22
Für Backup: Suche NAS mit wOL oder Time-WakeUP und Remote- oder Time-Shutdown
Hallo zusammen,
ich suche ein NAS (Preislage bis 250 Euro ohne Platten), welches ich von einem Windows2008-Server aus:
- per Script starten und herunterfahren kann
oder
- zeitgesteuert hoch- und herunterfahren kann
Ich möchte darauf ein Backup machen, aber das Gerät soll nicht länger als notwendig im netzwerk verfügbar sein, um möglichst wenig Angriffsfläche für Verschlüsselungstrojaner zu bieten.
Oder hat jemand eine andere Idee in dieser Preisklasse für eine halbwegs sichere Backup-Lösung, die
Danke im Voraus,
Sarek \\//_
ich suche ein NAS (Preislage bis 250 Euro ohne Platten), welches ich von einem Windows2008-Server aus:
- per Script starten und herunterfahren kann
oder
- zeitgesteuert hoch- und herunterfahren kann
Ich möchte darauf ein Backup machen, aber das Gerät soll nicht länger als notwendig im netzwerk verfügbar sein, um möglichst wenig Angriffsfläche für Verschlüsselungstrojaner zu bieten.
Oder hat jemand eine andere Idee in dieser Preisklasse für eine halbwegs sichere Backup-Lösung, die
- nicht permanent mit dem Hauptsystem verbunden ist
- nicht ständig eine Benutzeraktion benötigt
Danke im Voraus,
Sarek \\//_
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 388781
Url: https://administrator.de/contentid/388781
Printed on: April 25, 2024 at 10:04 o'clock
22 Comments
Latest comment
Moin,
soweit ich weiß, kann Synology zeitgesteuert booten und runter fahren.
Gruß
Looser
soweit ich weiß, kann Synology zeitgesteuert booten und runter fahren.
Gruß
Looser
Hi,
Den "Container" zusätzlich offsite wegsichern und Kyptotrojaner dürften erstmal Geschichte sein.
Gruß
Oder hat jemand eine andere Idee in dieser Preisklasse
Ggf. normale NAS besorgen und das Backup verschlüsseln?Den "Container" zusätzlich offsite wegsichern und Kyptotrojaner dürften erstmal Geschichte sein.
Gruß
Hallo,
da müsste ich jetzt raten was ich nicht gerne mache.
Ich mache das im SoHo-Bereich so.
- unsichtbare Freigabe
- Ein einziger Benutzer hat schreibzugriff auf diese Freigabe
- Die Zugangsdaten sind nur der Datensicherungssoftware (Shadowprotect SPX) bekannt
- Datensicherung verschlüsseln
- Datensicherung auf 2 USB HDDs die regelmäßig gewechselt werden synchronisieren
- Optional auch in die Cloud mit Ransomware-Schutz
Stefan
da müsste ich jetzt raten was ich nicht gerne mache.
Ich mache das im SoHo-Bereich so.
- unsichtbare Freigabe
- Ein einziger Benutzer hat schreibzugriff auf diese Freigabe
- Die Zugangsdaten sind nur der Datensicherungssoftware (Shadowprotect SPX) bekannt
- Datensicherung verschlüsseln
- Datensicherung auf 2 USB HDDs die regelmäßig gewechselt werden synchronisieren
- Optional auch in die Cloud mit Ransomware-Schutz
Stefan
Moin.
Ich halte die Idee "so kurz wie nötig verfügbar machen" für übertrieben, kaum wirksam* und nachrangig gegenüber anderen Maßnahmen.
Nimm einen separaten Backupnutzer. Wie soll eine Ransomware an dessen Credentials kommen? Das ginge bestenfalls manuell, nicht aber automatisiert.
*denn irgendwann musst du das Ding ja wieder verfügbar machen - wer sagt dir, dass nicht gerade dann geransomwaret wird?
Ich halte die Idee "so kurz wie nötig verfügbar machen" für übertrieben, kaum wirksam* und nachrangig gegenüber anderen Maßnahmen.
