Windows Server-有什么方法可以防止文件加密？

简而言之，不是。

正如你所说，如果你允许用户拥有写权限，那么他们就可以加密数据。我无法想象操作系统或文件系统甚至可能开始来检测并阻止现有的多种类型的加密。

但这是一个难题，我预计操作系统供应商正在投入大量精力来降低 Cryptolocker 等恶意软件的破坏性。

在此之前，维护尽可能多的不同类型的备份并确保这些备份能够可靠、快速地恢复将是最好的保护。

是，但也不是

这是一个奇怪的情况，实际上不可能阻止每一种做事的方式。

您可以阻止 Bitlocker、Truecrypt 和其他合法加密程序等进程访问共享。大多数情况下，这是通过组策略（这里想到的是 Bitlocker）或特定的“一体化”软件包（看看 Kaseya、Labtech 或 NAble）来实现的。

这简单吗？

天哪，不行。你必须为每个单独的加密程序编写一个响应程序。而且，你必须为市场上推出的每个新程序都编写一个响应程序。这会耗费大量时间，而且很痛苦，而且可能只涵盖 50% 的情况。我使用 Labtech 和 N-Able 编写过脚本，但这并不快速和容易。

等等，你也说了“不”？

没错，也不是。不是，因为大多数勒索软件程序都没有使用加密程序。它们只是在类似于文本编辑器的东西中打开特定文件，并根据它们生成的哈希值更改值。除非您拒绝对共享的修改访问权限，否则您无法阻止此类行为。

那么，这值得吗？

不。您可能可以阻止合法且有用的加密器，但危险的加密器仍有可能通过。

---

值得注意的编辑

虽然实际问题已在上面处理，但我认为可以更好地总结问题的目的。今天刚刚又遇到了一个不错的加密锁，我对这个问题的看法得到了更新。

虽然我们担心加密锁会引发危险感染，但有时我们高估了它们。我们的企业防病毒软件在不到两分钟的时间内就发现了这个特定的加密锁。在被检测和删除之前，它总共成功加密了网络共享上的 7 个文件夹。奇怪的是，它实际上足够聪明，首先攻击网络共享，这是我在以前的加密锁中从未见过的行为。

虽然一些非常关键的数据很可能位于这七个加密文件夹中（我们的情况并非如此），但总体影响仍然微乎其微。有了适当的备份解决方案，我们的总恢复时间可能不到 4 小时，而且之所以这么长，只是因为我利用了这个机会重新部署了被感染的工作站。

如果您花费超过 4 个小时尝试开发针对加密柜的防御措施，那么开发成本可能不值得。

文件只是字节。

在这种情况下，没有特殊的“加密”状态。要么你有文件的写权限，要么你没有。一旦你有文件的写权限，一切都将失去意义。加密字节与你可以防范的其他字节没有什么不同。你可能会争辩说加密字节在某种程度上“更随机”，但压缩算法的效果几乎是一样的……任何试图检测写入加密字节的行为都可能在任何人编辑或保存图像、视频或音频文件时触发。

如果您想防范文件服务器上的勒索软件，请在客户端、网关和服务器上安装良好的防病毒保护。在本地机器上遵循最小特权原则，以限制感染的可能性，并在文件服务器/文件共享级别限制写入权限，从而限制感染发生时的损害范围。做好备份（使用经过测试的恢复），并将其与源物理隔离，以便在发生某些事情时恢复文件。

看到一个文件共享平台仅允许某些已知文件类型、缓冲写入 I/O 并扫描文件头以确保头数据与文件扩展名匹配（jpg 具有可读头、txt 文件仅允许 ascii 等）可能会很有趣。但这绝对不是您常见的 SMB/DFS/CIFS 共享的一部分，并且只需始终写入有效头即可轻松击败这种事情。

如果您有 Active Directory，则可以尝试使用 SRP（软件限制策略）GPO 来阻止以下路径中的可执行文件：

%AppData%\
%AppData%\*\
%localappdata%\
%localappdata%\*\
%localappdata%\Microsoft\Windows\Temporary Internet Files\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\*\
%Temp%\
%Temp%\$*\
%Temp%\*.zip\
%userprofile%\

摘自：http://www.sysadmit.com/2015/04/windows-gpo-para-prevenir-cryptolocker.html