Frage:
Ist Windows 10 Backup vor Ransomware sicher?
Berend
2016-08-02 20:29:23 UTC
view on stackexchange narkive permalink

Windows 10 speichert seine Sicherungen in einem geschützten Ordner, z. E: \ System Volume Information , und nur das SYSTEM-Konto hat vollen Zugriff darauf. Ist es dadurch sicher vor Ransomware, die Dateien verschlüsselt? Selbst wenn ich "Als Administrator" ausführe, kann ich scheinbar nicht auf diesen Ordner zugreifen, daher sieht er ziemlich sicher aus, oder?

Und was ist mit der Windows 10-Dateiverlaufsfunktion? Ist das sicher?

Nur ein Hinweis: @SilverlightFox ist richtig, Backups werden nicht im Ordner System Volume Information gespeichert, wie ich dachte, sondern in einem Ordner mit demselben Namen wie der Computer, z E: \ MYCOMPUTER wobei E ein beliebiges Laufwerk sein kann. Standardmäßig können der SYSTEM-Benutzer und die Administratorgruppe auf diesen Ordner zugreifen.

Ein Problem, das auftreten kann, ist, dass verwendbare Sicherungen durch verschlüsselte Dokumente mit demselben Namen überschrieben werden.Ich weiß nicht genau, wie Windows 10 Versionen speichert oder frühere Sicherungen überschreibt. Wenn jedoch nur eine Version gespeichert wird und diese Version die neueste Version ist, wird dies nicht der Fall sein, wenn sie durch mit Ransomware verschlüsselte Dateien überschrieben wirdvon jeglichem Nutzen für Sie.
Ich nehme an, Sie verlassen sich auch auf Windows Defender zum Schutz?
Eine Menge Ransomware [löscht nur die Systemwiederherstellungspunkte] (https://www.google.com/search?q=ransomware+delete+shadow+copies), da dies einfacher ist als das Verschlüsseln.
Denken Sie auch daran, dass Sie wahrscheinlich gerade beim "nicht erhöhten Administratorkonto" angemeldet sind.Windows 10 verfügt über mehrere Arten von Administratorkonten.
Sobald eine Art von Malware auf einem Windows-PC ausgeführt wird, besteht die einzig 100% sichere Vorgehensweise darin, davon auszugehen, dass ALLE Dateien auf Nicht-WORM-Medien, auf die zugegriffen wurde, gefährdet sind.
Außerdem: Vermeiden Sie es, ständig bei Diensten wie Dropbox / Google Drive angemeldet zu sein.Aktivieren Sie sie nur, wenn Sie sie benötigen, und melden Sie sich dann ab.Denn sonst verschlüsselt die Ransomware diese Dateien.Im besten Fall können Sie alle Änderungen rückgängig machen, aber es ist mühsam, sie manuell durchzuführen, insbesondere wenn Sie viele davon haben. Im schlimmsten Fall kennt die Ransomware Dropbox / Google Drive und löscht auch die Historien dieser ÄnderungenDateien.
@benrg: ist einer der vielen Gründe, warum Systemwiederherstellung / Windows-Sicherung auf einem an das System angeschlossenen Online-Laufwerk nicht gerade eine kugelsichere Methode zum "Sichern" Ihrer Dateien ist :)
Acht antworten:
Bryan Field
2016-08-02 20:40:20 UTC
view on stackexchange narkive permalink

Wenn die Ransomware Administratorzugriff auf Ihren Computer erhält, kann sie alle Backups beschädigen, die der Windows-Computer möglicherweise auf diesem Computer erstellt hat.

Wenn die Ransomware nur Nicht-Administratorzugriff erhält (dh Sie verwenden a Nicht-Administratorkonto für das Surfen im Internet), dann sind diese Sicherungen sicher.

Am besten sichern Sie sie auf einem Wechseldatenträger. (Windows hat sicherlich eine Option dafür.) Bewahren Sie dieses Gerät an einem sicheren Ort auf, getrennt von Ihrem Computer. Auf diese Weise werden Ihre Backups nicht nur vor Viren geschützt, sondern Sie haben auch Backups für den Fall eines physischen Diebstahls oder eines Hardwarefehlers.

Sie können Ihre Dateien auch so lange auf einem separaten Server sichern da dieser Server ordnungsgemäß konfiguriert (und gut gesichert) wurde, damit die durch Ransomeware beschädigten Backups die Originale nicht überschreiben.