Nimm einen separaten Backupnutzer. Wie soll eine Ransomware an dessen Credentials kommen? Das ginge bestenfalls manuell, nicht aber automatisiert.
*denn irgendwann musst du das Ding ja wieder verfügbar machen - wer sagt dir, dass nicht gerade dann geransomwaret wird?
1
Zitat von @StefanKittel:
Ich mache das im SoHo-Bereich so.
- unsichtbare Freigabe
- Ein einziger Benutzer hat schreibzugriff auf diese Freigabe
- Die Zugangsdaten sind nur der Datensicherungssoftware (Shadowprotect SPX) bekannt
Ich mache das im SoHo-Bereich so.
- unsichtbare Freigabe
- Ein einziger Benutzer hat schreibzugriff auf diese Freigabe
- Die Zugangsdaten sind nur der Datensicherungssoftware (Shadowprotect SPX) bekannt
Das heißt, auch nur Shadowprotect kann auf die Freigabe zugreifen? Ich habe das schon mal irgendwo gesehen (weiß nicht mehr welches Programm das war), dass man auch über Windows auf die Freigabe zugreifen konnte, nachdem einmal das entsprechende Programm darauf zugegriffen hat und die Verbindung somit "aufgeschlossen" hat.
- Datensicherung verschlüsseln
Bringt das etwas gegen Crypto-Trojaner? Auch eine verschlüsselte Datei kann ja noch mal verschlüsselt werden.
- Optional auch in die Cloud mit Ransomware-Schutz
Zu groß bei derzeitiger Internetgeschwindigkeit ... lass uns darüber noch mal in zehn Jahren reden ;)
- Datensicherung auf 2 USB HDDs die regelmäßig gewechselt werden synchronisieren
Das sind USB-Platten? Wie stelle ich sicher, dass die Datei beim darauf kopieren nicht "geransomwaret" werden?
Zitat von @SarekHL:
Das heißt, auch nur Shadowprotect kann auf die Freigabe zugreifen? Ich habe das schon mal irgendwo gesehen (weiß nicht mehr welches Programm das war), dass man auch über Windows auf die Freigabe zugreifen konnte, nachdem einmal das entsprechende Programm darauf zugegriffen hat und die Verbindung somit "aufgeschlossen" hat.
Bei SPX gilt die aktuelle Verbindung nur für den Dienst. Ich habe es unter Windows nicht geschafft das irgendwie auszunutzen.Das heißt, auch nur Shadowprotect kann auf die Freigabe zugreifen? Ich habe das schon mal irgendwo gesehen (weiß nicht mehr welches Programm das war), dass man auch über Windows auf die Freigabe zugreifen konnte, nachdem einmal das entsprechende Programm darauf zugegriffen hat und die Verbindung somit "aufgeschlossen" hat.
Zusätzlich Read-Only-Benutzer um Daten ohne Eingabe des Kennwortes zurückspielen zu können.
- Datensicherung verschlüsseln
Bringt das etwas gegen Crypto-Trojaner? Auch eine verschlüsselte Datei kann ja noch mal verschlüsselt werden.- Optional auch in die Cloud mit Ransomware-Schutz
Zu groß bei derzeitiger Internetgeschwindigkeit ... lass uns darüber noch mal in zehn Jahren reden ;)
- Datensicherung auf 2 USB HDDs die regelmäßig gewechselt werden synchronisieren
Das sind USB-Platten? Wie stelle ich sicher, dass die Datei beim darauf kopieren nicht "geransomwaret" werden?2. Weil die 2. Festplatte offline im Tresor liegt
Stefan
Ich habe doch noch was.
Unabhängig von der Sinnhaftigkeit, könntest Du einen Switch mit Management-CLI nehmen.
Damit kannst Du recht einfach den LAN-Port vom NAS an- und abschalten. Sogar ohne die Verzögerung für das hochfahren.
Stefan
Unabhängig von der Sinnhaftigkeit, könntest Du einen Switch mit Management-CLI nehmen.
Damit kannst Du recht einfach den LAN-Port vom NAS an- und abschalten. Sogar ohne die Verzögerung für das hochfahren.
