privilegios de usuario

Windows Server es vulnerable al ransomware a través de archivos compartidos. Si el dispositivo de un usuario se infecta mediante ransomware, puede cifrar datos en el dispositivo del usuario y utilizar los permisos para cifrar el contenido de cualquier unidad de servidor de archivos asignada a ese dispositivo.

Los administradores pueden impedir que el ransomware acceda a los archivos de los servidores de red evitando el uso de servidores de archivos tradicionales. Por ejemplo, almacene archivos dentro de una biblioteca de documentos de SharePoint para ofrecer un grado adicional de protección, siempre y cuando los puntos finales de red no tengan una asignación de unidades hacia la biblioteca.

Pero esta estrategia no siempre es práctica y no garantiza la protección. Como práctica recomendada, restrinja a los usuarios a que solo tengan acceso a los datos que necesitan. Un límite en el acceso de usuario compartimentaliza el daño de una infección de ransomware; si el usuario no puede acceder a los datos, tampoco puede el ransomware.

Implementar la protección continua de datos

En caso de un brote de ransomware, el personal de TI necesita una forma de recuperar los datos cifrados.

Los productos de protección de datos continuos respaldan datos a nivel de bloque de forma continua, a medida que se modifican los datos. Si el ransomware cifra el contenido de un servidor de archivos, el sistema de protección de datos continuo interpretará el cifrado malicioso como una modificación de archivo, y escribirá los bloques de almacenamiento modificados para realizar copias de seguridad. Sin embargo, el software de protección también hace que sea fácil para un administrador revertir los cambios y deshacer el daño causado por la infección.