Jump to content

Backup Konzept


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

aufgrund der Ereignisse des VerschlüsselungsTrojaners überlege ich gerade ob mein Backupkonzept verbessert werden kann. Dazu wollte ich mal Eure Meinung hören.

 

Es geht speziell um die Filedaten

Wir haben zwei Windows Server 2008 mit lokalen Laufwerken. Ein Server (Server A) ist der aktive Fileserver auf dem die User arbeiten. Dann replizieren wir in Echtzeit die Daten auf den andern Server (Server B) um im Fehlerfall von Server A die Daten auf Server B zur Verfügung setllen zu können.

Die Sicherung der Daten Erfolgt dann täglich von Server B (also der Passive), am Wochenende Full und täglich Inkrementell

 

Jetzt Stelle ich mir die Frage:

Infizierte Datei kommt durch Mailfilter durch und wird am APS geöffnet. Trojaner verschlüsselt alles.

 

In dem Moment bringt mir das Spiegeln der Filedaten ja gar nichts weil die Verschlüsselten Daten ja auch repliziert werden.

Macht es also mehr sinn die Spiegelung nur z.B. 2x am Tag laufen zu lassen.

 

Wie sieht euer Datensicheungskonzept gerade in Hinblick auf diesen Verschlüsselungstrojaner aus

Was kann ich verbessern??

 

Bin auf eine rege Diskussion gespannt

Link zu diesem Kommentar

Da wir vor einigen Wochen gerade betroffen waren: http://www.mcseboard.de/topic/207040-es-hat-uns-erwischt-verschl-trojaner-cryptxxx/

In dem Fred findest Du schon einige m.E. gute Hinweise.

 

1. Trojaner gar nicht erst in Unternehmen lassen

2. Möglichst schnelle Erkennung der Aktivität eines Crypto-Trojaner (welcher Rechner, welche Daten sind betroffen)

3. Entsprechendes Backupkonzept

Link zu diesem Kommentar

Und um es mit dem Lieblings-Satz eines befreundeten MVP´s auszudrücken: 

 

Man braucht kein Backup - sondern ein Wiederherstellungs-Szenario.

 

Das führt dann zu einem Konzept und schlussendlich zu einer Lösung.

 

Wie lange darf es dauern bis Server X wieder läuft.

 

Und das sollte man auch regelmäßig mal ausprobieren, ob man Daten, ggf. an einem anderen Ort auch wirklich wieder brauchbar(!) herstellen kann.

 

:D

Link zu diesem Kommentar

In dem speziellen Fall (Trojaner) geht es m.E. nicht nur ein Wiederherstellungs-Szenario. Ist das Kind in den Brunnen gefallen, also ein Trojaner aktiv, muss das ja zunächst mal erkannt werden (welche Daten sind überhaupt betroffen/verschlüsselt). Und es wäre auch gut zu wissen welcher Rechner Quelle der Verschlüsselung ist (Rechner umgehend aus dem Netz nehmen)!

Evtl. ist ja auch schon das letzte Backup ganz/teilweise betroffen, da der Trojaner möglicherweise ja schon einige Stunden/Tage 'arbeiten' konnte?  

Es wird wohl kaum Jemand einen kompletten Fileserver wieder herstellen wollen, wenn nur einzelne VZ oder gar nur bestimmte Dateitypen verschlüsselt wurden.

 

Ach ja, ich gehe natürlich davon aus, dass nicht auf dem Fileserver selbst der Trojaner läuft! In so einem Fall ginge dann der Spaß erst richtig los. Wohlmöglich noch mit einem untergeschobenen Treiber, der dem Server noch wochenlangen Zugriff auf eigentlich bereits verschlüsselte Dokumente erlaubt.

Link zu diesem Kommentar

Du vermischt hier deine Anforderungen an die Verfügbarkeit(Replikation) und die an die Datensicherung(Backup+Restore)

Kann dein Fileserver Snapshots? da könnte man ein Konzept draus basteln. Auf beiden Seiten könnte man eine gewissen Anzahl an Snapshots vorhalten. Da könnte man auch wunderbar einen selfservice für die User draus basteln.

 

Es kann aber auch sein das du ganz andere Anforderungen hast.

 

Bei uns läuft das wie beschrieben.