Stefan
Zitat von @StefanKittel:
Weil die USB Festplatte am NAS angeschlossen ist und dort nicht freigegeben ist
Weil die USB Festplatte am NAS angeschlossen ist und dort nicht freigegeben ist
Und wie stößt Du die Synchronisation an? Muss man sich dafür per WebGUI am NAS anmelden?
Bei SPX gilt die aktuelle Verbindung nur für den Dienst. Ich habe es unter Windows nicht geschafft das irgendwie auszunutzen.
Mit der normalen Windows-ServerSicherung geht das vermutlich nicht?
Zitat von @SarekHL:
Ein Job direkt im NAS zu einer festen UhrzeitZitat von @StefanKittel:
Weil die USB Festplatte am NAS angeschlossen ist und dort nicht freigegeben ist
Und wie stößt Du die Synchronisation an? Muss man sich dafür per WebGUI am NAS anmelden?Weil die USB Festplatte am NAS angeschlossen ist und dort nicht freigegeben ist
Bei SPX gilt die aktuelle Verbindung nur für den Dienst. Ich habe es unter Windows nicht geschafft das irgendwie auszunutzen.
Mit der normalen Windows-ServerSicherung geht das vermutlich nicht?Aber Du könntest einen "BackupAdmin" mit getrenntem Kennwort einrichten und die Sicherung über diesen Benutzer machen.
Besser als nix.
Stefan
Warum einfach, wenn es auch kompliziert geht? Das Ganze lässt sich mit Bordmitteln, einem RDX-Rahmen und entsprechenden Medien völlig unfreifall darstellen und man kann die Dingers im kleinen schwarzen Täschchen mit nach hause nehmen. Färdsch. Freuen.
Zitat von @keine-ahnung:
Warum einfach, wenn es auch kompliziert geht? Das Ganze lässt sich mit Bordmitteln, einem RDX-Rahmen und entsprechenden Medien völlig unfreifall darstellen und man kann die Dingers im kleinen schwarzen Täschchen mit nach hause nehmen. Färdsch. Freuen.
Warum einfach, wenn es auch kompliziert geht? Das Ganze lässt sich mit Bordmitteln, einem RDX-Rahmen und entsprechenden Medien völlig unfreifall darstellen und man kann die Dingers im kleinen schwarzen Täschchen mit nach hause nehmen. Färdsch. Freuen.
RDX scheint mir recht teuer, vor allem die Medien. Aber nehmen wir mal an, dass es diese Lösung werden soll: RDX sind ja Platten und bekommen laut der Produktinfo von Z-DBackup auch einen Laufwerksbuchstaben. Dann haben Cryptotrojaner aber doch auch darauf Zugriff, oder nicht?
Und wo ist der Unterschied zwischen günstigen RDX-Laufwerken wie diesem und teureren wie diesem?
RDX scheint mir recht teuer, vor allem die Medien.
Bei Dir ist alles über 99 Eurocent zu teuer - die Teile sind ihren Preis wert.Und wo ist der Unterschied zwischen günstigen RDX-Laufwerken wie diesem und teureren wie diesem?
Lesen bildet ... beim "Teureren" liegt eine 1TB-Platte mit im Paket 
???Dann haben Cryptotrojaner aber doch auch darauf Zugriff, oder nicht?
Dann gib Ihnen die Möglichkeit nicht . Ansonsten leere Platte rein (da ist nix zu verschlüsseln), Sicherung laufen lassen und nach Ende des backup-jobs Platte auswerfen lassen.LG, Thomas
BTW: schau zu, dass Du interne SATA-Rahmen bekommst und spare Dir das USB-Geraffel ...
Hahaha ... 250 Hatte ich als Limit genannt. Wäre also gerade im Rahmen, aber ein Ersatzmedium schlägt dann teuer zubuche ...
Dann haben Cryptotrojaner aber doch auch darauf Zugriff, oder nicht?
