为我的网络驱动器创建快捷方式/收藏夹而不是使用映射驱动器有助于防止勒索软件加密吗?

信息安全 恶意软件 攻击预防
2021-09-10 14:24:36

出于安全原因和防止恶意软件在网络上传播,创建桌面快捷方式或 Internet Explorer 收藏是否被认为比映射驱动器更安全?

2个回答

不和是

法则 1:如果一个坏人可以说服你在你的电脑上运行他的程序,那它就不再是你的电脑了

10 条不变的安全法则

最终,如果它在您的系统上运行,恶意软件(至少)对您的文件系统和网络资源具有与您一样的访问级别。因此,严格来说,文件共享是“映射”还是通过快捷方式链接并不重要 - 如果您可以访问它,恶意软件也可以访问它。

是的:

上一段的关键词:可以

仅仅因为恶意软件可以做某事,并不意味着它除非您正在与专门针对您或您的组织的攻击者打交道,否则您将遇到的大多数恶意软件将来自通用工具包,这些工具包旨在优化尽可能多的目标的有效性。简而言之,大多数恶意软件都是通用的

对于大多数目标而言,恶意软件仅寻找已安装的驱动器进行感染相对容易,并且通常更有价值。如果某个资源已经安装在操作系统中,那么可以肯定的是,它近在咫尺(即:低延迟)并且您至少可以访问它。在本地网络上的所有设备中搜索允许恶意软件进行读/写访问的驱动器是一件更加复杂和耗时的事情,而且通常不太可能取得成果。它也更加“嘈杂”,因此更有可能被公司监控系统捕获。

这在勒索软件中常见。大多数勒索软件将(在 Windows 系统上)简单地运行所有带字母的驱动器(例如:本地硬盘驱动器、本地可移动媒体、映射的网络驱动器)并加密它在这些区域中找到的与它所针对的文件类型匹配的任何内容。未链接到驱动器号的资源通常不会被触及。因此,对于行为相似的勒索软件和其他恶意软件,避免映射网络驱动器肯定有好处。

恶意软件当然仍然有可能发现您连接的网络共享,即使它们没有映射到驱动器号。要查看此操作(对于 Windows 系统),请在文件资源管理器中手动浏览到未映射的网络共享,然后net use在命令提示符下运行。您将在该列表中看到您连接到的资源,没有关联的字母。

也就是说,避免网络驱动器映射仍然可以为这种发现提供一定程度的防御。为了最有用,映射驱动器必须是持久的——也就是说,连接在系统启动时重新建立,并且一直保持到您明确销毁它为止。但是,当您遵循桌面快捷方式时建立的连接更加短暂 - 最多,它通常只会持续到下一次重新启动。因此,虽然恶意软件并非不可能发现这种连接,但它通常会降低它发生的可能性。

TL;博士:

严格地说,一旦你的系统上运行了恶意软件,它就可以对你有权访问的资源做任何想做的事情——不管它们是否被“映射”。

但是,在实践中,您将看到的大多数恶意软件只是在追求“唾手可得的果实”。因此,它通常不会超出系统在感染时安装的任何资源。如果您避免使用网络驱动器映射,则可以大大降低恶意软件在运行时发现连接的可能性。如果您碰巧遇到了查找“驱动器号”的内容,则该影响与本地系统完全隔离。

因此,虽然它可能远非万无一失,但远离映射网络驱动器仍有一些安全价值。在许多方面,这就像为普通网络服务使用非默认端口这是一个省力的附加层,您可以将其添加到您的安全状况中以获得潜在的高价值。(强调额外,因为这也不是万无一失的。您还应该采取其他更可靠的安全措施来防止恶意软件感染并隔离其影响。)

不。

这实际上可以防止所有攻击吗?绝对不。它可以阻止一些吗?可能不是。给用户带来不便值得吗?不。无论如何,如果你有一个无能的攻击者,这样做有什么意义吗?不。

这并不重要。如果恶意软件可以访问您的系统,并且您的系统可以访问网络驱动器,则恶意软件可以访问网络驱动器。桌面快捷方式只是网络驱动器的文件路径,与映射驱动器基本相同。

现在,如果在映射驱动器时将机器设置为记住网络凭据,恶意软件可能能够获取这些凭据并在稍后重新连接或自动连接到网络驱动器,而快捷方式可能会每次都提示您输入网络凭据。但是在这两种情况下,这种行为都可以改变,你永远不能信任客户。

为什么没关系:

无论是桌面快捷方式还是映射驱动器,问题都与操作系统何时/如何连接到驱动器无关。快捷方式和映射驱动器都指向操作系统可以访问的网络路径。如果受感染的用户对网络驱动器具有写入权限,恶意软件可以将恶意负载上传到网络驱动器,并等待毫无戒心的用户点击它们并感染他们自己的机器。

如果您担心网络驱动器充当恶意文件的暂存区,您可以采取其他步骤来保护它。白名单文件类型,根据最低权限原则为具有不同访问级别的不同用户帐户设置读/写权限,或者将上述内容与内部防火墙(正如您提到的那样)和防病毒解决方案相结合。

为什么对边缘情况这样做是荒谬的(专门针对勒索软件):

说这是一种有效的安全措施是完全错误的。对用户可能造成的不便也不是合理的,即使采取绝对锁定所有内容的保守方法也是如此。考虑到现代勒索软件攻击的先进程度,我高度怀疑寻求加密文件的恶意程序是否会在连接的驱动器上停止。更有可能的是,它会检查本地机器上的每个文件和路径,以及每个可用的网络驱动器和路径,无论它们是如何安装到操作系统的。如果您的计算机可以访问网络驱动器并且勒索软件可以访问您的计算机,则勒索软件可以并且将会访问您的网络驱动器,并且如果它具有写入权限,则可以加密其中的文件。

任何可能出错的事情都会出错。在安全方面,总是假设最坏的情况。

其它你可能感兴趣的问题
上一篇加密数据,仍然可以进行文本搜索 下一篇密码破解者/蛮力攻击是否对“图片密码”有更高的优先级?