1. Snapshots am primärsystem (Zugriff direkt über die Vorgängerversionen aus Windows heraus.)

2. Snapshots am Sekundärsystem.(Zugriff  über die Vorgängerversionen aus Windows heraus von einem RO-Backupshare.)

3. Im Desasterfall können wir die Backupmaschine direkt scharf schalten und weiter arbeiten.

4. Primär- und Sekundärsystem sind in verschiedenen Brandabschnitten, hier in verschiedenen Gebäude.

Link zu diesem Kommentar

Du vermischt hier deine Anforderungen an die Verfügbarkeit(Replikation) und die an die Datensicherung(Backup+Restore)

Kann dein Fileserver Snapshots? da könnte man ein Konzept draus basteln. Auf beiden Seiten könnte man eine gewissen Anzahl an Snapshots vorhalten. Da könnte man auch wunderbar einen selfservice für die User draus basteln.

 

Es kann aber auch sein das du ganz andere Anforderungen hast.

 

Bei uns läuft das wie beschrieben.

1. Snapshots am primärsystem (Zugriff direkt über die Vorgängerversionen aus Windows heraus.)

2. Snapshots am Sekundärsystem.(Zugriff  über die Vorgängerversionen aus Windows heraus von einem RO-Backupshare.)

3. Im Desasterfall können wir die Backupmaschine direkt scharf schalten und weiter arbeiten.

4. Primär- und Sekundärsystem sind in verschiedenen Brandabschnitten, hier in verschiedenen Gebäude.

 

Das klingt doch ganz gut mit den Snapshots

Wobei bei einem Trojanerbefall wohl auch die Snapshots betroffen sein können, oder?

Was nutzt ihr für die Erstellung der Snapshots?

 

Link zu diesem Kommentar

Das klingt doch ganz gut mit den Snapshots

Wobei bei einem Trojanerbefall wohl auch die Snapshots betroffen sein können, oder?

Was nutzt ihr für die Erstellung der Snapshots?

 

Moin,

Snapshot kann man nicht von allen System supportet ziehen, aber wenn das wie im 1ten Post um Fileserver und deren Storage geht sollte das klappen.

 

Wir fahren bei uns verschiedene Systeme mit verschiedenen Szenarien / Zeiten / Strategien.

 

Wir gehen mal davon aus, das so ein Würmchen (derzeit) nicht auf Bänder zugreifen kann, also fahren wir LAN to Disk to Tape, bei bestimmten Systemen alle 15 min, andere jede Stunde, den meisten Rest einmal am Tag gegen 22:00h klassisch.

 

Mal Veeam, mal Windows-Backup, mal Backup Exec, bunter Mix.

 

;)

In dem speziellen Fall (Trojaner) geht es m.E. nicht nur ein Wiederherstellungs-Szenario

Doch gerade dann und das ist dann auch zeitkritisch - jedenfalls bei uns.

 

Datenverlust von mehr als einem Tag kann ich vorne die Tür abschließen.

 

:D

Link zu diesem Kommentar
Ach ja, ich gehe natürlich davon aus, dass nicht auf dem Fileserver selbst der Trojaner läuft! In so einem Fall ginge dann der Spaß erst richtig los. Wohlmöglich noch mit einem untergeschobenen Treiber, der dem Server noch wochenlangen Zugriff auf eigentlich bereits verschlüsselte Dokumente erlaubt.

Gibts das tatsächlich schon? Wäre ja echt heftig...

 

Aber auch so schon extrem schwierig da nen ziemlich lückenloses Konzept auf die Reihe zu kriegen.

Link zu diesem Kommentar

Das klingt doch ganz gut mit den Snapshots

Wobei bei einem Trojanerbefall wohl auch die Snapshots betroffen sein können, oder?

Was nutzt ihr für die Erstellung der Snapshots?

 

Die snapshots sind readonly, können also nicht nachträglich verschlüsselt werden.

Wir nutzen als "Fileserver" eine Netapp. Die kann das alles von Haus aus. Andere SAN- oder NAS-Geräte können das aber auch. Wenns um Geld geht ist FreeNAS eventuell eine Alternative. ZFS hat alle notwendigen Features.

Gibts das tatsächlich schon? Wäre ja echt heftig...

 

Aber auch so schon extrem schwierig da nen ziemlich lückenloses Konzept auf die Reihe zu kriegen.

Auch ein Fileserver ist ein computer und kann quasi jeden code ausführen.

 

Das ist nicht nur schwierig, das ist Kunst.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...