23
Ransomware Schutz? Windows Server Sicherung auf dedizierte USB-Platte
Moinsen zusammen!
Da ich heute gefragt wurde und es nicht direkt beantworten konnte, versuche ich herauszufinden inwiefern eine "Windows-Server-Sicherung" auf einer dedizierten USB-Festplatte Schutz vor einem Verschlüsselungstrojaner bietet.
Der Hintergrund ist, dass ja diese Festplatte im Dateisystem nicht gemountet ist und "erstmal" nur die Windows Backuplösung darauf Zugriff hat nachdem sie von dieser bei Ersteinrichtung formatiert wurde.
Man kann sie natürlich verfügbar machen. Ist bekannt. Das mache ich aber im Fall der Fälle als Admin auf dem Server und nicht als User mit eingeschränkten Rechten. Und als dieser User würde ja die Malware erstmal klassisch wüten und die Dateien auf dem Fileserver verschlüsselt haben.
Ganz trivial ist das jedenfalls nicht und sicher macht sich wahrscheinlich nicht jede Malware die Mühe, aber im Bereich des Möglichen liegt das sicher unter bestimmten Voraussetzungen.
Es geht also primär um eine Risikobewertung für die Wahrscheinlichkeit der Verschlüsselung eines derart erstellten Backups. Und dazu konnte (m)eine Internetsuche nichts Brauchbares ausspucken.
Daher also die Frage: Ist jemandem ein konkreter Fall bekannt in dem ein Verschlüsselungstrojaner ein solches Backup ebenfalls befallen hat? Unter welchen Bedingungen war oder wäre das möglich? (Wenn der User auf dem Client auch Domain-Admin ist z.B.) Ist das irgendwo beschrieben?
Einfach mal testen fällt hier ja aus und eine Umgebung aufsetzen in der ein Test möglich wäre? Na ja. Das ist dann nicht mehr meine Schuhgröße, wenn das auch aussagekräftig sein soll.
Um mein "Problem" (letztlich geht es ja doch allgemeiner um Abwehr) ein wenig zu spezifizieren folgendes Beispiel:
Hier wird beispielhaft der Verlauf einer Infektion mit Emotet / Trickbot beschrieben:
https://www.heise.de/hintergrund/Emotet-Trickbot-Ryuk-ein-explosiver-Mal ...
Klassischer bekannter Weg. Curiosity killed the cat.
Da wo es spannend wird, heisst es aber trivial:
"Der zweite Hieb
Weiterhin wurde das Schadprogramm Trickbot nachgeladen, welches sich aufgrund unzureichender Sicherheitsmaßnahmen mittels ausgespähter Zugangsdaten für ein Benutzerkonto mit Domänenadministrator-Rechten im Netzwerk der Stadtverwaltung schnell automatisiert ausbreiten und einen Großteil der Systeme infizieren konnte. "
Genau hier fehlt die "Butter bei die Fische". Und so geht es mir immer wieder bei verschiedenen Suchen. Viel allgemeines oder dann mal wieder sowas wie das im Heise-Artikel verlinkte Pamphlet:
https://learn.microsoft.com/de-de/security/compass/privileged-access-acc ...
Zitat daraus: "Jede dieser Flugzeuge hat die Kontrolle über die Daten und Workloads aufgrund ihrer Funktionen und schafft einen attraktiven Weg für Angreifer zu missbrauchen, wenn sie die Kontrolle über beide Flugzeuge erlangen können." Hier hatte wohl das Flight Simulator Team an der KI gespielt???
Ich finde da einfach nix detaillierteres. hat jemand Links zu Artikeln? Die MUSS es geben.
Wie gesagt: Es geht nicht um's gute Backup-Konzept sondern hier mal nur erstmal um die relative Sicherheit dieser "Windows-Server-Backups" während sie connected sind zu denen ich in dem Kontext nichts finde.
Mal wieder mit ner Handbreit Wasser unter dem Kiel
Buc
Da ich heute gefragt wurde und es nicht direkt beantworten konnte, versuche ich herauszufinden inwiefern eine "Windows-Server-Sicherung" auf einer dedizierten USB-Festplatte Schutz vor einem Verschlüsselungstrojaner bietet.
Der Hintergrund ist, dass ja diese Festplatte im Dateisystem nicht gemountet ist und "erstmal" nur die Windows Backuplösung darauf Zugriff hat nachdem sie von dieser bei Ersteinrichtung formatiert wurde.
Man kann sie natürlich verfügbar machen. Ist bekannt. Das mache ich aber im Fall der Fälle als Admin auf dem Server und nicht als User mit eingeschränkten Rechten. Und als dieser User würde ja die Malware erstmal klassisch wüten und die Dateien auf dem Fileserver verschlüsselt haben.