Dann gib Ihnen die Möglichkeit nicht . Ansonsten leere Platte rein (da ist nix zu verschlüsseln), Sicherung laufen lassen und nach Ende des backup-jobs Platte auswerfen lassen.Na dann bräuchte ich aber ein paar mehr Medien (Tagessicherung A, Tagessicherung B, Wochensicherung, Monatssicherung - und spätestens da geht es nicht mehr, weil die Monatssicherungen archiviert werden sollen. Und dann wird es zu teuer. Da scheint mir die NAS-Lösung mit dem isolierten Benutzer, dessen Zugangsdaten nur das Backup-Programm kennt, sicherer. Das blöde ist, dass man da dann noch eine zusätzliche Platte braucht, um den Inhalt des NAS zu duplizieren und in einem anderen Gebäude zu lagern. Da lande ich dann bei ungefähr 300 Euro.
Hallo,
RDX Laufwerke und Medien sind prima.
Aber wie alle tollen Dinge nicht ganz günstig.
Du kannst auch einfach nur 3 USB Festplatten nehmen und die täglich wechseln.
Festplatten im Schrank sind noch sicherere wie ein NAS.
Es gibt Skripte um das USB Medium auszuwerfen.
Für meine SoHo-Kunden finde ich das NAS optimal.
Mit Vollsicherung am Monatsersten und Teilsicherunge an allen anderen Tagen kann man 90 Tage vorhalten.
Und das mit sehr hoher Sicherheit gegen die bösen jungs.
Die USB Festplatten brauchst Du eh für den Fall von Einbruch, Feuer und sonstiger Zerstörung.
Stefan
RDX Laufwerke und Medien sind prima.
Aber wie alle tollen Dinge nicht ganz günstig.
Du kannst auch einfach nur 3 USB Festplatten nehmen und die täglich wechseln.
Festplatten im Schrank sind noch sicherere wie ein NAS.
Es gibt Skripte um das USB Medium auszuwerfen.
Für meine SoHo-Kunden finde ich das NAS optimal.
Mit Vollsicherung am Monatsersten und Teilsicherunge an allen anderen Tagen kann man 90 Tage vorhalten.
Und das mit sehr hoher Sicherheit gegen die bösen jungs.
Die USB Festplatten brauchst Du eh für den Fall von Einbruch, Feuer und sonstiger Zerstörung.
Stefan
Zitat von @StefanKittel:
Die USB Festplatten brauchst Du eh für den Fall von Einbruch, Feuer und sonstiger Zerstörung.
Die USB Festplatten brauchst Du eh für den Fall von Einbruch, Feuer und sonstiger Zerstörung.
Das ist schon klar. Aber meine Kundin hat eine Wahnsinnsangst vor Crypto-Trojanern, da mehere Kolleg/-innen gerade auf fingierte Mails mit angeblichen Bewerbungen hereingefallen sind. Ich habe ihr zwar schon zehn Mal gesagt, dass man von "Bewerbungen" als ZIP-Datei die Finger lassen soll, aber das ignoriert sie, weil sie wohl schon einmal (!) eine echte Bewerbung als ZIP-Datei bekommen hat
Und da die gute Dame auch sonst alles andere als IT-affin ist, muss ich mir halt was für sie praktikables ausdenken, was eben gerade auf dieses Problem mit den Crypto-Trojanern eingeht. Das scheint mit dann die NAS-Lösung zu sein. Ich habe mal nachgeschaut, bei QNAP gibt es eine One-Touch-Backup-Taste, die man so konfigurieren kann, dass der Inhalt des NAS auf eine angeschlossene USB-Festplatte synchronisiert wird. Das scheint mir dann (bei Kosten, die die Vorgabe nicht allzu krass reißen) die idiotensicherste Variante zu sein:
Aber meine Kundin hat eine Wahnsinnsangst vor Crypto-Trojanern
Noch einmal: das ist keine geeignete Maßnahme gegen diese Angst. Mach es vernünftig, arbeite mit einem separaten Backup-Konto und/oder führe Software-Whitelisting ein. Auch Windows10 hat Ransomwareschutz, den du nur zu konfigurieren brauchst - by default ist der ausgeschaltet. Dieser lässt dich Anwendungen definieren, die auf dein Backup schreiben können. Alle anderen dürfen dort nicht schreiben. Genau das solltest Du machen - deine angestrebte Methode ist nicht geeignet.arbeite mit einem separaten Backup-Konto
Das beinhaltet meine Methode ja.
und/oder führe Software-Whitelisting ein. Auch Windows10 hat Ransomwareschutz, den du nur zu konfigurieren brauchst - by default ist der ausgeschaltet. Dieser lässt dich Anwendungen definieren, die auf dein Backup schreiben können. Alle anderen dürfen dort nicht schreiben.
