Windows server 2012 backup

zondag 19 juni 2016 22:17

Acties:

0 Henk 'm!

mw2010

Topicstarter

Wij gebruiken in ons bedrijf (10 mdw) Windows server 2012 voor active directory en voor de file & print functionaliteit. De mailomgeving draait extern via Office365. We hebben onlangs een crysis ransomware virus gehad waardoor alle bestanden op de server versleuteld werden.

Gelukkig hebben op de Windows 2012 server nog een lokale backup gevonden en enkele bestanden terug kunnen zetten, maar helaas niet alles. We gebruikten Microsoft Security Essentials op de werkplekken, maar helaas heeft dit geen goede beveiliging gebracht. Dit laatste hebben we nu vervangen door Mcafee op zowel de werkplekken als de server.

Ik zoek echter advies om ervoor te zorgen dat ik altijd nog een kopie heb van de bestanden die wij gebruiken en denk daarbij aan de volgende opties:

Optie1: Synology rackstation RS815(+)
Deze nas op een andere locatie plaatsen en backups van de Windows server hier op wegschrijven. Ik lees echter dat de samenwerking tussen Windows Server en het samba protocol niet altijd lekker verloopt, dus ik betwijfel of dit wel de juiste oplossing is.

Optie 2: Nog een Windows Server 2012 op een andere locatie
Het voordeel hiervan is dat bij het volledig wegvallen van de huidige server we direct verder kunnen ivm replicatie. Het nadeel is, denk ik tenminste, dat bij een nieuwe ransomware virus, beide servers zijn besmet.

Optie 3: Een externe harde schijf en een backup tool
Hierbij zat ik te denken om bijv. een 2TB externe schijf aan de Windows 2012 server te hangen. Vervolgens het pakket backupassist aanschaffen en zo een backup te maken.

Optie 3 is uiteraard het voordeligst, maar wellicht niet "high-end".

Hebben jullie nog tips hoe ik er voor kan zorgen dat de belangrijke bestanden die op de fileserver staan teruggezet kunnen worden?

zondag 19 juni 2016 22:26

Acties:

0 Henk 'm!

HKLM_

Optie 1 en optie 2 zijn beide goed. Waarom niet optie 1 voor file en printen gaan gebruiken. En je domain controller hier van Los koppelen.

Hoe groot is het bedrijf ? De meeste cryptolockers die ik ben tegengekomen werken alleen op de files en shares waar de gebruiker rechten op heeft.

Cloud ☁️

maandag 20 juni 2016 10:46

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Gewoon optie drie en een stapel externe harddisken.

Aan het begin van de werkdag koppel je netjes de harddisk af waar de backup van de afgelopen nacht/week/maand op staat en slaat deze op in een kluis (of bewaar hem offsite). Koppel een nieuwe disk aan en klaar.

Overigens beschikt windows standaard over een goed werkende backuptool.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 20 juni 2016 11:11

Acties:

0 Henk 'm!

nextware

En je backup buiten de deur doen ? Dus iedere (bijvoorbeeld) avond een backup maken van al je data en deze laten versturen naar een externe opslag ? Bijvoorbeeld met MindTime Backup ?

Dan is het een kwestie van je bestanden terughalen van de backup en je kunt vrij snel weer verder ?

maandag 20 juni 2016 11:31

Acties:

0 Henk 'm!

Verwijderd

Mcafee de deur uit en Kaspersky erop. Kaspersky doet aan behavioral scanning en kijkt dus niet alleen naar virus definitie files, maar ook naar het gedrag van processen.

Ten tweede, NAS of ander server heeft weinig zin, als een gebruiker een besmetting oploopt en de rechten van de gebruiker, of de admin hebben contact met de nas of de 2e server krijg je alsnog besmettingen.

Ik gebruik IASO technology voor backups (via HTTPS), zeer krachtig, supersnel, inzichtelijk, zeer veel mogelijkheden.

maandag 20 juni 2016 12:09

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op maandag 20 juni 2016 @ 11:31:
Ten tweede, NAS of ander server heeft weinig zin, als een gebruiker een besmetting oploopt en de rechten van de gebruiker, of de admin hebben contact met de nas of de 2e server krijg je alsnog besmettingen.

Als de NAS voor backup bedoeld is, zouden er geen gebruikers bij moeten kunnen... Een NAS kan dan prima.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 20 juni 2016 12:13

Acties:

0 Henk 'm!

KillerAce_NL

If it ain't broke...

Question Mark schreef op maandag 20 juni 2016 @ 10:46:
Gewoon optie drie en een stapel externe harddisken.

