112712
Goto Top

USB Backupplatten abschalten - Idee oder Unfug?

Hallo,

mir geistert eine Idee im Kopf herum.

Ich habe einen SBS 2008 Premium mit Terminalserver 2008 Standard am laufen. Die Sicherung erfolgt auf Bänder die auch sicher verwahrt werden. Zusätzlich gibt es je eine Windowssicherung auf USB Platten. und eine Kopie der "wichtigsten" Daten auf einen PC.

Die Bandsicherung erfolgt mit Backup Exchange 2010. Damit gibt es ein Problem das trotz aller Versuche von mir und Symantec nur dadurch zu lösen ist, das die Server jeden Morgen nach dem Backup vor Arbeitsbeginn neu starten. Das ist nicht eben elegant, funktioniert aber. Da die Server ohnehin abgelöst werden müssen (EOL des SBS 2008) gibt es bis dahin auch kein Geld für eine neuere Backupsoftware die nach Aussage von Symantec dieses Problem nicht mehr hat. .

Nun ist es ja so, das trotz aller Vorkehrungen (Symantec Mail Security, Symantec Endpoint Protection) ein Verschlüsselungstrojaner freigesetzt werden kann und dann alle verfügbaren Laufwerke ( u.U. auch die Sicherungsplatten) angreift.

Zur Idee: Der Neustart dauert ca 10 min. Beim herunterfahren werden ja die USB Platten korrekt vom System abgemeldet. das Zeitfenster vor dem Neustart von Windows ist recht lang. Während dieser Zeit schaltet eine Schaltuhr die USB Platten aus. Sie sind während des Tages nicht da, und würden einem Angriff eines Trojaners der sofort beginnt zu verschlüsseln nicht ausgesetzt sein. Erst nach Arbeitsschluss schaltet die Schaltuhr sie wieder zu und die Sicherung kann laufen.

Eigentlich sollte nach meinem Wissensstand auch ohne diese Maßnahme nicht viel passieren. Aber einen Sicherungdatenträger offline zu nehmen kann ja eigentlich nie verkehrt sein. Was für die heutigen "Loccky´s und Konsorten" gilt, (Sicherungsplatten sind bei korrekter Konfiguration sicher) muss ja morgen nicht mehr stimmen. Und wenn die Server ohnehin neu gestartet werden müssen könnte man das ja nutzen.

Das ist sicher keine "schöne" Lösung und sieht auch ein wenig nach "Bastelradio Budapest" aus. Aber ich finde nichts, was gegen einen Versuch spricht. So als Gürtel zu den Hosenträgern. Was haltet ihr davon?

Content-Key: 303280

Url: https://administrator.de/contentid/303280

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: kaiand1
kaiand1 30.04.2016 um 06:43:31 Uhr
Goto Top
Nun eine Platte/Medium das nicht "erreichbar" ist während der Infektion ist erstmal "sicher".
Jedoch wenn es nach der Infektion angeschlossen wird kann die Platte auch Verschlüsselt werden.
Jedoch kann eine Schaltuhr nicht Feststellen ob es gerade "Sicher" ist die Platte nun einzuschalten oder Abzuschalten wo ggfs Datenverlust droht...
Zudem ist die Räumliche nähe nicht gerade Optimal bei nen Brand/Diebstahl ect...
Ich würde da eher mehr Platten für nehmen das alle 2te oder 4ten Tage die 1te Platte hast falls was Passiert hast du so wenigens vom Vortag noch eine Intakte Sicherung.

Es gibt viele Arten ein Backup zu machen sowie zu Sichern.
Jedoch sind die Daten vom Server ja mit das Kapital der Firma.
Und da Heute soviel elektronisch gemacht wird und auch Automatisiert...
wird bei einem Befall das mit dem Mail oder Datenbank Server schon Problematisch da Aktuelle Daten erstmal weg sind die ggfs Wichtige Sachen beinhalten die gerade eingetroffen sind.
Mitglied: 108012
108012 30.04.2016 um 12:04:55 Uhr
Goto Top
Hallo zusammen,

ein richtiges RDX Laufwerk (extern USB 3.0) ist dazu doch besser geeignet und kostet nur so um die ~200 €
und mehrere RDX Medien noch dazu dann kann man immer und immer wieder Gefahrenlos wechseln.

Die sind doch auch wie für Deine Situation gemacht worden oder nicht?

Gruß
Dobby
Mitglied: kaiand1
kaiand1 30.04.2016 um 12:52:08 Uhr
Goto Top
Ein Streamer würde auch gehen wo nach dem Backup das Band ausgeworfen werden könnte.
Aber da wohl vermutlich wegen "Sparmaßnahmen" nur Festplatten vorhanden sind...
Mitglied: DerWoWusste
DerWoWusste 30.04.2016 um 14:48:37 Uhr
Goto Top
Hi.

Zweifellos ist es vernünftig, über solche Maßnahmen nachzudenken. Mach Dir aber bitte klar: wenn Locky auf dem Server selbst läuft, dann wird er vermutlich auch bei Anschluss neuer Laufwerke aktiv werden - wieso sollte er das auch nicht tun?
Aber was Du tun kannst: setze auf dem Server Applocker ein oder, falls der SBS das nicht bietet (weiß ich nicht), nimm Software restriction policies. Damit kannst du bestimmen, ob Locky laufen darf, oder nicht. Auf Servern ist Applocker nun wirklich einfach zu administrieren, die Zahl der Anwendungen, die dort laufen, ist überschaubar.
Mitglied: 112712
112712 30.04.2016 um 18:51:47 Uhr
Goto Top
Hallo,

also es gibt eine Sicherung auf Bänder, die auch ausgeworfen werden. Die Bandsätze liegen in unterschiedlichen Gebäudeteilen in Tresoren mit einer sehr hohen Sicherheitsstufe was den Feuerwiderstand angeht.

