有没有办法阻止非pipe理员用户删除卷影副本? 我现在唯一发现的是组策略,它隐藏了用户在Windows资源pipe理器中的选项卡(这样他就不能看到副本,因此无法在资源pipe理器中恢复/查看/删除(?)它们)。 这够了吗? 或者,用户可以通过脚本/命令行来做到这一点?
我问的原因:目前有很多勒索软件,影子副本似乎是合理的方式来防止数据丢失。 但是目前的勒索软件也会删除卷影副本。 所以我的想法是:如果用户没有权限删除卷影副本勒索软件将无法删除卷影副本。 由于在处理勒索软件的文章中缺less这个提示,这可能是一个坏主意,或者根本不可能?
这个问题适用于Windows 7家庭高级版和Windows 7专业版。
要说清楚:我有备份,防火墙等,所以请在回答/评论时考虑这一点。
勒索软件(在这篇文章的时候)调用WinExec并启动“vssadmin.exe删除阴影/所有/安静”。
它还会在使用RtlQueryElevationFlags运行此操作之前降级UAC,以使UAC提示不会发生。
你的问题是: 是否有办法防止非pipe理员用户删除卷影副本?
你可以走这条路: 为什么每个人都应该禁用vssadmin,但应该预先警告,在一个不太可能发生或得到批准的企业环境中。 但是,如果你是一个小商店或知道风险,你可以走这条路。
说实话,就像乔提到的那样,这不是阻止任何事情真正感染你的方法。 如果您想防止Ransomware进入,您应该更多地注意到Applocker或CryptoPrevent软件。但是,没有什么被certificate是万无一失和100%有效的……所以拥有良好的备份在这里是一个分层的方法中的最佳层。