Ganz trivial ist das jedenfalls nicht und sicher macht sich wahrscheinlich nicht jede Malware die Mühe, aber im Bereich des Möglichen liegt das sicher unter bestimmten Voraussetzungen.
Es geht also primär um eine Risikobewertung für die Wahrscheinlichkeit der Verschlüsselung eines derart erstellten Backups. Und dazu konnte (m)eine Internetsuche nichts Brauchbares ausspucken.
Daher also die Frage: Ist jemandem ein konkreter Fall bekannt in dem ein Verschlüsselungstrojaner ein solches Backup ebenfalls befallen hat? Unter welchen Bedingungen war oder wäre das möglich? (Wenn der User auf dem Client auch Domain-Admin ist z.B.) Ist das irgendwo beschrieben?
Einfach mal testen fällt hier ja aus und eine Umgebung aufsetzen in der ein Test möglich wäre? Na ja. Das ist dann nicht mehr meine Schuhgröße, wenn das auch aussagekräftig sein soll.
Um mein "Problem" (letztlich geht es ja doch allgemeiner um Abwehr) ein wenig zu spezifizieren folgendes Beispiel:
Hier wird beispielhaft der Verlauf einer Infektion mit Emotet / Trickbot beschrieben:
https://www.heise.de/hintergrund/Emotet-Trickbot-Ryuk-ein-explosiver-Mal ...
Klassischer bekannter Weg. Curiosity killed the cat.
Da wo es spannend wird, heisst es aber trivial:
"Der zweite Hieb
Weiterhin wurde das Schadprogramm Trickbot nachgeladen, welches sich aufgrund unzureichender Sicherheitsmaßnahmen mittels ausgespähter Zugangsdaten für ein Benutzerkonto mit Domänenadministrator-Rechten im Netzwerk der Stadtverwaltung schnell automatisiert ausbreiten und einen Großteil der Systeme infizieren konnte. "
Genau hier fehlt die "Butter bei die Fische". Und so geht es mir immer wieder bei verschiedenen Suchen. Viel allgemeines oder dann mal wieder sowas wie das im Heise-Artikel verlinkte Pamphlet:
https://learn.microsoft.com/de-de/security/compass/privileged-access-acc ...
Zitat daraus: "Jede dieser Flugzeuge hat die Kontrolle über die Daten und Workloads aufgrund ihrer Funktionen und schafft einen attraktiven Weg für Angreifer zu missbrauchen, wenn sie die Kontrolle über beide Flugzeuge erlangen können." Hier hatte wohl das Flight Simulator Team an der KI gespielt???
Ich finde da einfach nix detaillierteres. hat jemand Links zu Artikeln? Die MUSS es geben.
Wie gesagt: Es geht nicht um's gute Backup-Konzept sondern hier mal nur erstmal um die relative Sicherheit dieser "Windows-Server-Backups" während sie connected sind zu denen ich in dem Kontext nichts finde.
Mal wieder mit ner Handbreit Wasser unter dem Kiel
Buc
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5638587729
Url: https://administrator.de/contentid/5638587729
Printed on: April 27, 2024 at 00:04 o'clock
23 Comments
Latest comment
Hallo,
Gruß,
Peter
Zitat von @the-buccaneer:
Der Hintergrund ist, dass ja diese Festplatte im Dateisystem nicht gemountet ist und "erstmal" nur die Windows Backuplösung darauf Zugriff hat nachdem sie von dieser bei Ersteinrichtung formatiert wurde.
Dann kann niemand da drauf zugreifen Schreiben, lesen, usw. Auch dein Backup nicht. Nicht gemounted bedeutet keinerlei Zugriff, wie auch immer.Der Hintergrund ist, dass ja diese Festplatte im Dateisystem nicht gemountet ist und "erstmal" nur die Windows Backuplösung darauf Zugriff hat nachdem sie von dieser bei Ersteinrichtung formatiert wurde.
Daher also die Frage: Ist jemandem ein konkreter Fall bekannt in dem ein Verschlüsselungstrojaner ein solches Backup ebenfalls befallen hat? Unter welchen Bedingungen war oder wäre das möglich? (Wenn der User auf dem Client auch Domain-Admin ist z.B.) Ist das irgendwo beschrieben?
Sobald ein Schädling (oder User) wütet ist es nur eine Frage seiner Rechte über welchen möglichen Schaden er/es anrichten kann. Kann auch ein Frustrierter Hausmeister sein.Gruß,
Peter
Zitat von @Pjordorf:
Hallo,
Hallo,
Zitat von @the-buccaneer:
Der Hintergrund ist, dass ja diese Festplatte im Dateisystem nicht gemountet ist und "erstmal" nur die Windows Backuplösung darauf Zugriff hat nachdem sie von dieser bei Ersteinrichtung formatiert wurde.
