- 日志
- 23
- 好友
- 17
- 阅读权限
- 150
- 收听
- 1
- 在线时间
- 1558 小时
- 最后登录
- 2024-11-21
超级版主
教育辅助界扛把子
- 精华
- 1
- 热心
- 7
- 听众
- 1
- 威望
- 48
- 贡献
- 14307
- 违规
- 0
- 书币
- 49981
- 注册时间
- 2020-4-8
|
最近遇到了勒索病毒事件,发现除Windows系统能正常运行,其它所有盘的数据文件全部被加密, 解密文件或者数据恢复不仅费用高,不可靠,无法恢复,还有可能被二次受骗.
因此保护数据安全需要非常重视!!!
以下将使用火绒的HIPS功能保护文件不被篡改
需要进行2步设置,方能生效
第1步,设置自定义规则
- 打开火绒设置界面–高级设置–自定义防护–自定义规则
- 点击右下角的添加规则
- 发起程序为*, 点击添加保护对象
- 使用文件规则,并选择保护路径[MDF数据文件目录]: 例如: C:\Program Files\Microsoft SQL Server\MSSQL11.SQLEXPRESS\MSSQL\DATA
- 保护动作 创建/读取/修改/删除
- 点击保存
第2步,设置自动处理 注意顺序
说明一下: 为什么需要设置自动处理,因为只需要允许sqlservr.exe操作数据库目录文件(创建/读取/修改/删除),而其它程序一律不允许操作文件,从而达到数据库文件不被勒索病毒读取并加密的目标.
先设置允许sqlservr.exe
- 打开火绒设置界面–高级设置–自定义防护–自动处理
- 点击右下角的添加规则
- 发起程序为[应用程序sqlserver路径]: 例如: C:\Program Files\Microsoft SQL Server\MSSQL11.SQLEXPRESS\MSSQL\Binn\sqlservr.exe, 点击添加保护对象
- 使用文件规则,并选择保护路径[MDF数据文件目录]: 例如: C:\Program Files\Microsoft SQL Server\MSSQL11.SQLEXPRESS\MSSQL\DATA
- 保护动作 创建/读取/修改/删除
- 点自动允许 , 点击保存
后 设置禁止其它所有*程序访问
- 打开火绒设置界面–高级设置–自定义防护–自动处理
- 点击右下角的添加规则
- 发起程序为[应用程序路径]: * 点击添加保护对象
- 使用文件规则,并选择保护路径[MDF数据文件目录]: 例如: C:\Program Files\Microsoft SQL Server\MSSQL11.SQLEXPRESS\MSSQL\DATA
- 保护动作 创建/读取/修改/删除
- 点自动阻止 , 点击保存
测试一下
打开目录: C:\Program Files\Microsoft SQL Server\MSSQL11.SQLEXPRESS\MSSQL\DATA,在目录中新增文件,删除文件都将不允许操作,此时sql server数据库的访问却是正常的.
|
|