此处已通过几种不同的方式提出了此问题,但我找不到专门针对 Windows 10 ACL / 权限解决此问题的方法。
在我们的工作环境中,我们有个别机器将备份映像制作到充当文件服务器的 Windows 10 机器上的共享文件夹中,并且只有该客户端机器/用户有权访问该文件夹。
当然,担心的是,如果客户端受到勒索软件攻击,它可能会访问该共享文件夹并加密/覆盖备份文件。
似乎在 Windows 10 中使用细粒度的特殊权限可以创建一个新文件并存储备份,但防止该文件被加密和覆盖/删除?
AskOverflow.Dev
我怀疑我已经处理过这种确切的情况,就像这个论坛中的许多其他人一样。
如果一个人可以以用户身份登录并读取/写入服务器文件,则这些文件存在风险。即,如果用户可以编辑word 文档,则可以对其进行加密。
大多数组织不是更改服务器访问权限(应将它们设置为所需的最低权限),而是更改用户可以访问的内容。例如,我们的组织屏蔽了所有 Google Drive。这不是一个很好的解决方案,但到目前为止它已经奏效(敲木头)。
如果它只是您关心的本地备份,那么创建一个仅拥有对备份卷的写入权限的“备份用户”在技术上是可行的,尽管我没有尝试过。
最终解决方案是隔离增量云备份。
Windows确实有一个名为“受控文件夹访问”的功能,如果您进入设置 > Windows 安全 > 病毒和威胁防护 > 在底部附近单击“管理勒索软件防护”并查看其中的功能。
这设置了“受保护的文件夹”,基本上可以做到这一点,因此任何想要访问这些文件夹的应用程序都需要获得批准,这需要管理员访问权限。它应该自动允许安全的应用程序,但我发现几乎每一个都需要手动批准才能添加到允许的列表中。
但是,此功能的最大缺点是您无法删除任何默认受保护的文件夹,其中包括所有库(视频、文档等)。您可以添加和删除自定义文件夹,但不能添加默认文件夹。如果您只关心保护特定位置,这可能会使该功能更加麻烦。
昨晚花了一些时间测试各种场景,与此处发布的一些评论相反,您似乎可以通过 Windows ACL 控制权限,以保护共享网络文件夹免受勒索软件感染的客户端覆盖和加密共享文件夹中的数据同时仍然允许写权限。
标准警告适用于离线备份是最好的整体方法,如果您的整个网络(或主机/服务器)受到威胁,此解决方案无法保护您。
解决方案是使用高级安全设置并禁用写入、删除、读取和更改权限以及获取所有权。通过这些设置,客户端机器可以读取和创建新文件,但不能重命名或更改任何现有文件。
这里一个可能的问题是,如果您使用任何类型的自动备份方法(即备份/映像软件、文件压缩存档实用程序等)并且该程序使用临时文件写入目标目录,它会在以下情况下失败它尝试重命名和/或删除临时文件。一种可能的解决方法是让客户端计算机在本地创建备份映像/存档,然后使用脚本将最终完成的映像/存档/文件复制到 Windows 共享中并(可选)删除本地副本。
如何在此处设置权限以实现此目的的示例: