Kuidas kaitsta Windowsi viiruste ja lunavara eest sisseehitatud tööriistade abil

Lunavarast on viimastel aastatel saanud suur probleem üksikute kasutajate või tervete organisatsioonide jaoks. Cryptolocker on teatud tüüpi lunavara, mis krüpteerib väärtuslikud failid (dokumendid, fotod, pildid) kasutajate kõvaketastel ja kuvab sõnumi, mis nõuab andmete taastamiseks lunaraha.

Selles artiklis vaatleme mõningaid peamisi sisseehitatud Windowsi tööriistu ja organisatsiooni tavasid, mis aitavad kaitsta teie arvutit lunavara ja viiruste eest.

Sisu:

Lubage Windowsis põhilised sisseehitatud turbetööriistad
Lubage Microsoft Defenderi lunavarakaitse kontrollitud kaustajuurdepääsuga
Kuidas blokeerida viiruseid ja lunavara tarkvara piiramise poliitika (AppLocker) abil?
Kaitske jagatud kaustu lunavara eest FSRM-iga Windows Serveris
Failide kaitsmine lunavara rünnakute eest VSS-i hetktõmmiste abil

Lubage Windowsis põhilised sisseehitatud turbetööriistad

Esiteks veenduge, et põhilised Windowsi turbetööriistad on lubatud ja õigesti konfigureeritud.

Veenduge, et teil oleks installitud sisseehitatud Windows Defender või kolmanda osapoole viirusetõrjetarkvara;

Kuidas kasutada Microsoft Defenderi viirusetõrje Windows Serveris?
Windows Defenderi tulemüür peab olema lubatud;
Kasutajakonto kontrolli (UAC) kaitse peab olema lubatud.

Organisatsiooniliste meetmete hulgas, mida saate oma arvuti kaitsmiseks võtta, soovitame järgmist.

Installige regulaarselt Windowsi turvavärskendusi;
Värskendage oma arvutisse installitud kolmandate osapoolte rakendusi;
Kasutajad ei tohiks oma masinates kasutada kohaliku administraatori õigustega kontosid (piirake kohaliku administraatori loendit GPO-ga või kasutage muutke regulaarselt kohaliku administraatori parooli, kasutades Windows LAPS-i);
Varundage oma kriitilised andmed regulaarselt (kasutage varundamisel alati reeglit 3-2-1).

Need on põhilised näpunäited nakatumisohu vähendamiseks ja lunavarast taastumise hõlbustamiseks. Järgmistes osades vaatleme teisi turvatööriistu, mis on loodud kaitsma viiruste ja lunavara eest.

Lubage Microsoft Defenderi lunavarakaitse kontrollitud kaustajuurdepääsuga

Sisseehitatud Microsoft Defender Antivirus on saadaval eraldi turvafunktsioonis, mis kaitseb kasutajaid pahatahtliku tarkvara eest. Juurdepääs kaustadele (CFA) on osa Windows Defender Exploit Guardist ja seda kasutatakse lunavara ennetamise tööriistana.

Kontrollitud kaustadele juurdepääsu funktsioon jälgib kaitstud kaustade muudatusi. Kui ebausaldusväärne rakendus üritab kaitstud kaustades faile muuta, blokeeritakse see ja kasutajat teavitatakse sellest.

Operatsioonisüsteemis Windows 10/11 on kontrollitud kausta juurdepääs vaikimisi keelatud. Avage rakendus Windows Security -> Virus and Thread Protection -> Manage ransomware protection.

Luba valik Juurdepääs kontrolleri kaustadele.

Lunavara eest kaitsmiseks lubage Windowsis kontrollitud juurdepääs kaustadele

Kuidas parandada Windowsi turvakeskus ei käivitu?

Vaikimisi kaitseb kontrollitud kausta juurdepääs ainult kasutaja profiili vaikekaustu (dokumendid, pildid, muusika, videod ja töölaud). Rohkemate kaustade lisamiseks klõpsake nuppu Kaitstud kaustad ja lisage uued teed.

Saate lisada usaldusväärseid rakendusi Rakenduse lubamine kausta kaudu osa.

Juurdepääs kaustadele töötab ainult siis, kui Windows Defender Antivirus on lubatud. Kui installitud on kolmanda osapoole viirusetõrje või Windows Defenderi teenus on keelatud, kausta lunavarakaitse ei tööta.

Samuti saate PowerShelli abil lubada kontrollitud kaustadele juurdepääsu ning lisada kaitstud kaustu ja usaldusväärseid rakendusi.

Set-MpPreference -EnableControlledFolderAccess Enabled Add-MpPreference -ControlledFolderAccessProtectedFolders "C:\Share" Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Notepad++\notepad++.exe"

Active Directory domeenis saate kasutada GPO-d lunavarakaitse lubamiseks ja konfigureerimiseks Microsoft Defender CFA (Computer) abil konfiguratsioon -> Haldusmallid -> Windowsi komponendid -> Windows Defenderi viirusetõrje -> Windows Defender Exploit Guard -> Kontrollitud juurdepääs kaustale).

Kuidas blokeerida viiruseid ja lunavara tarkvara piiramise poliitika (AppLocker) abil?

Windowsil on mitu sisseehitatud mehhanismi, mis takistavad kolmandate osapoolte programmide käivitamist kasutajate peal. arvutid: Windows Defenderi rakenduste juhtimine (WDAC), AppLocker, tarkvarapiirangute eeskirjad (SRP) jne.

