我有一台(物理的,不是 Azure VM!)Windows 服务器,其文件使用以下方式自动备份:Azure 备份。
如果服务器受到攻击,攻击者会对备份造成多大的损害?
背景:新一代勒索软件有一个不幸的倾向,即主动搜索和删除备份(卷影副本、外部硬盘等)。我猜它们开始针对云备份只是时间问题。
我已经做过的研究: 我思考攻击者可能造成的最严重损害是将保留期缩短至最低 7 天,从而破坏超过一周的备份。我查看了Azure 备份 Powershell Cmdlet(这似乎是 Azure Backup 仪器的官方 API)并且没有找到任何明确删除或覆盖恢复点的方法。
相关问题: 保护 Azure 备份免遭恶意删除。那个问题是关于 Azure 管理凭据被盗用的情况。我的问题是关于只有保管库注册的服务器被盗用,但管理凭据安全的情况。
答案1
不幸的是,而且相当可怕的是,你错了。你可以使用Remove-OBPolicy
它来删除与该-DeleteBackup
参数相关的所有备份。
我也想不出有什么立即防止这种情况的方法。也许可以以某种方式交换凭证。
您可以将它们备份到中间文件存储,然后从那里推送。不幸的是,这只是一个权宜之计。
Remove-OBPolicy cmdlet 删除当前设置的备份策略(OBPolicy 对象)。这将停止现有的每日计划备份。如果指定了 DeleteBackup 参数,则在线备份服务器上根据此策略备份的任何数据都将被删除。如果未指定 DeleteBackup 参数,则现有备份将根据创建备份时有效的保留策略保留。
答案2
Azure 刚刚(2016 年 11 月)为恢复服务保管库添加了新的安全功能它可以在恢复库设置中激活并准确解决这些问题:
预防:为删除备份数据、更改密码等关键操作添加了新的身份验证层。这些操作现在需要只有拥有有效 Azure 凭据的用户才能使用的安全 PIN。
警报:任何影响备份数据可用性的关键操作都会发送电子邮件通知。这些通知使用户能够在攻击发生时立即检测到。
恢复:Azure 备份会将已删除的备份数据保留 14 天,以确保使用任何旧的或最近的恢复点进行恢复。此外,始终保持最少数量的恢复点,以便始终有足够数量的点可供恢复。