DFS Sicherheit
Ich plane gerade eine neue Serverlandschaft für einen relativ kleinen Nutzerkreis, dieser erschließt sich aber doch über 4 Standort.
Jetzt war mein Gedanke Die Domäne über Standorte auszurollen und DFS einzusetzen.
Einfach das für mich im "Notfall" alle Daten an einem Standort sind. Und natürlich einen Austausch herstellen zu können usw....
Jetzt stelle ich aber auf Grund von Verschlüsselungstrojanern oder anderer Schadsoftware usw. dieses Konstrukt in Frage. Weil dann habe ich es ja automatisch überall.
Wie setzt Ihr das ein und ist mein Bedenken gerechtfertigt?
Jetzt war mein Gedanke Die Domäne über Standorte auszurollen und DFS einzusetzen.
Einfach das für mich im "Notfall" alle Daten an einem Standort sind. Und natürlich einen Austausch herstellen zu können usw....
Jetzt stelle ich aber auf Grund von Verschlüsselungstrojanern oder anderer Schadsoftware usw. dieses Konstrukt in Frage. Weil dann habe ich es ja automatisch überall.
Wie setzt Ihr das ein und ist mein Bedenken gerechtfertigt?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 621885
Url: https://administrator.de/contentid/621885
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
8 Kommentare
Neuester Kommentar
Ich weiß jetzt nich, wie groß da gedacht wird oder so.
Aber für mich klingt das nach einem guten Grund für einen Terminalserver im Zusammenspiel mit einem reinem Fileserver (oder ein Samba-Share auf einem Linuxunterbau. Hier könntest du dir vielleicht TrueNAS anschauen und deren Snapshot-Funktion - hab ich aber selber noch nicht getestet).
Wichtig ist eine ordentliche Backupstrategie. Die Gefahr von Verschlüsselungstrojanern besteht leider immer, daher ist das Backup so wichtig. Wenn du nun 4 Einfallmöglichkeiten bietest mit den 4 Standorten hast du meiner Meinung nach damit nichts erreicht. Bei einem TS-Server begrenzt du die Einfallmöglichkeit wenigstens auf 1 Server (den man relativ leicht wiederherstellen kann).
MfG
Aber für mich klingt das nach einem guten Grund für einen Terminalserver im Zusammenspiel mit einem reinem Fileserver (oder ein Samba-Share auf einem Linuxunterbau. Hier könntest du dir vielleicht TrueNAS anschauen und deren Snapshot-Funktion - hab ich aber selber noch nicht getestet).
Wichtig ist eine ordentliche Backupstrategie. Die Gefahr von Verschlüsselungstrojanern besteht leider immer, daher ist das Backup so wichtig. Wenn du nun 4 Einfallmöglichkeiten bietest mit den 4 Standorten hast du meiner Meinung nach damit nichts erreicht. Bei einem TS-Server begrenzt du die Einfallmöglichkeit wenigstens auf 1 Server (den man relativ leicht wiederherstellen kann).
MfG
Zitat von @LutzerHase:
Das wäre nicht schlimm, denn das kann der ja jetzt auch...
Jeder Standort würde natürlich trotzdem weiter nur die Daten seines Standortes "sehen".
Also für die User ändert sich nichts.
Das wäre nicht schlimm, denn das kann der ja jetzt auch...
Jeder Standort würde natürlich trotzdem weiter nur die Daten seines Standortes "sehen".
Also für die User ändert sich nichts.
Naja, wenn ein Trojaner die Daten verschlüsselst stellst du sie halt aus dem Backup wieder her, so wie jetzt auch wenn ein Nutzer etwas löscht.
/Thomas
Ja - aber wo ist der unterschied zu "jetzt"? Deshalb hat man ja nich nur ein Backup sondern eben mehrere Generationen... Die Replikation ist ja auch gar nich als Backup zu sehen sondern eben als replikation. Denn wenn ein Benutzer ne Datei löscht is die auch weg und du nimmst das Backup - der Krypto-Trojaner löscht halt alle Dateien... Was würdest du denn machen wenn ein Benutzer eine Datei vor ner Woche (oder vor 4) versehentlich überschrieben hat, das aber erst heute merkt? Dann wäre die Rotation ja ggf. auch schon durch...
Meiner Erfahrung nach ist die Replikation per DFS-R generell kein so richtig gelungenes Produkt und braucht auch immer ein wenig Pflege.
Man könnte es nun noch so einstellen, dass die Daten nur nach einem abweichenden Zeitplan synchronisiert werden. Dann hättest du das Problem erst zeitversetzt und könntest ggf. noch reagieren.
Auch über VSS-Snapshots und die "Vorgängerversionen" lassen sich ggf. verschlüsselte Dateien wiederherstellen - abhängig davon wie "gut" der Trojaner ist bis wo er Zugriff bekommt.
Ein gut gemachtes Backup-Konzept ist aber in jedem Fall wichtig - egal ob DFS oder nicht DFS!
Man könnte es nun noch so einstellen, dass die Daten nur nach einem abweichenden Zeitplan synchronisiert werden. Dann hättest du das Problem erst zeitversetzt und könntest ggf. noch reagieren.
Auch über VSS-Snapshots und die "Vorgängerversionen" lassen sich ggf. verschlüsselte Dateien wiederherstellen - abhängig davon wie "gut" der Trojaner ist bis wo er Zugriff bekommt.
Ein gut gemachtes Backup-Konzept ist aber in jedem Fall wichtig - egal ob DFS oder nicht DFS!