Dann kann niemand da drauf zugreifen Schreiben, lesen, usw. Auch dein Backup nicht. Nicht gemounted bedeutet keinerlei Zugriff, wie auch immer.Der Hintergrund ist, dass ja diese Festplatte im Dateisystem nicht gemountet ist und "erstmal" nur die Windows Backuplösung darauf Zugriff hat nachdem sie von dieser bei Ersteinrichtung formatiert wurde.
@Pjordorf:
Dann hilf mir mit der Nomenklatur. Genau die Frage zum "Zustand" der Platte stell ich mir ja. Ist die also doch völlig normal "gemounted" und hat nur einfach keinen Laufwerksbuchstaben? Wozu dann das ganze Brimborium bei der Einrichtung? Und was muss ich tun um unter Windows trotzdem "unautorisiert" zuzugreifen? Machen die Freunde das?
Daher also die Frage: Ist jemandem ein konkreter Fall bekannt in dem ein Verschlüsselungstrojaner ein solches Backup ebenfalls befallen hat? Unter welchen Bedingungen war oder wäre das möglich? (Wenn der User auf dem Client auch Domain-Admin ist z.B.) Ist das irgendwo beschrieben?
Sobald ein Schädling (oder User) wütet ist es nur eine Frage seiner Rechte über welchen möglichen Schaden er/es anrichten kann. Kann auch ein Frustrierter Hausmeister sein.Eben. Ich frage mich ja, ob ein bösartiger Virus das in dem konkreten Fall kann.
Oder anders formuliert: "Kann der frustrierte Hausmeister von seinem Hausmeisterclient mit seinem Hausmeisteraccount *irgendwie* Zugriff auf dieses Backup erhalten?
Schön, dass die "alten Recken" noch da sind.
Buc
Sorry, leider keine konkrete Erfahrung. Aber folgendes:
1.
2.
Die automatisierten Hacks sind manchmal nur vorgeschaltet. Je nach Qualität des Ziels folgen dann auch mal manuelle Analysen/Attacken.
3.
Nur ein Offsite-Backup ist ein sicheres Backup. Was ist, wenn es brennt? Oder der oben zutreffend zitierte Hausmeister (eher frustrierte Mitarbeiter). "Ups... Gestern war die Platte noch dran."
4.
Du beschreibst doch schon das Prinzip:
Viele Grüße, commodity
1.
Nicht gemounted bedeutet keinerlei Zugriff, wie auch immer.
Das ist so nicht korrekt. Wer die Rechte zum Mounten hat, kann sich den Zugriff verschaffen. Und alles Weitere anstellen.2.
Die automatisierten Hacks sind manchmal nur vorgeschaltet. Je nach Qualität des Ziels folgen dann auch mal manuelle Analysen/Attacken.
3.
Nur ein Offsite-Backup ist ein sicheres Backup. Was ist, wenn es brennt? Oder der oben zutreffend zitierte Hausmeister (eher frustrierte Mitarbeiter). "Ups... Gestern war die Platte noch dran."
4.
Du beschreibst doch schon das Prinzip:
mit ner Handbreit Wasser unter dem Kiel ...
... fährt der Pirat sicherer. Wem bringt halbe Sicherheit was oder eine solche, die Theorien/Hoffnung mit Forumsaussagen paart. Mach es richtig.Viele Grüße, commodity
Zitat von @commodity:
Sorry, leider keine konkrete Erfahrung. Aber folgendes:
1.
Sorry, leider keine konkrete Erfahrung. Aber folgendes:
1.
Nicht gemounted bedeutet keinerlei Zugriff, wie auch immer.
Das ist so nicht korrekt. Wer die Rechte zum Mounten hat, kann sich den Zugriff verschaffen. Und alles Weitere anstellen.Das ist eben ein Aspekt der Problembeschreibung. Selbst wenn die FP nicht gemounted wäre. Was ja, wie Pjordorf sagt, relativ sinnfrei ist.
2.
Die automatisierten Hacks sind manchmal nur vorgeschaltet. Je nach Qualität des Ziels folgen dann auch mal manuelle Analysen/Attacken.
Die automatisierten Hacks sind manchmal nur vorgeschaltet. Je nach Qualität des Ziels folgen dann auch mal manuelle Analysen/Attacken.
Klar. Ist aber nicht der Punkt um den es mir gerade geht...
3.
Nur ein Offsite-Backup ist ein sicheres Backup. Was ist, wenn es brennt? Oder der oben zutreffend zitierte Hausmeister (eher frustrierte Mitarbeiter). "Ups... Gestern war die Platte noch dran."
4.
Du beschreibst doch schon das Prinzip:
Du beschreibst doch schon das Prinzip:
mit ner Handbreit Wasser unter dem Kiel ...
