Eine virensichere Strategie (Ransomware…) für die Sicherung auf einem NAS?

12

Ich habe ein NAS gekauft, um Dateien zu teilen und als Backup-Lösung.

Kürzlich wurde mein Netbook von einer Ransomware infiziert. Alle Dateien auf dem Netbook und die meisten Dateien auf dem NAS wurden zerstört (der Virus mischt die ersten Bits der Dateien). Glücklicherweise wurde mein Haupt-PC nicht angegriffen und da ich manuelle Backups auf einer tragbaren Festplatte mache, habe ich nichts verloren.

Trotzdem machte es mir Angst, da ich glaube, dass ich viele Daten verlieren könnte, wenn sie auf meinem Haupt-PC auftauchten. In der Tat, wenn eine Sicherung ausgeführt wird, während die Dateien beschädigt werden, würde ich beschädigte Daten auf dem NAS sichern!

Meine Frage: Gibt es eine virensichere Sicherungsstrategie?

Danke für deine Hilfe.

Nachdem ich Ihre Antworten gelesen habe, verstehe ich jetzt, dass ich zwei Lösungen brauche:

  1. Sync meiner Daten in einem Ort, der CAN von den Clients zugegriffen werden , so dass ich Daten zwischen Computern gemeinsam nutzen kann (ich würde es der Anruf synchronisiert Bereich )
  2. Dann Sicherung dieses synchronisierten Bereich in einer Position , die NICHT von den Clients zugegriffen werden

Zum Schluss meine Fragen:

  1. Sind diese beiden obigen Aussagen ausreichend, um sicher zu sein?
  2. Wie richte ich diese Lösung mit Computern unter Windows und einem Synology NAS ein?

Daniel Beck bat um nähere Informationen zu meiner Umgebung:

Ich habe 2 PCs:

  1. Der Haupt-Desktop-PC, mit dem ich die meisten Aufgaben erledige (Fotos sortieren, Buchhaltung usw.). Er verfügt über Festplatten, die groß genug sind, um alle Daten zu speichern, die ich zum Teilen und Sichern benötige.
  2. Das zweite ist ein Netbook. Es hat eine kleine Festplatte, daher enthält es nicht alle Daten (zum Beispiel keine Fotos). Es wird jedoch häufig zum Bearbeiten einiger Dokumente aus dem freigegebenen Bereich verwendet . Manchmal erstelle ich neue Daten, die ich manuell im freigegebenen Bereich speichere .

Im Moment mache ich alle Kopien auf dem NAS manuell (ich habe keine Backup-Software).

Mein NAS ist Synology DS211j, er hostet die gemeinsam genutzten Daten.

Also möchte ich:

  1. Zugriff auf das Netbook auf alle Daten, die sich auf dem Desktop-PC befinden, auch wenn dieser heruntergefahren ist
  2. Habe eine Lösung, um meine Daten vor Viren zu schützen.
  3. Richten Sie eine automatisierte Lösung für all das ein.

Dank des neuesten Kommentars von Liori möchte ich Folgendes versuchen:

  1. Setzen Sie mein vom RAID eingerichtetes NAS mit 2 Festplatten auf 2 getrennte Volumes zurück .
  2. Richten Sie eine Synchronisierung von Daten auf Volume 1 ein, die der Benutzer sehen kann .
  3. Verwenden Sie die Synology NAS- Zeitsicherungssoftware , um freigegebenes Volume 1 auf Backup-Volume 2 zu sichern . Band 2 wird NICHT von Benutzern gesehen .

Wenn es sicher ist, sehe ich viele Vorteile:

  • Auch wenn es nicht so gut ist, kann ich über das Internet auf meine Daten zugreifen.
  • Die Sicherung der Daten würde auf dem NAS geplant, ich muss meinen Computer nicht für Sicherungen einschalten.
  • Ich hätte meine Daten an 3 Orten: Haupt-Desktop-PC + freigegebenes Volume + Backup-Volume (4 in der Tat mit der manuellen Sicherung auf USB HDD). So habe ich nutzloses RAID verloren und sichere Backups auf dedizierter Festplatte erhalten.

Glaubst du, es würde funktionieren?

Danke noch einmal!

backup virus nas Plouff
quelle
1
Die Sicherung unterscheidet sich von der Synchronisierung. Bitte erläutern Sie, wie die beiden in Ihrem Fall zusammenhängen.
Daniel Beck
Ok, es ist komplizierter als ich dachte. Ich werde die Antwort erneut aktualisieren.
Plouff

Antworten:

14

Die Lösung ist eine halte Geschichte von Backups.

