如何使用內置工具保護 Windows 免受病毒和勒索軟件的侵害

Jacki

2023-06-07

近年來，勒索軟件已成為個人用戶或整個組織面臨的一個大問題。 Cryptolocker 是一種勒索軟件，它會對用戶硬盤上的有價值的文件（文檔、照片、圖像）進行加密，並顯示一條消息，要求支付贖金才能恢復數據。

在本文中，我們將介紹一些關鍵的內置 Windows 工具和組織實踐，它們可以幫助保護您的計算機免受勒索軟件和病毒的侵害。

內容：

啟用 Windows 上的基本內置安全工具
通過受控文件夾訪問啟用 Microsoft Defender 勒索軟件保護
如何使用軟件限制策略 (AppLocker) 阻止病毒和勒索軟件？
在 Windows Server 上使用 FSRM 保護共享文件夾免受勒索軟件侵害
使用 VSS 快照保護文件免受勒索軟件攻擊

首先，確保基本 Windows 安全工具已啟用並正確配置：

確保您安裝了內置的Windows Defender或第三方防病毒軟件；如何在 Windows Server 上使用 Microsoft Defender 防病毒軟件？
必須啟用Windows Defender防火牆；
必須啟用用戶帳戶控制 (UAC) 保護。

在您可以採取的幫助保護計算機的組織措施中，我們建議您採取以下措施：

定期安裝Windows安全更新；
更新您計算機上安裝的第三方應用程序；
用戶不應在其計算機上使用具有本地管理員權限的帳戶（使用 GPO 限製本地管理員列表或使用 Windows LAPS 定期更改本地管理員密碼）；
定期備份關鍵數據（備份時始終使用 3-2-1 規則）。

這些是降低感染風險並更容易從勒索軟件中恢復的基本技巧。在以下部分中，我們將了解旨在防範病毒和勒索軟件的其他安全工具。

通過受控文件夾訪問啟用 Microsoft Defender 勒索軟件保護

內置 Microsoft Defender 防病毒軟件提供單獨的安全功能，可保護用戶免受惡意軟件的侵害。受控文件夾訪問(CFA) 是 Windows Defender Exploit Guard 的一部分，定位為勒索軟件預防工具。

受控文件夾訪問功能跟踪受保護文件夾的更改。如果不受信任的應用程序嘗試修改受保護文件夾中的文件，則會被阻止並通知用戶。

在 Windows 10/11 中，默認情況下禁用受控文件夾訪問。打開 Windows 安全應用 -> 病毒和線程防護 -> 管理勒索軟件防護。

啟用該選項控制器文件夾訪問。

如何修復Windows安全中心無法啟動？

默認情況下，受控文件夾訪問僅保護用戶配置文件中的默認文件夾（文檔、圖片、音樂、視頻和桌面）。要添加更多文件夾，請單擊“受保護的文件夾”並添加新路徑。

您可以在中添加受信任的應用程序允許應用程序通過文件夾部分。

僅當啟用 Windows Defender 防病毒功能時，受控文件夾訪問才有效。如果安裝了第三方防病毒軟件或禁用了 Windows Defender 服務，則文件夾勒索軟件防護將不起作用。

您還可以啟用受控文件夾訪問並使用 PowerShell 添加受保護的文件夾和受信任的應用程序：

Set-MpPreference -EnableControlledFolderAccess Enabled Add-MpPreference -ControlledFolderAccessProtectedFolders "C:Share" Add-MpPreference -ControlledFolderAccessAllowedApplications "C:Program Files (x86)Notepad++notepad++.exe"

在 Active Directory 域中，可以使用 GPO 通過 Microsoft Defender CFA 啟用和配置勒索軟件防護（計算機配置 -> 管理模板 -> Windows 組件 -> Windows Defender 防病毒 -> Windows Defender Exploit Guard -> 受控文件夾訪問）。

