保護 OneDrive 免受勒索軟件攻擊的策略

許多用戶將 OneDrive 視為雲備份存儲空間。他們傾向認為存儲在 OneDrive 中的文件不會受到損失和損壞的影響。換句話說，有些人認為存儲在公共雲中的文件不像存儲在本地計算機和本地伺服器上的磁盤驅動器中的文件那樣容易受到勒索軟件的損害。這並不完全正確！存儲在 OneDrive 中的文件可能會受到勒索軟件的攻擊，被加密，並因此丟失。

勒索軟件攻擊的流行程度每年都在增加。然而，如果您遵循建議並遵守安全政策，即使在將數據存儲在 OneDrive 中時，您也可以保護您的數據安全。本博客文章介紹了保護 OneDrive 中數據的策略，並解釋了如何防範勒索軟件攻擊。

關於 OneDrive 和勒索軟件

勒索軟件能感染 OneDrive 嗎？是的，存儲在 OneDrive 上的文件在以下情況下可能會被感染並被勒索軟件加密：

• 將 OneDrive 掛載到本地計算機的本地文件夾上，並且存儲在 OneDrive 中的文件與相應的本地文件夾同步。如果本地計算機感染了勒索軟件，勒索軟件將加密所有可訪問的文件，包括與 OneDrive 同步的文件夾中的文件。因此，如果您通過 Web 介面訪問 OneDrive，您會看到加密（換句話說，損壞）的文件。勒索軟件可能開始加密 OneDrive，然後勒索軟件會加密其他驅動器和所有可訪問的存儲位置。
• 如果攻擊者獲得您的憑據，則可從您的用戶帳戶訪問的文件可能會被勒索軟件加密。
• 點擊釣魚連結會導致病毒、惡意軟體和勒索軟體在受害者的電腦上下載和執行。勒索軟體會損壞其訪問權限的檔案。
• 要求提供訪問權限以訪問 OneDrive 的惡意附加元件和擴充功能是危險的，可能成為勒索軟體感染的入口點。仔細閱讀附加元件和擴充功能的描述，並在安裝之前檢查供應商。

OneDrive 有多安全？OneDrive 安全嗎？OneDrive 有多安全？這些問題在新的 Microsoft 365 使用者中很受歡迎。OneDrive 是足夠安全的。但是，您應該知道如何防範勒索軟體攻擊，遵循安全建議，並知道如果您發現 OneDrive 被駭客入侵應該怎麼做。Microsoft 推出了一個新的內建勒索軟體偵測功能，可以偵測到在 OneDrive 中存儲的檔案被大量刪除或加密等可疑活動。用戶會通過用戶裝置和電子郵件收到警報訊息。還會顯示一系列建議。但是您想要的是避免 OneDrive 勒索軟體損壞您的檔案。請閱讀本文的下一節如何保護資料夾免受勒索軟體的影響。

如何保護 OneDrive 免受勒索軟體攻擊

在本節中，我將解釋如何防範勒索軟體並定義 OneDrive 的勒索軟體防護策略。遵循這些建議可以減少感染勒索軟體和損失數據的風險。

保護憑證

保護 Microsoft 365 管理員帳戶的憑據。通過竊取管理員的憑據，攻擊者可以竊取並損害組織在 OneDrive 存儲的所有數據（包括組織中所有用戶的所有數據）。

保護用戶的憑據。竊取用戶帳戶允許攻擊者訪問其個人數據和共享數據，分發勒索軟件，並感染文件。當存儲在共享 OneDrive 存儲中的文件受到感染時，訪問共享存儲的其他用戶也可能受到感染。

啟用雙因素驗證。Microsoft 365 支持多因素驗證。這個額外的安全步驟可以幫助用戶保護其帳戶免受破壞和憑據竊取。建議您使用多因素驗證或兩步驗證來保護具有管理權限的 Microsoft 365 帳戶。這裡有一篇關於 Microsoft 365 的雙因素驗證 的博客文章。

保護每台電腦

保護您組織中的電腦。安裝和配置防病毒和防惡意軟件。遵循這個建議可以降低勒索軟件感染用戶電腦和這些電腦上同步的 OneDrive 文件夾中存儲的文件的風險（OneDrive 存儲映射到本地文件夾）。別忘了伺服器和虛擬機。