... fährt der Pirat sicherer. Wem bringt halbe Sicherheit was oder eine solche, die Theorien/Hoffnung mit Forumsaussagen paart. Mach es richtig.Die Frage ist hier (ich meinte das in Bezug auf meine Abwesenheit hier, aber das Bild passt natürlich) "Wie breit ist das Wasser unter der "Windows-Server-Sicherung" Backup-Platte.
Komisch, dass die Antwort so schwer zu finden ist. Mal sehen ob noch wer was weiss. Ist ja grade spät.
Viele Grüße, commodity
Dito
Buc
Hallo,
) ist. Und das ein Windows Backup den Zugriff auf ein Datensicherungslaufwerk nicht so einfach hergibt ist nachlesbar und kein Geheimniss oder gar ein Hexenwerk. Jeder (mit den nötigen Rechten) kann sich Zugriff auf ein gemountes DatensicherungsLaufwerk verschaffen, aber empfohlen ist es nicht. Ob aber eine Schadsoftware über soviel Wissen verfügt? Manche ja und manche nein.
https://de.wikipedia.org/wiki/Mounten
PS. Du solltest dir mal anschauen wie blöd und unbeholfen sich USB Sticks oder USB HDDs / SSDs anstellen wenn die versuchen sich wieder einzustöpseln
Gruß,
Peter
Zitat von @commodity:
Das ist so nicht korrekt. Wer die Rechte zum Mounten hat, kann sich den Zugriff verschaffen. Und alles Weitere anstellen.
Auf eine nicht gemountete HDD / SSD / Band / oder was auch immer kannst du nicht lesend oder schreibend drauf zugreifen. Du kannst dir je nach Rechte aber Zugriff darauf verschaffen, sofern es aber angeschlossen ist und nicht per USB z,B. grad abgeklemmt (auch ein dismountenDas ist so nicht korrekt. Wer die Rechte zum Mounten hat, kann sich den Zugriff verschaffen. Und alles Weitere anstellen.
) ist. Und das ein Windows Backup den Zugriff auf ein Datensicherungslaufwerk nicht so einfach hergibt ist nachlesbar und kein Geheimniss oder gar ein Hexenwerk. Jeder (mit den nötigen Rechten) kann sich Zugriff auf ein gemountes DatensicherungsLaufwerk verschaffen, aber empfohlen ist es nicht. Ob aber eine Schadsoftware über soviel Wissen verfügt? Manche ja und manche nein.https://de.wikipedia.org/wiki/Mounten
PS. Du solltest dir mal anschauen wie blöd und unbeholfen sich USB Sticks oder USB HDDs / SSDs anstellen wenn die versuchen sich wieder einzustöpseln
Gruß,
Peter
Ich würde mal einen anderen Ansatz nehmen. Und zwar überlegen wie Schützenswert die Daten sind und wie die Umgebung ist. Eine USB-Platte - auch unmounted - zB. kann ja auch im Vorbeigehen problemlos von jedem abgezogen und mitgenommen werden. Dann hat die Person im dümmsten Fall gleich alle Daten in der Tasche UND du hast kein Backup. Oder wenn zB. im Serverraum ne Feuerlösch-Anlage/Sprinkler losgeht hilft dir das Backup natürlich nix wenn deine USB-Platte grad fröhlich neben den Goldfischen schwimmt.
Gleichzeitig kannst du aber ja auch durchaus Daten haben die du eher aus Bequemlichkeit sichern willst - weil du zB. keine Lust hast die runtergeladenen Programme nach nem Problem neu zu suchen. Dann ist ne USB-Platte ja völlig OK - da du im schlimmsten Fall eben mal 1-2h neu runterladen musst u. fertig.
Dir sollte aber eben klar sein - eine angesteckte Platte ist nicht nur wg. Mount/Unmount ein Problem - und grad bei aktuellen Preisen würde ich da eh bei relevanten Daten min. 3-4 Platten nehmen und die min. Wochenweise wechseln. Denn ist ja schön das du nen Backup von gestern o. vorgestern hast -> nur wenn der Virus/Trojaner da bereits aufm System war u. nur zeitgesteuert / command-gesteuert aktiv wird bringt dir das nicht so viel...
Gleichzeitig kannst du aber ja auch durchaus Daten haben die du eher aus Bequemlichkeit sichern willst - weil du zB. keine Lust hast die runtergeladenen Programme nach nem Problem neu zu suchen. Dann ist ne USB-Platte ja völlig OK - da du im schlimmsten Fall eben mal 1-2h neu runterladen musst u. fertig.
Dir sollte aber eben klar sein - eine angesteckte Platte ist nicht nur wg. Mount/Unmount ein Problem - und grad bei aktuellen Preisen würde ich da eh bei relevanten Daten min. 3-4 Platten nehmen und die min. Wochenweise wechseln. Denn ist ja schön das du nen Backup von gestern o. vorgestern hast -> nur wenn der Virus/Trojaner da bereits aufm System war u. nur zeitgesteuert / command-gesteuert aktiv wird bringt dir das nicht so viel...
