我不是在这里谈论EFS或Bitlocker。
我问是否有办法防止文件被encryption。 我指的是勒索软件的一定程度,但具体我想要下面的情况:
我想要一种方式来告诉上面的服务器“不允许任何人或任何软件/进程encryptionE:驱动器上的文件”。
在NTFS级别上,我找不到任何方法来做到这一点,缺less“读取”权限。 修改访问权限允许对文件进行encryption。
我已经在网上search,但得到一堆EFS / bitlocker / ransomware链接,与我的问题无关。
所以同行的专家 任何方式做粗体以上? 我并没有问及如何防止勒索软件等粗体的地区是特别是我所追求的。
总之:没有。
正如你所说,如果你允许用户有写权限,那么他们可以encryption数据。 我无法想象一种操作系统或文件系统甚至可能开始检测和防止许多types的encryption的方式。
不过,这是一个很难的问题,我希望操作系统供应商在致力于Cryptolocker et。 人。 破坏力不如现在。
在此之前,尽可能多地维护不同types的备份,并确保这些备份可以可靠快速地恢复,将是最好的保护。
是的,但也没有
这是奇怪的情况之一,它是完全不可能防止每一个做某事的方式。
您可以防止Bitlocker,Truecrypt和其他合法encryption程序等进程访问共享。 大多数情况下,这是通过组策略(Bitlocker想到这里)或特定的“一站式”软件包(查看Kaseya,Labtech或NAble)完成的。
这很容易吗?
主不。 你将不得不为每个单独的encryption程序编写一个响应程序。 而且,对于每一个上市的新程序,你都必须这样做。 这将是时间密集和痛苦的,仍然只能覆盖50%的情况。 我已经和Labtech和N-Able一起编写了脚本,不,这不是一件容易的事情。
等等,你还说不?
没错,也没有。 不,因为大多数勒索软件程序没有使用encryption程序。 他们只是打开类似于文本编辑器的特定文件,并根据它们生成的哈希来更改值。 除非您拒绝修改对共享的访问,否则您明确无法阻止此类行为。
那么值得吗?
不。 你可能会阻止合法和有用的encryption,但危险的encryption仍然可以通过。
值得注意的编辑
虽然实际的问题是在上面处理的,但我相信这个问题的意图是可以总结一点。 今天刚刚join了一个不错的encryption储物柜,我对这个问题进行了回顾。
虽然我们担心encryption储物柜是最终的结果,但所有危险的感染,有时我们估计他们。 我们的企业防病毒软件在两分钟之内就把这个特定的encryption储物柜抓到了。 总共设法encryption一个networking共享上的共7个文件夹,然后才被检测和删除。 奇怪的是,它实际上已经足够聪明,可以首先使用networking共享,这在以前的encryption储物柜中并没有见过。
虽然一些非常关键的数据很可能已经在七个文件夹中encryption(这不是我们的情况),但总体效果仍然很小。 有了适当的备份解决scheme,我们的总恢复时间可能会less于4小时,而且只有这么高,因为我正在利用这个机会重新部署受感染的工作站。
如果你花费超过4个小时的时间试图发展防御encryption储物柜,那么开发它的代价可能是不值得的。
文件只是字节。
在这种情况下没有特殊的“encryption”状态。 要么你有写权限的文件,或者你没有。 一旦你有任何写入权限的文件,所有的投注都closures。 encryption的字节与其他可以防范的字节没有什么不同。 你可能会说encryption的字节在某种程度上是“更随机的”,但是压缩algorithm的效果几乎相同……任何可能试图检测写encryption字节的东西都可能触发任何人编辑或保存图像,video或audio文件。
如果要防范文件服务器上的勒索软件,请在客户端,网关和服务器上进行良好的防病毒保护。 在本地机器上遵循最小特权的原则来限制感染的可能性,并在文件服务器/文件共享级别限制写访问,从而限制感染发生时/受感染时的损害范围。 采取好的备份(与经过testing的恢复)是物理上分离的源,所以你可以恢复文件,如果/当发生什么事情。
看到一个文件共享平台可能会很有趣,它只允许某些已知的文件types,缓冲区写入I / O,并扫描文件的头文件以确保头文件数据与文件扩展名相匹配(jpgs具有可读的头文件,txt文件只允许ascii等)。 但是这绝对不是您常见的SMB / DFS / CIFS共享的一部分,只要总是写有效的头文件,这种事情就很容易被打败。
不,你不能阻止文件被encryption。 操作系统应该如何知道一个文件是否被encryption,而不是某种“不知道”的格式呢?
您可以禁用OS级别的encryption,也可以通过GPO运行某些程序,但不能阻止每个程序,也无法上载已encryption的文件。
你想要做的是确保用户只把文件放在他们应该在的地方 – 而不是在其他地方。
如果您有Active Directory,则可以尝试使用SRP(软件限制策略)GPO来阻止此path中的可执行文件:
%AppData%\ %AppData%\*\ %localappdata%\ %localappdata%\*\ %localappdata%\Microsoft\Windows\Temporary Internet Files\ %localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\ %localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\ %localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\*\ %Temp%\ %Temp%\$*\ %Temp%\*.zip\ %userprofile%\ 摘自: http : //www.sysadmit.com/2015/04/windows-gpo-para-prevenir-cryptolocker.html
我们有类似的问题。 用户正在encryption文件到我们的主要Windows 2012 R2文件服务器,当然其他用户无法读取文件。 一些奇怪的事情是:它曾经提示用户,当他们复制encryption文件,让他们select去encryption的第一,它不会这样做,并直接复制encryption文件。 另一个奇怪的是,在我testing的Windows 2012 R2服务器上,它不允许encryption文件,而是需要很长一段时间才能复制文件,完成文件未encryption。 我正在运行Windows更新,看看是否“rest”。
以下是我们的encryption软件支持团队的build议。 我还没有应用它,因为我们无法在我们的testing环境中的生产服务器上复制问题。
通过将EFS选项设置为“不允许”,将导致提示重新出现。 您描述的行为很可能是该文件服务器上的一个设置。 当Microsoft完成新服务器的设置时,无论服务器的angular色如何,服务器(而不是域)上的EFS设置都将设置为“未定义”。 根据情况,“未定义”可能意味着“启用”或“禁用”。 在文件服务器上,打开“gpedit.msc”并导航到计算机configuration>> Windows设置>>安全设置>>公钥策略>>encryption文件系统。 右键单击EFS文件夹,然后select“属性”。 将“使用encryption文件系统(EFS)的文件encryption”选项更改为“不允许”或“禁用”。 ***注意:在closures文件服务器上的EFS之前,您应该让用户将数据移回到其原始机器。 禁用EFS后,用户可以将数据复制回文件共享。 我们还build议在您的环境中所有文件服务器上禁用EFS。