如何使用内置工具保护 Windows 免受病毒和勒索软件的侵害

近年来，勒索软件已成为个人用户或整个组织面临的一个大问题。 Cryptolocker 是一种勒索软件，它会对用户硬盘上的有价值的文件（文档、照片、图像）进行加密，并显示一条消息，要求支付赎金才能恢复数据。

在本文中，我们将介绍一些关键的内置 Windows 工具和组织实践，它们可以帮助保护您的计算机免受勒索软件和病毒的侵害。

启用 Windows 上的基本内置安全工具

首先，确保基本 Windows 安全工具已启用并正确配置：

• 确保您安装了内置的Windows Defender或第三方防病毒软件；

  如何在 Windows Server 上使用 Microsoft Defender 防病毒软件？

• 必须启用Windows Defender防火墙；

• 必须启用用户帐户控制 (UAC) 保护。

在您可以采取的帮助保护计算机的组织措施中，我们建议您采取以下措施：

• 定期安装Windows安全更新；

• 更新您计算机上安装的第三方应用程序；

• 用户不应在其计算机上使用具有本地管理员权限的帐户（使用 GPO 限制本地管理员列表或使用 Windows LAPS 定期更改本地管理员密码）；

• 定期备份关键数据（备份时始终使用 3-2-1 规则）。

这些是降低感染风险并更容易从勒索软件中恢复的基本技巧。在以下部分中，我们将了解旨在防范病毒和勒索软件的其他安全工具。

通过受控文件夹访问启用 Microsoft Defender 勒索软件保护

内置 Microsoft Defender 防病毒软件提供单独的安全功能，可保护用户免受恶意软件的侵害。 受控文件夹访问 (CFA) 是 Windows Defender Exploit Guard 的一部分，定位为勒索软件防御工具。

受控文件夹访问功能跟踪受保护文件夹的更改。如果不受信任的应用程序尝试修改受保护文件夹中的文件，则会被阻止并通知用户。

在 Windows 10/11 中，默认情况下禁用受控文件夹访问。打开 Windows 安全应用 -> 病毒和线程防护 -> 管理勒索软件防护。

启用选项控制器文件夹访问。

如何修复Windows安全中心无法启动？

默认情况下，受控文件夹访问仅保护用户配置文件中的默认文件夹（文档、图片、音乐、视频和桌面）。要添加更多文件夹，请单击“受保护的文件夹”并添加新路径。

您可以在允许应用程序通过文件夹部分添加受信任的应用程序。

仅当启用 Windows Defender 防病毒功能时，受控文件夹访问才有效。如果安装了第三方防病毒软件或禁用了 Windows Defender 服务，则文件夹勒索软件防护将不起作用。

您还可以启用受控文件夹访问并使用 PowerShell 添加受保护的文件夹和受信任的应用程序：

Set-MpPreference -EnableControlledFolderAccess Enabled
Add-MpPreference -ControlledFolderAccessProtectedFolders "C:\Share"
Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Notepad++\notepad++.exe"

在 Active Directory 域中，可以使用 GPO 通过 Microsoft Defender CFA 启用和配置勒索软件防护（计算机配置 -> 管理模板 -> Windows 组件 -> Windows Defender 防病毒 -> Windows Defender Exploit Guard -> 受控文件夹访问）。

如何使用软件限制策略 (AppLocker) 阻止病毒和勒索软件？

Windows 有多种内置机制来阻止第三方程序在用户计算机上运行：Windows Defender 应用程序控制 (WDAC)、AppLocker、软件限制策略 (SRP) 等。

软件限制策略最常用于企业环境。这些策略允许您创建仅允许运行某些类型的可执行文件（程序）的规则。

例如，典型的 SRP 规则可能如下：

• 允许从指定文件夹运行任何可执行文件：

  %Windir%

  ,

  C:\Program Files

  ,

  C:\Program Files x86

• 拒绝执行任何其他文件。

SRP 策略在以下 GPO 部分下配置：计算机配置 -> Windows 设置 -> 安全设置 -> 软件限制策略 -> 其他规则。

转到安全级别部分，单击不允许，然后选择设置为默认将SRP置于白名单模式（拒绝除允许之外的所有内容） 。

然后转到其他规则部分并创建新路径规则。

默认情况下，SRP 策略允许运行系统目录中的可执行文件：

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

另外，添加以下路径的规则

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CommonFilesDir%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CommonFilesDir (x86)%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CommonW6432Dir%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%

另外，指定您想要允许运行的其他目录中的任何可执行文件的路径。

更新计算机上的 GPO 设置。

如果您现在尝试从不同的目录运行可执行文件，您将收到错误。

This app has been blocked by your system administrator.

在 Windows Server 上使用 FSRM 保护共享文件夹免受勒索软件侵害

您可以使用文件服务器资源管理器 (FSRM) 作为运行 Windows Server 的文件服务器上防范病毒和勒索软件的元素之一。您可以阻止在文件服务器上创建扩展名与允许的文件类型不同的文件的可能性。

使用 PowerShell 或从服务器管理器安装服务器角色：

Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools

在这种情况下，勒索软件保护的想法是预定义允许在共享网络文件夹中创建的文件组。 FSRM 已经为不同的文件类型预定义了文件组。

创建一个新的所有文件组并输入

*.*

在要包含的文件字段中。

将限制应用到您的共享文件夹（文件屏蔽 -> 创建文件屏蔽）。指定文件夹的本地路径并选择自定义属性。选择：

Screening type: Active
File Groups: All files

您可以使用电子邮件通知和事件日志选项卡配置创建禁止文件类型时的通知。

现在为该路径创建一个例外（文件屏蔽 -> 创建文件屏蔽例外）。选择允许存储在共享网络文件夹中的文件类型。

现在，FSRM 将阻止创建除具有允许的文件扩展名之外的任何文件。

使用 VSS 快照保护文件免受勒索软件攻击

确保在用户计算机上启用 VSS 影子快照，以最大程度地减少勒索软件攻击的影响。如果勒索软件已渗透到用户的计算机并加密了文件，您可以将文件还原到其 VSS 卷影副本。

这需要：

1. 在所有计算机上启用卷影复制服务 (VSS)；

   您可以使用组策略启用该服务。打开 GPMC.msc 控制台，导航至 -> 计算机配置 -> Windows 设置 -> 安全设置 -> 系统服务 -> 卷影复制，设置自动启动。

2. 将 vshadow.exe 文件从 Windows SDK 复制到

   windir%\system32\

   用户计算机上的目录（如何使用GPO将文件复制到用户计算机？）；

3. 使用 GPO 部署调度程序任务，该任务定期运行为所有卷拍摄快照的 PowerShell 脚本：

   $HDDs = GET-WMIOBJECT -query "SELECT * from win32_logicaldisk where DriveType = 3"
   foreach ($HDD in $HDDs) {
   $Drive = $HDD.DeviceID
   $vssadminEnable ="vssadmin.exe Resize ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%"
   $vsscreatess = "vshadow.exe -p $Drive"
   cmd /c  $vssadminEnable
   cmd /c  $vsscreatess

   }

如果勒索软件已加密硬盘驱动器上的所有用户文档，您将能够从卷影副本中提取它们：

1. 列出可用快照：

   vssadmin.exe list shadows

2. 按 ID 挂载快照：

   vshadow -el={6bd123ac-4a12-4123-8daa-fabfab777c2ab},Z:

通过 Windows 内置的安全工具，您可以显着提高计算机和数据针对病毒和勒索软件攻击的保护级别。