Moped 11 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Hallo Zusammen, aufgrund der Ereignisse des VerschlüsselungsTrojaners überlege ich gerade ob mein Backupkonzept verbessert werden kann. Dazu wollte ich mal Eure Meinung hören. Es geht speziell um die Filedaten Wir haben zwei Windows Server 2008 mit lokalen Laufwerken. Ein Server (Server A) ist der aktive Fileserver auf dem die User arbeiten. Dann replizieren wir in Echtzeit die Daten auf den andern Server (Server B) um im Fehlerfall von Server A die Daten auf Server B zur Verfügung setllen zu können. Die Sicherung der Daten Erfolgt dann täglich von Server B (also der Passive), am Wochenende Full und täglich Inkrementell Jetzt Stelle ich mir die Frage: Infizierte Datei kommt durch Mailfilter durch und wird am APS geöffnet. Trojaner verschlüsselt alles. In dem Moment bringt mir das Spiegeln der Filedaten ja gar nichts weil die Verschlüsselten Daten ja auch repliziert werden. Macht es also mehr sinn die Spiegelung nur z.B. 2x am Tag laufen zu lassen. Wie sieht euer Datensicheungskonzept gerade in Hinblick auf diesen Verschlüsselungstrojaner aus Was kann ich verbessern?? Bin auf eine rege Diskussion gespannt Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Da wir vor einigen Wochen gerade betroffen waren: http://www.mcseboard.de/topic/207040-es-hat-uns-erwischt-verschl-trojaner-cryptxxx/ In dem Fred findest Du schon einige m.E. gute Hinweise. 1. Trojaner gar nicht erst in Unternehmen lassen 2. Möglichst schnelle Erkennung der Aktivität eines Crypto-Trojaner (welcher Rechner, welche Daten sind betroffen) 3. Entsprechendes Backupkonzept Zitieren Link zu diesem Kommentar
Nobbyaushb 1.472 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Und um es mit dem Lieblings-Satz eines befreundeten MVP´s auszudrücken: Man braucht kein Backup - sondern ein Wiederherstellungs-Szenario. Das führt dann zu einem Konzept und schlussendlich zu einer Lösung. Wie lange darf es dauern bis Server X wieder läuft. Und das sollte man auch regelmäßig mal ausprobieren, ob man Daten, ggf. an einem anderen Ort auch wirklich wieder brauchbar(!) herstellen kann. :D 1 Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 In dem speziellen Fall (Trojaner) geht es m.E. nicht nur ein Wiederherstellungs-Szenario. Ist das Kind in den Brunnen gefallen, also ein Trojaner aktiv, muss das ja zunächst mal erkannt werden (welche Daten sind überhaupt betroffen/verschlüsselt). Und es wäre auch gut zu wissen welcher Rechner Quelle der Verschlüsselung ist (Rechner umgehend aus dem Netz nehmen)! Evtl. ist ja auch schon das letzte Backup ganz/teilweise betroffen, da der Trojaner möglicherweise ja schon einige Stunden/Tage 'arbeiten' konnte? Es wird wohl kaum Jemand einen kompletten Fileserver wieder herstellen wollen, wenn nur einzelne VZ oder gar nur bestimmte Dateitypen verschlüsselt wurden. Ach ja, ich gehe natürlich davon aus, dass nicht auf dem Fileserver selbst der Trojaner läuft! In so einem Fall ginge dann der Spaß erst richtig los. Wohlmöglich noch mit einem untergeschobenen Treiber, der dem Server noch wochenlangen Zugriff auf eigentlich bereits verschlüsselte Dokumente erlaubt. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Du vermischt hier deine Anforderungen an die Verfügbarkeit(Replikation) und die an die Datensicherung(Backup+Restore) Kann dein Fileserver Snapshots? da könnte man ein Konzept draus basteln. Auf beiden Seiten könnte man eine gewissen Anzahl an Snapshots vorhalten. Da könnte man auch wunderbar einen selfservice für die User draus basteln. Es kann aber auch sein das du ganz andere Anforderungen hast. Bei uns läuft das wie beschrieben. 1. Snapshots am primärsystem (Zugriff direkt über die Vorgängerversionen aus Windows heraus.) 2. Snapshots am Sekundärsystem.(Zugriff über die Vorgängerversionen aus Windows heraus von einem RO-Backupshare.) 3. Im Desasterfall können wir die Backupmaschine direkt scharf schalten und weiter arbeiten. 4. Primär- und Sekundärsystem sind in verschiedenen Brandabschnitten, hier in verschiedenen Gebäude. Zitieren Link zu diesem Kommentar
