返回列表 發帖
kong3883

Rank: 2Rank: 2
1# 跳轉到 » 倒序看帖
打印
tT
發表於 2017-5-17 14:26 | 只看該作者

[外置硬碟] 教你防止 wannacry 感染 NAS

本帖最後由 kong3883 於 2017-5-17 15:32 編輯

適合新手老手, 對電腦不太懂的年長一輩
你完全不用理會甚麼是 SMB 這類專有名詞
現在 wannacry 事件沒完沒了, 還不知道會否有更嚴重的事情會發生
在此提供一個暫時性方案來保護 NAS 珍貴的資料, 現在以一個實例來說明

你的 NAS 裡分開了很多資料夾來存放資料是很合理的, 例如:
Public
手機備份
電腦備份
電影
音樂
圖片

Part 1 : 將 "所有" 用戶帳號的最高權限降低至 read only
這裡特別提到是 "所有" 用戶帳號, 包括 Admin (因為你可能有時會進入 Dashboard , 我們要達到 0 風險)
例如某些用戶可以對 [電影] 有讀寫權限, 現在一律降底至只能讀取
換句話說, NAS 上的所有資料夾最高權限都只能讀取, 不論你是誰
就算你的 Windows 裝置感染了 wannacry, 因為所有用戶在 NAS 裡沒有寫入權限, 所以 wannacry 無法加密你的檔案

Public (請看 Part 2)
手機備份 (此時所有用戶帳號包括 Admin 都只能讀, 不能寫, 或禁止讀寫)
電腦備份 (此時所有用戶帳號包括 Admin 都只能讀, 不能寫, 或禁止讀寫)
電影 (此時所有用戶帳號包括 Admin 都只能讀, 不能寫, 或禁止讀寫)
音樂 (此時所有用戶帳號包括 Admin 都只能讀, 不能寫, 或禁止讀寫)
圖片 (此時所有用戶帳號包括 Admin 都只能讀, 不能寫, 或禁止讀寫)

Part 2 : 建立一個能夠寫入的資料夾
一般初始設定完 NAS 都會有一個 Public 的資料夾, 所有用戶都可以讀寫
或你可以建立一個新資料夾叫 [每日清理寫入的檔案], 此資料夾給予所有用戶最高的讀寫權限
過往你是直接將新檔案儲存至 [電影] 資料夾, 現在要改為儲存至 [每日清理寫入的檔案]

好了, 看完了 Part 2 你會發現 NAS 上明顯地分開了 2 個區域
不安全區域 (指的是 [Public] 或 [每日清理寫入的檔案])
安全區域 (不安全區域 以外的資料夾)

Part 3 : 建立一個 "唯一" 帳號, 擁有對 "所有" 資料夾最高的讀寫權限
例如建立一個名為 AntiCry 的帳號
而這個帳號千萬千萬不要在在任何 Windows 裝置上使用
NAS 一般都會提供使用平板或手機連接的 Apps, 如 iOS, Android
AntiCry 帳號只能用在非 Windows 裝置上, 包括 Windows Phone 也不要

Part 4 : 日常操作流程, 左手交右手
1. 有東西要儲存至 NAS 就放進 [每日清理寫入的檔案], 因為你唯一能寫入的地方就是這個資料夾
2. 盡快地或每日, 通過 iOS / Android 上的 AntiCry 帳號, 將 [每日清理寫入的檔案] 裡的東西移到安全區域的各個資料夾

總結 :
1. 越快將 [每日清理寫入的檔案] 裡的東西移到安全區域的各個資料夾, 越能降底風險
2. AntiCry 帳號只能在非 Windows 裝置上使用
3. 盡管你在 Windows 上將 NAS 裡的資料夾以 map to drive 或以 shortcut 的方式來使用, 此方法對你都能將風險降到最底
4. wannacry 仍然處於一個高傷害時期, 非常時期用非常手法
5. 最後當然是定期備份 NAS 上的資料至另一個外置 HDD

最後祝君健康, 有問題歡迎指教 ^.^
收藏 分享

0

lung510

Rank: 3Rank: 3Rank: 3
2#
發表於 2017-5-20 12:24 | 只看該作者
nas 行windows ?

