似乎又有一次大规模的加密木马攻击。我在这里有一个办公室,负责接收 Windows 备份的 Samba 服务器(使用 Windows 备份工具)
为了使备份数据不太可能被加密,我w递归地删除了每台机器备份到的文件夹内容的属性。
# This removes the w flag for all content of each backup folder
for i in `ls -a | grep 0`;do chmod a-w $i/* ;done
完成此操作后,我意识到备份工具需要动态存储某些信息,因此我重新允许w以下文件夹的属性
for i in `find -name Catalog`; do chmod -R u+w,g+w $i; done
for i in `find -name SPPMetadataCache`; do chmod -R u+w,g+w $i; done
我的计划是,在没有备份发生时每晚运行此操作。实际上我有两个问题:
- 如果
the Catalog或SPPMetadataCache损坏怎么办?这会使备份失效吗? - 是否还有其他文件夹需要可写入才能使 windows-backup-tool 正常工作?
答案1
恐怕这无济于事。良好的勒索软件保护策略需要对基础设施采取全面的方法。3-2-1 备份规则和磁带(无论是物理的还是虚拟的)。问题是勒索软件无法瞄准磁带并完全忽略它们,这意味着您的备份不会成为 Wannacry 之类的东西的受害者。检查可以存储和保护备份磁带的 Iron Mountain。这是链接:http://www.ironmountain.com/Solutions/Small-Business/Tape-and-Cloud/Offsite-Tape-Storage.aspx
另一个示例是使用具有卸载到云的虚拟磁带库。查看 Veeam。他们提供了一些 VTL 集成解决方案:https://www.veeam.com/blog/leverage-vtl-on-amazon-aws-object-storage-s3-glacier.html
我再举几个例子:
http://www.luminex.com/products/cloudtape/
https://www.oracle.com/storage/tape-storage/vsm-vles/index.html
希望能帮助到你!
答案2
Windows 映像备份?我喜欢它们,但它们非常敏感。我真的只用它们来制作 VHD,因为从它们恢复对我来说不是很可靠。(我还没有 Windows 10 系统映像恢复)所以我认为这些文件的损坏会导致完全/正常恢复失败。(但我仍然喜欢使用 Windows 映像备份/wbadmin)
为什么不运行一个 bash 脚本来将备份从 Samba 共享(远离 Windows 访问)复制或移动到另一个文件夹?并根据需要进行旋转。Samba 安全可靠,但它所服务的环境正受到攻击,最好将事物移出恶劣的环境。