Sie können ein tägliches Backup speichern, beispielsweise für die letzten sieben Tage. Dann ein Backup pro Woche viermal pro Monat. Wenn das Backup von gestern in einem schlechten Zustand gespeichert wurde, nehmen Sie auf diese Weise das Backup vom Vortag. Oder Sie können die Sicherung von letzter Woche nehmen.

Um Speicherplatz zu sparen, können Sie entweder ein Dateisystem verwenden, das die Deduplizierung unterstützt, feste Verknüpfungen verwenden oder nur den Unterschied zwischen den Sicherungen speichern. Welche Lösung die beste ist, hängt von Ihren Anforderungen, dem Setup und der von Ihnen ausgeführten Software ab.

BEARBEITEN: Sie haben Ihre Frage aktualisiert und zusätzliche Informationen hinzugefügt.

Wie Sie bereits wissen, müssen Sie die Daten von der Sicherung trennen. Ein Backup ist immer redundant, wenn möglich sogar mehr als eine Kopie. Ich kenne Ihre NAS-Lösung und deren Backup-Software nicht. Aber ich kann Ihnen sagen, wie ich das gelöst habe.

Ich verwende ein altes 300-MHz-System als Backup-Server, der mit dem Dateiserver verbunden ist (das wäre Ihr NAS in Ihrer Konfiguration). Einmal pro Tag schaltet sich der Backup-Server ein und zieht das Backup vom File-Server und schreibt die Daten auf seine eigenen Festplatten. Als Backup-Software verwende ich rsnapshot . Kein Client-Computer hat in irgendeiner Weise Zugriff auf den Sicherungsserver. Und es läuft nur eine kurze Zeit pro Tag.

Dies ist nur eine von vielen möglichen Lösungen. Die wichtigsten Punkte einer guten Lösung sind:

  • Führen Sie eine Sicherungshistorie
  • Ein Backup ist immer redundant
  • Ein Backup wird auf einer anderen Hardware gespeichert (zB ein zweites Laufwerk, keine zweite Partition auf demselben Laufwerk)
  • Die Client-Computer dürfen keinen Zugriff auf die Sicherung haben
  • Das Backup sollte so einfach wie möglich sein, bestenfalls vollautomatisch
  • Abhängig davon, wie oft Wiederherstellungen erwartet werden, sollte die Wiederherstellung der Daten nicht zu aufwändig sein
Marco
quelle
Ich verstehe die Notwendigkeit von Backups in der Vergangenheit, glaube aber leider nicht, dass dies die Ransomware daran hindern würde, Daten zu zerstören. Ich war vielleicht nicht genau genug. Aber die Ransomware hatte über das Netbook Zugriff auf das NAS. Und es hat die Dateien auf dem NAS zerstört!
Plouff
3
Mach es umgekehrt. Die (möglicherweise infizierten) Clients sollten keinen Arbitry-Schreibzugriff auf den NAS haben. Der Sicherungsserver (möglicherweise auch auf dem NAS) sollte die Daten von den Clients abrufen und auf dem NAS speichern.
Marco
Okay! Ich verstehe jetzt! Kann man so etwas mit einem Synology NAS machen?
Plouff
1
Ich befürchte, dass Ihre Antwort einen wichtigen Punkt dieser Strategie verfehlt: Wenn Sie den Schutz vor Änderungen der Sicherung durch bösartige Software gewährleisten möchten, müssen Sie für die alten Sicherungen unterschiedliche physische Datenträger verwenden. Wenn der Benutzer wie in diesem Fall die Integrität der Software auf seinem Computer nicht gewährleisten kann, warum sollten Schreibberechtigungen auf dem NAS vertrauenswürdig sein? Malware stiehlt möglicherweise nur die Anmeldeinformationen aus dem Kennwortspeicher eines Browsers oder ähnlichem.
Jstarek
Ich stimme mit Ihnen ein. Ich habe ein wenig Zeit gebraucht, um zu verstehen, dass ich freigegebene Daten von Sicherungen trennen muss. Können Sie mir sagen, was Sie von der letzten Aktualisierung der Frage halten? Vielen Dank!
Plouff
7

Die einzige Möglichkeit, virenfreie Backups zu erstellen, besteht in einer Art Verlauf: Sie müssen Ihre Backups mehrere Tage / Wochen / Monate speichern.

