Protezione dai ransomware con le Group Policy

Protezione dai ransomware con le Group Policy

Riprendiamo il discorso dei sistemi di protezione dai ransomware, dopo aver visto alcuni accorgimenti lato firewall e lato sistemi di backup, con questo articolo andiamo ad analizzare alcune group policy (criteri di gruppo centralizzati) che ci possono tornare utili per aumentare la sicurezza della nostra rete e del nostro singolo PC.

Alcuni ransomware come ad esempio il  Locky, si propaga tramite l’esecuzione di una macro proveniente da allegato tramite i sistemi di posta. Per proteggersi è necessario quindi forzare il fatto che l’esecuzione della macro (che ricordo essere codice VB a tutti gli effetti) sia limitata a codice provvisto di firma digitale.

Group Policy per Macro di Office

Il primo passo è andare ad installare il modello admx dei Criteri di gruppo di Office. A seconda della versione è quindi possibile fare il download dei modelli ADMX specifici e poi posizionarli sul Domain Controler nella  cartella % systemroot% \ PolicyDefinitions.

admx Protezione dai ransomware con le Group Policy

Office 2010 admx files https://www.microsoft.com/en-us/download/details.aspx?id=18968

Office 2013 admx files https://www.microsoft.com/en-us/download/details.aspx?id=35554

Office 2016 admx files https://www.microsoft.com/en-us/download/details.aspx?id=49030

Una volta scaricati appariranno nell’editor classico delle GPO le nuove impostazioni e in particolar modo:

  • Access:

User Configuration->Administrative Templates->Classic Administrative Templates(ADM)->Microsoft Access 2010->Application Settings->Security->Trust Center->VBA Macro Notification Setting

  • Excel:

User Configuration->Administrative Templates->Classic Administrative Templates(ADM)->Microsoft Excel 2010->Excel Options->Security->Trust Center->VBA Macro Notification Setting

  • PowerPoint:

User Configuration->Administrative Templates->Classic Administrative Templates(ADM)->Microsoft PowerPoint 2010->PowerPoint Options->Security->Trust Center->VBA Macro Notification Setting

  • Outlook:

User Configuration->Administrative Templates->Classic Administrative Templates(ADM)->Microsoft Outlook 2010->Security->Trust Center->Security setting for macros

  •  Word:

User Configuration->Administrative Templates->Classic Administrative Templates > Microsoft Word 2010 > Word Options > Security > Trust Center > VBA Macro Notification Settings

Una volta aperto il GPMC (Group Policy Management Console) e creata una nuova GPO, selezionare di abilitare il VBA Macro Notification Settings, abilitare “Disable all except digitally signed macros” e se utilizzate delle locazioni di rete per le Macro internamente trustate è possibile andare a specificare questo percorso.

gpo1 Protezione dai ransomware con le Group Policy

gpo2 Protezione dai ransomware con le Group Policy

Un’altra GPO interessante per la protezione dai ransomware è quella relativa all’esecuzione di eseguibili direttamente dal contesto del profilo utente. VeronaInformatica mette a disposizione il download di diverse Group Policy ottimizzate per sistema Operativo sia Client (XP, Windows 7 & Windows 10), che Server (Terminal Server).

import Protezione dai ransomware con le Group Policy

E’ sufficiente quindi importare la GPO specifica (già filtrata per WMI in base al sistema operativo) e poi linkare la GPO alla OU di riferimento.

Download Group Policy Protezione Ransomware

Se vuoi approfondire il tema delle Group Policy per scoprirne tutte le potenzialità, non dimenticare il corso di formazione personalizzato su questo tema!

 

 

 

2018-09-18T09:44:16+00:00