web-dev-qa-db-ja.com

Windows Server-ファイルの暗号化を防ぐ方法はありますか?

ここではEFSやBitlockerについて話しているのではありません。

ファイルが暗号化されないようにする方法があるかどうか尋ねています。ランサムウェアについてある程度言及していますが、具体的には次のシナリオが必要です。

  • Windowsファイルサーバーw /共有(E:ドライブ上)

上記のサーバーに「E:ドライブ上のファイルを誰でも、または任意のソフトウェア/プロセスによって暗号化することを許可しないでください」と伝える方法が必要です。

NTFSレベルでこれを行う方法は、「読み取り」アクセス以外にはありません。変更アクセスでは、ファイルを暗号化できます。

私はオンラインで検索しましたが、目の前の質問とは何の関係もないEFS/bitlocker /ランサムウェアリンクがたくさんあります。

だから仲間の専門家。上記を太字にする方法はありますか?私はランサムウェアなどを防ぐ方法については質問していません。太字の領域は特に私が求めているものです。

6
TheCleaner

つまり、いいえ。

おっしゃったように、ユーザーに書き込みアクセスを許可すると、ユーザーはデータを暗号化できます。私は、オペレーティングシステムまたはファイルシステムがstartでさえ、そこに存在する多くの種類の暗号化を検出して防止することができる方法を想像できませんでした。

ただし、これは難しい問題であり、OSベンダーがCryptolockerなどのレンダリングに多大な労力を費やしていることを期待しています。 al。現在よりも破壊的ではありません。

それまでは、可能な限り多くの種類のバックアップを維持し、それらのバックアップを確実かつ迅速に復元できるようにすることが最善の保護になります。

14
EEAA

はい、ただしいいえ

これは、何かを行うすべての方法を防ぐことが文字通り不可能である奇妙なケースの1つです。

Bitlocker、Truecrypt、およびその他の正当な暗号化プログラムなどのプロセスが共有にアクセスできないようにすることができます。ほとんどの場合、これはグループポリシー(Bitlockerがここで頭に浮かびます)または特定の「オールインワン」ソフトウェアパッケージ(Kaseya、Labtech、またはNAbleを参照)を通じて行われます。

簡単ですか?

主よ。個別の暗号化プログラムごとに応答手順をスクリプト化する必要があります。そして、市場に出てくる新しいプログラムごとにそうしなければならないでしょう。それは時間を要し、痛みを伴い、それでもまだ状況の50%しかカバーしないでしょう。私はLabtechとN-Ableの両方でスクリプトを作成しましたが、それは迅速で簡単ではありません。

待って、あなたもノーと言いましたか?

そうです、また違います。いいえ、ほとんどのランサムウェアプログラムは暗号化プログラムを使用していないためです。彼らは、テキストエディターのようなもので特定のファイルを開き、生成したハッシュに従って値を変更しているだけです。共有への変更アクセスを拒否しない限り、この種の動作を停止することはできません。

それで、それは価値がありますか?

いいえ。おそらく正当で役立つ暗号化機能をブロックできますが、危険な暗号化機能はまだ通過する可能性があります。


注目すべき編集

実際の質問は上記で処理されますが、質問の意図は少し要約することができます。今日、Nice暗号ロッカーでもう1度実行したところ、この問題についての私の見解を復習しました。

暗号化ロッカーは結局のところ危険ですが、すべてが危険な感染症であると恐れていますが、過大評価していることがあります。この特定の暗号化ロッカーは、2分以内にエンタープライズアンチウイルスソフトウェアによって検出されました。全体で、検出されて削除される前に、ネットワーク共有上の合計7つのフォルダーを暗号化することができました。奇妙なことに、それは実際には最初にネットワーク共有に行くのに十分賢く、以前の暗号ロッカーでは見られなかった動作です。

いくつかの非常に重要なデータは、暗号化された7つのフォルダーに非常によく含まれている可能性があります(この場合は含まれていませんでした)が、全体的な影響は最小限です。適切なバックアップソリューションを導入した場合、感染したワークステーションを再展開する機会を利用しているため、総復旧時間はおそらく4時間未満であり、それだけの高さになります。

暗号ロッカーに対する防御策を開発するために4時間以上費やしている場合、おそらくそれを開発するコストの価値はありません。

5
Naryna

ファイルは単なるバイトです。

このコンテキストでは、特別な「暗号化された」ステータスはありません。ファイルへの書き込みアクセス権があるか、そうでないかのどちらかです。ファイルへの書き込みアクセス権を取得すると、すべてのベットが無効になります。暗号化されたバイトと他のバイトから保護できる違いは何もありません。暗号化されたバイトはどういうわけか「よりランダム」であると主張するかもしれませんが、圧縮アルゴリズムはほとんど同じ効果を持っています...暗号化されたバイトの書き込みを検出しようとする可能性のあるものは、誰かが画像、ビデオ、またはオーディオファイル。

ファイルサーバー上のランサムウェアから保護する場合は、クライアント、ゲートウェイ、およびサーバーでウイルス対策を十分に行ってください。ローカルマシンでの最小限の特権の原則に従って、感染の可能性を制限し、ファイルサーバー/ファイル共有レベルで書き込みアクセスを制限して、感染が発生した場合の感染の範囲を制限します。ソースから物理的に分離された適切なバックアップ(テスト済みの復元を使用)を取得して、何かが発生した場合にファイルを回復できるようにします。

特定の既知のファイルタイプのみを許可し、バッファがI/Oを書き込み、ファイルのヘッダーをスキャンしてヘッダーデータがファイル拡張子と一致することを確認するファイル共有プラットフォームを見るのは興味深いかもしれません(jpgには読み取り可能なヘッダーがあり、txtファイルでは許可されます) asciiなど)。しかし、これは一般的なSMB/DFS/CIFS共有の一部ではありません。この種のことは、常に有効なヘッダーを書き込むだけで簡単に解決できます。

3
Joel Coel

いいえ、ファイルの暗号化を防ぐことはできません。 OSは、ファイルが暗号化されているかどうか、それが「認識」していない形式であるかどうかをどのようにして認識するのですか?

OSレベルの暗号化を無効にして、一部のプログラムをGPO経由で実行できないようにすることはできますが、everyプログラムや、ユーザーがアップロードしたalready暗号化ファイルを停止することはできません。

やりたいことは、ユーザーがファイルを本来の場所にのみ配置し、他の場所には配置しないようにすることです。

1
warren