Dies garantiert nicht, dass es virenfrei ist. Mit dieser Garantie können Sie jedoch Dateien wiederherstellen, bevor Sie eine kürzlich aufgetretene Infektion entdecken.

Eine sehr wichtige Sache bei Backups: Der "Client" -Computer darf keinen Zugriff auf die Backups haben.
Dies bedeutet, dass dies der "Server" -Computer ist, der eine Verbindung zum Client herstellt und die Sicherung durchführt. Die meisten Sicherungsprogramme sind nicht auf diese Weise konzipiert.
Eine andere Methode ist das Entfernen von Backups aus dem Blickfeld des Kunden. Dies geschieht jedoch häufig auf eine schlechte Art und Weise, was zu keiner Erhöhung der Sicherheit führt.

Gregory MOUSSAT
quelle
Nachdem ich von der Ransomware betroffen war, versuchte ich , Backups aus der Sicht des Clients zu entfernen, indem ich den NAS auf allen Windows-Computern als Netzwerklaufwerk entfernte. Im Moment greife ich über die Windows-Adressleiste auf meinen NAS zu und speichere das Passwort nicht. Aber ich weiß nicht, ob eine Ransomware in der Lage ist, das Netzwerk nach einem anderen Ort zu durchsuchen. Wenn dies möglich ist, kann die Ransomware auf den NAS zugreifen, da Windows das Kennwort während der aktiven Sitzung speichert (auch wenn Sie nicht für immer nach dem Speichern des Kennworts fragen). Gibt es eine einfache Möglichkeit, das Gesagte auf Windows anzuwenden?
Plouff
4

Was Sie erwähnen, scheinen mehrere separate Probleme zu sein. Eines ist leichter zu überwinden (versehentliches Löschen oder Sichern fehlerhafter Daten) als das andere (gezielte Malware).

In aufsteigender Reihenfolge des Schweregrads / des Aufwands zum Speichern Ihrer Daten:

  1. (Unbemerkt) Beschädigung der Daten eines Ihrer Systeme, die auf das Sicherungslaufwerk gelangen, Löschen aller fehlerfreien Daten oder Ersetzen durch Mist. Andere Antwortende, die bereits erwähnt wurden, behalten mehrere Generationen bei. Dies erspart Ihnen auch viel alltäglichere Probleme, wie z. B. fehlerhafte Schreibvorgänge (ich kenne Leute, deren Office-Software fehlerhafte, nicht umsetzbare Dateien erstellt hat), ohne dass Sie es merken.

  2. Malware, die alle Dateien auf allen verbundenen Laufwerken zerstört. Dies ist schwieriger, da Malware einfach alle Backup-Generationen löschen oder unbrauchbar machen kann, wenn programmgesteuert darauf zugegriffen wird. Bewahren Sie mehrere Sicherungslaufwerke auf und wechseln Sie regelmäßig zwischen diesen. Schließen Sie sie niemals gleichzeitig an.

  3. Brände, Einbruch, Blitzeinschläge oder ein wichtiger anderer, der gerne (möglichst teure) Dinge auf Sie wirft. Verwalten Sie mehrere physische Laufwerke. Halten Sie einen von ihnen jederzeit von der Baustelle fern. Wechseln Sie regelmäßig zwischen ihnen, um sicherzustellen, dass beide auf dem neuesten Stand sind. Fügen Sie der Mischung optional eine Online-Backup-Lösung hinzu, der Sie vertrauen.

Natürlich können Sie versuchen, einige Probleme zu vermeiden, indem Sie z. B. mehrere Sicherungsgenerationen aufbewahren und alle Schreibberechtigungen für die Dateien entfernen, sobald sie geschrieben wurden, sodass Malware sie nicht einfach überschreiben kann. Darauf würde ich mich nicht verlassen, besonders wenn Sie bereits Malware-Probleme haben.

Daniel Beck
quelle
Ich denke, Sie haben die Probleme eindeutig identifiziert und getrennt. Daher werde ich meine Frage oben aktualisieren.
Plouff
3

Ich möchte eine andere Lösung vorschlagen.

