今天以 mayuyu 在此篇所說的方法 原帳戶 O (系統管理員) 建立一個新的系統管理員帳戶 N 再變更帳戶 O 為一般使用者 UAC 預設為最高等級 然後以帳戶 O 變更 D 磁碟機的權限只能讀取 (1) 進去 D 槽內按右鍵 新增只剩下 新增資料夾(前面還有盾牌) (2) 開啟記事本想建立文字檔在 D 槽 不能儲存 (3) 開啟在 D 槽的 Excel 檔編輯 不能儲存 只有 (1) 會出現 UAC 彈窗詢問帳戶 N 的密碼 其他動作 (2)建立 (3)編輯 不會 也就是不能建立文字檔、編輯 Excel 檔 因為在9月底乾淨安裝 Windows 10 1607 會不會是因為作業系統版本不同而造成此現象? 召喚 mayuyu 或 lmkkml 大大 謝謝 ※ 引述《mayuyu ((・ω・)ノ)》之銘言： : 再推一下lmkkml大大介紹的第一個方法， : 很好用，有效又方便。 : ※ 引述《lmkkml (小羊~~~)》之銘言： : : 這篇是我不久前在Mobile01 上面 PO的測試文章，在這邊先打預防針， : : 測試結果不保證適用所有勒索病毒，不過我能拿到的勒索病毒無論新舊幾乎都全用上了： : : ［心得］勒索病毒預防和救援簡單測試（CryptXXX、CERBER、LOCKY、TeslaCrypt） : : http://tinyurl.com/gumkfnv : : 以就算中毒，病毒也無法加密到非系統槽的重要檔案為目標， : : 然後在這樣的前提下還要可以自在的寫入/讀取/搬移檔案， : : 又不因為了預防勒索病毒而變得綁手綁腳。以下節錄幾個可行的方法： : : 1.使用使用者帳戶：推薦指數 ★★★★★ : : 具體做法為額外創建一個使用者帳戶， : : 僅開放某磁碟機或特定資料夾之讀取權限給該使用者帳戶使用， : : 這邊以磁碟機 F 槽為例，於 F 槽上按右鍵點選內容→安全性→編輯， : : 進入變更權限視窗後→選取Authenticated Users→ : : 取消寫入僅保留允許讀取相關的勾勾如下圖→按下「確定」。 : : 日後操作電腦只登入使用者帳戶，而資料都放在磁碟機 F 槽底下； : : 使用者帳戶若中毒，病毒也無法取得修改權限進行加密。 : : 上述設定若順利完成，會發現若要在 F 槽新增或修改現有檔案時， : : 會出現要求輸入管理員密碼的使用者帳戶控制彈窗， : : （如果電腦只是個人使用，管理員帳戶不設密碼也無所謂） : : 這時按下「是」即可在 F 槽新增或修改現有檔案。 : : http://i.imgur.com/epcC9O6.png : 如果你目前的帳戶已經是系統管理員，可以再新增一個系統管理員帳戶， : 然後把目前的帳戶轉為一般使用者， : 就可以改用一般使用者的身份登入目前的桌面，保留之前的設定。 : 有兩個以上的帳戶需要開機自動登入的話，按WIN+R鍵，輸入netplwiz按Enter， : 取消打勾「必須輸入使用者名稱和密碼，才能使用這台電腦」， : 選取要自動登入的帳戶按確定，然後輸入登入密碼， : 不想設密碼的話就維持空白按確定關閉對話框， : 這樣以後開機就會自動用一般使用者的帳戶登入Windows。 : 然後記得開啟UAC，這樣有程式要求系統管理員權限的時候就會自動通知， : 沒有系統管理者權限就無法修改被保護的資料夾。 : 另外有一些可以將檔案、資料夾、整個磁碟機上鎖保護起來的軟體， : 例如Secure Folders、Easy File Locker等等， : Secure Folders(已經不再更新，原網站已消滅，務必關閉軟體自動更新功能 ) : http://www.softpedia.com/get/Security/Security-Related/Secure-Folders.shtml : Easy File Locker(Shadow Defender的作者寫的) : http://www.xoslab.com/efl.html : 其他還有很多類似的軟體。 : 這些軟體在系統核心安裝驅動過濾讀寫的要求+使用系統存取控制清單， : 來限制受保護的資料夾只允許白名單內的程式存取和修改。 : 如果程式不在白名單內，即使是系統管理員權限也無法存取和修改這些資料夾， : 所以即使不幸遇到零時差的提權漏洞攻擊，讓惡意程式取得系統管理員權限， : 它還是無法修改這些受保護的資料夾。 : 不過有一個很大的問題是，一般人會放行檔案總管explorer.exe為白名單程式， : 這樣才能對這些資料夾進行檔案管理，但是explorer.exe經常被惡意程式利用， : 所以放行explorer.exe便無法保護這些資料夾不被惡意程式修改， : 例如CTB-Locker就可以透過explorer.exe加密受保護的資料夾。 : 所以如果你有使用另外的檔案管理軟體，例如Xplorer2、FreeCommander等等， : 就可以不用放行explorer.exe。 : 或者是你有用其他保護軟體保護explorer.exe， : 禁止其他程式注入和修改explorer.exe， : 那麼才可以把explorer.exe放進白名單裡。 : 第二個問題是這些軟體都無法阻擋直接底層磁碟的操作， : 例如用WinHex直接編輯磁區就可以繞過ACLs的保護， : 如果有加密勒索軟體使用直接底層讀寫， : 那麼這些依於檔案系統的存取控制就無法發揮作用。 : 所以Easy File Locker(Shadow Defender的作者)有說 : Easy File Locker不保證能夠防護所有加密勒索軟體。 : 另外Secure Folders也不能防護從網路磁碟進來的存取。 : 所以這些軟體可以提供相當程度的保護， : 不過還是不能保證可以100%防禦。 : 如果使用沙盤的話，沙盤也不能保證100%， : 不過它有多加一些限制，理論上會再更安全一點。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.176.189.187 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1477227389.A.664.html ※ 編輯: fema (180.176.189.187), 10/23/2016 21:02:44 利用檔案權限的方式 就是希望(2)(3)和 (1) 一樣 問系統管理員密碼 這樣日常作業比較方便 又可以防勒索 不過今天看到這篇 lmkkml 大大的補充 https://www.ptt.cc/bbs/AntiVirus/M.1465311074.A.698.html #1NLjzYQO 「 補充1：如果 D 槽存有大量日後需要修改的文件檔（word, excel...等），就請不要使用 這個方法囉。因為如果要編輯修改的話，可能還要把文件拉回桌面，修改完再放回 D 槽 覆蓋，或右鍵以管理員帳戶執行程式，再開啟舊檔選 D 槽的該文件方能編輯，非常麻煩。 補充2：切記如果將來要重灌電腦重灌 C 槽，一定要先把 D 槽的權限恢復原狀。首先要 把「Administrators」勾選完全控制，讓「Administrators」成為最高管理者，最後再把 新增的（管理員B）移除掉。這樣才可以避免 D 槽檔案的擁有者變成無主孤魂。 」 我放棄在 Windows 使用檔案權限的方式防勒索 lmkkml 大大還有 mayuyu 大大的想法很好 或許微軟之後會改好檔案權限管理機制 一般使用者因系統要求權限提供系統管理員密碼以新增編輯刪除檔案 ※ 編輯: fema (180.176.189.187), 10/24/2016 18:56:41