6
Benutzerrechte beim Backup von Domäne auf NAS
Hallo zusammen,
Folgende Situation:
von Domänen-Rechner (AD, Windows 2012R2) werden Backups (mittels Acronis) auf ein NAS (verschiedene QNAP) gespeichert.
Ich bin mir nur nicht sicher welches Vorgehen (derzeit?) das beste wäre im Hinblick auf die Ransomware-Problematik
Variante 1:
Das NAS ist Domänenmitglied. Die Freigaben auf die gesichert wird werden nur für eine bestimmten Sicherungs-Benutzer-Gruppe der Domäne freigegeben.
Hier gefällt mir die zentrale Verwaltbarkeit der Zugriffsrechte. Allerdings - wird ein Domänenaccount kompromitiert, hat man gleich Zugriff auf das NAS.
Variante 2:
Das NAS ist kein Domänenmitglied, die Sicherungssoftware verwendet Anmeldedaten eines lokalen NAS-Benutzers.
Hier gilt: Wer Window hackt, hat noch lange keinen Zugriff auf die Backups...
Was empfehlt ihr?
Grüße
lcer
Folgende Situation:
von Domänen-Rechner (AD, Windows 2012R2) werden Backups (mittels Acronis) auf ein NAS (verschiedene QNAP) gespeichert.
Ich bin mir nur nicht sicher welches Vorgehen (derzeit?) das beste wäre im Hinblick auf die Ransomware-Problematik
Variante 1:
Das NAS ist Domänenmitglied. Die Freigaben auf die gesichert wird werden nur für eine bestimmten Sicherungs-Benutzer-Gruppe der Domäne freigegeben.
Hier gefällt mir die zentrale Verwaltbarkeit der Zugriffsrechte. Allerdings - wird ein Domänenaccount kompromitiert, hat man gleich Zugriff auf das NAS.
Variante 2:
Das NAS ist kein Domänenmitglied, die Sicherungssoftware verwendet Anmeldedaten eines lokalen NAS-Benutzers.
Hier gilt: Wer Window hackt, hat noch lange keinen Zugriff auf die Backups...
Was empfehlt ihr?
Grüße
lcer
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 509513
Url: https://administrator.de/contentid/509513
Ausgedruckt am: 23.11.2024 um 05:11 Uhr
6 Kommentare
Neuester Kommentar
Ich setze nur Variante 2 ein. Weil es genau den Vorteil hat, dass der Benutzer, der Zugriff auf das Backup-Share hat, nur lokal auf der NAS und im Sicherungsprogramm selber existiert.
Ist die NAS in die Domäne eingebunden, hat man beim Ransomwarebefall verloren.
Ist die NAS in die Domäne eingebunden, hat man beim Ransomwarebefall verloren.
Hallo,
warum sicherst Du nicht agentenbasiert?
Dann sieht (bei entsprechenden Rechten) nur der Serverdienst die NAS, Du hast Deduplizierung usw. usf.
Gruß,
Jörg
warum sicherst Du nicht agentenbasiert?
Dann sieht (bei entsprechenden Rechten) nur der Serverdienst die NAS, Du hast Deduplizierung usw. usf.
Gruß,
Jörg
Moin,
wie hoch ist die wahrscheinlichkeit, dass das Backup-Konto übernommen wird? Doch eigentlich eher gering, wenn das Konto wirklich nur zur Sicherung benutzt wird und die Berechtigungen auch entsprechend angepasst sowie das Passwort sicher ist.
Wenn als "Sicherungs-Benutzer" jedoch der Domain-Admin genommen wurde, weil das ja einfach gleich geht, dann ist das natürlich weniger gut.
Daher sehe ich in Variante 2 jetzt keinen ungeheuren Vorteil, da das Konto ja ebenso, wie das Domain-Konto auch in der Software hinterlegt werden muss. Nachteile sehe ich jedoch auch nicht wirklich.
Gruß
wie hoch ist die wahrscheinlichkeit, dass das Backup-Konto übernommen wird? Doch eigentlich eher gering, wenn das Konto wirklich nur zur Sicherung benutzt wird und die Berechtigungen auch entsprechend angepasst sowie das Passwort sicher ist.
Wenn als "Sicherungs-Benutzer" jedoch der Domain-Admin genommen wurde, weil das ja einfach gleich geht, dann ist das natürlich weniger gut.
Daher sehe ich in Variante 2 jetzt keinen ungeheuren Vorteil, da das Konto ja ebenso, wie das Domain-Konto auch in der Software hinterlegt werden muss. Nachteile sehe ich jedoch auch nicht wirklich.
Gruß
Moin,
Spezieller Backup-User in der Domain, der nichts anderes macht als Backup&Restore ist meine Präferenz.
Malware kann i.d.R. so einen Account nur kompromittieren, wenn die Admins bei anderen Accounts geschlampt haben.
lks
Spezieller Backup-User in der Domain, der nichts anderes macht als Backup&Restore ist meine Präferenz.
Malware kann i.d.R. so einen Account nur kompromittieren, wenn die Admins bei anderen Accounts geschlampt haben.
lks
Hallo,
ich verwende Variante 2.
Und der Benutzer und das Kennwort sind nur der Backup-Software bekannt.
Selbst der AD-Admin hat keinen Schreibzugriff auf das NAS.
Ich hatte schon bei einem Kunden einen AD-Admin "scan" mit den Kennwort "scan" mit ALLEN Zugriffen (auch Exchange).
Stefan
ich verwende Variante 2.
Und der Benutzer und das Kennwort sind nur der Backup-Software bekannt.
Selbst der AD-Admin hat keinen Schreibzugriff auf das NAS.
Ich hatte schon bei einem Kunden einen AD-Admin "scan" mit den Kennwort "scan" mit ALLEN Zugriffen (auch Exchange).
Stefan
1
@Stefan
Genau so mach ich das auch, und fahre schon lange gut damit.
Und ja, ich musste auch schon mal das Backup zurückholen.
Hat super geklappt - Ich bevorzuge hier Veeam
Gruß
Andreas
Genau so mach ich das auch, und fahre schon lange gut damit.
Und ja, ich musste auch schon mal das Backup zurückholen.
Hat super geklappt - Ich bevorzuge hier Veeam
Gruß
Andreas
