Windows 10文件历史记录是否可以防御加密恶意软件

Windows 10的文件历史记录功能生成的保存数据是否与用户和管理员隔离？在阅读了最近针对OSX机器的加密攻击之后，我问这个问题，因为时间文件备份是安全的，因为只有特殊用户才能访问文件，即使访问驱动器，恶意软件也无法加密时间机器的数据存储。

我想知道Windows 10的功能是否提供类似的保护。有一个与此类似的问题，但是答案只是建议不同的备份策略，而实际上并未回答问题。

注意：我意识到最安全的解决方案是备份到物理断开的驱动器，因此无需建议-我只是在寻找该问题的具体答案

windows-10 backup malware

— 乔治·肯德罗斯
source

是否以某种方式从计算机备份了？那就不要。

— Fiasco Labs

不适用于常见的勒索软件方案的较新版本。他们要做的第一件事之一是在加密主文件之前先丢弃文件的备份副本。

如果使用上述方法无法使用密钥，则只有启用了“系统还原”的情况下，才可以使用备份或卷影副本来还原文件。较新的CryptoLocker变体尝试删除卷影副本，但并不总是成功。有关如何通过卷影副本还原文件的更多信息，请参见下面的本节。

看来，恶意软件用来禁用历史记录功能（内部阴影副本）的方法并不总是成功的，但几乎不值得依靠。

考虑到正在运行的恶意软件具有触摸计算机上每个文件的权限，因此，一旦激活该进程，您真的不相信计算机的任何防御机制都可以阻止该进程。避免这些问题的唯一肯定方法是首先不要执行恶意软件。

— Mikey TK
source

关于勒索软件的阴险之处之一是，即使没有“运行具有触摸计算机上每个文件的权限”，勒索软件也可能造成重大损害。

— Ben Voigt

我不想依靠100％。我的备份仍将保留在物理断开的驱动器上。问题是这些操作的执行频率较低，并且通常具有较旧版本的文件（并且可能会完全丢失许多文件）。我一直在寻找一个配套的备份系统，该系统在已连接的设备上运行最新备份，但包含一些缓解技术，试图防止恶意软件直接覆盖其数据存储。类似于OS X上的Time Machine（在最近的攻击中被证明是安全的）。

— 乔治·肯德罗斯

很难甚至不可能-如果您拥有“已连接的设备”，则意味着该恶意软件具有与您相同的访问权限。唯一好的备份是脱机的。也就是说，一种缓解措施可能是使用诸如LTO磁带机之类的设备（如今它们越来越便宜），然后再使用诸如Bareos或Networker之类的专用备份软件。我知道没有针对磁带备份的恶意软件。但是它们可能存在，所以要提防:)

— Mikey TK

如果我要使用专用设备，则运行一个可以查看/访问计算机上所有文件但对主机完全不可见的框可能会更容易。就对我所连接的设备的访问权限而言，我认为Time Machine的好处是用户甚至管理员都无权访问。只有备份代理可以这样做，而且显然即使恶意软件升级为管理员，它也无法接触这些数据。

— 乔治·肯德罗斯