Esta pergunta foi feita aqui de algumas maneiras diferentes, mas não consegui encontrar uma que aborde especificamente isso para ACL / permissões do Windows 10.
Em nosso ambiente de trabalho, temos máquinas individuais fazendo backup de imagens em uma pasta compartilhada em uma máquina Windows 10 que atua como servidor de arquivos e somente essa máquina/usuário cliente tem acesso a essa pasta.
A preocupação, é claro, é que, se o cliente for atacado por ransomware, ele poderá acessar essa pasta compartilhada e criptografar/substituir os arquivos de backup.
Parece que usar as permissões especiais refinadas no Windows 10 tornaria possível criar um novo arquivo e armazenar o backup, mas impediria que esse arquivo fosse criptografado e substituído / excluído?
Eu lidei com esse cenário exato, assim como muitos outros neste fórum, eu suspeito.
Se uma pessoa puder fazer login como usuário e ler/gravar nos arquivos do servidor, os arquivos estarão em risco. Ou seja, se um usuário pode editar um documento do Word, então pode criptografá-lo.
Em vez de alterar as permissões de acesso ao servidor (elas devem ser configuradas como privilégio mínimo necessário), a maioria das organizações está alterando o que os usuários podem acessar. Nossa organização bloqueou todo o Google Drive, por exemplo. Esta não é uma ótima solução, mas funcionou até agora (bater na madeira).
Se você está preocupado apenas com backups locais, a criação de um 'usuário de backup' que possui apenas permissões de gravação para o volume de backup tecnicamente funciona, embora eu não tenha tentado isso.
A solução definitiva são backups de nuvem incrementais segregados.
O Windows tem um recurso chamado "Acesso controlado à pasta", se você acessar Configurações> Segurança do Windows> Proteção contra vírus e ameaças> na parte inferior, clique em "Gerenciar proteção contra ransomware" e veja o recurso lá.
Isso define 'pastas protegidas' que basicamente farão com que qualquer aplicativo que queira acessar essas pastas precise ser aprovado, o que exigiria acesso de administrador. Deve permitir automaticamente aplicativos seguros, mas descobri que quase todos precisavam de aprovação manual para adicionar à lista de permitidos.
No entanto , a grande desvantagem desse recurso é que você não pode remover nenhuma das pastas protegidas padrão, o que inclui todas as bibliotecas (vídeos, documentos, etc). Você pode adicionar pastas personalizadas e removê-las, mas não os padrões. O que pode tornar o recurso mais complicado do que vale a pena se você se preocupar apenas em proteger um local específico.
Demorou algum tempo para testar vários cenários ontem à noite e, ao contrário de alguns comentários que foram postados aqui, parece que você pode controlar permissões via Windows ACL para proteger uma pasta de rede compartilhada de clientes infectados por ransomware sobrescrevendo e criptografando os dados na pasta compartilhada enquanto ainda permite permissões de gravação.
A ressalva padrão se aplica que os backups offline são a melhor abordagem geral e que, se toda a sua rede (ou o host/servidor) estiver comprometida, esta solução não o protegerá.
A solução é usar as Configurações de Segurança Avançadas e desabilitar Gravar, Excluir, Ler e Alterar Permissões e Apropriar-se. Com essas configurações, a máquina cliente pode ler e criar novos arquivos, mas não pode renomear ou alterar nenhum arquivo existente.
Um possível problema aqui é que se você estiver usando qualquer tipo de abordagem de backup automatizada (por exemplo, software de backup/imagem, utilitário de arquivamento de compactação de arquivos, etc...) e esse programa gravar no diretório de destino usando um arquivo temporário, ele falhará quando ele tenta renomear e/ou excluir o arquivo temporário. Uma possível solução alternativa seria a máquina cliente criar a imagem/arquivo de backup localmente e, em seguida, usar um script para copiar a imagem/arquivo/arquivos finalizados no compartilhamento do Windows e (opcionalmente) excluir a cópia local.
Exemplo de como definir as permissões para conseguir isso aqui: