Odmówić dostępu do zmiany rozszerzenia pliku w folderze udostępnionym?

0

Czy można odmówić użytkownikom zmiany rozszerzeń plików w folderze współdzielonym? Proszę, aby spróbować uniknąć infekcji ransomware. Odmówię ludziom zmiany rozszerzeń plików w folderze współdzielonym, aby proces szyfrowania nie dotknął folderów współdzielonych ...?

Shlomi
źródło

Odpowiedzi:

0

Z tym podejściem wiąże się wiele problemów:

  • Nie ma zaawansowanych uprawnień do plików i folderów NTFS tylko do odmowy rozszerzenia / zmiany nazwy pliku, tylko odmowa uprawnień do zapisu i usuwania obejmowałaby to. Uprawnienia SMB / NFS są jeszcze bardziej ograniczone do ogólnego dostępu do odczytu / zapisu.

  • Ransomware nie tylko zmienia rozszerzenie pliku. Rozszerzenie jest potrzebne tylko do identyfikacji zaszyfrowanego pliku do odzyskania. Przed tym można zmodyfikować zawartość lub całkowicie usunąć oryginalny plik i utworzyć nowy plik. Możliwe, że w ogóle nie będziesz mieć żadnego pliku dzięki podejściu, które próbuje uniknąć zapisania zaszyfrowanego pliku zamiast zniszczenia oryginału.

  • Zabezpieczenie udostępnionych plików nie zapobiega infekcji, tylko część jej skutków.

Lepsze podejścia:

  • Wykryj złośliwą aktywność, np. Gdy użytkownik próbuje zmodyfikować kilka plików w krótkim czasie. Porzuć połączenie, odmów dostępu i automatycznie ostrzegaj administratorów, aby rozpoczęli faktyczne działania przeciwko złośliwemu oprogramowaniu: wyczyść komputer źródłowy, unikaj dalszego rozpowszechniania itp
  • Mają przyzwoity system tworzenia kopii zapasowych. Jeden byłby przyrostowy , mając kilka wersji plików z odpowiedniego okresu. Nie zezwalaj użytkownikom na dostęp do lokalizacji kopii zapasowej; mieć zewnętrznego, niezależnego użytkownika / maszynę, która wykonuje kopię zapasową z zewnątrz. Cokolwiek nadpisuje pliki, które mają być chronione, nie powinno mieć dostępu do kopii zapasowych. Możliwe wzmocnienie za pomocą kopii zapasowych offline .

    Kopie zapasowe są jedynym faktycznym lekarstwem, gdy trafi ransonware (krypto) i ostatecznie spowoduje problemy u niektórych użytkowników, bez względu na to, jak dobre są środki zapobiegawcze lub jak dobrą ochronę przed wirusami.

  • Pomimo poprzednich, mają również ochronę antywirusową, filtrowanie wiadomości e-mail, system zapobiegania włamaniom itp.

Esa Jokinen
źródło
Hej, jak można wykryć, kiedy użytkownik próbuje zmodyfikować kilka plików w krótkim czasie? @esajokinen
Shlomi
Poszukaj jakiegoś systemu wykrywania włamań oparte gospodarza (hids). Istnieje wiele zasad wykrywania wszelkiego rodzaju potencjalnie złośliwych działań.
Esa Jokinen,