Moped 11 Geschrieben 14. Juni 2016 Autor Melden Teilen Geschrieben 14. Juni 2016 Du vermischt hier deine Anforderungen an die Verfügbarkeit(Replikation) und die an die Datensicherung(Backup+Restore) Kann dein Fileserver Snapshots? da könnte man ein Konzept draus basteln. Auf beiden Seiten könnte man eine gewissen Anzahl an Snapshots vorhalten. Da könnte man auch wunderbar einen selfservice für die User draus basteln. Es kann aber auch sein das du ganz andere Anforderungen hast. Bei uns läuft das wie beschrieben. 1. Snapshots am primärsystem (Zugriff direkt über die Vorgängerversionen aus Windows heraus.) 2. Snapshots am Sekundärsystem.(Zugriff über die Vorgängerversionen aus Windows heraus von einem RO-Backupshare.) 3. Im Desasterfall können wir die Backupmaschine direkt scharf schalten und weiter arbeiten. 4. Primär- und Sekundärsystem sind in verschiedenen Brandabschnitten, hier in verschiedenen Gebäude. Das klingt doch ganz gut mit den Snapshots Wobei bei einem Trojanerbefall wohl auch die Snapshots betroffen sein können, oder? Was nutzt ihr für die Erstellung der Snapshots? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.472 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Das klingt doch ganz gut mit den Snapshots Wobei bei einem Trojanerbefall wohl auch die Snapshots betroffen sein können, oder? Was nutzt ihr für die Erstellung der Snapshots? Moin, Snapshot kann man nicht von allen System supportet ziehen, aber wenn das wie im 1ten Post um Fileserver und deren Storage geht sollte das klappen. Wir fahren bei uns verschiedene Systeme mit verschiedenen Szenarien / Zeiten / Strategien. Wir gehen mal davon aus, das so ein Würmchen (derzeit) nicht auf Bänder zugreifen kann, also fahren wir LAN to Disk to Tape, bei bestimmten Systemen alle 15 min, andere jede Stunde, den meisten Rest einmal am Tag gegen 22:00h klassisch. Mal Veeam, mal Windows-Backup, mal Backup Exec, bunter Mix. ;) In dem speziellen Fall (Trojaner) geht es m.E. nicht nur ein Wiederherstellungs-Szenario Doch gerade dann und das ist dann auch zeitkritisch - jedenfalls bei uns. Datenverlust von mehr als einem Tag kann ich vorne die Tür abschließen. :D Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Ach ja, ich gehe natürlich davon aus, dass nicht auf dem Fileserver selbst der Trojaner läuft! In so einem Fall ginge dann der Spaß erst richtig los. Wohlmöglich noch mit einem untergeschobenen Treiber, der dem Server noch wochenlangen Zugriff auf eigentlich bereits verschlüsselte Dokumente erlaubt. Gibts das tatsächlich schon? Wäre ja echt heftig... Aber auch so schon extrem schwierig da nen ziemlich lückenloses Konzept auf die Reihe zu kriegen. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Das klingt doch ganz gut mit den Snapshots Wobei bei einem Trojanerbefall wohl auch die Snapshots betroffen sein können, oder? Was nutzt ihr für die Erstellung der Snapshots? Die snapshots sind readonly, können also nicht nachträglich verschlüsselt werden. Wir nutzen als "Fileserver" eine Netapp. Die kann das alles von Haus aus. Andere SAN- oder NAS-Geräte können das aber auch. Wenns um Geld geht ist FreeNAS eventuell eine Alternative. ZFS hat alle notwendigen Features. Gibts das tatsächlich schon? Wäre ja echt heftig... Aber auch so schon extrem schwierig da nen ziemlich lückenloses Konzept auf die Reihe zu kriegen. Auch ein Fileserver ist ein computer und kann quasi jeden code ausführen. Das ist nicht nur schwierig, das ist Kunst. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.