封鎖存儲在％appdata％，％localappdata％中的文件的執行。 默認情況下，這些目錄被Windows應用程序用來存儲數據。 臨時文件和下載的數據可以位於那裡。 當下載勒索軟件文件時，它們可以被偽裝和隱藏在這些文件夾中，然後它們可以被執行。

封鎖Microsoft Office文檔中的宏。 宏很少用於業務任務，但它們是嚴重問題的來源。 一種廣泛使用的感染方法是分發帶有惡意宏的文檔，這些宏會啟動勒索軟件攻擊，感染計算機，然後在網絡上擴散以感染其他計算機。

更新軟件並安裝安全補丁以修復已知的軟件漏洞，這些漏洞可以被勒索軟件用來滲透和感染系統。 您可以啟用Windows和應用程序的自動軟件更新。 如果您的安全配置不完善，攻擊者可以使用未修補的軟件漏洞來發動勒索軟件攻擊。 這就是為什麼安裝補丁很重要。

教育用戶

教育用戶識別釣魚攻擊。 攻擊者通常假設用戶沒有經驗，並且他們下載所有附加到電子郵件的文件，打開文件並點擊所有鏈接。 我們的任務是告訴用戶有關威脅的信息，並教導他們如何識別可疑的內容。

最流行的勒索軟體攻擊途徑是向使用者發送釣魚郵件。惡意連結設計成看起來像合法連結，但會將使用者重新導向下載並安裝勒索軟體。懸停在連結上並檢查URL地址中的拼寫。如果有任何一個字符錯誤，請避免點擊該連結。寄件人的電子郵件地址，與連結一樣，可能被偽造。如果你不認識寄件人，並且不想收到來自這個寄件人的郵件，最好跳過或拒絕來自這個寄件人的郵件。不要下載和打開電子郵件附件中的文件。請記住關於打開具有巨集的Word/Excel文檔的風險。

電子郵件中的有害連結和假網頁是危險的。攻擊者可以創建假頁面並將鏈接發送到這些假頁面的電子郵件中。假頁面看起來像原始頁面，但在頁面上點擊元素或輸入憑據可能導致帳戶丟失或感染勒索軟體。

即使網站地址是真實和合法的，請注意攻擊者可以駭入網站並對該站進行惡意注入。訪問此類網站後，使用者可能會感染勒索軟體。良好且及時更新的防病毒軟體可以在這種情況下防止感染。

攻擊者可以使用社交工程技術和標籤如“緊急”，“重要”等在電子郵件中趕著受害者，使他們注意力轉移到檢查內容以外。當你收到來自Skype和其他服務的消息時要小心。請記住，攻擊者可以入侵用戶帳戶並從該用戶發送消息。在這種情況下，用戶帳戶是真實的，但從被入侵的帳戶發送的鏈接或文件可能構成威脅。

當用戶被訓練識別可疑內容時，通過釣魚郵件進行勒索軟件攻擊的風險大大降低。預防OneDrive勒索軟件攻擊總比恢復損壞的文件好。

使用電子郵件保護系統

使用Exchange Online Protection。這個原生的Microsoft 365工具允許您配置額外的保護過濾器，如安全鏈接過濾器和安全附件過濾器。

配置反釣魚策略。Exchange Online Protection可以確定可信寄件人、可疑寄件人、構成威脅的附件文件，以及偽造和惡意鏈接到受感染網站。偽造寄件人和不需要的電子郵件可以在設置中被阻止。

阻止附件文件中的活動內容，如Word/Excel文件中的宏、VBScript和JavaScript。閱讀有關Exchange Online Protection的博客文章以獲取有關此功能的更多信息。

使用雲保護系統

啟用 Microsoft 365 Defender 在您的 Microsoft 365 環境中。Microsoft 365 Defender 是 Office 365 進階威脅防護（Microsoft Defender for Office 365）的新名稱。此功能可幫助您降低組織中 Microsoft 365 使用者感染勒索軟體的風險。Microsoft 365 Defender 的主要功能包括智能威脅偵測、自動化調查，以及對複雜勒索軟體攻擊的整合保護。您可以在 Microsoft 365 安全中心中配置 Microsoft 365 Defender。當使用者受過教育且啟用智能軟體時，保護水平會更高。

