Windows 7: Direitos de acesso / diretiva de grupo para impedir que cópias de sombra sejam excluídas pelo usuário?

Question

Windows 7: Direitos de acesso / diretiva de grupo para impedir que cópias de sombra sejam excluídas pelo usuário?

#1 resposta do (3 votos)

3

Existe uma maneira de impedir que cópias de sombra sejam excluídas por usuários não administradores? A única coisa que eu encontrei agora são as políticas de grupo que ocultam a guia no Windows Explorer do usuário (de modo que ele não pode ver as cópias e, portanto, não pode restaurar / visualizar / apagar (?) Elas no Explorer). Isso é suficiente? Ou o usuário pode fazer isso via script / na linha de comando?

A razão pela qual eu pergunto: Atualmente, há muito ransomware por aí e uma cópia de sombra parece ser uma maneira razoável de evitar a perda de dados. Mas o ransomware atual também exclui cópias de sombra. Então, minha idéia: Se o usuário não tiver os direitos para excluir cópias de sombra, o ransomware não poderá excluir as cópias de sombra. Como esta dica está faltando em artigos que tratam da prevenção de ransomware, esta talvez seja uma má ideia ou simplesmente impossível?

A pergunta se aplica ao Windows 7 Home Premium e ao Windows 7 Professional.

Para deixar claro: eu tenho backups, firewall, etc., então, por favor, considere isso ao responder / comentar.

windows-7 vss

por munro 19.02.2016 / 20:20

1 resposta

Tags windows-7 vss

Não é possível acessar postgres remotamente da VM do Azure Práticas recomendadas para gerenciar os endereços IP que você possui no DNS e seus PTRs?

score 3 · Accepted Answer

Ransomware (no momento deste post) chama WinExec e lança "vssadmin.exe Excluir sombras / All / Quiet".

Ele também reduz o UAC antes de executar isso usando o RtlQueryElevationFlags para que os prompts do UAC não ocorram.

Sua pergunta foi: Existe uma maneira de impedir que cópias de sombra sejam excluídas por usuários não administradores?

Você pode seguir esse caminho: Por que todos devem desativar o vssadmin mas esteja avisado que em um ambiente corporativo que provavelmente não aconteceria ou seria aprovado. Mas se você é uma pequena loja ou conhece os riscos, você pode seguir esse caminho.

Para ser honesto, como Joe aludiu, esta não é a maneira de evitar que algo realmente infecte você. Você deve procurar mais no Applocker ou no software CryptoPrevent se quiser ajudar a impedir a entrada do Ransomware. No entanto, nada foi provado como infalível e 100% eficaz ... então ter bons backups é sua melhor camada em uma abordagem em camadas aqui.