在 ONTAP 中可以采取哪些措施来防止勒索软件感染的蔓延？

与安全团队合作，确定并修复勒索软件攻击的来源。

注:

持有大量锁的客户可能是感染源的候选者，应优先进行拦截。

阻止特定客户端的访问
- 修改现有导出策略或创建新拒绝规则：
  - vserver export-policy rule modify -clientmatch <client IP or subnet> -rorule none -rwrule none
  - vserver export-policy rule create -clientmatch <client IP or subnet> -rorule none -rwrule none

注:

NFS 不提供强大的会话级断开连接功能，即使在应用导出策略限制后，现有客户端 I/O 也可能会持续一段时间。要完全停止 I/O，建议使用卷隔离（请参阅第 4 节）。

终止现有 CIFS 会话
1. 标识活动的 CIFS 会话和锁定：
  - vserver cifs session show -vserver <vserver>
  - vserver locks show -vserver <vserver> -volume <volume> -protocol cifs
2. 终止特定会话（通过用户/客户端/文件访问）：
  - vserver cifs session close
停止 CIFS / NFS 服务
- vserver cifs stop -vserver <vserver>
- vserver nfs stop -vserver <vserver>
卷隔离：
- 使受影响的卷脱机以停止所有 I/O： volume offline -vserver <vserver> -volume <volume>
数据 LIF 隔离：
1. 识别数据 LIF： network interface show -role data
2. 禁用数据 LIF： network interface modify -status-admin down -vserver <vserver> -lif <data LIF>

警告

集群间 LIF 是用于跨集群通信的专用逻辑接口，支持 SnapMirror/SnapVault 复制、NDMP 备份、集群对等以及向外部对象存储（例如 FabricPool/cloud）传输数据。禁用 LIF 时，通过集群间 LIF 连接会失败。

(可选)集群间 LIF 隔离：
- 防止潜在受损数据的任何进一步数据复制或传播。
  1. 识别集群间 LIF：network interface show -role intercluster
  2. 禁用集群间 LIF：network interface modify -status-admin down -vserver <vserver> -lif <intercluster LIF>

使用以下日志确定受影响的范围：

在事件之前使用ARP 生成的 Snapshot 副本还原数据。

如果无法从 System Manager 恢复快照，请尝试使用 CLI。
另请参阅 NetApp KB： Snapshot 恢复失败，并显示错误消息：Failed to promote Snapshot copy snapshot-name