Zitat von @the-buccaneer:
Die Frage ist hier (ich meinte das in Bezug auf meine Abwesenheit hier, aber das Bild passt natürlich) "Wie breit ist das Wasser unter der "Windows-Server-Sicherung" Backup-Platte.
Komisch, dass die Antwort so schwer zu finden ist. Mal sehen ob noch wer was weiss. Ist ja grade spät.
Viele Grüße, commodity
Dito
Buc
Die Frage ist hier (ich meinte das in Bezug auf meine Abwesenheit hier, aber das Bild passt natürlich) "Wie breit ist das Wasser unter der "Windows-Server-Sicherung" Backup-Platte.
Komisch, dass die Antwort so schwer zu finden ist. Mal sehen ob noch wer was weiss. Ist ja grade spät.
Viele Grüße, commodity
Dito
Buc
Die Antwort ist eben nicht schwer zu finden - denn div. Punkte zeigen doch schon (wie du oben siehst) das es eben nicht wirklich nur am Mount/Unmount liegt. Wenn du die alle natürlich ignorierst dann ist die Antwort einfach aber sinnlos. Ich kann genauso fragen ob Schweine fliegen können -> ich muss halt nur die Vorraussetzung eng genug setzen und die Antwort wird irgendwann "Ja" lauten (wenn wir zB. annehmen es gibt keine Erdanziehung, das Schwein ist leicht genug, es will überhaupt fliegen, .... ). Bedeutet das dann das die Antwort "ja" für die Frage also sinnvoll und korrekt ist?
Solltest du Ziel eines manuell orchestriert Angriffs sein, dann passiert es nicht selten dass die Malware monatelang im Netzwerk bereits mehrgleisig etabliert wird.
Das verändern von Backups gehört zur Top-Prioritäten des Angriffs.
Auch Auto-Angriffe werden deine Backups angreifen.
Windows Server Sicherung ist keine schlechte Lösung, aber wenig granular.
Das verändern von Backups gehört zur Top-Prioritäten des Angriffs.
Auch Auto-Angriffe werden deine Backups angreifen.
Windows Server Sicherung ist keine schlechte Lösung, aber wenig granular.
Hallo,
wegen dieser ganzen Thematik, haben wir die 321 Backup Logik nochmal bei uns aktualisiert.
Wir haben seit letztes Jahr nun die 431 Regel eingerichtet.
Die vierte Ebene auf dem dritten Medium, ist eine automatisierte Tagessicherung der wichtigsten Produktionsmaschinen auf einem Bandroboter, wo wir auch Bänder regelmäßig entnehmen und in den Schrank legen.
Ja, da kann auch bereits "schlafende" Schadsoftware mit drauf sein.
Das ist aber im Schadensfall egal.
Denn die anderen Daten liegen ja dann noch unverschlüsselt mit auf dem Band.
Bei der Wiederherstellung setzt man den Server eh nackig von der DVD wieder auf, und spielt die Daten dann virenbereinigt wieder zurück.
Nicht schön, aber denke ich das sinnvollste Szenario...
Gruß
Muzzepuckel
wegen dieser ganzen Thematik, haben wir die 321 Backup Logik nochmal bei uns aktualisiert.
Wir haben seit letztes Jahr nun die 431 Regel eingerichtet.
Die vierte Ebene auf dem dritten Medium, ist eine automatisierte Tagessicherung der wichtigsten Produktionsmaschinen auf einem Bandroboter, wo wir auch Bänder regelmäßig entnehmen und in den Schrank legen.
Ja, da kann auch bereits "schlafende" Schadsoftware mit drauf sein.
Das ist aber im Schadensfall egal.
Denn die anderen Daten liegen ja dann noch unverschlüsselt mit auf dem Band.
Bei der Wiederherstellung setzt man den Server eh nackig von der DVD wieder auf, und spielt die Daten dann virenbereinigt wieder zurück.
Nicht schön, aber denke ich das sinnvollste Szenario...
Gruß
Muzzepuckel
Ich glaube, man muss da unterscheiden, um welche Angriffe es sich handelt.
Bei den Bewerbungsschreiben mit angehängter EXE (oder Macro) wird es ausreichen, wenn die Platte nicht gemounted ist. Also Malware, die einfach durch den User gestartet wird und dann auch gleich loslegt.
Ich hatte da mal einen Rechner, bei dem man zusehen konnte, wie verschlüsselt wurde. Stecker ziehen war da angesagt.
Zugegriffen wurde bei dem Rechner nur auf einen weiteren Rechner in der Workgroup.