Tarkvarapiirangupoliitikat kasutatakse kõige sagedamini ettevõtte keskkondades. Need reeglid võimaldavad teil luua reegleid, mis lubavad käitada ainult teatud tüüpi käivitatavaid faile (programme).

Näiteks võib tüüpiline SRP-reegel olla järgmine:

Lubage mis tahes täitmisfailil käitada määratud kaustadest: %Windir%, C:\Program Files, C:\Program Files x86
Keela muude failide täitmine.

SRP-poliitikad on konfigureeritud järgmise GPO jaotise all: Arvuti konfiguratsioon -> Windowsi sätted -> Turvasätted -> Tarkvarapiirangute poliitika -> Lisareeglid.

Mine lehele Turvatasemed jaotises klõpsake Keelatudja valige Määra vaikeväärtuseks panna SRP valge nimekirja režiimi (keelata kõike peale lubatud).

Lunavara ja viiruste vältimiseks looge valgesse nimekirja tarkvarapiirangute poliitika

Seejärel minge lehele Täiendavad reeglid sektsiooni ja luua Uued teereeglid.

Vaikimisi võimaldavad SRP-poliitikad käivitada süsteemikataloogidest täitmisfaile:

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

Lisaks lisage järgmiste radade reeglid

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CommonFilesDir% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CommonFilesDir (x86)% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CommonW6432Dir% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%

Samuti määrake teistes kataloogides olevate käivitatavate failide tee, mida soovite käivitada.

Rakenduste valgesse loendisse lisamine Windows Serveri GPO tarkvarapiirangu poliitika abil

Värskendage GPO sätteid arvutis.

Kui proovite nüüd käivitada käivitatava faili teisest kataloogist, saate veateate.

Teie süsteemiadministraator on selle rakenduse blokeerinud.

Teie süsteemiadministraator on selle rakenduse blokeerinud

Kaitske jagatud kaustu lunavara eest FSRM-iga Windows Serveris

Sa võid kasutada Failiserveri ressursihaldur (FSRM) ühe elemendina kaitseks viiruste ja lunavara vastu Windows Serveriga töötavas failiserveris. Saate blokeerida võimaluse luua failiserveris faile, mille laiendid erinevad lubatud failitüüpidest.

Installige serveri roll PowerShelli abil või serverihaldurist:

Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools

Installige Windows Serverisse FileServerResourceManager

Lunavarakaitse mõte on antud juhul eelnevalt määratleda failide rühmad, mida on lubatud ühises võrgukaustas luua. FSRM-il on juba eelnevalt määratletud failirühmad erinevate failitüüpide jaoks.

Loo uus Kõik failid gruppi ja sisene *.* aastal Kaasatavad failid valdkonnas.

luua failirühm FileServerResourceManageris

Rakenda piirang oma jagamiskaustale (Failide ekraanid -> Loo faili ekraan). Määrake kausta kohalik tee ja valige Kohandatud atribuudid. Valige:

Sõelumise tüüp: aktiivne. Failirühmad: kõik failid

Saate konfigureerida märguandeid, kui keelatud failitüüpe luuakse kasutades E-posti teavitus ja Sündmuste logi vahelehed.

fsrm failide loomise ekraani reegel ja erand

Nüüd looge sellele teele erand (Failikuvad -> Loo failiekraani erandid). Valige failitüübid, mida on lubatud jagatud võrgukausta salvestada.

Nüüd blokeerib FSRM muude failide loomise peale lubatud faililaienditega failide loomise.

Failide kaitsmine lunavara rünnakute eest VSS-i hetktõmmiste abil

Lunavararünnaku mõju minimeerimiseks veenduge, et kasutajate arvutites oleks VSS-i varjutõmmised lubatud. Saate failid taastada nende VSS-i varikoopiasse, kui lunavara on tunginud kasutaja arvutisse ja failid krüpteerinud.

Selleks on vaja:

Lubage Volume Shadow Copy Service (VSS) kõigis arvutites;
Teenuse saate lubada rühmapoliitika abil. Ava GPMC.msc konsool, navigeerige jaotisse -> Arvuti konfiguratsioon-> Windowsi sätted-> Turvasätted-> Süsteemiteenus -> Köite varjukoopia, määrake Automaatne käivitamine.
Kopeerige fail vshadow.exe Windowsi SDK-st faili windir%\system32\ kataloog kasutajate arvutites (Kuidas kasutada GPO-d faili kopeerimiseks kasutajate arvutitesse?);
Kasuta GPO plaanija ülesande juurutamiseks mis käitab perioodiliselt PowerShelli skripti, mis teeb hetktõmmised kõigist köidetest:
$HDDs = GET-WMIOBJECT –query "SELECT * from win32_logicaldisk where DriveType = 3" foreach ($HDD in $HDDs) { $Drive = $HDD.DeviceID $vssadminEnable ="vssadmin.exe Resize ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%" $vsscreatess = "vshadow.exe -p $Drive" cmd /c $vssadminEnable cmd /c $vsscreatess
}

Kui lunavara on kõik kõvakettal olevad kasutaja dokumendid krüpteerinud, saate need varikoopiast välja võtta:

Saadaolevate hetktõmmiste loend: vssadmin.exe list shadows
Paigaldage hetktõmmis ID järgi: vshadow -el={6bd123ac-4a12-4123-8daa-fabfab777c2ab},Z:

Windowsi sisseehitatud turvatööriistade abil saate oluliselt tõsta arvuti ja andmete kaitse taset viiruste ja lunavararünnakute eest.