Verwenden Sie eine andere Systeminstallation nur für Sicherungen - vorzugsweise eine, bei der es sich wirklich um ein anderes Betriebssystem handelt. Beispielsweise könnten Sie mit Linux ein USB-Laufwerk erstellen (oder das sekundäre Betriebssystem tatsächlich auf dem Sicherungslaufwerk installieren) und es zum Sichern Ihres primären Betriebssystems verwenden, bei dem es sich vermutlich um Windows handelt.

Schließen Sie den Sicherungsspeicher nur an, wenn das sekundäre Betriebssystem geladen ist.

Auf diese Weise könnte eine Malware Ihre Backups nur dann zerstören, wenn sie für die Verwendung unter zwei verschiedenen Betriebssystemen vorbereitet ist. Dieser Grad an Raffinesse ist sehr selten (denken Sie an Stuxnet- Raffinesse).

Liori
quelle
Wenn Sie eine zu komplizierte Lösung wie die vorgeschlagene implementieren, ist es nicht unwahrscheinlich, dass Sie nicht so oft sichern, wie Sie sollten. Ein Backup sollte so einfach wie möglich sein, im besten Fall vollautomatisch. Eine einfachere Lösung wäre, die Festplatte zu exportieren und den Sicherungsserver einfach die Daten über LAN abrufen zu lassen. Auf diese Weise muss der Client (und seine Malware) keinen Schreibzugriff auf den Sicherungsserver haben.
Marco
Ich habe es einmal gemacht und halte es nicht für kompliziert. In meinem Fall habe ich gerade das Backup-Betriebssystem auf der externen Festplatte vorbereitet. Eines der Startskripts hat die Sicherung selbst gestartet und nach Abschluss der Sicherung den Computer ausgeschaltet. Also musste ich nur die Festplatte anschließen, meinen Computer neu starten und schlafen gehen. In meinem Fall waren die Partitionen auf dieser Festplatte so vorbereitet, dass sie nicht automatisch auf dem primären Betriebssystem bereitgestellt werden, sodass ich das Sicherungslaufwerk einstecken konnte, ohne mich um die Sicherheit von Sicherungen zu kümmern. Es war die sicherste Lösung, die ich billig mit nur einer Festplatte und keinem externen PC realisieren konnte
Liori
Ich habe nicht erwähnt, dass ich zu Hause von einer Backup-Lösung spreche. Außerdem beherrsche ich die IT nicht so fließend. Ihre Lösung scheint großartig, aber für mich schwierig einzurichten. Ich bin mir nicht sicher, ob ich alles verstanden habe.
Plouff
1
@Plouff: es könnte gut genug sein. Wenn dieses Ding: synology.com/dsm/home_backup_desktop_backup.php?lang=enu funktioniert, auch wenn der NAS nicht direkt auf Ihrem PC installiert ist (und stattdessen alles verwendet, was vom PC gemeinsam genutzt wird), verfügen Sie über einen Sicherungsspeicherplatz vom PC nicht direkt erreichbar. Übrigens, Sie haben geschrieben, dass Sie den NAS auch zum „Teilen von Dateien“ verwenden möchten - ich rate aus Sicherheitsgründen davon ab, aber wenn Sie dies dennoch tun möchten, erstellen Sie ein bestimmtes Volume im NAS, um Daten auszutauschen, z auf dem Screenshot hier: synology.com/dsm/home_easy_setup_home_storage.php?lang=enu
liori
1
@Plouff: Hört sich gut an. Eine Sache: Es scheint, dass Sie nicht aufhören müssen, RAID zu verwenden. Gemäß dieser Dokumentation: ukdl.synology.com/ftp/ds/userguide/x11-Series/… , Kapitel 4. - Sie können eine „Festplattengruppe“ einrichten, die das RAID durchführt, und dann mehrere Volumes darin erstellen.
Liori
-1

Die einzig wahre Verteidigung besteht darin, Ihr NAS regelmäßig zu klonen und mindestens zwei Offline-Kopien der Daten aufzubewahren, falls das NAS während des Klonens angegriffen wird oder ausfällt. Wenn man bedenkt, wie billig Sie Multi-Terabyte-Laufwerke kaufen können, ist dies tatsächlich viel praktischer als früher, insbesondere wenn Sie einen Hot-Swap-Einschub mit nackten Laufwerken anstelle von vorgefertigten externen Laufwerken verwenden

Mike Loeven
quelle
Dies scheint eher ein Kommentar als eine tatsächliche Antwort zu sein.
Ramhound