Bei den Dateien sah man später, wie sich das Ding vorgearbeitet hat.
Bei allen anderen kommts eher drauf an, was die damit vorhaben. Je mehr da angerichtet werden soll, desto länger verhalten sich diese Dinger ruhig. Eben mit dem Ziel, dass sie sich über den "normalen" Backup-Weg auch in die Sicherungen einnisten. Die Krux ist ja oft bei bzw. nach einem Befall rauszufinden, was denn tatsächlich alles befallen ist. "Vernünftige" Malware hat ja nicht nur einen Zweck.
Kurz: ja nach Angreifer ist so ein Windows-Backup auf USB sicher. Oder eben nicht.
Bei den Bewerbungsschreiben mit angehängter EXE (oder Macro) wird es ausreichen, wenn die Platte nicht gemounted ist. Also Malware, die einfach durch den User gestartet wird und dann auch gleich loslegt.
Ich hatte da mal einen Rechner, bei dem man zusehen konnte, wie verschlüsselt wurde. Stecker ziehen war da angesagt.
Zugegriffen wurde bei dem Rechner nur auf einen weiteren Rechner in der Workgroup.
Bei den Dateien sah man später, wie sich das Ding vorgearbeitet hat.
Bei allen anderen kommts eher drauf an, was die damit vorhaben. Je mehr da angerichtet werden soll, desto länger verhalten sich diese Dinger ruhig. Eben mit dem Ziel, dass sie sich über den "normalen" Backup-Weg auch in die Sicherungen einnisten. Die Krux ist ja oft bei bzw. nach einem Befall rauszufinden, was denn tatsächlich alles befallen ist. "Vernünftige" Malware hat ja nicht nur einen Zweck.
Kurz: ja nach Angreifer ist so ein Windows-Backup auf USB sicher. Oder eben nicht.
Neben den anderen Backups mache ich auch einmal die Woche die wichtigsten Maschinen auf wechselnde HDDs
Angeschlossen an eine smarte Steckdose . Vorm Backuptask wird sie hochgefahren und und im Anschluss stromlos geschaltet. Da ist dann auch nix mehr mit mounten o.Ä.
Angeschlossen an eine smarte Steckdose . Vorm Backuptask wird sie hochgefahren und und im Anschluss stromlos geschaltet. Da ist dann auch nix mehr mit mounten o.Ä.
Zitat von @Pjordorf:
) ist.
Ersteres habe ich gemeint. Die Klammer nach abgeklemmt bleibt missverständlich.Zitat von @commodity:
Das ist so nicht korrekt. Wer die Rechte zum Mounten hat, kann sich den Zugriff verschaffen. Und alles Weitere anstellen.
Du kannst dir je nach Rechte aber Zugriff darauf verschaffen, sofern es aber angeschlossen ist und nicht per USB z,B. grad abgeklemmt (auch ein dismountenDas ist so nicht korrekt. Wer die Rechte zum Mounten hat, kann sich den Zugriff verschaffen. Und alles Weitere anstellen.
) ist.Wenn ich die Rechte habe und das Gerät dran hängt, kann ich es neu mounten und komme drauf. D'accord?
Ergo: Ein Gerät, das am Rechner hängt, auch wenn es unmounted ist, ist unsicher.
Viele Grüße, commodity
1
Zitat von @maretz:
Oder wenn zB. im Serverraum ne Feuerlösch-Anlage/Sprinkler losgeht hilft dir das Backup natürlich nix wenn deine USB-Platte grad fröhlich neben den Goldfischen schwimmt.
Oder wenn zB. im Serverraum ne Feuerlösch-Anlage/Sprinkler losgeht hilft dir das Backup natürlich nix wenn deine USB-Platte grad fröhlich neben den Goldfischen schwimmt.
Moin,
Sprinkler im Serverraum? Dann hat der Adminn ein mehrfaches, gesalzenes Auspeitschen mit Cat9 verdient,
lks
Zitat von @Pjordorf:
Dann kann niemand da drauf zugreifen Schreiben, lesen, usw. Auch dein Backup nicht. Nicht gemounted bedeutet keinerlei Zugriff, wie auch immer.
Dann kann niemand da drauf zugreifen Schreiben, lesen, usw. Auch dein Backup nicht. Nicht gemounted bedeutet keinerlei Zugriff, wie auch immer.
Jede mit administrativen Rechten laufende Software kann sowohl lesen als auch schreiben. Das Mounten hat einzig den Zweck, Anwendungen einen zentralen Dateisystem-Parser zur Verfügung zu stellen und den Zugriff darauf über ein Rechtemodell zu steuern. Nichts davon benötigt ein privilegiert ausgeführtes Programm (das Grundprinzip jeder Datenwiederherstellungssoftware).
