我的电脑里有一个备份驱动器,我仅用它来保存其他驱动器的差异备份。我目前没有钱购买外部解决方案,并且想确保我的备份驱动器尽可能安全,免受勒索软件等攻击。
有没有办法通过 Windows 阻止对驱动器的写访问,而无需先进行某种形式的额外身份验证?这甚至可以减轻勒索软件对驱动器的加密吗?
答案1
假设任何勒索软件在您自己的用户帐户下运行,因为您意外下载并执行了它,或者它利用了您正在运行的任何软件中的缺陷,那么您可以执行以下操作:
- 确保您的普通用户帐户不是管理员组的成员
- 不要仅仅依赖 UAC 提示,不要使用管理员帐户进行日常工作。
- 始终保持你的 Windows 操作系统更新到最新补丁。
- 确保您的普通用户帐户不是管理员组的成员
如果您遵循此操作,勒索软件将只能加密您有权访问的文件。
在备份驱动器上,您可以授予自己对任何文件的读取权限,但完全没有写入权限。因此,如果需要,您可以轻松获取文件的备份副本,但您无法更改文件,勒索软件也无法加密它。
像这样设置备份驱动器上的 NTFS 权限:
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
BUILTIN\Administrators:(OI)(CI)(F)
BUILTIN\Backup Operators:(OI)(CI)(M)
BUILTIN\Users:(OI)(CI)(RX)
- 创建一个专门用于备份文件的新用户,并将该帐户添加到
Backup Operators组中。 - 设置负责备份的软件以在该新帐户下运行。这样软件/脚本/任务就可以将文件写入备份驱动器。
- 确保备份过程不会过于频繁地覆盖备份中的文件。如果某些勒索软件启动并加密文件,您不希望备份过程过快地将这些加密文件复制到备份驱动器。白天将差异备份放在单独的文件夹中可能会有效。
- 理想情况下,您的备份过程应该有一个选项来防止复制加密文件。
- 确保您的备份过程不会复制文件的 NTFS 权限,否则会让您和勒索软件再次获得对文件的写访问权限。
- 确保触发备份过程的任何因素都不能被您的普通用户帐户触发。
我已经使用这个完全相同的设置很长一段时间了,我仍然会将数据备份到外部驱动器和云端,但最频繁的备份是备份到内部驱动器。
这也可以防止您意外删除备份文件。