Wenn das Remote-Laufwerk ständig eingeschaltet bleibt, kann es jederzeit auch gemountet werden.Ziehen Sie den Stecker aus der Steckdose, wenn Sie die Sicherung nicht verwenden!
@MarkS.: Ich denke, das Ideal wäre eine Sicherung auf einem NFS-Laufwerk auf einem Server, der dann seine eigenen Sicherungen erstellt.Wenn der Server nicht gefährdet ist und so eingerichtet werden muss, dass Konfigurationsaufgaben lokal ausgeführt werden müssen (oder Anmeldeinformationen verwendet werden, die in keiner Form auf dem Clientcomputer vorhanden waren), sollte nichts, was der Client tun könnte, frühere Sicherungen gefährden können.
`Am besten sichern Sie auf einem Wechseldatenträger.(Windows hat sicherlich eine Option dafür.) `In der Tat ... Mit Windows Backup können Sie einen oder mehrere Sicherungsspeicherorte angeben, von denen einer ein Wechseldatenträger oder ein Netzwerkspeicherort sein kann und sollte, den Sie offline schalten, wenn dies nicht der Fall istwird als Sicherungsziel verwendet.Wöchentliche Ausfüllungen beispielsweise auf einem austauschbaren Sicherungsgerät.Natürlich nicht, dass nur ein winziger Teil der Menschen dies tatsächlich tut, aber das ist eine andere Sache.
Nicht alle Editionen aller Windows-Versionen ermöglichen eine Sicherung an Netzwerkstandorten.Einige beschränken es auf Pro oder Enterprise.Es gibt jedoch viele Backup-Lösungen von Drittanbietern.
Was passiert, wenn die Ransomware dort verbleibt und versucht, Administratorzugriff zu erhalten (indem Sie beispielsweise darauf warten, dass Sie eine Datei herunterladen, für die berechtigte Administratorrechte erforderlich sind, diese Datei stillschweigend durch die Ransomware ersetzen und darauf warten, dass Sie ihr Berechtigungen erteilen?UAC-Dialog immer und immer wieder, bis Sie auf Ja klicken - ich wette, die meisten Heimanwender würden darauf hereinfallen).
SilverlightFox
2016-08-02 20:53:59 UTC
view on stackexchange narkive permalink

Der Ordner System Volume Information enthält nur Dateien, die durch die Systemwiederherstellung gesichert wurden. Das heißt, es schützt Ihre persönlichen Dateien nicht, wenn sie von Malware überschrieben werden. Es schützt nur Windows-Systemdateien.

Außerdem können Sie nicht standardmäßig auf diesen Ordner zugreifen, wenn Sie dies tun Übernehmen Sie den Besitz des Ordners als Administrator (oder mit Administratorrechten). Nichts hindert Sie daran, darauf zuzugreifen.

Der Dateiversionsverlauf ist nur so sicher wie das externe Laufwerk, auf dem er gesichert wird . Wählen Sie kein internes Laufwerk für Ihr Sicherungsziel aus, da dies für Ransomware und Malware genauso anfällig wäre.

... und natürlich unterscheidet sich ein externes Laufwerk nur dann von einem internen Laufwerk, wenn es nicht ständig angeschlossen ist.Wenn es verbunden ist und eingeschaltet ist, wenn die Ransomware zuschlägt, wird es mit allem anderen verschlüsselt.
Es kann erwähnenswert sein, dass Windows-Systemdateien selten mit Ransomeware verschlüsselt werden.Wenn das System nicht mehr funktioniert, wird dem Benutzer die Lösegeldmeldung nicht angezeigt, sodass die Entwickler von Lösegeld weniger wahrscheinlich Geld erhalten.
Verbal Kint
2016-08-02 21:20:26 UTC
view on stackexchange narkive permalink

Sie haben immer noch ein physisches Laufwerk mit echten Daten, und obwohl ein Administrator möglicherweise nicht darauf zugreifen kann. Selbst wenn Sie den Zugriff in Windows 10 verhindern, können Randsomware oder Malware den Administratorzugriff verwenden, um Bootkits oder schlechteres zu installieren.

Oder stellen Sie sich ein Szenario vor, in dem ein normales USB-Laufwerk an Ihren Computer angeschlossen ist. Ein Angreifer kann das Laufwerk in Windows 10 löschen, eine Linux-Livecd-ISO mit Anweisungen zum erneuten Herstellen einer Verbindung zu seinem Server flashen und dann neu starten. Befindet sich ein Flash-Laufwerk zuerst in der Startreihenfolge, führt der Computer den vom Angreifer gewünschten Code aus und gewährt ihm Zugriff auf alle physischen Laufwerke und die darauf enthaltenen Daten.

