бекап с защитой от вирусов шифровальщиков

[Evgen_59]

Здравствуйте!

Недавно был "горький" опыт встречи с вирусом шифровальщиком. после его последствий, было принято решение купит еще 1 HDD и ежедневно создавать бэкапы на него с сервака, т.к. в случае заражения сервака - это катастрофа. Подскажите пожалуйста, чем лучше и как делать бэкапы, со 100 % гарантией защиты от вирусных атак! В частности шифровальщиков, т.к. остальные - это "детские шалости".

[oit]

 

 

со 100 % гарантией защиты от вирусных атак

Одним hdd, как мне кажется, не обойтись.

Да и если ваш сервер будет делать бэкапы сам, а не вы ручками, то никакой гарантии, что сетевые шары тоже не зашифруются нет.

[mike 1]

Я делаю бекапы Акронисом каждую неделю, но правда у меня не сервер, а домашние компьютеры. Бекапы Акрониса тоже могут шифроваться так что постоянно держать подключенным жесткий диск с резервными копиями нельзя. При помощи KIS/KES можно сделать так, что доступ к резервным копиям будут получать только доверенные программы, а остальные не смогут получить доступ к папке с резервными копиями. 

[kmscom]

так шифровальщик же будет Доверенной программой, разве иное возможно.

может надо не так, а всем группам (включая Доверенную) доступ к записи на диск резервными копиями запрещен, а у программ резервного копирования индивидуально разрешен и наследование отменено

Изменено 26 августа, 2015 пользователем kmscom

[mike 1]

 

 

так шифровальщик же будет Доверенной программой

Не будет. У шифровальщиков нет ЭЦП, а потому они автоматом будут попадать в группу "Слабые ограничения", а для этой группы программ доступ к папке с резервными копиями будет закрыт.

 

Делаем по аналогии этой http://support.kaspersky.ru/11151 статье, но защищаем папку с резервными копиями Акрониса. 

[oit]

 

 

при помощи KIS/KES можно сделать так, что доступ к резервным копиям

А лучше первым делать ограничить средствами NTFS

 

 

а потому они автоматом будут попадать в группу "Слабые ограничения", а для этой группы программ доступ к папке с резервными копиями будет закрыт.

А для этого, лучше всего включить KSN и в KSC ограничить всем Роли, чтобы не смогли совершить диверсию.

[mike 1]

 

 

А лучше первым делать ограничить средствами NTFS

А если шифровальщик запуститься с правами Админа? Бухгалтеры например достаточно часто имеют учетку администратора.  

[oit]

А если шифровальщик запуститься с правами Админа?

1. Я не ограничивал использование KIS/KES 

 

 

Бухгалтеры например достаточно часто имеют учетку администратора.

2. Зачем буху Админская учетка на сервере? (топик то о серверах) 

Изменено 26 августа, 2015 пользователем oit

[Evgen_59]

защита средствами касперского - это выглядит вроде хорошо. Но на серваке нет касперского. Он есть на клиентских машинах.

А вариант с правами учетных записей сработает, если на диске, где хранятся бекапы, не будет доступа никому, даже админу. будет создан специальный пользователь для данной задачи. Такой вариант будет надежен?

А существует ли прога которая сама может шифровать бекапы? и работать по расписанию?

[oit]

не будет доступа никому, даже админу. будет создан специальный пользователь для данной задачи

Вы Админу (созданному по умолчанию) никогда не ограничите доступ. Ваш специально созданный пользователь - это и будет тот самый Админ на той машине, где будут хранится бэкапы.

Изменено 26 августа, 2015 пользователем oit

[Evgen_59]

Согласен! А как ограничить средствами NTFS?

И еще! Если делать бэкап (используя акронис естественно) и по локалке отправлять его на машину, где стоит Каспер. А там уже настроить защиту каспером. Это будет надежно на 100%?

И все же! Шифрование бэкапа сторонней программой защитит на 100% от вируса такого типа?

Изменено 26 августа, 2015 пользователем Evgen_59

[oit]

Проблемы то разные: защитить сервер от шифровальщика, защитить уже готовый бэкап. Хранение Бэкапа вы можете настроить на обычной машине с KES (ограничить на нем запуск Всего), ограничить запись папки с бэкапом правами NTFS. А вот на сервере можно попробовать настроить SRP.

[Evgen_59]

почитал про SRP. Спасибо полезно . И еще вопрос. А если бекап отправлять на linux машину?

[oit]

Evgen_59, какую именно проблему обозначенную постом выше вы хотите решить? Может какую-то иную?

*Может я не так вас понимаю.

**Вы хотите защитить уже готовый бэкап от шифровальщика во время его создания и до места его хранения? Или только защитить его в месте хранения?

Изменено 26 августа, 2015 пользователем oit

[Evgen_59]

Только защитить в месте хранения.

И кстати, просматривая просторы инета мне пришла идея: надо создать какой-то скрипт, который будет автоматически, в определенное время просто переименовывать файл бекапа (из "копия.tib в копияtib) т.е. мы убираем (меняем) расширение файла. в то время как все вирусы шифровальщики работают на определенные типы файлов и таким образом сохраняем его на 100 % . Верно?