Schön! Aber ich sagte glaube ich schon, dass da Server 2008 läuft.
Genau das solltest Du machen - deine angestrebte Methode ist nicht geeignet.
Warum nicht? Und warum wäre RDX besser geeignet, wo RDX normale Platten sind? Oder kann man (unter Server 2008) den Zugriff auf dieses Laufwerk auf bestimmte User (Backup-Operator) beschränken - ohne über die NTFS-Berechtigungen zu gehen, denn das wäre ja nervig, auf jeder RDX-Kartusche erst mal für System und Administratoren den Zugriff zu verweigern.
Na, immerhin reagierst Du nun auf den Kommentar
Aha. Hattest Du das erwähnt? Ich kann das hier nicht finden.
Wie gesagt: irgendwann musst Du die Platten ja anschließen. Ist dann die Ransomware aktiv, hast Du ohne weitere Maßnahmen verloren.
arbeite mit einem separaten Backup-Konto
Das beinhaltet meine Methode ja.Schön! Aber ich sagte glaube ich schon, dass da Server 2008 läuft
Du musst das Backup ja nicht mit dem Server selbst machen, das kann auch ein Win10 übernehmen, und wenn's über Umwege ist - es geht nur darum, wer letzten Endes auf das Backuplaufwerk schreibt.Genau das solltest Du machen - deine angestrebte Methode ist nicht geeignet.
Warum nicht?Und warum wäre RDX besser geeignet, wo RDX normale Platten sind?
Davon spreche ich ich gar nicht.kann man (unter Server 2008) den Zugriff auf dieses Laufwerk auf bestimmte User (Backup-Operator) beschränken - ohne über die NTFS-Berechtigungen zu gehen
Jein. Es gibt seit Vista/Server 2008 integrity levels, die man setzen kann. Jedoch arbeiten die nicht userbezogen, sondern privilegienbezogen - man könnte also exklusiv allen Admins Zugriff erlauben. Aber ist das mit NTFS nun wirklich so schwer? Das skriptet man doch.
Da es hier noch nicht diskutiert wurde und ich mir die Frage schon lange stelle:
Wenn man auf dem Win2008 eine USB-Platte als dediziertes Backup-Laufwerk einrichtet ist das erstmal sonst nicht erreichbar. Weder aus dem Netzwerk, noch von dem Server. Die Platte erscheint jedenfalls nicht als Laufwerk und ist auch nur für das Windows-Backup zugänglich.
Hier beisst sich doch der Krypto schon die Zähne aus, oder?
Habe das bisher nicht weiter untersucht, hielt es aber für "sicher" da ein Kryptotrojaner an einem Client niemals auf das LW kommt. Liege ich da falsch?
Buc
Wenn man auf dem Win2008 eine USB-Platte als dediziertes Backup-Laufwerk einrichtet ist das erstmal sonst nicht erreichbar. Weder aus dem Netzwerk, noch von dem Server. Die Platte erscheint jedenfalls nicht als Laufwerk und ist auch nur für das Windows-Backup zugänglich.
Hier beisst sich doch der Krypto schon die Zähne aus, oder?
Habe das bisher nicht weiter untersucht, hielt es aber für "sicher" da ein Kryptotrojaner an einem Client niemals auf das LW kommt. Liege ich da falsch?
Buc
Moin
sicher ist ja immer relativ und Sicherheit ein Prozess und kein Zustand.
Ich gehe davon aus, dass eine beliebige Software auf einem Client keinen Zugriff auf so eine Backup-Festplatte am Server hat.