如何使用軟件限制策略 (AppLocker) 阻止病毒和勒索軟件？

Windows 有多種內置機制來阻止第三方程序在用戶計算機上運行：Windows Defender 應用程序控制 (WDAC)、AppLocker、軟件限制策略 (SRP) 等。

軟件限制策略最常用於企業環境。這些策略允許您創建僅允許運行某些類型的可執行文件（程序）的規則。

例如，典型的 SRP 規則可能如下：

允許從指定文件夾運行任何可執行文件：%Windir%,C:Program Files,C:Program Files x86
拒絕執行任何其他文件。

SRP 策略在以下 GPO 部分下配置：計算機配置 -> Windows 設置 -> 安全設置 -> 軟件限制策略 -> 附加規則。

前往安全級別部分，單擊不允許，然後選擇設置為默認值將 SRP 置於白名單模式（拒絕除允許之外的所有內容）。

然後前往附加規則部分並創建新路徑規則。

默認情況下，SRP 策略允許運行系統目錄中的可執行文件：

%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot% %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%

另外，添加以下路徑的規則

%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionCommonFilesDir% %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionCommonFilesDir (x86)% %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionCommonW6432Dir% %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir (x86)% %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramW6432Dir%

另外，指定您想要允許運行的其他目錄中的任何可執行文件的路徑。

更新計算機上的 GPO 設置。

如果您現在嘗試從不同的目錄運行可執行文件，您將收到錯誤。

This app has been blocked by your system administrator.

在 Windows Server 上使用 FSRM 保護共享文件夾免受勒索軟件侵害

你可以使用文件服務器資源管理器 (FSRM)作為運行 Windows Server 的文件服務器上防範病毒和勒索軟件的要素之一。您可以阻止在文件服務器上創建擴展名與允許的文件類型不同的文件的可能性。

使用 PowerShell 或從服務器管理器安裝服務器角色：

Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools

在這種情況下，勒索軟件保護的想法是預定義允許在共享網絡文件夾中創建的文件組。 FSRM 已經為不同的文件類型預定義了文件組。

創建一個新的所有文件分組並輸入*.*在要包含的文件場地。

將限制應用到您的共享文件夾 (文件屏幕->創建文件屏幕）。指定文件夾的本地路徑並選擇自定義屬性。選擇：

Screening type: Active
File Groups: All files

您可以使用以下命令配置創建禁止的文件類型時的通知電子郵件通知和事件日誌選項卡。

現在為該路徑創建一個例外（文件屏蔽 -> 創建文件屏蔽例外）。選擇允許存儲在共享網絡文件夾中的文件類型。

現在，FSRM 將阻止創建除具有允許的文件擴展名之外的任何文件。

參見：iforgot.apple.com 網絡釣魚詐騙：如何防範

使用 VSS 快照保護文件免受勒索軟件攻擊

確保在用戶計算機上啟用 VSS 影子快照，以最大程度地減少勒索軟件攻擊的影響。如果勒索軟件已滲透到用戶的計算機並加密了文件，您可以將文件還原到其 VSS 卷影副本。

這需要：

在所有計算機上啟用卷影複製服務 (VSS)；您可以使用組策略啟用該服務。打開 GPMC.msc 控制台，導航至 -> 計算機配置 -> Windows 設置 -> 安全設置 -> 系統服務 ->卷影複製,設定自動的啟動。
將 vshadow.exe 文件從 Windows SDK 複製到windir%system32用戶計算機上的目錄（如何使用GPO將文件複製到用戶計算機？）；
使用 GPO 部署調度程序任務，該任務定期運行為所有捲拍攝快照的 PowerShell 腳本：
$HDDs = GET-WMIOBJECT –query "SELECT * from win32_logicaldisk where DriveType = 3" foreach ($HDD in $HDDs) { $Drive = $HDD.DeviceID $vssadminEnable ="vssadmin.exe Resize ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%" $vsscreatess = "vshadow.exe -p $Drive" cmd /c $vssadminEnable cmd /c $vsscreatess
}