TOP

wkleung

Rank: 3Rank: 3Rank: 3
3#
發表於 2017-5-20 12:50 | 只看該作者
nas 行windows ?
lung510 發表於 2017-5-20 12:24


唔係, 只不過SMB SHARE俾PC的話, 果部PC要是中毒就會加密埋NAS SHARE個FOLDER D 野

TOP

wyhui5124

Rank: 3Rank: 3Rank: 3
4#
發表於 2017-5-20 12:54 | 只看該作者
其實只有一個方法:就係備份

每日/幾小時都經rsync備份,有好多個version,鍾意還原邊個都得

TOP

bongbong3481

Rank: 3Rank: 3Rank: 3
5#
發表於 2017-5-20 13:02 | 只看該作者
我本身用linux ubuntu , 系VM行WINDOW(通常都用迅雷DOWNLOAD野),  另外起一個share folder 用來聯系VM既 WINDOW 同linux ubuntu,  download 完, 就move 去linux ubuntu 既另一個foler(VM既 WINDOW 接触吾到呢個FOLDER)

TOP

kong3883

Rank: 2Rank: 2
6#
發表於 2017-5-20 17:32 | 只看該作者
其實只有一個方法:就係備份

每日/幾小時都經rsync備份,有好多個version,鍾意還原邊個都得 ...
wyhui5124 發表於 2017-5-20 12:54


rsync備份至目標的 HDD 你有寫入權限 ?
wannacry 會把你整個備份 HDD 加密

一般只要你插一個有寫入權限的外置 HDD 至 PC, wannacry 就可以把所有檔案加密, 還未計將來的變種

TOP

a886

Rank: 4Rank: 4Rank: 4Rank: 4
7#
發表於 2017-5-20 17:49 | 只看該作者
回覆 2# lung510


    你睇番早兩日啲news

隻野只有win 中,但MAC 都出事
就知點解#1 有依啲措施

TOP

kong3883

Rank: 2Rank: 2
8#
發表於 2017-5-20 18:15 | 只看該作者
本帖最後由 kong3883 於 2017-5-20 18:20 編輯
我本身用linux ubuntu , 系VM行WINDOW(通常都用迅雷DOWNLOAD野),  另外起一個share folder 用來聯系VM既 WI ...
bongbong3481 發表於 2017-5-20 13:02


如果你說的 linux 是 VM host
Windows 是 VM guest
而 linux share 一個 folder 給 VM guest 當作一個 drive, 在 VM guest 你應該會看見 Z:
你這種作法其實可以說是安全, 但又不是絕對
如果你的 VM guest 是用 bridge mode, 在 host Windows 檔案總管 -> 網絡
應該會看見 VM guest 的電腦名稱

如果你要安全, 請在 Host 電腦的 firewall, 加一個 rule, block 個 VM guest IP
其實無論怎樣, VM Host 上的 firewall 都應該 block 所有 VM guest IP, 可能你有很多 VM guest (各類作業系統)

TOP

wyhui5124

Rank: 3Rank: 3Rank: 3
9#
發表於 2017-5-20 19:01 | 只看該作者
本帖最後由 wyhui5124 於 2017-5-20 19:06 編輯
rsync備份至目標的 HDD 你有寫入權限 ?
wannacry 會把你整個備份 HDD 加密

一般只要你插一個有寫入權限 ...
kong3883 發表於 2017-5-20 17:32



    我o既意思係隻NAS rsync 去另一隻NAS (電腦access 唔倒呢隻NAS),除非隻wannacry可以令隻NAS encrypt另一隻NAS囉(隻backup NAS 只收rsync only)

TOP

bongbong3481

Rank: 3Rank: 3Rank: 3
10#
發表於 2017-5-20 22:06 | 只看該作者
回覆 8# kong3883

網絡既SETTING, 我完全唔識, 我睇VM入邊既內置SETTING, 寫系PCnet-FAST III(NAT), 我估應該唔系Bridge, 無論點都好, SET 個FIREWALL 應該安全D

TOP

返回列表