Deshalb ist das "Threat-Modeling" auch Unsinn. Ein Verschlüsselungstrojaner, der in eingehängten Volumes nach Dateien sucht und sie einzeln verschlüsselt, mag sie auf einem nicht eingehängten halt nicht finden. Ein simpler Wiper schreibt dafür von Anfang bis Ende Nullen, ob nun eingehängt oder nicht.
Zitat von @c.r.s.:
Ein simpler Wiper schreibt dafür von Anfang bis Ende Nullen, ob nun eingehängt oder nicht.
Ein simpler Wiper schreibt dafür von Anfang bis Ende Nullen, ob nun eingehängt oder nicht.
Nach, stattdessen kann der auch einfach verschlüsseln.
lks
Zitat von @Lochkartenstanzer:
Moin,
Sprinkler im Serverraum? Dann hat der Adminn ein mehrfaches, gesalzenes Auspeitschen mit Cat9 verdient,
lks
Zitat von @maretz:
Oder wenn zB. im Serverraum ne Feuerlösch-Anlage/Sprinkler losgeht hilft dir das Backup natürlich nix wenn deine USB-Platte grad fröhlich neben den Goldfischen schwimmt.
Oder wenn zB. im Serverraum ne Feuerlösch-Anlage/Sprinkler losgeht hilft dir das Backup natürlich nix wenn deine USB-Platte grad fröhlich neben den Goldfischen schwimmt.
Moin,
Sprinkler im Serverraum? Dann hat der Adminn ein mehrfaches, gesalzenes Auspeitschen mit Cat9 verdient,
lks
Na - gut das du jede Umgebung kennst und das beurteilen kannst... Es gibt eben Umgebungen bei denen das nichts ungewöhnliches ist - und man kann nicht überall ne Novec einbauen (zumal DAS wohl die Admins auch nich lustig finden würden wenn die losgeht wenn man drin ist...)
Zitat von @maretz:
Na - gut das du jede Umgebung kennst und das beurteilen kannst... Es gibt eben Umgebungen bei denen das nichts ungewöhnliches ist - und man kann nicht überall ne Novec einbauen (zumal DAS wohl die Admins auch nich lustig finden würden wenn die losgeht wenn man drin ist...)
Zitat von @Lochkartenstanzer:
Moin,
Sprinkler im Serverraum? Dann hat der Adminn ein mehrfaches, gesalzenes Auspeitschen mit Cat9 verdient,
lks
Zitat von @maretz:
Oder wenn zB. im Serverraum ne Feuerlösch-Anlage/Sprinkler losgeht hilft dir das Backup natürlich nix wenn deine USB-Platte grad fröhlich neben den Goldfischen schwimmt.
Oder wenn zB. im Serverraum ne Feuerlösch-Anlage/Sprinkler losgeht hilft dir das Backup natürlich nix wenn deine USB-Platte grad fröhlich neben den Goldfischen schwimmt.
Moin,
Sprinkler im Serverraum? Dann hat der Adminn ein mehrfaches, gesalzenes Auspeitschen mit Cat9 verdient,
lks
Na - gut das du jede Umgebung kennst und das beurteilen kannst... Es gibt eben Umgebungen bei denen das nichts ungewöhnliches ist - und man kann nicht überall ne Novec einbauen (zumal DAS wohl die Admins auch nich lustig finden würden wenn die losgeht wenn man drin ist...)
Natürlich weiß ich, daß das nicht überall machbar ist. Aber Serverraum und Sprinkleranlage in einem Raum ist wirklich hochgradiges Risiko. Um das auszudrücken, habe ich das so übertrieben dargelegt, was einem Admin im übertragenen Sinne passieren könnte.
lks
Ruhig Blut Ihr werdet OT
Viele Grüße, commodity
Ihr werdet OTViele Grüße, commodity
Sprinkler im Serverraum? Dann hat der Adminn ein mehrfaches, gesalzenes Auspeitschen mit Cat9 verdient,
lks
Na - gut das du jede Umgebung kennst und das beurteilen kannst... Es gibt eben Umgebungen bei denen das nichts ungewöhnliches ist - und man kann nicht überall ne Novec einbauen (zumal DAS wohl die Admins auch nich lustig finden würden wenn die losgeht wenn man drin ist...)
Natürlich weiß ich, daß das nicht überall machbar ist. Aber Serverraum und Sprinkleranlage in einem Raum ist wirklich hochgradiges Risiko. Um das auszudrücken, habe ich das so übertrieben dargelegt, was einem Admin im übertragenen Sinne passieren könnte.
lks
Stimmt - nur wenn du zB. aufm Schiff bist ist es dir einfach lieber das dir der Server absäuft als das dir der Kahn unterm Ar... abbrennt. Da kann es eben einige gute Gründe für geben - es sind eben nicht alle Rechner nur irgendwo in nem idealen Serverraum verbaut
Hmmmm.... Spannende Debatte. Lesenswert. Leider bleibt letztlich als Erkenntnisgewinn nur, dass man sich um Gottes Willen nicht auf so ein Backup verlassen soll. Eh klar. Meinte ich, schon ausgedrückt zu haben. Am Ende wird über Sprinkleranlagen diskutiert. Das kommt davon, wenn man Wasser unterm Kiel in's Spiel bringt... Jaja...
