Windows 10 备份对勒索软件安全吗?

信息安全 备份 勒索软件 windows-10
2021-08-22 01:11:39

Windows 10 将其备份存储在受保护的文件夹中,例如E:\System Volume Information,只有 SYSTEM 帐户才能完全访问它。这是否使其免受加密文件的勒索软件的侵害?即使以“管理员身份”运行,我似乎也无法访问该文件夹,所以它看起来很安全,对吧?

那么 Windows 10 文件历史记录功能呢,安全吗?

请注意:@SilverlightFox 是对的,备份并没有System Volume Information像我想的那样存储在文件夹中,而是存储在与计算机同名的文件夹中,例如E:\MYCOMPUTERE 可以是任何驱动器。默认情况下,SYSTEM 用户和管理员组可以访问此文件夹。

4个回答

如果勒索软件获得对您计算机的管理员访问权限,则它可能会损坏 Windows 计算机可能在该计算机上创建的任何备份。

如果勒索软件仅获得非管理员访问权限(即您使用非管理员帐户进行 Web 浏览),那么这些备份将是安全的。

最好的办法是备份到可移动存储设备。(当然 Windows 有这个选项)将此设备放在安全的地方,与您的计算机分开。通过这种方式不仅可以保护您的备份免受病毒侵害,而且在发生物理盗窃或硬件故障时,您仍然可以拥有备份。

您还可以将文件备份到单独的服务器,只要该服务器已正确配置(并且安全),以便勒索软件损坏的备份不会覆盖原始文件。

System Volume Information文件夹仅包含由系统还原备份的文件。也就是说,如果您的个人文件被恶意软件覆盖,它不会保护您的个人文件,它只会保护 Windows 系统文件。

此外,虽然默认情况下您无法访问此文件夹,但如果您以管理员身份(或具有管理员权限)获得该文件夹的所有权,则没有什么能阻止您访问它。

文件历史记录仅与它备份到的外部驱动器一样安全。即不要为备份目的地选择内部驱动器,因为它同样容易受到勒索软件和恶意软件的攻击。

您仍然有一个包含真实数据的物理驱动器,尽管管理员可能无法访问它。即使您在 Windows 10 中阻止对其进行任何访问,随机软件或恶意软件也可能使用管理访问权限来安装 bootkit 或更糟。

或者,想象一下您将普通 USB 驱动器插入计算机的场景。攻击者可以在 Windows 10 中擦除驱动器,使用指令刷新 linux livecd iso 以重新连接到他的服务器,然后重新启动。如果闪存驱动器在引导顺序中排在首位,则计算机将运行攻击者想要的任何代码,从而使他能够访问所有物理驱动器及其上的数据。

显然这是一个人为/荒谬的例子,但这里要强调的一点是,如果攻击者可以获得对操作系统的管理访问权限,那么您就无法阻止他们获取 Windows 10 所需的硬件。使用权。就像 Silverlight Fox 指出的那样,一个简单的权限更改可以完成同样的事情。

一般来说,大多数勒索软件都会尝试加密主驱动器以及任何连接的驱动器(USB、网络共享等)。我敢打赌,如果它可以找到您的备份文件,它们也会被加密(如果有人获得了 Cryptolocker 的早期版本并加密了所有网络共享)。备份(具有定义的备份策略)使我们免于支付费用。

这就是为什么离线备份(即外部硬盘未永久连接)或云备份如此重要的原因。如果您的计算机受到威胁,则无法立即访问的东西。

我应该注意到 Windows(所有版本都可以追溯到 XP)使用它自己的专有增量备份系统。它构建一个备份文件,然后在每个后续备份中递增数据。这足以保证您的数据安全(前提是您有离线驱动器)。