我刚刚继承的网络有一个家用型(Seagate)NAS 驱动器,每天午夜用作数据备份。
由于该公司最近(在我任职之前)遭受了病毒攻击 - 我想尽我所能来保护数据安全,直到采取更好的措施为止。
该驱动器直接连接到主网络,服务器备份到该驱动器。它白天保持开启状态并可访问,但没有人连接它。
安装一个电源插座定时器,在备份开始前将其打开,并在 3 小时后关闭(例如),为备份提供充足的时间,但使其在工作日期间完全免受攻击,这是一个好主意吗?
(我想尽快安装一台 LTO-6,再加上云存储作为“双管齐下”的方法)
答案1
总体思路是好的
让恶意软件无法访问备份的一般概念是可靠的。有多种方法可以做到这一点,并不一定需要关闭备份驱动器。
因此,让驱动器或至少存储备份的特定目录无法访问并不是一个坏主意。
恶意软件伪装成您
关于恶意软件,有一点是这样的。如果你的电脑感染了恶意软件,它会以与你相同的权限运行,因为它是在你的安全环境中运行的。
如果您本人(或您网络上的任何其他用户)对您的备份具有写入权限,并且您感染了恶意软件,则该恶意软件也对您的备份具有写入权限。因此,例如,勒索软件可能会加密您的备份并使其对您毫无用处。
在单独的服务帐户中运行备份作业
如果您的备份作业是从其他帐户运行的,并且该帐户是唯一对备份具有写访问权限的帐户,那么即使您无意中安装了勒索软件,它也无法更改您的备份。无论备份驱动器是打开还是关闭,都是如此。
更多考虑...
还请考虑一下,如果您突然关闭备份驱动器,则可能会丢失驱动器缓存中但尚未永久写入磁盘的数据。
最后,请考虑一下,如果您确实感染了恶意软件,并且您的帐户具有对备份目录的写权限,那么当驱动器启动运行备份时,您的备份就会变得脆弱,即使驱动器在一天中的某个时间段处于关闭状态。
无论哪种方式,使用服务帐户运行备份,并拒绝包括您自己的帐户(或特别是包括您自己的帐户)在内的所有其他帐户对备份存储库的写访问权限是一种很好的做法。