Acronis Backup sicher gegen Verschlüsselung
Hallo an die Forengemeinde,
aufgrund der aktuellen Trojanerwelle, bin ich am überlegen, wie eine verschlüsselungssichere Datensicherung eines W2K12r2 Servers mit Acronis (BR12) möglich ist.
Secure Zone auf der Maschine, ok.
Wenn ich aber ein verschlüsselungssicheres Backup auf die NAS schreiben will (andere Brandschutzzone) wird's hat der Trojaner Zugriff drauf und tätigt sein Werk...
Offline Medien, wie USB Platte zum wechseln DLT-Laufwerk etc. auch möglich.
Wenn der User dann die USB Platte am befallenen System wechselt ist die dann flugs auch verschlüsselt...
Habt Ihr da eine Idee, wie das weitestgehend automatisiert laufen könnte?
Gruß
Jörg
aufgrund der aktuellen Trojanerwelle, bin ich am überlegen, wie eine verschlüsselungssichere Datensicherung eines W2K12r2 Servers mit Acronis (BR12) möglich ist.
Secure Zone auf der Maschine, ok.
Wenn ich aber ein verschlüsselungssicheres Backup auf die NAS schreiben will (andere Brandschutzzone) wird's hat der Trojaner Zugriff drauf und tätigt sein Werk...
Offline Medien, wie USB Platte zum wechseln DLT-Laufwerk etc. auch möglich.
Wenn der User dann die USB Platte am befallenen System wechselt ist die dann flugs auch verschlüsselt...
Habt Ihr da eine Idee, wie das weitestgehend automatisiert laufen könnte?
Gruß
Jörg
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 330302
Url: https://administrator.de/contentid/330302
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
Ausgenommen sind Programme die durch Sicherheitslücken in der Lage sind andere Rechte zu bekommen, blöd, wenn man durch sowas Domänenadmin wird, aber dann hat man noch ganz andere Sorgen.
Also laufen die Teile in der Regeln nicht auf dem Server (ausgenommen Terminalserver).
Backups egal welcher Art als geplanten Task über einen Benutzerkonto, das nur zum Backupmachen da ist und die Laufwerke für das Backup erst dann verbindet wenn das Backup fällig ist.
Diese Laufwerke müssen natürlich auch so gesichert sein, das dort kein Benutzer Zugriff hat.
Bei ganz großer Panik, offlinebackup, aber das kann man schwer automatisieren.
Gruß
Chonta
hat der Trojaner Zugriff drauf und tätigt sein Werk...
Wenn der Trojaner in einem Benutzerkontext läuft, der Zugriff auf das NAS hat, dann ja, aber auch nur auf das was der Benutzer auch selber könnte.Ausgenommen sind Programme die durch Sicherheitslücken in der Lage sind andere Rechte zu bekommen, blöd, wenn man durch sowas Domänenadmin wird, aber dann hat man noch ganz andere Sorgen.
aufgrund der aktuellen Trojanerwelle
Das sind alles Programme die zum größtenteil nur im Benutzerkontext eines Benutzers laufen, der das falsche Programm ausgeführt hat und dann versuchen auf alles was die Im Netzwerk zu finden und die Zugrff haben zu verschlüsseln.Also laufen die Teile in der Regeln nicht auf dem Server (ausgenommen Terminalserver).
Habt Ihr da eine Idee, wie das weitestgehend automatisiert laufen könnte?
Das verschlüsseln durch die Trojaner? Das machen die von selbst.Backups egal welcher Art als geplanten Task über einen Benutzerkonto, das nur zum Backupmachen da ist und die Laufwerke für das Backup erst dann verbindet wenn das Backup fällig ist.
Diese Laufwerke müssen natürlich auch so gesichert sein, das dort kein Benutzer Zugriff hat.
Wenn der User dann die USB Platte am befallenen System wechselt ist die dann flugs auch verschlüsselt
Wenn diePlatte angesteckt wird, wenn ein befallener Benutzer aktiv ist und der Zugriff auf die Platte hat/bekommen kann.Bei ganz großer Panik, offlinebackup, aber das kann man schwer automatisieren.
Gruß
Chonta
Hallo,
einfache Sache: Du schnappst Dir eine Maschine, auf der mit Sicherheit kein Trojaner walten kann und mountest dort (und nur dort) passwortgestützt deinen Storage.
Im Anschluss installierst Du auf der Maschine dein Acronis ("Daten von anderen Maschinen auf dieser Maschine sichern"), fügst die dem AMS hinzu und gründest ein Depot und stellst das dann über den AMS allen Agenten zur Verfügung.
In dem Fall läuft die gesamte Kommunikation mit dem Storage über die Logik vom Acronis und dort, wo Trojaner usw. walten können sind die Daten schlichtweg nicht sichtbar.
Wenn der Depotserver genug Ressourcen hat, könnte man in dem Zusammenhang übrigens über Deduplizierung nachdenken. Acronis hat ganz früher mal 8GB pro TB Backup-Speicher empfohlen. Ich denke aber, mit 1GB pro TB Backup-Storage kommt man mehr als locker hin. Wichtig ist, dass die Deduplizierungsdatenbank auf einer möglichst fixen Platte läuft und dass die Verbindung vom Depotserver zum Storage möglichst schnell ist (am Besten über eine eigene, nur dafür genutzte Netzwerkschnittstelle).
Gruß,
auch ein Jörg
einfache Sache: Du schnappst Dir eine Maschine, auf der mit Sicherheit kein Trojaner walten kann und mountest dort (und nur dort) passwortgestützt deinen Storage.
Im Anschluss installierst Du auf der Maschine dein Acronis ("Daten von anderen Maschinen auf dieser Maschine sichern"), fügst die dem AMS hinzu und gründest ein Depot und stellst das dann über den AMS allen Agenten zur Verfügung.
In dem Fall läuft die gesamte Kommunikation mit dem Storage über die Logik vom Acronis und dort, wo Trojaner usw. walten können sind die Daten schlichtweg nicht sichtbar.
Wenn der Depotserver genug Ressourcen hat, könnte man in dem Zusammenhang übrigens über Deduplizierung nachdenken. Acronis hat ganz früher mal 8GB pro TB Backup-Speicher empfohlen. Ich denke aber, mit 1GB pro TB Backup-Storage kommt man mehr als locker hin. Wichtig ist, dass die Deduplizierungsdatenbank auf einer möglichst fixen Platte läuft und dass die Verbindung vom Depotserver zum Storage möglichst schnell ist (am Besten über eine eigene, nur dafür genutzte Netzwerkschnittstelle).
Gruß,
auch ein Jörg