今天以 mayuyu 在此篇所说的方法 原帐户 O (系统管理员) 建立一个新的系统管理员帐户 N 再变更帐户 O 为一般使用者 UAC 预设为最高等级 然後以帐户 O 变更 D 磁碟机的权限只能读取 (1) 进去 D 槽内按右键 新增只剩下 新增资料夹(前面还有盾牌) (2) 开启记事本想建立文字档在 D 槽 不能储存 (3) 开启在 D 槽的 Excel 档编辑 不能储存 只有 (1) 会出现 UAC 弹窗询问帐户 N 的密码 其他动作 (2)建立 (3)编辑 不会 也就是不能建立文字档、编辑 Excel 档 因为在9月底乾净安装 Windows 10 1607 会不会是因为作业系统版本不同而造成此现象? 召唤 mayuyu 或 lmkkml 大大 谢谢 ※ 引述《mayuyu ((・ω・)ノ)》之铭言： : 再推一下lmkkml大大介绍的第一个方法， : 很好用，有效又方便。 : ※ 引述《lmkkml (小羊~~~)》之铭言： : : 这篇是我不久前在Mobile01 上面 PO的测试文章，在这边先打预防针， : : 测试结果不保证适用所有勒索病毒，不过我能拿到的勒索病毒无论新旧几乎都全用上了： : : ［心得］勒索病毒预防和救援简单测试（CryptXXX、CERBER、LOCKY、TeslaCrypt） : : http://tinyurl.com/gumkfnv : : 以就算中毒，病毒也无法加密到非系统槽的重要档案为目标， : : 然後在这样的前提下还要可以自在的写入/读取/搬移档案， : : 又不因为了预防勒索病毒而变得绑手绑脚。以下节录几个可行的方法： : : 1.使用使用者帐户：推荐指数 ★★★★★ : : 具体做法为额外创建一个使用者帐户， : : 仅开放某磁碟机或特定资料夹之读取权限给该使用者帐户使用， : : 这边以磁碟机 F 槽为例，於 F 槽上按右键点选内容→安全性→编辑， : : 进入变更权限视窗後→选取Authenticated Users→ : : 取消写入仅保留允许读取相关的勾勾如下图→按下「确定」。 : : 日後操作电脑只登入使用者帐户，而资料都放在磁碟机 F 槽底下； : : 使用者帐户若中毒，病毒也无法取得修改权限进行加密。 : : 上述设定若顺利完成，会发现若要在 F 槽新增或修改现有档案时， : : 会出现要求输入管理员密码的使用者帐户控制弹窗， : : （如果电脑只是个人使用，管理员帐户不设密码也无所谓） : : 这时按下「是」即可在 F 槽新增或修改现有档案。 : : http://i.imgur.com/epcC9O6.png : 如果你目前的帐户已经是系统管理员，可以再新增一个系统管理员帐户， : 然後把目前的帐户转为一般使用者， : 就可以改用一般使用者的身份登入目前的桌面，保留之前的设定。 : 有两个以上的帐户需要开机自动登入的话，按WIN+R键，输入netplwiz按Enter， : 取消打勾「必须输入使用者名称和密码，才能使用这台电脑」， : 选取要自动登入的帐户按确定，然後输入登入密码， : 不想设密码的话就维持空白按确定关闭对话框， : 这样以後开机就会自动用一般使用者的帐户登入Windows。 : 然後记得开启UAC，这样有程式要求系统管理员权限的时候就会自动通知， : 没有系统管理者权限就无法修改被保护的资料夹。 : 另外有一些可以将档案、资料夹、整个磁碟机上锁保护起来的软体， : 例如Secure Folders、Easy File Locker等等， : Secure Folders(已经不再更新，原网站已消灭，务必关闭软体自动更新功能 ) : http://www.softpedia.com/get/Security/Security-Related/Secure-Folders.shtml : Easy File Locker(Shadow Defender的作者写的) : http://www.xoslab.com/efl.html : 其他还有很多类似的软体。 : 这些软体在系统核心安装驱动过滤读写的要求+使用系统存取控制清单， : 来限制受保护的资料夹只允许白名单内的程式存取和修改。 : 如果程式不在白名单内，即使是系统管理员权限也无法存取和修改这些资料夹， : 所以即使不幸遇到零时差的提权漏洞攻击，让恶意程式取得系统管理员权限， : 它还是无法修改这些受保护的资料夹。 : 不过有一个很大的问题是，一般人会放行档案总管explorer.exe为白名单程式， : 这样才能对这些资料夹进行档案管理，但是explorer.exe经常被恶意程式利用， : 所以放行explorer.exe便无法保护这些资料夹不被恶意程式修改， : 例如CTB-Locker就可以透过explorer.exe加密受保护的资料夹。 : 所以如果你有使用另外的档案管理软体，例如Xplorer2、FreeCommander等等， : 就可以不用放行explorer.exe。 : 或者是你有用其他保护软体保护explorer.exe， : 禁止其他程式注入和修改explorer.exe， : 那麽才可以把explorer.exe放进白名单里。 : 第二个问题是这些软体都无法阻挡直接底层磁碟的操作， : 例如用WinHex直接编辑磁区就可以绕过ACLs的保护， : 如果有加密勒索软体使用直接底层读写， : 那麽这些依於档案系统的存取控制就无法发挥作用。 : 所以Easy File Locker(Shadow Defender的作者)有说 : Easy File Locker不保证能够防护所有加密勒索软体。 : 另外Secure Folders也不能防护从网路磁碟进来的存取。 : 所以这些软体可以提供相当程度的保护， : 不过还是不能保证可以100%防御。 : 如果使用沙盘的话，沙盘也不能保证100%， : 不过它有多加一些限制，理论上会再更安全一点。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 180.176.189.187 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1477227389.A.664.html ※ 编辑: fema (180.176.189.187), 10/23/2016 21:02:44 利用档案权限的方式 就是希望(2)(3)和 (1) 一样 问系统管理员密码 这样日常作业比较方便 又可以防勒索 不过今天看到这篇 lmkkml 大大的补充 https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1465311074.A.698.html #1NLjzYQO 「 补充1：如果 D 槽存有大量日後需要修改的文件档（word, excel...等），就请不要使用 这个方法罗。因为如果要编辑修改的话，可能还要把文件拉回桌面，修改完再放回 D 槽 覆盖，或右键以管理员帐户执行程式，再开启旧档选 D 槽的该文件方能编辑，非常麻烦。 补充2：切记如果将来要重灌电脑重灌 C 槽，一定要先把 D 槽的权限恢复原状。首先要 把「Administrators」勾选完全控制，让「Administrators」成为最高管理者，最後再把 新增的（管理员B）移除掉。这样才可以避免 D 槽档案的拥有者变成无主孤魂。 」 我放弃在 Windows 使用档案权限的方式防勒索 lmkkml 大大还有 mayuyu 大大的想法很好 或许微软之後会改好档案权限管理机制 一般使用者因系统要求权限提供系统管理员密码以新增编辑删除档案 ※ 编辑: fema (180.176.189.187), 10/24/2016 18:56:41