Comportamento do powershell do FSRM

Question

Comportamento do powershell do FSRM

#1 resposta do (3 votos)

2

Estou trabalhando em um script que posso enviar para algumas dúzias de servidores Windows Server 2012 / 2012R2 para ativar as telas de arquivos FSRM que gravarão um alerta no log de eventos quando detectarem que um nome de arquivo específico está sendo gravado no disco. / p>

$a = gwmi win32_logicaldisk -filter DriveType=3 | Select -ExpandProperty DeviceID

Install-WindowsFeature -Name FS-Resource-Manager -IncludeManagementTools

New-FsrmFileGroup -Name "CryptoWall File Monitor" -IncludePattern @("*DECRYPT*")

$Notification = New-FsrmAction -Type Event -EventType Warning -Body "Alert text here" -RunlimitInterval 30

foreach ($i in $a){
    New-FsrmFileScreen -Path "$i" -IncludeGroup "CryptoWall File Monitor" -Notification $Notification
}

Agora, o script em si funciona bem, com um pequeno problema: quando é executado, a primeira tela de tela (geralmente em C :) tem as configurações corretas:

Active          : False
Description     : 
IncludeGroup    : {CryptoWall File Monitor}
MatchesTemplate : False
Notification    : {MSFT_FSRMAction}
Path            : C:\
Template        : 
PSComputerName  :

Mas as telas subsequentes não (observe a saída Ativo: True abaixo)

Active          : True
Description     : 
IncludeGroup    : {CryptoWall File Monitor}
MatchesTemplate : False
Notification    : {MSFT_FSRMAction}
Path            : D:\
Template        : 
PSComputerName  :

O atributo "Ativo" deve ser definido explicitamente usando o -Active flag ao executar o cmdlet New-FSRMFileScreen , o que estou bastante confiante de que não estou de alguma forma inserindo em iterações subseqüentes do loop.

Isso é um problema, porque realmente queremos que os arquivos sejam gravados no disco no caso de uma infecção por Cryptowall em um endpoint. O malware geralmente grava arquivos nos diretórios afetados com instruções "úteis" sobre como pagar um resgate, e isso significa que devemos avisar, assim que possível, que algo está acontecendo. Se a tela do arquivo bloquear ativamente os arquivos de serem gravados no disco, fica mais difícil identificar os arquivos afetados após o fato.

Então, isso é um bug ou cometi um erro?

windows powershell

por BIT_Craig 19.01.2015 / 23:20

1 resposta

Tags windows powershell

php-fpm: Qual é o gargalo para aceitar conexões mais rapidamente? gluster libgfapi HA

score 3 · Accepted Answer

Existe alguma razão pela qual você não está passando a opção -Active:$false para definir explicitamente a opção como false? Eu não testei, mas isso certamente parece que deveria forçá-lo a estar sempre desligado.