保护OneDrive免受勒索软件的策略

许多用户将OneDrive视为云备份存储。他们倾向于认为存储在OneDrive中的文件不会丢失和损坏。换句话说，有些人认为存储在公共云中的文件不像存储在本地计算机和本地服务器上的磁盘驱动器上的文件那样容易受到勒索软件的损坏。这并不完全正确！存储在OneDrive中的文件可能会受到勒索软件的攻击，被加密并丢失。

勒索软件攻击的流行度每年都在增长。但是，如果您遵循建议并遵守安全策略，即使将数据存储在OneDrive中，您也可以保持数据的安全。本博客文章介绍了保护OneDrive中数据的策略，并解释了如何防范勒索软件攻击。

关于OneDrive和勒索软件

勒索软件可以感染OneDrive吗？是的，在以下情况下，存储在OneDrive上的文件可以被感染并加密成勒索软件：

• 将OneDrive挂载到本地计算机的本地文件夹中，并且存储在OneDrive中的文件与关联的本地文件夹同步。如果本地计算机感染了勒索软件，勒索软件会加密所有可访问的文件，包括与OneDrive同步的文件夹中的文件。因此，如果您通过Web界面访问OneDrive，则会看到已加密（换句话说，已损坏）的文件。勒索软件可以开始加密OneDrive，然后勒索软件会加密其他驱动器和所有可访问的存储位置。
• 如果攻击者获得了您的凭据，则可以使用您的用户帐户访问的文件会被勒索软件加密。
• 点击钓鱼链接会导致病毒、恶意软件和勒索软件下载和执行在受害者的计算机上。勒索软件会损坏其访问的文件。
• 要求您提供权限以访问 OneDrive 的恶意附加组件和扩展是危险的，可能成为勒索软件感染的入口点。仔细阅读附加组件和扩展的描述，并在安装它们之前检查供应商。

OneDrive 有多安全？OneDrive 安全吗？OneDrive 有多安全？这些问题在新的 Microsoft 365 用户中很受欢迎。OneDrive 是足够安全的。但是，您应该知道如何防止勒索软件攻击，遵循安全建议，并知道如果发现 OneDrive 被黑客入侵应该怎么做。Microsoft 推出了一个新的内置勒索软件检测功能，可以检测到存储在 OneDrive 中的文件的大规模删除或加密等可疑活动。用户会通过用户设备和电子邮件收到警报消息。还会显示一系列建议。但你想要的是避免 OneDrive 勒索软件损坏您的文件。阅读本博客文章的下一部分，了解如何保护文件夹免受勒索软件攻击。

如何保护 OneDrive 免受勒索软件攻击

在本节中，我将解释如何防止勒索软件并为 OneDrive 定义防勒索软件保护策略。遵循这些建议可以降低感染勒索软件和丢失数据的风险。

保护凭据

保护 Microsoft 365 管理员帐户的凭据。通过窃取管理员的凭据，攻击者可以窃取和损坏存储在 OneDrive 存储中的组织中所有数据（包括组织中所有用户的所有数据）。

保护用户的凭据。窃取用户帐户允许攻击者访问其个人数据和共享数据，分发勒索软件并感染文件。当存储在共享 OneDrive 存储中的文件受到感染时，访问共享存储的其他用户也可能受到感染。

启用双因素身份验证。Microsoft 365 支持多因素身份验证。这个额外的安全步骤可以帮助用户保护其帐户免受被入侵和凭据被窃取的威胁。建议您使用多因素身份验证或两步验证来保护具有管理权限的 Microsoft 365 帐户。这是关于 Microsoft 365 双因素身份验证 的博客文章。

保护每台计算机

保护您组织中的计算机。安装和配置防病毒和反恶意软件软件。遵循此建议可降低勒索软件感染用户计算机和这些计算机上同步的存储在 OneDrive 文件夹中的文件的风险（将 OneDrive 存储映射到本地文件夹）。不要忘记服务器和虚拟机。

