簡単ランサムウェア対策:Blocky for Veeamの使用方法を紹介


Blocky for Veeam®はWindows上のReFS/NTFSボリュームへのアクセス制御が可能なソフトウェアです。これを活用することで、不変性を構成するにはLinuxサーバやオブジェクトストレージを必要とするVeeamでもWindowsマシン1台でランサムウェア対策を実現できます。

仕組み等は弊社製品ページでも紹介していますので、ご参照ください。

https://www.climb.co.jp/soft/blocky/

改ざんされたアプリケーションからのアクセスもブロック

今回はこのBlockyの使用方法をスクリーンショット付きで紹介していきます。

まずはインストールですが、特に難しいことはありません。以下のように通常のWindowsのインストーラで導入いただけます。

そして、Blocky自体の保護のため、初回のGUI起動時にはパスワードの設定が求められます。

このパスワードはGUI起動時、Blockyのアップデート、アンインストール時に入力が必要であり、これにより、マルウェア等によるBlockyの排除することを防ぐことができます。

GUIにアクセスすると左側のFile System Viewにて各ドライブとその第1レベルのディレクトリを参照できます。ここで、Blockyによるアクセス制御を実施するコントロール領域をドライブ全体または第1レベルのディレクトリに指定します。
※システム領域を含むCドライブはアクセス制御できません。

このようにコントロール領域として設定すると、アプリケーションホワイトリスト(AWL)に追加されているアプリケーション以外はアクセスが行えません。つまりデフォルトの状態では全ての書き込みが拒否された状態となります。

このため、AWLにアプリケーションを追加していく必要があります。

追加方法は主に2種類あり、手動でexeファイルを指定する方法と、指定した時間内に書き込みアクセスを行ったアプリケーションを自動で追加する方法です。以下の例では1時間以内に書き込みがあったものをすべてAWLに追加します。

また、GUIを開いている場合は、書き込みのリクエストをリアルタイムに確認でき、それの一時的な許可や拒否、そのPIDからの書き込みを許可、AWLへの追加を手動で選択することもできます。

例えば、Veeamのリポジトリのフォルダをコントロール領域として、AWLにVeeamのアプリケーションのみを登録しておくと、手動でのファイル削除など、他のアプリケーションからの変更が全て拒否されますが、Veeamからは特に問題なく通常のリポジトリとして利用できます。

Explorerからの削除試行:AWLにないため、ブロック(GUIが開いている一時保留している状態)

Veeamでのジョブ実行

このように簡単に構成可能な、Blocky for Veeam、ご興味ございましたら是非お問い合わせください。

https://www.climb.co.jp/soft/blocky/

関連トピックス

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください