有没有办法防止非管理员用户删除卷影副本?我现在唯一发现的是组策略,它隐藏了用户在
Windows资源管理器中的选项卡(因此他无法查看副本,因此无法在资源管理器中恢复/查看/删除它们(?)).这够了吗?或者用户可以通过脚本/命令行执行此操作吗?
我问的原因是:目前周围有很多勒索软件,影子副本似乎是防止数据丢失的合理方法.但是目前的勒索软件也删除了影子副本.所以我的想法是:如果用户没有删除卷影副本的权限,勒索软件将无法删除卷影副本.由于在处理勒索软件预防的文章中缺少这个提示,这可能是一个坏主意或根本不可能?
该问题适用于Windows 7 Home Premium和Windows 7 Professional.
为了说清楚:我有备份,防火墙等,所以请在回答/评论时考虑这一点.
勒索软件(在本文发布时)调用WinExec并启动“vssadmin.exe删除阴影/全部/安静”.
它还会在使用RtlQueryElevationFlags运行此命令之前降级UAC,以便不会发生UAC提示.
你可以走这条路:Why Everyone should disable vssadmin,但要预先警告在一个不太可能发生或获得批准的企业环境中.但如果你是一家小商店或者知道你可以走这条路的风险.
说实话,就像乔提到的那样,这不是防止任何事情真正感染你的方法.如果你想帮助防止勒索软件进入,你应该更多地了解Applocker或CryptoPrevent软件.但是,没有任何东西被证明是万无一失的,并且100%有效…所以拥有良好的备份是这里分层方法的最佳层.