Ransomware Schutz: So schützen Sie Ihre Server

Im Folgenden finden Sie einige Strategien zum Schutz vor Ransomware mit BackupChain (Server Backup Software).

Einfache Lösungen

Zu den einfachsten Lösungen gehören:

Cloud-Backup
Rotierende externe Festplatten. Es sollte immer nur ein Laufwerk angeschlossen sein. Konfigurieren Sie externe Festplatten so, dass sie denselben Laufwerksbuchstaben verwenden, wenn sie angeschlossen sind, und vermeiden Sie es, mehr als ein Laufwerk gleichzeitig anzuschließen, da dies Windows dazu veranlassen würde, die Laufwerksbuchstaben neu anzuordnen.

Aufwändigere Strategien

Aufwändigere Strategien zum Schutz vor Ransomware beinhalten die generelle Maßnahme, Sicherungsdateien für Ransomware unzugänglich zu machen. Normalerweise werden die Sicherungen in einer regulären Benutzersitzung oder im LocalSystem ausgeführt.

Erstellen Sie ein dediziertes Administratorkonto und ändern Sie die Anmeldeeinstellungen des „BackupChain-Dienstes“ von LocalSystem auf dieses neue dedizierte Konto. Dadurch wird erreicht, dass Ransomware, selbst wenn sie in die LocalSystem-Benutzersitzung gelangt, keinen Zugriff auf die Ordner hat, die BackupChain verwendet. Isolieren Sie Backup-Ordner (lokal oder im Netzwerk) so, dass nur das dedizierte BC-Administratorkonto in diese Ordner schreiben kann.
Wenn ein NAS oder eine Netzwerkfreigabe verwendet wird, stellen Sie sicher, dass niemand Schreibrechte auf den Sicherungsordner hat, sondern nur der dedizierte BC-Benutzer.
Erstellen Sie zwei Skripts am Anfang und am Ende eines Tasks, um Speichergeräte anzuschließen und zu entfernen. Dabei kann es sich um lokale/externe Laufwerke oder iSCSI handeln, die nur für die Dauer des Backup-Tasks im Server sichtbar sind.
Es gibt Power-Management-Geräte auf dem Markt, die computergesteuerte Ein- und Ausschaltzyklen ermöglichen, ähnlich wie eine Relaiskarte. Mit einem solchen System könnten Sie ein NAS oder ein externes Laufwerk einschalten und nach Abschluss der Sicherung wieder ausschalten, vielleicht mit einer 10-minütigen Verzögerung am Ende, um sicherzustellen, dass alle Dateisystempuffer ordnungsgemäß geschrieben werden. Es ist möglich, solche Stromkreise durch den Aufruf einer ausführbaren Datei im Reiter „Optionen“ von BackupChain einzuschalten und so den Speicher ferngesteuert ein- und auszuschalten.
Die beste Ransomware-Isolierung ist eine physische Trennung (d. h. Ausschalten und physisch ausstecken, was auch vor Spannungsspitzen schützt). Softwarebasierte Trennungen und Ordnerisolierung sind nur eine Hürde, die clevere Ransomware eines Tages umgehen kann. Vergessen Sie nicht, dass Ransomware auch ein trojanisches Pferd enthält, das den Kriminellen Zugriff auf Ihren Computer und damit auf das gesamte Netzwerk ermöglicht. Sobald Ransomware in Ihren Computer eingedrungen ist, erlaubt sie dem Kriminellen, sich einzuloggen und jedes „clevere“ Verbrechen zu begehen, das er möchte.

Hierzu eine wahre Kundengeschichte: Der Kriminelle verschaffte sich Zugang zu einem Computer über Ransomware, suchte durch Dokumente, fand ein Dokument mit den Zugangsdaten zum Cloud-Backup-Konto, loggte sich dann in das Konto ein und löschte die Cloud-Daten manuell. Da unser eigenes Cloud-Backup-Speichersystem aber auch eine separate Offline-Kopie aller Konten aufbewahrt, konnte unser Kunde die gesamten Dateiserverdaten seiner Fabrik wiederherstellen. Alle anderen lokalen Backups waren verschlüsselt worden.

Allgemeinere Empfehlungen: Beschränken Sie den Zugriff auf bestimmte Konten, melden Sie sich nicht mit dem Domänenadministratorkonto an und bleiben Sie nicht am System angemeldet, wenn Sie den Computer nicht benutzen. Verwenden Sie getrennte Kennwörter auf verschiedenen Computern. Verwenden Sie keine gemappten Laufwerke und entfernen Sie die Netzwerkverbindung, wenn sie nicht mehr benötigt wird.
Die Versionssicherungsfunktion von BackupChain schützt automatisch vor Überschreibungen durch Ransomware, da Ransomware typischerweise eine Datei verschlüsselt und anschließend umbenennt. Die Datei erscheint daher als neue Datei und wird separat gesichert, wenn das Backup-System noch läuft. Die ursprüngliche Dateisicherung bleibt unangetastet.

Beachten Sie, dass die BackupChain-Backup-Software Netzwerkverbindungen, die sie selbst erstellt, nach Abschluss des Backups wieder auflöst. Dies verringert auch die Möglichkeit eines Angriffs, da aufwändigere Ransomware nun alle externen Serververbindungen, die in der Benutzersitzung gespeichert sind, überprüft und diese ebenfalls infiziert. Indem der Backup-Prozess in einer isolierten Benutzersitzung ausgeführt wird, hat die Benutzersitzung „Lokales System“ keinen Zugriff auf diese Netzwerkverbindungen, selbst wenn gerade ein Backup ausgeführt wird.