我每天都听说一些企业或顾问受到勒索软件的影响。 通常,事件始于网络钓鱼攻击或延迟修补引入的漏洞。 或者它可能是一个应该编码得更好的顾问工具。 不管它是如何开始的,如果您尝试从备份中恢复(假设您手头有一个可行的备份)或支付赎金并尝试解密您的数据,恢复将需要时间。
这是公司通常没有的时间。
上周,美国政府设立了 Stopransomware 网站,以帮助企业、学校和其他组织应对勒索软件攻击。 指南中包含有关备份的建议:
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
“维护离线、加密的数据备份并定期测试备份至关重要。 应定期执行备份程序。 离线维护备份很重要,因为许多勒索软件变体试图查找和删除任何可访问的备份。 保持离线的当前备份最为关键,因为无需为您的组织可以随时访问的数据支付赎金。
“在需要重建的情况下,定期更新关键系统的‘黄金镜像’。 这需要维护包含预配置操作系统 (OS) 和相关软件应用程序的映像“模板”,这些应用程序可以快速部署以重建系统,例如虚拟机或服务器。
“如果重建主系统不是首选,请保留备份硬件以重建系统。 从映像重建时,比主系统更新或更旧的硬件可能会出现安装或兼容性障碍。
“除了系统映像之外,还应提供适用的源代码或可执行文件(与备份一起存储、托管、获取许可协议等)。 从系统映像重建效率更高,但某些映像无法正确安装在不同的硬件或平台上; 在这些情况下,单独访问所需的软件将有所帮助。”
[ 2023 年 CIO 100 奖:提名征集开始。 今天提交。 ]
总的来说,备份问题是我觉得微软在鼓励最佳实践方面失误的地方。 公平地说,它确实经常需要围绕许多供应商提供的第三方选项生态系统谨慎地踢踏舞。
特别是对于小型企业和个人用户,大型企业与小型企业的需求存在差异。 大型企业可以使用 Autopilot 等工具快速推出新机器的映像以进行部署。 例如,如果一系列工作站被勒索软件损坏,可以使用 AutoPilot 等各种工具重新部署它们。 (Windows 11 完全支持 AutoPilot,甚至提供了以简单方式加入 Azure AD 的选项。)
对于小型企业,微软的勒索软件理念包括受控文件夹访问。 受控的文件夹访问确保以下文件夹免受勒索软件的侵害:
c:\\Users\\<用户名>\\Documents
c:\\Users\\Public\\Documents
c:\\Users\\<用户名>\\图片
c:\\用户\\公共\\图片
c:\\用户\\公共\\视频
c:\\Users\\<用户名>\\Videos
c:\\Users\\<用户名>\\音乐
c:\\用户\\公共\\音乐
c:\\Users\\<用户名>\\Favorites
但有一个问题。 这仅在 Windows Defender 是您的主要防病毒软件时有效。 如果您使用任何其他第三方供应商提供防病毒保护,您将无法使用此功能。
微软为勒索软件数据恢复提供的下一件事是将文件卸载到 OneDrive。 除非您拥有高级 OneDrive 帐户,否则您将在同步文件的空间大小方面受到限制。
美中不足
您可以看到这些产品的缺陷:它们不会敦促用户为他们的关键系统打造黄金形象。 对于家庭用户或小型企业而言,每个桌面都是一个关键系统。 然而,多年来,微软已经从强调备份转向推动与云服务的同步。 给我一台小型商用电脑,我保证我会找到一些已安装的软件,但您无法再找到其产品密钥、软件安装文件、安装 CD,或者最近,从 Microsoft 下载服务器下载的密钥已被删除,因为 它使用 SHA-1 签名进行代码签名。
准确了解我现在电脑上的内容是确保我免受勒索软件侵害的关键方法。 然而,微软正在放弃为 Windows 11 提供此功能的工具。
不要误会我的意思。 我将云存储视为拥有另一组密钥文件的安全方式。 但是,如果我受到勒索软件的攻击并且需要恢复文件,则需要数小时(甚至数天)才能将其从云中拉下来。 即使我确实支付了勒索软件的费用并获得了解密我的数据的密钥,也仍然需要数小时,甚至数周才能消除损害。
我认识的大多数小企业都不是从云中运行的,也没有数周的时间从攻击中恢复过来。 他们通常拥有一台或两台关键服务器,提供目前无法在云产品中复制的关键需求。 可能有一天,我所有的小型企业软件产品都将在云端,我不再需要本地服务器,但今天不是那一天。 甚至更大的企业仍然非常依赖我们的活动目录域基础设施。
如何制作“金像”
在 Windows 10 中,要准备黄金映像,您必须使用 Windows 7 遗留下来的已弃用的备份工具——系统映像备份工具。 要启用该工具,请转到“设置”,然后单击“更新和安全”,然后单击“备份”。 在“寻找较旧的备份?”下 部分,单击转到备份和还原 (Windows 7) 选项。
Windows 11 中有哪些选项? 在“帐户”>“Windows 备份”下,系统会提示您设置 OneDrive 文件夹同步,以便在我的设备上记住我的应用程序,并在我的所有设备上记住我的偏好设置。 但是许多用户拥有一台——而且只有一台——Windows 计算机; 除非您购买另一台 PC,否则没有其他设备可以恢复。 您的另一个选择是将文件保存到另一个驱动器。 再一次,您必须依赖 Microsoft 不再支持的已弃用软件(隐藏在旧的控制面板设置中)来获得美国政府勒索软件指南推荐的计算机图像。
曾几何时,微软专门为小型企业设计软件。 在针对 SMB 的第一版软件中,该公司包含了一个用于设置备份的向导,因为许多公司忘记了这样做。 该设置包括一封通知电子邮件,显示备份是成功还是失败。 在后来面向家庭用户的项目中,Microsoft 构建了一个向导,不仅可以备份所有内容,还可以轻松地为加入对等网络的每台计算机设置工作站备份。
现在,内置选项是备份到云或制作文件副本。 与 Windows 10 一样,选项有限。 微软表示 Windows 11 将成为有史以来最安全的平台。 但我们需要退一步,确保 Windows 11 可以轻松恢复。 我们知道攻击者会找到发起攻击的新方法。 因此,确保我们能够恢复意味着我们可以应对任何事情。
微软可以做得比这更好。 从勒索软件中恢复现在应该是工作 1。 同时,请访问 Askwoody.com 加入我们,讨论备份机器的各种方法。 等待 Microsoft 采取行动非常重要,因此请确保您提前计划并了解您的选择。