Aan het begin van de werkdag koppel je netjes de harddisk af waar de backup van de afgelopen nacht/week/maand op staat en slaat deze op in een kluis (of bewaar hem offsite). Koppel een nieuwe disk aan en klaar.

Overigens beschikt windows standaard over een goed werkende backuptool.

Ga je nou serieus aanbevelen om zo'n human error-prone oplossing te gebruiken ?

TS: ga bedenken welke backup varianten je wil. Ik neem aan dat je niet alleen je data wil backuppen maar ook b.v. je dc's.
Ga dan de vereisten na: lokatie, retentie, etc
Bereken hoeveel data je dit oplevert en ga aan de hand daarvan bekijken welke backup solution je wil.

maandag 20 juni 2016 12:17

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

KillerAce_NL schreef op maandag 20 juni 2016 @ 12:13:
[...]

Ga je nou serieus aanbevelen om zo'n human error-prone oplossing te gebruiken ?

Leg dan eens uit wat er mis mee is?

De backuptaak schedule je gewoon en de disken wissel je. "Vroeger" moesten er dagelijks backuptapes gewisseld worden, nu wissel je complete disken...

De methode is overigens gewoon supported en beschreven op de MS site:

Configure a Backup Schedule for Multiple Storage Disks

You can use multiple external disks to store backups, and you can rotate the disks between onsite and offsite storage locations. This can improve your disaster preparedness planning by helping you recover your data if physical damage occurs to the hardware onsite.

[ Voor 37% gewijzigd door Question Mark op 20-06-2016 12:20 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 20 juni 2016 12:22

Acties:

0 Henk 'm!

Verwijderd

Question Mark schreef op maandag 20 juni 2016 @ 12:09:
[...]

Als de NAS voor backup bedoeld is, zouden er geen gebruikers bij moeten kunnen... Een NAS kan dan prima.

Admins kunnen ook ransomware binnenhalen, en de laatste generatie ransomware kijk niet meer naar drive letters, maar gaat gewoon zelf op zoek naar unc paden.

maandag 20 juni 2016 12:23

Acties:

0 Henk 'm!

KillerAce_NL

If it ain't broke...

Tuurlijk kan het..
Maar wil je het ?

1: kans op verkeerde disk aansluiten met als gevolg geen goede retentie meer
2: Windows backup is echt minimaal, je wil goede backup reporting en monitoring.

maandag 20 juni 2016 12:28

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

KillerAce_NL schreef op maandag 20 juni 2016 @ 12:23:
2: Windows backup is echt minimaal, je wil goede backup reporting en monitoring.

Windows Backup is ook prima zo te configureren dat de uitkomst van de backuptaak gemailed wordt. Voor een klein bedrijf kan dat meer dan voldoende zijn.

Ik zou het voor een Enterprise omgeving niet aanraden, maar voor maar één server kan het prima. We hebben het hier over een omgeving met maar 10 medewerkers. De kans is erg groot dat de standaard aanwezig features meer dan voldoende zijn.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 20 juni 2016 12:35

Acties:

0 Henk 'm!

KillerAce_NL

If it ain't broke...

Kijk, de backup was niet in orde, dus er is al grote schade. Dan wil je het nu goed doen, koop een fatsoenlijke oplossing die je zekerheid biedt. Dat kost de wereld ook niet.
Het geeft gewoon zoveel rust als je elke dag netjes een rapportje krijgt met daarin:
Of de backup succesvol was
Hoe lang deze duurde
Wat de datagroei is.
Welke rente geboden kan worden.

Elke noob kan dat begrijpen en tijdig aktie ondernemen. Die rapporten kun je naar meerdere personen groeien. Zeker doen nu de awareness gegroeid is en meerdere mensen begrijpen hoe belangrijk dit is.

dinsdag 21 juni 2016 05:00

Acties:

0 Henk 'm!

Rolfie

Is azure backup niet een goede oplossing voor jullie? Je kunt er standaard geen volledige server mee backupen. Maar voor file data werkt het perfect.

De local harddisk backup is dan te gebruiken als DR backup. En Azure backup heeft altijd de laatste data online staan.
Is geen grote kostenpost, werkt eenvoudig snel en gemakkelijk. En standaard Windows technologie.

dinsdag 21 juni 2016 05:31

Acties:

0 Henk 'm!

Megamind

Of anders S3 backup van AWS. Waarschijnlijk kosten / onderhoud / betrouwbaarheid het beste.

