fPolicy erstellen zur Verhinderung der Erstellung von Dateien bestimmter Erweiterungen:

Beispielkonfiguration:

Filterpolicyname: f_Ransomware
Event: e_Ransomware

Hier wird generell das Anlegen, Schreiben, Umbenennen, Öffnen und Lesen der entsprechenden Datei mit der  Filextension verboten.

In Kontext fpolicy / policy / event wechseln:

  1. Event anlegen:
    create -vserver <vservername> -event-name e_Ransomware -volume-operation false -protocol cifs -file-operations create,rename,write,open,read

  2. Policy anlegen:
    create -vserver <vservername> -policy-name f_Ransomware -events e_Ransomware -engine native

  3. Scope anlegen: (set advanced !!!)
    create -vserver <vservername> -policy-name f_Ransomware -is-file-extension-check-on-directories-enabled true -shares-to-include “*” -volumes-to-include cifs -file-extensions-to-include locky,bleep

  4. Policy aktivieren:
    enable -vserver <vservername> -policy-name f_Ransomware -sequence-number 1

  5. Kontrolle:
    show

Modifizieren des Scopes (extensions hinzufügen):

modify -vserver <vservername> -policy-name f_Ransomware -shares-to-include "*" -volumes-to-include <volumes-des-vservers> -file-extensions-to-include locky,bleep,key,ecc,ezz,exx,zzz,xyz,aaa,abc,encoderpass,ccc,vvv,xxx,ttt,micro,encrypted,locked,crypto,_crypt,crinf,r5a,xrtn,XTBL,crypt,R16M01D05, pzdc,good,LOL!,OMG!,RDM,RRK,encryptedRSA,crjoker,EnCiPhErEd,LeChiffre,keybtc@inbox_com,0x0,1999,HA3,toxcrypt,magic,vault,SUPERCRYPT,CTBL,CTB2 -is-file-extension-check-on-directories-enabled true

Ein Befehl !

Anmerkung:

Keine Reaktivierung des Scopes notwendig nach Änderung – Änderung greift in Echtzeit.