这个问题已经以几种不同的方式被问到,但我找不到一个专门针对 Windows 10 ACL /权限的答案。
在我们的工作环境中,我们让单独的机器将备份映像放到充当文件服务器的 Windows 10 机器上的共享文件夹中,并且只有该客户端机器/用户才能访问该文件夹。
当然,令人担心的是,如果客户端受到勒索软件的攻击,它可以访问该共享文件夹并加密/覆盖备份文件。
似乎使用 Windows 10 中的细粒度特殊权限可以创建新文件并存储备份,但可以防止该文件被加密和覆盖/删除?
答案1
我怀疑我已经处理过这种确切的情况,论坛中的许多其他人也都处理过这种情况。
如果某人可以以用户身份登录并读取/写入服务器文件,则文件将面临风险。例如,如果用户可以编辑 Word 文档,则可以对其进行加密。
大多数组织不是更改服务器访问权限(应将其设置为所需的最低权限),而是更改用户可以访问的内容。例如,我们的组织封锁了所有 Google Drive。这不是一个好的解决方案,但到目前为止效果不错(敲敲木头)。
如果您只关心本地备份,那么创建一个仅拥有备份卷写权限的“备份用户”在技术上是可行的,尽管我还没有尝试过这样做。
最终的解决方案是隔离增量云备份。
答案2
视窗做有一个名为“受控文件夹访问”的功能,如果你进入设置> Windows 安全> 病毒和威胁防护> 靠近底部单击“管理勒索软件防护”并在其中查看该功能。
这将设置“受保护的文件夹”,基本上意味着任何想要访问这些文件夹的应用程序都需要获得批准,这需要管理员访问权限。它应该自动允许安全的应用程序,但我发现几乎每个应用程序都需要手动批准才能添加到允许列表中。
然而,这个功能最大的缺点是你不能删除任何默认受保护的文件夹,包括所有库(视频、文档等)。您可以添加自定义文件夹并删除它们,但不能删除默认文件夹。如果您只关心保护特定位置,这可能会使该功能变得比它本身更麻烦。
答案3
昨晚花了一些时间测试了各种场景,与这里发布的一些评论相反,似乎可以通过 Windows ACL 控制权限,以保护共享网络文件夹免受勒索软件感染的客户端覆盖和加密共享文件夹中的数据,同时仍然允许写权限。
标准警告适用于:离线备份是最好的整体方法,并且如果您的整个网络(或主机/服务器)受到威胁,则此解决方案无法保护您。
解决方案是使用高级安全设置并禁用写入、删除、读取和更改权限以及取得所有权。通过这些设置,客户端计算机可以读取和创建新文件,但不能重命名或更改任何现有文件。
这里可能存在的问题是,如果您使用任何类型的自动备份方法(即备份/映像软件、文件压缩存档实用程序等...),并且该程序使用临时文件写入目标目录,则在尝试重命名和/或删除临时文件时会失败。一种可能的解决方法是让客户端计算机在本地创建备份映像/存档,然后使用脚本将最终完成的映像/存档/文件复制到 Windows 共享中并(可选)删除本地副本。
以下是如何设置权限以实现此目的的示例:
