Home Slik beskytter du Windows mot virus og løsepengeprogramvare med innebygde verktøy

Slik beskytter du Windows mot virus og løsepengeprogramvare med innebygde verktøy

Ransomware har blitt et massivt problem for individuelle brukere eller hele organisasjoner de siste årene. Cryptolocker er en type løsepengeprogramvare som krypterer verdifulle filer (dokumenter, bilder, bilder) på brukernes harddisker og viser en melding som krever løsepenger for å gjenopprette dataene.


I denne artikkelen vil vi se på noen av de viktigste innebygde Windows-verktøyene og organisasjonspraksisen som kan bidra til å beskytte datamaskinen din mot løsepengevare og virus.

Innhold:

Aktiver de grunnleggende innebygde sikkerhetsverktøyene på Windows

Først må du sørge for at de grunnleggende Windows-sikkerhetsverktøyene er aktivert og konfigurert riktig:

  • Sørg for at du har den innebygde Windows Defender eller tredjeparts antivirusprogramvare installert; Hvordan bruke Microsoft Defender Antivirus på Windows Server?
  • Windows Defender-brannmuren må være aktivert;
  • Beskyttelse for brukerkontokontroll (UAC) må være aktivert.

Blant de organisatoriske tiltakene du kan ta for å beskytte datamaskinen din, anbefaler vi følgende:

  • Installer Windows sikkerhetsoppdateringer med jevne mellomrom;
  • Oppdater tredjepartsapper installert på datamaskinen din;
  • Brukere bør ikke bruke kontoer med lokale administratorrettigheter på maskinene sine (begrens lokal administratorliste med GPO eller bruk endre det lokale administratorpassordet regelmessig ved å bruke Windows LAPS);
  • Sikkerhetskopier dine kritiske data regelmessig (bruk alltid 3-2-1-regelen når du sikkerhetskopierer).

Dette er grunnleggende tips for å redusere risikoen for infeksjon og gjøre det lettere å gjenopprette fra løsepengeprogramvare. I de følgende delene vil vi se på andre sikkerhetsverktøy utviklet for å beskytte mot virus og løsepengeprogramvare.

Aktiver Microsoft Defender Ransomware Protection med kontrollert mappetilgang

En egen sikkerhetsfunksjon er tilgjengelig i det innebygde Microsoft Defender Antivirus for å beskytte brukere mot skadelig programvare.Kontrollert mappetilgang(CFA) er en del av Windows Defender Exploit Guard og er posisjonert som et løsepengevareforebyggingsverktøy.

Kontrollert mappetilgang-funksjon sporer endringer i beskyttede mapper. Hvis en uklarert app prøver å endre filer i beskyttede mapper, blir den blokkert og brukeren varslet.

I Windows 10/11 er kontrollert mappetilgang deaktivert som standard. Åpne Windows Security-appen -> Virus- og trådbeskyttelse -> Administrer løsepengevarebeskyttelse.

Aktiver alternativetTilgang til kontrollersmappe.

Hvordan fikse Windows Security Center vil ikke starte?

Som standard beskytter kontrollert mappetilgang bare standardmappene i en brukers profil (dokumenter, bilder, musikk, videoer og skrivebord). For å legge til flere mapper, klikk på Beskyttede mapper og legg til nye baner.

Du kan legge til pålitelige applikasjoner iTillat en app gjennom mappendel.

Kontrollert mappetilgang fungerer bare hvis Windows Defender Antivirus er aktivert. Hvis et tredjeparts antivirus er installert eller Windows Defender-tjenesten er deaktivert, vil ikke beskyttelse mot løsepenge for mapper fungere.

Du kan også aktivere kontrollert mappetilgang og legge til beskyttede mapper og klarerte apper ved hjelp av PowerShell:

Set-MpPreference -EnableControlledFolderAccess Enabled
Add-MpPreference -ControlledFolderAccessProtectedFolders "C:Share"
Add-MpPreference -ControlledFolderAccessAllowedApplications "C:Program Files (x86)Notepad++notepad++.exe"

I et Active Directory-domene kan du bruke GPO til å aktivere og konfigurere løsepengevarebeskyttelse med Microsoft Defender CFA (Datamaskinkonfigurasjon -> Administrative maler -> Windows-komponenter -> Windows Defender Antivirus -> Windows Defender Exploit Guard -> Kontrollert mappetilgang).

Hvordan blokkere virus og løsepengeprogramvare ved å bruke retningslinjer for programvarerestriksjoner (AppLocker)?

Windows har flere innebygde mekanismer for å hindre tredjepartsprogrammer i å kjøre på brukernes datamaskiner: Windows Defender Application Control (WDAC), AppLocker, Software Restriction Policies (SRP), etc.

Retningslinjer for programvarerestriksjoner er mest brukt i bedriftsmiljøer. Disse retningslinjene lar deg lage regler som bare lar visse typer kjørbare filer (programmer) kjøres.

En typisk SRP-regel kan for eksempel være som følger:

  • Tillat enhver kjørbar fil å kjøre fra de angitte mappene:%Windir%,C:Program Files,C:Program Files x86
  • Nekt kjøring av andre filer.

SRP-policyer konfigureres under følgende GPO-seksjon:Datamaskinkonfigurasjon -> Windows-innstillinger -> Sikkerhetsinnstillinger -> Retningslinjer for programvarerestriksjoner -> Ytterligere regler.

Gå tilSikkerhetsnivåerseksjon, klikkIkke tillatt, og velgSett som standardå sette SRP i hvitelistemodus (avslå alt unntatt det som er tillatt).

Gå deretter tilYtterligere reglerseksjon og oppretteNye stiregler.

Som standard tillater SRP-policyer å kjøre kjørbare filer fra systemkataloger:

%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%
%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%

I tillegg legger du til reglene for følgende stier

%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionCommonFilesDir%
%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionCommonFilesDir (x86)%
%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionCommonW6432Dir%
%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir (x86)%
%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramW6432Dir%

Spesifiser også banen til eventuelle kjørbare filer i andre kataloger som du vil tillate å kjøre.

Oppdater GPO-innstillingene på datamaskinen.

Hvis du nå prøver å kjøre den kjørbare filen fra en annen katalog, får du en feilmelding.

This app has been blocked by your system administrator.

Beskytt delte mapper fra ransomware med FSRM på Windows Server

Du kan brukeFile Server Resource Manager (FSRM)som ett element av beskyttelse mot virus og løsepengevare på en filserver som kjører Windows Server. Du kan blokkere muligheten for å lage filer på filserveren med utvidelser som er forskjellige fra de tillatte filtypene.

Installer serverrollen ved hjelp av PowerShell eller fra Server Manager:

Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools

Ideen med ransomware-beskyttelse i dette tilfellet er å forhåndsdefinere gruppene av filer som er tillatt å opprette i en delt nettverksmappe. FSRM har allerede forhåndsdefinerte filgrupper for forskjellige filtyper.

Opprett en nyAlle filergruppe og gå inn*.*iFiler som skal inkluderesfelt.

Bruk begrensningen på din delte mappe (Filskjermer->Opprett filskjerm). Angi den lokale banen til mappen og velg Egenskaper. Velge:

Screening type: Active
File Groups: All files

Du kan konfigurere varsler når forbudte filtyper opprettes ved hjelp avE-postvarslingogHendelsesloggfaner.

Opprett nå et unntak for den banen (Filskjermer -> Lag unntak for filskjerm). Velg filtypene som skal lagres i den delte nettverksmappen.

Nå vil FSRM blokkere opprettelsen av andre filer enn de med de tillatte filtypene.

Se også:iforgot.apple.com Phishing-svindel: Slik beskytter du deg mot det

Beskytte filer mot ransomware-angrep med VSS Snapshots

Sørg for at VSS-skygge-øyeblikksbilder er aktivert på brukerdatamaskiner for å minimere virkningen av et løsepenge-angrep. Du kan gjenopprette filene til deres VSS-skyggekopi hvis løsepengevaren har penetrert brukerens datamaskin og kryptert filene.