阻止在%appdata%，%localappdata%中存储的文件执行。默认情况下，这些目录用于Windows应用程序存储数据。临时文件和下载的数据可能位于这些文件夹中。当下载勒索软件文件时，它们可以被掩盖和隐藏在这些文件夹中，然后可以被执行。

阻止Microsoft Office文档中的宏。宏很少用于业务任务，但它们是严重问题的源头。一种广泛使用的感染方法是分发带有恶意宏的文档，这些宏启动勒索软件攻击以感染计算机，然后通过网络传播以感染其他计算机。

更新软件并安装安全补丁以修复已知的软件漏洞，这些漏洞可以被勒索软件用来渗透和感染系统。您可以为Windows和应用程序启用自动软件更新。如果您的安全配置不完善，攻击者可以利用未打补丁的软件漏洞发起勒索软件攻击。这就是为什么安装补丁很重要。

教育用户

教育用户识别钓鱼攻击。攻击者经常假设用户经验不足，并且他们下载附加到电子邮件的所有文件，打开文件并单击所有链接。我们的任务是告诉用户有关威胁并教导他们如何识别可疑内容。

最流行的勒索软件攻击向量是向用户发送钓鱼邮件。恶意链接被设计成看起来像合法链接，但会将用户重定向到下载和安装勒索软件的页面。悬停在链接上并检查URL地址的拼写。如果有一个字符错误，避免点击该链接。发送者的电子邮件地址，类似于链接，可能被伪造。如果你不认识发件人，也不想接收来自该发件人的任何邮件，最好是跳过或拒绝来自该发件人的邮件。不要下载并打开附加到电子邮件消息的文件。记住关于打开带有宏的Word/Excel文档的威胁。

电子邮件消息中的有害链接和虚假网页是危险的。攻击者可以创建虚假页面并在电子邮件消息中发送到这些虚假页面的链接。虚假页面看起来像原始页面，但在页面上点击元素或输入凭据可能导致丢失帐户或感染勒索软件。

即使网站地址是真实和合法的，也要注意攻击者可以黑客入侵网站并对该网站进行恶意注入。访问这样的网站后，用户可能会感染勒索软件。良好的及时更新的防病毒软件可以防止在这种情况下感染。

攻击者可以使用社会工程技术和“紧急”，“重要”等标签在电子邮件消息中催促受害者，并转移他们注意力，使他们不检查内容。当您收到来自Skype和其他服务的消息时要小心。请记住，攻击者可以黑客入侵用户帐户并从该用户发送消息。在这种情况下，用户帐户是真实的，但从被黑客入侵的帐户发送的链接或文件可能构成威胁。

当用户接受训练以识别可疑内容时，通过钓鱼邮件进行勒索软件攻击的风险显着降低。预防OneDrive勒索软件攻击总是比恢复已损坏文件更好。

使用电子邮件保护系统

使用Exchange Online保护。这个原生的Microsoft 365工具允许您配置额外的保护过滤器，如安全链接过滤器和安全附件过滤器。

配置反钓鱼策略。Exchange Online保护可以确定可信的发件人、可疑的发件人、构成威胁的附件文件，以及伪造和恶意链接到感染站点的链接。在设置中可以阻止伪造的发件人和不需要的电子邮件。

阻止附件文件中的活动内容，如Word/Excel文档中的宏、VBScript和JavaScript。阅读有关Exchange Online保护功能的博客文章以获取更多信息。

使用云保护系统

在您的Microsoft 365环境中启用Microsoft 365 Defender。Microsoft 365 Defender是Office 365 高级威胁防护（Microsoft Defender for Office 365）的新名称。此功能可帮助您降低组织中Microsoft 365用户遭受勒索软件感染的风险。Microsoft 365 Defender的主要特点包括智能威胁检测、自动化调查以及针对复杂勒索软件攻击的集成保护。Microsoft 365 Defender可以在Microsoft 365安全中心中进行配置。当用户受过教育且启用了智能软件时，保护水平会大大提高。