Die Sache mit den USB Platten ist nur die zweite von drei Sicherheitsmaßnamen die nach ihrer Wertigkeit abgestuft sind. Bänder, Platten, Kopie auf einen anderen PC.
Entstanden ist sie eigentlich, weil ich die beiden USB Platten übrig hatte. Und da ich öfter mal was zurücksichern muss und das von den Bändern immer recht lange dauert, hab ich die beiden überzähligen Platten eben dazu genommen. Bevor sie sinnlos im Schrank liegen ...

Ich habe noch nie Locky & Co. in Aktion gesehen. Ist es nicht so, dass das einige Varianten sofort nachdem sie freigesetzt wurden ihr Werk beginnen? Zumindest diesen Brüdern könnte man damit begegnen, dass die Sicherungsplatten nur dann laufen, wenn eben keine Freisetzung erfolgen kann weil keiner da ist. Mir ist natürlich klar, dass das nicht das Allheilmittel ist. Und gegen einen auf dem Server laufenden Locky nutzt es auch nix. Da müssen die beschriebenen Maßnahmen greifen das es nicht dazu kommt. Es geht mir eigentlich um den Schutz der Netzwerkfreigaben. Die wären ja bedroht wenn einer meiner Kollegen sich mal fragt "Warum kriege ich ´ne Rechnung von der Ludwigsluster Fleischfabrik? Ich bin doch Vegetarier? Na die können was erleben!"

Wie gesagt, es war nur so eine Idee.
Mitglied: kaiand1
kaiand1 01.05.2016 um 02:55:42 Uhr
Goto Top
Nun Locky und Co gehen halt nach Start an die Arbeit und Crypten alles was sie können.
Dies kann man aber per Netzwerkfreigabe am Server erkennen wenn dort des Logfile/Zugriffrechte Abgefragt werden und Ausgewertet werden nach Löschen/neu Anlegen der Datie/Umbenennen der Files.
Dazu erstellt die ja auch ein File mit den Zahlungsinfo in jeden Ordner bisher was Abgefragt werden kann wenn das Muster auftaucht.
Hier im Forum gibts dazu ein nen Tread der das ganze ausführlich benennt den hab ich nur grad nicht zur Hand...
Aber 100% Schutz gibt es halt nicht..
Ich hatte mir vor einiger Zeit auch mal so einen Eingefangen jedoch konnte der nichts machen da meine Lokale Firewall eine Erlaubnis haben wollte das der Daten aus dem Netz nachladen darf.
Dadurch wurde nur mein Background verändert und der im Autostart nen Eintrag hinterlassen aber keine Verschlüsselung der Daten.
Aber du kannst dir den Locky ja Absichtlich mal Besorgen und in einer VM Testen ohne Netzwerk was dieser so macht.
Aber hier gibts ja Videos die das mal Aufgenommen haben
https://www.youtube.com/watch?v=WNYMKZeWuRQ <- English
https://www.youtube.com/watch?v=331Fzhc_6nM <- Deutsch
Mitglied: DerWoWusste
DerWoWusste 01.05.2016 um 20:14:57 Uhr
Goto Top
Du gehst auf meinen Vorschlag "applocker/software restriction policies" mit keinem Wort ein, warum?
Mitglied: 112712
112712 02.05.2016 um 12:22:40 Uhr
Goto Top
Hallo,

bin ich doch ... Nur halt nicht ausführlich genug.

Zitat: "Mir ist natürlich klar, dass das nicht das Allheilmittel ist. Und gegen einen auf dem Server laufenden Locky nutzt es auch nix. Da müssen die beschriebenen Maßnahmen greifen das es nicht dazu kommt."

mit "die beschriebenen Maßnahmen" sind eben genau"Applocker und / oder Software Restriction Policies" gemeint. Die eigentliche Frage hinter all meinem Geschreibsel ist ja "Macht es Sinn, USB Sicherungsplatten mit einer Schaltuhr offline zu setzen, wenn kein Backup läuft oder ist das paranoid"

Das sind ja alles "Sicherungen hinter Sicherungen". Zuerst mal sollte eine verseuchte Mail überhaupt nicht beim Anwender ankommen. Wenn doch sollte sich der verseuchte Anhang nicht öffnen lassen. Wenn doch, sollten die Rechte nicht reichen um großen Schaden anzurichten. Und wenn alle Stricke reissen sollte wenigstens das Backup unangreifbar sein. Und weil, wenn es bis zu diesem Punkt gekommen ist, schon so viel passiert ist, was eigentlich nicht passieren darf, kam mir die Idee die Platten abzuschalten. Als letzte Rettung gewissermassen.

Ich mach das jetzt einfach mal. Zwei Schaltuhren kosten nicht sie Welt. Auf jeden Fall sind sie nicht soviel wert wie die Zeit die Ihr hier mit meiner Idee verbringt. Dafür herzlichen Dank!