使用版本控制

在 OneDrive 設定中啟用版本控制（版本歷史記錄）。如果勒索軟體加密存儲在 OneDrive 中的物件，只有檔案的最新版本會被加密。您可以選擇先前的檔案版本並恢復所需的檔案。請記住，在恢復檔案之前，您應該從受感染的電腦中刪除勒索軟體，以避免再次加密檔案。請注意，通過恢復先前的檔案版本來恢復數千個檔案是耗時的，擁有適當的 OneDrive 備份將在這種情況下節省您的時間和資源。OneDrive 版本歷史記錄允許您將存儲在 OneDrive 中的檔案恢復到最近 30 天內更改的任何版本。檢查 OneDrive 中已刪除的（存儲在回收筒中的檔案）的保留設定。

配置保留政策。Microsoft 365 的保留政策定义了数据在被删除后保留的时间，直到该数据被永久删除。请注意，将保留的数据存储在云中会占用存储空间，这可能会导致额外的费用。

备份存储在 OneDrive 中的数据

备份存储在 OneDrive 中的数据。以上某些选项可能并非所有 Microsoft 365 订阅计划都可用，并且可能仅适用于顶级订阅计划。Microsoft 允许您在 Office 365 云存储中丢失数据后的两周内请求支持和恢复所有数据，但没有精细恢复选项，您无法选择需要恢复的对象。

将备份存储在云端或本地的安全位置。备份存储库必须得到良好保护，并且不与其他用户共享（它只能由备份软件和管理员访问）。

使用 NAKIVO 备份与复制进行数据备份

使用NAKIVO Backup & Replication來保護OneDrive。NAKIVO Backup & Replication支援Microsoft 365數據的備份，包括存儲在OneDrive、Exchange Online和SharePoint Online中的數據。您可以備份OneDrive數據並創建高達4,000個恢復點，然後使用這些恢復點恢復所需版本的文件。細粒度恢復使您能夠將用戶的自定義文件和文件夾恢復到原始位置或自定義位置。一個NAKIVO Backup & Replication實例可以保護數千個Office 365用戶帳戶。OneDrive數據被備份到本地伺服器上的本地備份存儲庫。配置在直觀的Web界面中進行。

閱讀更多關於勒索軟件恢復、勒索軟件對NAS設備的攻擊的博客文章，以了解有關工作原理和保護措施的更多信息。

如何恢復OneDrive文件

如果您的文件被勒索軟件加密，請勿支付贖金。支付贖金會激勵攻擊者發動更多攻擊以獲得更多金錢。如果您支付了贖金，您沒有任何保證能夠完全或部分地恢復您的文件。如果您意識到您的OneDrive文件在遭受勒索軟件攻擊後被加密，您應該使用本機Microsoft工具或從第三方數據保護軟件的備份中恢復數據。

首先，移除您组织中所有计算机上安装的勒索软件。如果您组织中的用户帐户启用了本机 Microsoft 365 功能，请从以前的版本或回收站（包括第二阶段回收站）中恢复 OneDrive 文件。如果您有备份，请从备份中恢复数据。

在 这篇博客文章中阅读有关使用 NAKIVO备份与复制 进行 OneDrive 备份和恢复的更多信息。

结论

本博客文章涵盖了保护 OneDrive 免受勒索软件攻击的策略，并提供了一些高层次的建议，可以帮助您预防 OneDrive 勒索软件攻击。您应该在技术上保护您的数据 – 为所有计算机上使用的所有软件配置安全设置，并配置您的数据备份。除此之外，您还应该教育用户如何识别可能试图发起勒索软件攻击的尝试，因为攻击者经常使用少数几种方法通过常规用户开始 OneDrive 勒索软件攻击。

备份是在勒索软件损坏您的文件时恢复数据的最可靠方法。使用 NAKIVO备份与复制 保护存储在 OneDrive 中的数据。