--}}
Новая тема
Вы не можете создавать новые темы.
Т.к. вы неавторизованы на сайте. Пожалуйста назовите себя или зарегистрируйтесь.
Список тем

Про бэкапы, недоступные шифраторам.

Сисадминское
712
52
С друзьями на NN.RU
В социальных сетях
Поделиться
Deathmaker
18.08.2018
Да, всё здорово, когда у нас есть ФТП-сервер, куда мы валим оффлайн-деркало бэкапа.
Но вот, допустим, одинокий юзер. Нету у него такого счастья.
А что если...
Отрезаем от диска шмат гигов на 200-300 (зависит от жадности и объема бэкапов).
Создаём раздел с буквой, допустим Q.
Настраиваем бэкап на этот раздел.
Делаем сценарии для DISKPART - присвоить букву и удалить букву раздела.
Удаляем букву раздела
Ставим в шедулер первый сценарий за, допустим, 10 минут до назначенного времени бэкапа.
В задании резервного копирования ставим второй сценарий после выполнения резервного копирования.

Что должно получиться? Основную часть рабочего времени раздел с бэкапом недоступен. Теоретически шифратор про него не узнает (не шифрует же он служебные разделы на 10ке, например), а значит его появление уже некритично.

Как думаете?
997
18.08.2018
я что-то не догоняю: ты обсудить что-то хотел, или монолог свой выложил для прочтения остальными?
iZverG
18.08.2018
И то и другое. Меня тоже интересовало всегда про шифратор и раздел без буквы... На практике бу понять, только не на своем компе
997
18.08.2018
ты скрытые псто читал? там без всех этих танцев с бубном было.
я хочу обсудить то что интересно мне, а не то, что думаешь ты. если у тебя отдельное видение вопроса - создай тему "как не дать прав шифровальщику" и там обсуждай этот вопрос.
iZverG
18.08.2018
Вставил в системник бокс от термалтейк на 2 диска. Кайфую. Механический переключатель питания, запасной отсек для ноутбучного диска, если клиенту что-то снять надо, пара разъемов усб3 на мат.плату, на корпусе у меня впереди их нет. Главное не забыть вовремя включить. И извлечь потом. Но всегда можно включить, вручную нажать бэкап, потом отключить.
у меня на сервачках такие стоят - для быстрого перекидывания туда-сюда.
но это не то - человеческий фактор способен разрушит любое благое начинание.
ну и плюс это дополнительные затраты.
997
18.08.2018
Мих, с сервачками всё проще решается: ставишь NAS, бэкапишься на него, а бэкапы на NAS-е снэпшотишь. собственно и для офисных юзеров всё столь же просто решается. не годится способ только для одиночек-нищебродов, для которых даже простенькая домашняя файлопомойка или аренда хранилища в облаке - дорого.
997 писал(а)
ставишь NAS

дайте еще 20000 в придачу к потраченным 160?
зачем?
у меня 2 сервера, которые перекрёстно бэкапят друг с друга данные. т.е. даже при шифровании данных на любом из них, на другом лежат копии этих данных.
аналогично кросбэкапятся виртуалки и сами системы этих серваков.
iZverG
19.08.2018
Кроссбэкап кстати тема. Своим пользователям эту идею часто подаю, но пока бестолку. Видимо у них ещё ничего не ломалось))
iZverG
19.08.2018
Зато твой способ от поломки харда не защищает никак. А это для меня первый фактор.
два зеркала с кроссбэкапом :о)
да и винты специальных серий.
FreeCat
18.08.2018
если шифратор не знает этого механизма - то да, вполне защищён бекап.
первая трабла - ДИСКПАРТ со сценарием не хотят работать из шедулера.
забыл прописать директорию со сценариме. сейчас работает. в понедельник увижу, сделался бэкап или нет. SSR не доволен недоступностью хранилища. Не помешает ли...
Были похожие мысли про зискпарт несколько лет назад, в итоге плюнул и просто делаю отдельного пользователя для бэкапов и права на запись только ему
В 2012 бэкап происходит на скрытый носитель, не слышал, чтобы до него добирались шифровальщики.
а не проще от выделенной УЗ настроить резервирование, а с бэкапов снять права на запись для админов и системы?
"дискпарт со сценарием не работает из шедулера"? ОС какая? планировщику фиолетово, что запускать - лишь бы права на запуск задачи были. как конкретно выглядит команда на запуск и аргументы?
Квартет9 писал(а)
а с бэкапов снять права на запись для админов и системы?

Как ты себе это представляеш на инкрементных?
ОС Вин7 Хоум. Может ему и фиолетово - но не работает. Сами сценарии рабочие, проверено.
команда выглядит как обычно - путь к ЕХЕшнику, в параметрах /S и имя сценария.
о, кажется понял, на попробовать параметры в кавычки забрать.
Er.DS
19.08.2018
Решение:
0) Основная учётка пользователя, под которой тот сидит - без прав админа.
1) Отрезать раздел, ничего не скрывать.
2) Создать спец-учётку backup, скрыть её, чтобы не отображалась на экране входа в ОС.
3) Дать права на запись на весь раздел только этой учётке.
4) Настроить штатными средствами винды бэкап нужных каталогов на этот раздел от данной учётки (дать права данной учётке на чтение бэкапируемых каталогов).
5) Бэкап в винде инкрементальный, так что даже если шифровальщик запорет все поднадзорные файлы, это грозит только тем, что на разделе бэкапа очень раздуется каталог бэкапа.