Wij gebruiken CloudBerry om losse files and images te back uppen.

dinsdag 21 juni 2016 21:47

Acties:

0 Henk 'm!

bosgoed

Gebruik Azure Backup Server. Zeer betrouwbare eenvoudige en goedkope backup oplossing!

Thanks Mate

woensdag 22 juni 2016 09:18

Acties:

+1 Henk 'm!

Wylana

Je kan ook ook Veeam ONE Free of Veeam Endpoint backup Free gebruiken in combinatie met een NAS.

Zie: https://www.veeam.com/vir...-management-one-free.html en https://www.veeam.com/endpoint-backup-free.html

Volledig gratis en diverse management opties.

[ Voor 17% gewijzigd door Wylana op 22-06-2016 09:20 ]

Ik ben steenrijk....ik heb een grindpad!

woensdag 22 juni 2016 10:11

Acties:

0 Henk 'm!

Dennism

bosgoed schreef op dinsdag 21 juni 2016 @ 21:47:
Gebruik Azure Backup Server. Zeer betrouwbare eenvoudige en goedkope backup oplossing!

Goedkoop valt wel mee toch? Of zijn de prijzen de laatste tijd flink gedaald? Ik heb niet al te lang geleden even met de Azure calculator gespeeld om te kijken wat de kosten zouden zijn om onze DPM backups als 2de locatie via DPM naar Azure te laten Syncen en daar kwam een maandelijks bedrag uit waar ik een 40TB Synology als offsite backup target binnen 1,5 jaar volledig mee kan afschrijven

woensdag 22 juni 2016 15:20

Acties:

0 Henk 'm!

Justout

Verwijderd schreef op maandag 20 juni 2016 @ 11:31:

Ik gebruik IASO technology voor backups (via HTTPS), zeer krachtig, supersnel, inzichtelijk, zeer veel mogelijkheden.

Dit adviseer ik ook, goede ervaringen mee.

Kaspersky of Symantec als AV.

woensdag 22 juni 2016 15:45

Acties:

0 Henk 'm!

bvk

Het gaat nooit snel genoeg!

Dennism schreef op woensdag 22 juni 2016 @ 10:11:
[...]

Goedkoop valt wel mee toch? Of zijn de prijzen de laatste tijd flink gedaald? Ik heb niet al te lang geleden even met de Azure calculator gespeeld om te kijken wat de kosten zouden zijn om onze DPM backups als 2de locatie via DPM naar Azure te laten Syncen en daar kwam een maandelijks bedrag uit waar ik een 40TB Synology als offsite backup target binnen 1,5 jaar volledig mee kan afschrijven

Ik weet niet wat als goedkoop beschouwd wordt, maar ik ben ongeveer een tientje kwijt aan het back-uppen via Azure van mijn dedicated server bij i3D.

En dat is waarschijnlijk omdat ik lui ben en de volledige backup van 120 dagen gewoon laat staan... Ik zou dus goedkoper uit kunnen zijn, maar een en ander hangt er natuurlijk vanaf hoeveel data je weg schrijft. Je betaalt immers naar gebruik.

Specs

woensdag 22 juni 2016 15:53

Acties:

0 Henk 'm!

Glashelder

Anti Android

Ik zou trouwens ook eens serieus werk gaan maken van preventie in de toekomst. McAfee is leuk, maar slechts de helft van het werk. Je zou ook AppLocker policies in moeten laten stellen, blokkeer macro's e.d..

Filtert die McAfee scanner ook je mail? Ergens is het toch diep triest dat je via een managed service als Office 365 nog gewoon cryptoware binnen krijgt

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

woensdag 22 juni 2016 16:39

Acties:

0 Henk 'm!

Dennism

Glashelder schreef op woensdag 22 juni 2016 @ 15:53:
Ik zou trouwens ook eens serieus werk gaan maken van preventie in de toekomst. McAfee is leuk, maar slechts de helft van het werk. Je zou ook AppLocker policies in moeten laten stellen, blokkeer macro's e.d..

Filtert die McAfee scanner ook je mail? Ergens is het toch diep triest dat je via een managed service als Office 365 nog gewoon cryptoware binnen krijgt

Applocker Policies werken toch alleen op Windows Enterprise? Ik moet de eerste nog zien die Windows Enterprise gebruikt binnen een MKB bedrijfje van 10 man.