使用版本控制

在OneDrive设置中启用版本控制（版本历史记录）。如果勒索软件加密了存储在OneDrive中的对象，则只有文件的最新版本被加密。您可以选择以前的文件版本并恢复所需的文件。不要忘记，在您开始恢复文件之前，应将勒索软件从感染的计算机中删除，以避免再次加密文件。请注意，通过恢复以前的文件版本来恢复数千个文件是耗时的，而拥有适当的OneDrive备份将在这种情况下为您节省时间和资源。OneDrive版本历史记录允许您将存储在OneDrive中的文件恢复到过去30天内更改的任何版本。检查已删除的保留设置（存储在回收站中的文件）以用于OneDrive。

配置保留策略。Microsoft 365 保留策略 定义数据在被删除后保留的时间，直到数据被永久删除。请注意，在云中存储保留的数据会占用存储空间，可能会产生额外的费用。

备份存储在 OneDrive 中的数据

备份存储在 OneDrive 中的数据。以上某些选项可能并非适用于所有 Microsoft 365 订阅计划，可能仅适用于顶级订阅计划。Microsoft 允许您在数据丢失事件发生后的两周内请求支持并恢复 Office 365 云存储中的所有数据，但没有细粒度恢复选项，您无法选择需要恢复的对象。

在云端或本地存储备份数据。备份存储库必须得到良好保护，并且不能与其他用户共享（只能由备份软件和管理员访问）。

使用 NAKIVO 备份与复制进行数据备份

使用NAKIVO备份与复制来保护OneDrive。NAKIVO备份与复制支持Microsoft 365数据的备份，包括驻留在OneDrive、Exchange Online和SharePoint Online中的数据。您可以备份OneDrive数据并创建高达4,000个恢复点，然后使用这些恢复点恢复所需版本的文件。细粒度恢复允许您将用户的自定义文件和文件夹恢复到原始位置或自定义位置。一个NAKIVO备份与复制实例可以保护成千上万个Office 365用户帐户。OneDrive数据备份到存储在本地服务器上的本地备份存储库。配置是在直观的Web界面中执行的。

阅读更多关于勒索软件恢复、勒索软件攻击NAS设备的博客文章，以了解更多关于工作原理和防护措施的信息。

如何恢复OneDrive文件

如果您的文件被勒索软件加密，绝不要支付赎金。支付赎金会激励攻击者发动更多攻击以获取更多资金。如果您支付赎金，您就没有任何保证可以完全或部分地恢复您的文件。如果您意识到您的OneDrive文件在遭受勒索软件攻击后已被加密，您应该使用原生的Microsoft工具或使用第三方数据保护软件从备份中恢复数据。

首先，移除组织中所有计算机上安装的勒索软件。如果组织中的用户帐户启用了原生 Microsoft 365 功能，则从以前的版本或回收站（包括第二阶段回收站）恢复 OneDrive 文件。如果您有备份，请从备份中恢复数据。

阅读有关使用 NAKIVO 备份与复制来备份和恢复 OneDrive 的更多信息，请参阅此博文。

结论

本博文涵盖了保护 OneDrive 免受勒索软件攻击的策略，并提出了一些高层次的建议，可以帮助您防止 OneDrive 勒索软件攻击。您应该从技术上保护您的数据-为所有计算机上使用的所有软件配置安全设置，并配置您的数据备份。除此之外，您还应该教育用户如何识别可能尝试发起勒索软件攻击的方法，因为攻击者经常使用几种方法之一通过常规用户开始 OneDrive 勒索软件攻击。

备份是如果勒索软件损坏您的文件则恢复数据的最可靠方法。使用 NAKIVO 备份与复制来保护存储在 OneDrive 中的数据。