Заблокировать доступ на запись к диску Windows?

Question

В моей коробке есть резервный диск, который я использую только для разностного резервного копирования других моих дисков. В настоящее время у меня нет денег, чтобы купить внешнее решение, и я хотел бы убедиться, что мой резервный диск максимально защищен от таких вещей, как вымогатели.

Есть ли способ заблокировать доступ на запись к диску через Windows, не требуя предварительной проверки подлинности? Будет ли это даже смягчить что-то вроде вымогателей от шифрования диска?

Answer 1

Предполагая, что любое вымогатель работает под вашей собственной учетной записью пользователя, потому что вы случайно загрузили и запустили его, или оно использовало ошибку в любом программном обеспечении, которое вы запускаете, вы можете сделать следующее:

• Убедитесь, что ваша обычная учетная запись пользователя не является членом группы администраторов
• Не просто полагайтесь на запросы UAC, не используйте учетную запись администратора для повседневной работы.
• Всегда держите свою ОС Windows в курсе последних обновлений.
• Убедитесь, что ваша обычная учетная запись пользователя не является членом группы администраторов

Если вы выполните это, вымогатель сможет шифровать только те файлы, к которым у вас есть доступ.

На вашем резервном диске вы можете предоставить себе доступ для чтения, но не иметь права записи для каких-либо файлов. Так что вам легко получить резервную копию файла, если вам нужно, но вы не можете изменить файл, и вымогатель не может зашифровать его.

Установите разрешения NTFS на вашем резервном диске следующим образом:

 NT AUTHORITY\SYSTEM:(OI)(CI)(F)
 BUILTIN\Administrators:(OI)(CI)(F)
 BUILTIN\Backup Operators:(OI)(CI)(M)
 BUILTIN\Users:(OI)(CI)(RX)

• Создайте нового пользователя, который будет использоваться исключительно для резервного копирования файлов, и добавьте эту учетную запись в группу « Backup Operators ».
• Настройте программное обеспечение, отвечающее за резервное копирование, для запуска под этой новой учетной записью. Таким образом, программа / скрипт / задача может записывать файлы на резервный диск.
• Убедитесь, что процесс резервного копирования не перезаписывает файлы в резервной копии слишком часто. Если некоторые вымогатели запускают и шифруют файлы, вы не хотите, чтобы процесс резервного копирования слишком быстро копировал эти зашифрованные файлы на диск резервного копирования. Наличие отдельных папок с разностными резервными копиями в течение дня может работать.
• В идеале процесс резервного копирования должен иметь возможность предотвратить копирование зашифрованных файлов.
• Убедитесь, что ваш процесс резервного копирования не копирует разрешения NTFS с файлами, это даст вам и вымогателю доступ на запись к файлам снова.
• Убедитесь, что все, что запускает процесс резервного копирования, не может быть запущено вашей обычной учетной записью пользователя.

Я делаю точно такую же настройку довольно долго, я все еще делаю резервные копии на внешние диски и в облако, но наиболее частые резервные копии - на внутренний диск.

Это также предотвращает случайное удаление файлов резервных копий.