Dette krever:

  1. Aktiver Volume Shadow Copy Service (VSS) på alle datamaskiner; Du kan aktivere tjenesten ved å bruke gruppepolicyen. Åpne GPMC.msc-konsollen, naviger til -> Datamaskinkonfigurasjon->Windows-innstillinger->Sikkerhetsinnstillinger->Systemtjeneste ->Volume Shadow Copy, still innAutomatiskoppstart.
  2. Kopier vshadow.exe-filen fra Windows SDK tilwindir%system32katalog på brukernes datamaskiner (Hvordan bruke GPO til å kopiere en fil til brukernes datamaskiner?);
  3. Bruk GPO til å distribuere en Scheduler-oppgave som med jevne mellomrom kjører PowerShell-skriptet som tar øyeblikksbilder for alle volumer:
    $HDDs = GET-WMIOBJECT –query "SELECT * from win32_logicaldisk where DriveType = 3"
    foreach ($HDD in $HDDs) {
    $Drive = $HDD.DeviceID
    $vssadminEnable ="vssadmin.exe Resize ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%"
    $vsscreatess = "vshadow.exe -p $Drive"
    cmd /c  $vssadminEnable
    cmd /c  $vsscreatess
    }

Hvis løsepengeprogrammet har kryptert alle brukerens dokumenter på harddisken, vil du kunne trekke dem ut fra skyggekopien:

  1. Liste over tilgjengelige øyeblikksbilder:vssadmin.exe list shadows
  2. Monter øyeblikksbilde etter ID:vshadow -el={6bd123ac-4a12-4123-8daa-fabfab777c2ab},Z:

Med sikkerhetsverktøyene innebygd i Windows kan du øke beskyttelsesnivået betraktelig på datamaskinen og dataene dine mot virus og løsepenge-angrep.

Related Posts

Hva om du ikke kan fjerne merket for kryptering av iPhone

Hva om du ikke kan fjerne merket for kryptering av iPhone

2025-04-30
Komprimere Windows 10

Komprimere Windows 10

2025-04-30
Kan noen spionere på telefonen min gjennom koblede kontakter på iPhone

Kan noen spionere på telefonen min gjennom koblede kontakter på iPhone

2024-06-21
Hvordan laste ned Microsoft Entra Connect

Hvordan laste ned Microsoft Entra Connect

2025-05-30
Slik deaktiverer (aktiverer) Credential Guard i Windows 11

Slik deaktiverer (aktiverer) Credential Guard i Windows 11

2025-10-06
Bruk Excel feilsøking for å fikse Excel

Bruk Excel feilsøking for å fikse Excel

2025-04-13
Oppdateringsfrekvenstest

Oppdateringsfrekvenstest

2025-01-01
Slik får du tilgang til Googles Veo 2 AI-videogenerator

Slik får du tilgang til Googles Veo 2 AI-videogenerator

2024-12-27
Kan du ikke kjøpe gitter i Marvel

Kan du ikke kjøpe gitter i Marvel

2025-04-21
Hvordan fikse driver nedlasting mislykket feil i nvidia geforce

Hvordan fikse driver nedlasting mislykket feil i nvidia geforce

2025-04-10
Hvordan fungerer nettverksmasker i en IPv4

Hvordan fungerer nettverksmasker i en IPv4

2025-02-19
Slik bruker du cURL i PowerShell

Slik bruker du cURL i PowerShell

2024-11-14
Topp 8 måter å fikse Openai sier at den globale rentegrensen overskrides

Topp 8 måter å fikse Openai sier at den globale rentegrensen overskrides

2024-12-13
6 beste GeoGuessr-alternativer i 2024 (GRATIS)

6 beste GeoGuessr-alternativer i 2024 (GRATIS)

2024-08-25
Brightsandz lanserer anti

Brightsandz lanserer anti

2017-10-25