The*_*ner 6 encryption windows-server-2012-r2
我不是在这里谈论 EFS 或 Bitlocker。
我在问是否有办法防止文件被加密。我在某种程度上指的是勒索软件,但特别是我想要以下场景:
我想要一种方法来告诉上述服务器“不允许任何人或任何软件/进程对 E: 驱动器上的文件进行加密。”
我找不到在 NTFS 级别执行此操作的任何方法,缺少“读取”访问权限。修改访问权限允许对文件进行加密。
我在网上四处搜索,但得到了一堆与我手头的问题无关的 EFS/bitlocker/勒索软件链接。
所以各位专家。有什么办法可以用粗体来做上面的事情吗?我不是在询问防止勒索软件等的方法。粗体区域正是我所追求的。
EEA*_*EAA 14
简而言之:没有。
正如您所说,如果您允许用户具有写访问权限,那么他们就可以加密数据。我无法想象操作系统或文件系统甚至可以开始检测和阻止存在的多种类型的加密。
不过,这是一个难题,我预计操作系统供应商会投入大量精力来渲染 Cryptolocker 等。阿尔。破坏性比现在小。
在此之前,维护尽可能多的不同类型的备份并确保这些备份能够可靠、快速地恢复将是最好的保护。
是的,但也不是
这是一种奇怪的情况,在这种情况下,几乎不可能阻止每一种做某事的方式。
您可以阻止 Bitlocker、Truecrypt 和其他合法加密程序等进程访问共享。大多数情况下,这是通过组策略(这里想到 Bitlocker)或特定的“一体式”软件包(看看 Kaseya、Labtech 或 NAble)来完成的。
这简单吗?
主没有。您必须为每个单独的加密程序编写响应程序的脚本。而且,您必须为市场上的每个新程序都这样做。这将是时间密集和痛苦的,并且仍然只能覆盖大约 50% 的情况。我已经用 Labtech 和 N-Able 编写了脚本,不,这不是快速和容易的。
等等,你也说没有?
没错,也不是。不,因为大多数勒索软件程序没有使用加密程序。他们只是在类似于文本编辑器的东西中打开特定文件,并根据他们生成的散列更改值。除非您拒绝修改对共享的访问权限,否则您无法明确阻止此类行为。
那么,值得吗?
不。您可能会阻止合法且有用的加密器,但危险的加密器可能仍会通过。
一个值得注意的编辑
虽然上面处理了实际问题,但我认为可以更好地总结问题的意图。今天刚刚又遇到了一个不错的加密储物柜,我重新审视了我对这个问题的看法。
虽然我们担心加密储物柜最终会成为危险的感染,但有时我们会高估它们。我们的企业防病毒软件在不到两分钟的时间内就捕获了这个特殊的加密锁。在被检测和删除之前,它总共设法加密了网络共享上的总共 7 个文件夹。奇怪的是,它实际上足够聪明,可以先获取网络共享,这是我在以前的加密储物柜中从未见过的行为。
虽然一些非常关键的数据很可能在加密的七个文件夹中(在我们的例子中不是),但总体影响仍然很小。有了适当的备份解决方案,我们的总恢复时间可能会<4 小时,而且只有这么长,因为我正在利用这个机会重新部署受感染的工作站。
如果您花费超过 4 个小时来尝试开发针对加密储物柜的防御,那么开发它的成本可能不值得。
| 归档时间: |
|
| 查看次数: |
14863 次 |
| 最近记录: |