Die Frage war aber:
Daher also die Frage: Ist jemandem ein konkreter Fall bekannt in dem ein Verschlüsselungstrojaner ein solches Backup ebenfalls befallen hat? Unter welchen Bedingungen war oder wäre das möglich? (Wenn der User auf dem Client auch Domain-Admin ist z.B.) Ist das irgendwo beschrieben?
Antwort: Nein. Niemandem. Aber möglich. Hatte ich ja schon in der Ursprungsfrage formuliert. Wurde unterfüttert. Hilft mir leider nix bei der Einschätzung der Eintrittswahrscheinlichkeit.
Mal sehen. Wenn ich noch Nerv und Energie habe, schick ich mal ne Anfrage an MS und div. AV-Anbieter. Wahrscheinlch kommt aber aus Redmond ne Anleitung für den Flugsimulator und die AV-Profis werden rumschwurbeln weil sie das nicht irgendwo dokumentiert haben und kaum für den Buc ne Erhebung starten werden...
Trotzdem Dank an alle bis hierhin und wenn es News gibt kommen die in den Thread.
e mare libertas
Buc
Die Frage war aber:
Daher also die Frage: Ist jemandem ein konkreter Fall bekannt in dem ein Verschlüsselungstrojaner ein solches Backup ebenfalls befallen hat? Unter welchen Bedingungen war oder wäre das möglich? (Wenn der User auf dem Client auch Domain-Admin ist z.B.) Ist das irgendwo beschrieben?
Antwort: Nein. Niemandem. Aber möglich. Hatte ich ja schon in der Ursprungsfrage formuliert. Wurde unterfüttert. Hilft mir leider nix bei der Einschätzung der Eintrittswahrscheinlichkeit.
Mal sehen. Wenn ich noch Nerv und Energie habe, schick ich mal ne Anfrage an MS und div. AV-Anbieter. Wahrscheinlch kommt aber aus Redmond ne Anleitung für den Flugsimulator und die AV-Profis werden rumschwurbeln weil sie das nicht irgendwo dokumentiert haben und kaum für den Buc ne Erhebung starten werden...
Trotzdem Dank an alle bis hierhin und wenn es News gibt kommen die in den Thread.
e mare libertas
Buc
Es gab Fälle, da waren externe Laufwerke dahingehend manipuliert, dass sie zumindest versucht haben sich zu verändern, wenn sie angesteckt werden. Und bei den katastrophalen Zahlen zu den Thema geht wohl einiges schief, beim Thema Backup.
Bleepingcomputer ist eine gute Anlaufstelle diesbezüglich.
Bleepingcomputer ist eine gute Anlaufstelle diesbezüglich.
Daher also die Frage: Ist jemandem ein konkreter Fall bekannt in dem ein Verschlüsselungstrojaner ein solches Backup ebenfalls befallen hat?
Die Frage ist auch, entschuldige, recht naiv. Auch wenn das hier ein Fachforum ist arbeiten wir nicht alle für Kunden, die ständig gehackt werden. Und die sollen dann auch noch genau Deine (verfehlte) Backup-Strategie nutzen? Dann wären die Leute hier ja schöne Admins... Klar könnte man noch irgendwas vom Hörensagen kennen, aber das ist bei Hacking auch keine so hilfreiche Info. Schließlich ist die aktive Userzahl hier auch recht beschränkt. Im Ergebnis ist es mathematisch wahrscheinlich immer noch erfolgversprechender, hier jemand einen zu finden, der einen kennt, der einen 6er im Lotto hatte Also denk nochmal über die Fragestellung nach und sei nicht traurig über die hier erzielten Ergebnisse. Erfreue Dich vielmehr an den wertvollen Hinweisen zu der beschriebenen Form des Backups.
Und dann, Segel in den Wind und was draus machen.
Viele Grüße, commodity
P.S.: Die Ausgangsfrage
Da ich heute gefragt wurde und es nicht direkt beantworten konnte, versuche ich herauszufinden inwiefern eine "Windows-Server-Sicherung" auf einer dedizierten USB-Festplatte Schutz vor einem Verschlüsselungstrojaner bietet.
ist ja auch klar beantwortet: Keinen
Passt ein wenig in das Thema...
https://m.winfuture.de/news/134263
https://m.winfuture.de/news/134263