חסימת סנכרון כופר מול OneDrive for Business

בשירות Office 365 ישנם כלים והגדרות רבות שמאפשרות הקשחת גישה של זהויות, גישה של התקני קצה, ביצוע מעקב וסינון לפי תנאים ועוד המון יכולות מעניינות, בנוסף לכל אותם היכולות המוכרות יש גם את ההגדרות הקטנות שיכולות לעשות הבדל משמעותי ולהקשיח את האופן שבו הארגון עובד. במאמר הנוכחי נתמקד בהגבלת סנכרון סיומות קבצים של כופר מול שירות SharePoint Online .
מתקפות הסייבר האחרונות משאירות ארגונים רבים חשופים לאיומים וסכנות כאשר הצד של המשתמשים הוא הבעיה העיקרית ולכן אנו צריכים לשים דגש על המשתמשים בכדי למזער את האיומים והסכנות בעיקר מול מתקפות כופר בהם הקבצים מוצפנים ע”י התוקף ולא נשארים ברירות חוץ מלבצע גיבוי ובמקרים בודדים בלבד לבצע decrypt על הקבצים עם כלי מסוים.

בשירות SharePoint Online וגם OneDrive for Business ישנה הצפנה ברמת המידע שמסווגת לפי data in transit ולפי data at rest

• תעבורה של תחנה מול השירות – כל התעבורה בין משתמש ותחנה מוצפנת באמצעות SSL\TLS עם מפתחות של 2048 וכל שינוי במידע מקבל מפתח הצפנה נוספת
• תעבורה בין Data Center – מנגנון של רפליקציה בין חווות שרתים לצורכי DR כאשר כל התעבורה מוצפנת
• הצפנת דיסקים – הצפנת המידע עם BitLocker על כל דיסק
• הצפנת קבצים – כל פיסת מידע בקובץ מוצפנת על גבי AES עם מפתחות של 256

אין ספק שהמידע בין המשתמש וברמת השירות מוצפנים ומוגנים ולכאורה אפשר לומר שאם קבצים נדבקים בכופר כלשהוא הם לא יכולים להיות מסונכרנים לענן.
בשירות SPS Online אנו יכולים להקשיח את הסנכרון והגישה של המשתמש מול הענן ע”י חסימה של סוגי קבצים, ניתן להקשיח את הגישה ברמת ממשק Admin Center או ממשק PowerShell.

ברמת Admin Center

• כניסה לממשק https://admin.onedrive.com
• בטאב Sync נבחר באפשרות Block syncing of specific file types

  
  

• לאחר מכן נקליד את סוגי הקבצים

  

  

  לאחר בחירת הקבצים נבצע שמירה ולאחר מכן נוודא שאכן אין סנכרון על קבצים מסוימים.

ממשק PowerShell

• הורדת SPS Online PowerShell
  התחברות לממשק SPS Online PowerShell עם הפקודה הבאה:
  $adminUPN="eshlomo@elishlomo.us"
  $orgName="office365labs"
  $userCredential = Get-Credential -UserName $adminUPN -Message "Type the password."
  Connect-SPOService -Url https://$orgName-admin.sharepoint.com -Credential $userCredential

  *לוודא משתמש אדמין, שם דומיין כמו שרשום ברמת SPS Online

• לאחר מכן נריץ את הפקודה הבאה

Set-SPOTenantSyncClientRestriction  -ExcludedFileExtensions "ecc;ezz"

ההבדל העיקרי בין ממשק אדמין לבין ממשק PowerShell הוא בניהול הפעולות הנ”ל, למשל ישנה אפשרות לבצע את הפעולה הנ"ל באופן אוטומטי עם קובץ XML מול הפקודה הנ"ל ובאופן מתוזמן.

סוגי סיומות של כופר (רשימה חלקית)

*.*cry
*.*crypto
*.*darkness
*.*enc*
*.*kb15
*.*kraken
*.*locked
*.*nochance
*.*obleep
*.*exx
*@gmail_com_*
*@india.com*
*cpyt*
*crypt*
*decipher*
*install_tor*.*
*keemail.me*
*qq_com*
*ukr.net*
*restore_fi*.*
*help_restore*.*
*how_to_recover*.*
*.ecc
*.exx
*.ezz
*.frtrss
*.vault
*want your files back.*
confirmation.key
enc_files.txt
last_chance.txt
message.txt
recovery_file.txt
recovery_key.txt
vault.hta
vault.key
vault.txt
*.aaa
*.zzz
*.abc