Dies ist offensichtlich ein erfundenes / lächerliches Beispiel. Der überwältigende Punkt hierbei ist jedoch, dass ein Angreifer, wenn er Administratorzugriff auf das Betriebssystem erhalten kann, nicht so viel tun kann, um zu verhindern, dass er auf die Hardware gelangt, auf die Windows 10 zugreifen muss. Wie Silverlight Fox hervorhob, kann eine einfache Änderung der Berechtigungen dasselbe bewirken.

Machavity
2016-08-02 22:15:37 UTC
view on stackexchange narkive permalink

Im Allgemeinen versucht die meiste Ransomware, sowohl das Hauptlaufwerk als auch alle angeschlossenen Laufwerke (USB, Netzwerkfreigaben usw.) zu verschlüsseln. Ich wette, wenn Ihre Sicherungsdateien gefunden werden könnten, würden sie ebenfalls verschlüsselt (hätte jemand eine frühe Version von Cryptolocker erhalten und alle Netzwerkfreigaben verschlüsselt). Backups (mit einer definierten Backup-Richtlinie) haben uns vor der Auszahlung bewahrt.

Aus diesem Grund ist entweder ein Offline-Backup (d. H. Eine externe Festplatte, die nicht dauerhaft angeschlossen ist) oder ein Cloud-Backup so wichtig. Etwas, auf das nicht sofort zugegriffen werden kann, sollte Ihr Computer kompromittiert werden.

Ich sollte beachten, dass Windows (alle Versionen, die auf XP zurückgehen) ein eigenes proprietäres inkrementelles Sicherungssystem verwendet. Es erstellt eine Sicherungsdatei und erhöht die Daten bei jeder nachfolgenden Sicherung. Dies ist mehr als ausreichend, um Ihre Daten zu schützen (vorausgesetzt, Sie haben ein Offline-Laufwerk).

John Keates
2016-08-03 05:01:36 UTC
view on stackexchange narkive permalink

Keine Sicherungsspeicherorte Windows kann direkt darauf zugreifen, wann immer es gewünscht wird. Dies ist sicher für Malware. Nur Pull-basierte Backups oder Offline-Backups wären nicht erreichbar. Um zu verhindern, dass Backups mit infizierten oder verschlüsselten Dateien überschrieben werden, sollte das Backup-System Sie benachrichtigen, wenn sich eine Tonne weniger Dateien gleichzeitig ändert. Eine Delta-Sicherung von beispielsweise mehr als 30% aller Ihrer Dateien während eines Sicherungslaufs ist kaum normal.

Robert Locati
2016-08-03 06:17:20 UTC
view on stackexchange narkive permalink

Nein, es ist nicht sicher vor Ransomware. Erstens ist Ransomware ein Oberbegriff für eine Vielzahl von Malware / Viren / Spyware. Zu sagen, dass etwas vor jeder Ransomware sicher ist, wird niemals genau sein. Sie müssten die Version oder Variante der Ransomware angeben. Mit zunehmender Verbreitung der Windows 10-Sicherung werden möglicherweise die aktuellen Versionen von Ransomware weiterentwickelt, um leichter auf diese Sicherungspunkte zugreifen zu können.

Zweitens jedes Sicherungsprogramm vom Typ "On Demand", das Dateien sichert, wenn sie gesichert werden sind "geändert" wäre subjektiver für Ransomware als jede andere Art von Backup. Das heißt, wenn die Ransomware die Datei ändert, wird sie von der Sicherung als geändert wahrgenommen und anschließend gesichert, wodurch die Sicherung beschädigt wird.

Hallo Robert.Willkommen bei der Information Security SE.Obwohl Ihre Antwort gültig ist, gehen Sie nicht unbedingt auf die spezifische Frage von OP ein, ob Sysrestore-Backups nur für "SYSTEM" zugänglich und daher für Malware / Ransomware undurchlässig sind.
Micheal Johnson
2016-08-03 19:25:03 UTC
view on stackexchange narkive permalink

Eskalation von Berechtigungen ist immer ein Risiko. Wenn Sie Ihre Backups also vollständig schützen möchten, legen Sie sie auf einem Wechseldatenträger ab und trennen Sie den Wechseldatenträger, wenn Sie ihn nicht verwenden.

Noj
2016-08-04 15:19:36 UTC
view on stackexchange narkive permalink

Vergessen Sie nicht, Ihr externes Laufwerk zu trennen, sobald Sie eine Sicherungskopie erstellt haben. Wenn es weiterhin angeschlossen ist und Ihr Computer von Ransomware angegriffen wird, ist es genauso anfällig wie Ihre internen Laufwerke!



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...