我想保护我的 NAS 内容免受勒索软件和其他数据攻击。除了标准建议(更新、反恶意软件、最低权限、教育孩子和他们的朋友……)之外,我还将库中的文件设置为对所有 Windows 用户只读,并通过 NAS Web 前端进行管理。这主要是因为大多数常见的勒索软件工具包会窃取和破解密码哈希(即 mimikatz),以用于进一步利用网络。
现在,我想使用一个 Windows 软件来管理我的库(将东西收起来、重命名文件等),但它需要 Windows 用户具有对这些文件的写权限。
是否有人有任何策略(除了成本高昂的备份之外)可以写入高价值数据源而不会留下密码哈希供任何人窃取?
答案1
离线备份不会受到攻击,这是确保您的数据免受勒索软件攻击的唯一 100% 可靠方法。
如果您根本不信任 Windows 身份验证系统,但仍想使用 Windows 系统,那么唯一的次优解决方案就是专用一个单独的、控制良好的系统,并且只允许该系统上的帐户具有读/写访问权限,并且永远不要在任何其他系统上使用该帐户。
良好的控制可能会断开与互联网和内部网络的连接并使用闪存驱动器传输数据,或者您可以尝试在仅用于与 NAS 交互且不连接到您网络其余部分的 VM 中维护 Windows 的安装。