有没有办法防止非管理员用户删除卷影副本?我现在唯一发现的是组策略,它隐藏了 Windows 资源管理器中的选项卡(这样用户就看不到副本,因此无法在资源管理器中恢复/查看/删除它们(?))。这样够了吗?或者用户可以通过脚本/命令行执行此操作吗?
我问这个问题的原因是:目前有很多勒索软件,而影子副本似乎是防止数据丢失的合理方法。但目前的勒索软件也会删除影子副本。所以我的想法是:如果用户没有删除影子副本的权限,勒索软件将无法删除影子副本。由于有关勒索软件预防的文章中没有这个提示,这也许根本就是个坏主意,或者根本就不可能?
该问题适用于 Windows 7 Home Premium 和 Windows 7 Professional。
要清楚:我有备份、防火墙等,所以请在回答/评论时考虑到这一点。
答案1
勒索软件(在发布本文时)调用 WinExec 并启动“vssadmin.exe Delete Shadows /All /Quiet”。
它还会在运行此程序之前使用 RtlQueryElevationFlags 降级 UAC,以免出现 UAC 提示。
你的问题是:有没有办法防止非管理员用户删除卷影副本?
你可以走这条路:为什么每个人都应该禁用 vssadmin但需要注意的是,在公司环境中,这种情况不太可能发生或获得批准。但如果您是一家小商店或了解风险,则可以走这条路。
不过说实话,就像 Joe 提到的那样,这并不是真正防止病毒感染的方法。如果你想要防止勒索软件入侵,你应该更多地了解 Applocker 或 CryptoPrevent 软件。然而,没有任何东西被证明是万无一失和 100% 有效的……所以在分层方法中,拥有良好的备份是最好的一层。