Aber: Wenn der Client Admin-Zugriff auf den Server erhält, z.B. über RPC oder RDP., sind die Daten weg. Wenn das Admin-Kennwort nur "123" oder "geheim" ist, ist die Sicherheit nicht viel wert.
Ich habe schon einen Benutzer "ricoh" mit den Kennwort "ricoh" mit Dom-Admin-Rechten bei einem Kunden gefunden.
Stefan
Zitat von @the-buccaneer:
Hier beisst sich doch der Krypto schon die Zähne aus, oder?
Habe das bisher nicht weiter untersucht, hielt es aber für "sicher" da ein Kryptotrojaner an einem Client niemals auf das LW kommt.
Hier beisst sich doch der Krypto schon die Zähne aus, oder?
Habe das bisher nicht weiter untersucht, hielt es aber für "sicher" da ein Kryptotrojaner an einem Client niemals auf das LW kommt.
sicher ist ja immer relativ und Sicherheit ein Prozess und kein Zustand.
Ich gehe davon aus, dass eine beliebige Software auf einem Client keinen Zugriff auf so eine Backup-Festplatte am Server hat.
Aber: Wenn der Client Admin-Zugriff auf den Server erhält, z.B. über RPC oder RDP., sind die Daten weg. Wenn das Admin-Kennwort nur "123" oder "geheim" ist, ist die Sicherheit nicht viel wert.
Ich habe schon einen Benutzer "ricoh" mit den Kennwort "ricoh" mit Dom-Admin-Rechten bei einem Kunden gefunden.
Stefan
@the-buccaneer
Natürlich kann etwas theoretisch passieren. Natürlich kann eine Cryptosoftware theoretisch dermaßen komplex sein, dass sie Schritte des Admins sogar aufzeichnet und dann abspult um ihr Werk zu tun. Aber das wirst Du in der Praxis nicht finden. Keine Ransomware muss komplex sein, um auf 90% der Kisten Erfolg zu haben und deshalb sind Schutzmaßnahmen wie Deine ausreichend.
Natürlich kann etwas theoretisch passieren. Natürlich kann eine Cryptosoftware theoretisch dermaßen komplex sein, dass sie Schritte des Admins sogar aufzeichnet und dann abspult um ihr Werk zu tun. Aber das wirst Du in der Praxis nicht finden. Keine Ransomware muss komplex sein, um auf 90% der Kisten Erfolg zu haben und deshalb sind Schutzmaßnahmen wie Deine ausreichend.
@StefanKittel: Sicher ist Sicherheit ein Prozess und kein Zustand, so wie das Leben ein Fluss ist und die Sonne ein Lichtblitz.
Zeit ist das unveränderliche Gesetz der Veränderung.
Trotzdem ist "Sicherheit" ein subjektiv empfundener Zustand zu einem gegebenen Moment. Unter gewissen Annahmen. Und dessen (subjektive) Statik ist unser Elixier.
Daher interpretiere ich deinen Beitrag als "Ja, sicher" (Wir hatten hier vor kurzem eine Diskussion über einen offenen RDP Port und einen vom Softwareanbieter automatisch generierten Admin mit Pippipasswort.)
@DerWoWusste: Danke für die Bestätigung.
Lustig ist der Gedanke, dass Windows automatisch sicherer würde, verlöre es Marktanteile, wie die CSU Stimmen.
e mare libertas!
Buc
Zeit ist das unveränderliche Gesetz der Veränderung.
Trotzdem ist "Sicherheit" ein subjektiv empfundener Zustand zu einem gegebenen Moment. Unter gewissen Annahmen. Und dessen (subjektive) Statik ist unser Elixier.
Daher interpretiere ich deinen Beitrag als "Ja, sicher" (Wir hatten hier vor kurzem eine Diskussion über einen offenen RDP Port und einen vom Softwareanbieter automatisch generierten Admin mit Pippipasswort.)
@DerWoWusste: Danke für die Bestätigung.
Lustig ist der Gedanke, dass Windows automatisch sicherer würde, verlöre es Marktanteile, wie die CSU Stimmen.
e mare libertas!
Buc