Решение не поможет в частных случаях, если шифровальщик запущен с правами админа и авторы зверька озаботились тем, чтобы менять владельца файлов.
Er.DS писал(а)
0) Основная учётка пользователя, под которой тот сидит - без прав админа.

и Вы будете к нему бегать по каждому удобному случаю?
Er.DS
19.08.2018
Волшебства не бывает.
T-U
19.08.2018
Deathmaker писал(а)
и Вы будете к нему бегать по каждому удобному случаю?

Не надо ни к кому бегать, все системно-важные действия должны выполнятьcя только через elevation и runas. И
Не надо ни к кому бегать

Да и вообще нет смысла пытаться защитить кого-то. Спасение утопающих дело рук самих утопающих. Тут как с автомобилями, например. Купил машину, получил права — за все свои действия несёшь ответственность сам. С компами тоже, хочешь права админа — отвечай сам. Другое дело если это техника на работе, за работу которой отвечает админ, но там и админские права раздавать пользователям глупо, но это уже дело самого админа, он несёт ответственность.
FreeCat
21.08.2018
BrainFucker писал(а)
Спасение утопающих дело рук самих утопающих.

угу :) . "админы делятся на тех кто ещё не делает бекапы - и уже делает" :-D
ДимС
22.08.2018
Есть и третья группа: админы, которые регулярно их проверяют...
Во избежание всяческих инцестов... (с) ДВ
FreeCat
23.08.2018
ну так если их проверять сразу после записи и носители надёжные - то автоматом в той категории будешь ;-) .
T-U писал(а)
все системно-важные действия должны выполнятьcя только через elevation и runas

а это и есть "бегать". мне хватает по работе сотни юзеров, чтоб еще мне по каждому пуку "хочу установить программу" названивали пара сотен стронних клиентов.
У меня дома бекапится на второй физический диск шедулером. Правда не от шифраторов, а на случай выхода диска из строя и других случаев потери данных. Считаю что если и защищаться бекапами, то стоит не только от шифраторов.
дык бэкап он на все случаи жизни. но увы, шифраторы теперь знают и про акронис и про веритас.
acella
19.08.2018
Есть забавный метод )
Особенно удобно на вендах начиная с 8.1 ибо там есть гипервизор.
Суть:
На виртуалке, на локальном компе, крутицца маленькая ОС, фря, линь - кому чего нравится.
Ей отдан целый винт под бекапы, то есть в венде он offline.
У меня там ZFS, фря по крону монтирует диски которые нужно быкапить ( по SMB ) , бекапит рсинком и плюсом делает снапшот.
В итоге:
Из под венды этот диск не доступен, я могу поднять снапшот хоть годовой давности и данные надёжно лежат, пока смерть винта не разлучит нас :-D
Но на этот случай можно добавить в пул ещё 1, 2, 3-10 винтов.
RealVaVa
20.08.2018
Ну фряха... тут песня "не про нас", если Вы понимаете о чём я...

Насколько ресурсозатратно, кстати? По памяти там, по процу?
acella
20.08.2018
А хз.
В таскменеджере венда не показывает, сколько ресурсов отожрала конкретная виртуалка, а более детально я не смотрел.
Памяти я ей дал гиг.
Если файлов очень много, то надо будет побольше.
Но в целом я не замечаю её присутствия.
FreeCat
21.08.2018
acella писал(а)
В таскменеджере венда не показывает, сколько ресурсов отожрала конкретная виртуалка, а более детально я не смотрел.

Process Hacker в помощь ;-) .
acella
21.08.2018
FreeCat писал(а)
а более детально я не смотрел.

:)
MonitoR
20.08.2018
в настройках фтп сброс прав на "ридонли". все могут писать, никто не может изменять (ну кроме зашедшего локально рута). так перебиваюсь.
MonitoR писал(а)
в настройках фтп

ШТА?
Я слышал.... если бэкапить на шаренный раздел, под отдельной учёткой бэкапа, то никакие шифраторы не страшны.
из под учётки опытного пользователя прекрасно шифруется профиль админа со всеми потрохами.
Исчо раз ) права на шару только у учётки бэкапа. всё. ни локадмин ни опытный юзверь к шаре на бэкапе отношения не имеют. :)
acella
24.08.2018
Подразумевается наличие отдельного хоста под это дело.
Иначе пикрелейд или танцы с net useконями
Какая ещё шара? Откуда она взялась?
ДокладАю. Схема работает. Раздел примонтировался, бэкап сделался, раздел отмонтировался.
K0IIIAK
27.08.2018
осталось принудительно запустить шифровальщика для теста =)
Новая тема
Вы не можете создавать новые темы.
Т.к. вы неавторизованы на сайте. Пожалуйста назовите себя или зарегистрируйтесь.
Список тем
Последние темы форумов
Принтер лазерный Avision AP30A

Avision AP30A лазерный принтер черно-белая печать формат A4, 33 стр/мин, 128 Мб, дуплекс, лоток 250 листов и многоцелевой лоток с...
Цена: 9 900 руб.

Материнские платы на запчасти и не только

Материнские платы на запчасти и не только Материнские платы и другие комплектующие Отправка в регионы после оплаты. Транспортной...
Цена: 3 000 руб.

Дорого куплю новые картриджи от лазерных и струйных

РЕАЛЬНО Дорого куплю новые картриджи от лазерных и струйных принтеров и копиров (НР, Canon, Samsung, Xerox, OCE и др.) всех моделей....
Цена: 7 777 руб.

Продаю факс (ы) Panasonic– FT932/982

Продаю факс (ы) Panasonic– FT932/982: термоперенос, термобумага, А4
Цена: 350 руб.