Verder filtert Office 365 standaard volgens mij wel wat zaken via EOP, maar moet je voor bijv. Zip Attachment filtering zelf transport rules maken, of er een externe scan service voor hangen. Ik heb iig nog niet gezien dat EOP altijd effectief was tegen Crypto locker bijlagen. Maar hetzelfde geldt trouwens voor standaard McAfee of insert andere AV boer installaties, of zelfs gespecialiseerde spamfilters als GFI Mailessentials of Barracuda. Vrijwel altijd zijn er (doorlopend) aanpassingen nodig om een correcte filtering te behouden, maar geen belangrijke mail buiten te laten.

[ Voor 14% gewijzigd door Dennism op 22-06-2016 16:42 ]

woensdag 22 juni 2016 17:03

Acties:

0 Henk 'm!

Glashelder

Anti Android

True.

Maar een Software Restriction Policy voldoet ook en dat werkt gewoon met Pro

.

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

woensdag 22 juni 2016 18:36

Acties:

0 Henk 'm!

CMD-Snake

Glashelder schreef op woensdag 22 juni 2016 @ 15:53:
Filtert die McAfee scanner ook je mail? Ergens is het toch diep triest dat je via een managed service als Office 365 nog gewoon cryptoware binnen krijgt

Cryptolockers kunnen ook via malafide advertenties binnenkomen. Als de PC's een kwestbare browser plugin hebben is dat zo gedaan.

mw2010 schreef op zondag 19 juni 2016 @ 22:17:
We gebruikten Microsoft Security Essentials op de werkplekken, maar helaas heeft dit geen goede beveiliging gebracht. Dit laatste hebben we nu vervangen door Mcafee op zowel de werkplekken als de server.

McAfee is nou niet direct beter dan MSE. Iets als Kaspersky Small Office kan interessant zijn voor je. De scanner presteert goed en bied ook zelfs mogelijkheden om via een webpagina de clients te beheren. Het is nog een best uitgebreid pakket.

Het probleem met cryptolockers is dat ze alles versleutelen waar ze bij kunnen. Indien je een permanente verbinding hebt met je back-up is er dikke kans dat die ook versleuteld wordt. Het handige van externe schijven is dat deze eenvoudig losgekoppeld kunnen worden. Het maakt off site ook makkelijk als je de schijven roteert. Het is een gewoonte die mensen moeten aanleren, maar in feite is elke vorm van back-up dat. Als je tapes zou gebruiken moet je die ook wisselen.

Alternatief kan je een script maken dat een netwerkschijf mapt, de back-up maakt en dan de verbinding met de NAS verbreekt. Dan kan de cryptolocker er ook niet bij.

Je moet ook kijken hoe je de werkplekken kan beschermen. Kijk naar welke kwetsbare elementen er zijn op de werkplek en doe ook aan hardening van de werkplek. Installeer desnoods een adblocker op de machines om malafide advertenties kwijt te raken.

Ook interessant om te lezen: http://winhelp2002.mvps.org/restricted.htm

Er staan een paar eenvoudige tips om Internet Explorer al te hardenen.

woensdag 22 juni 2016 20:43

Acties:

0 Henk 'm!

mw2010

Topicstarter

Inmiddels hebben we weten te achterhalen vanaf welke pc de ransomware gestart was. Op deze werkplek kwam vanmorgen een popup waarin werd gevraagd een email te sturen naar een bepaald adres met het verzoek een ontsleutel code te mogen ontvangen. Werkplek direct van internet afgesloten, nieuwe harde schijf en alle rechten van de AD user tijdelijk aangepast. Overigens hadden we de werkplekken allemaal al gescand met Ad-Aware en de Mcafee agent, maar deze scanners waren helaas niets tegen gekomen. Op de agent van Mcafee (Enterprise endpoint protection) hebben we ook additionele zaken geconfigureerd waaronder het scannen op adware van de browsers en het blokkeren van ongewenste usb toegang. Morgen aangifte doen van deze hack.

Vwb de backup hebben we ervoor gekozen twee RS815+ nas servers aan te schaffen. Op elke lokatie komt 1 te staan. De Windows server draait op een VMWare stack en zal gebackupt worden middels een script op de eerste NAS. Deze verbreekt daarna direct de verbinding. De 1e NAS zal vervolgens een kopie van de backup wegschrijven op de 2e NAS.

Uiteraard blijven we dagelijks extra backups maken en scannen we pro-actief alle file shares.

Tot zover de update, bedankt voor het meedenken allemaal.

woensdag 22 juni 2016 22:17

Acties:

0 Henk 'm!

Verwijderd

Je kan ook trouwens op de windows servers een file screen aanmaken om .locky files te blokkeren en te detecteren. Ook voor de Synology kan je via bestandsservices en dan geavanceerde instellingen bekende ransomware extensies blocken.

http://olivermarshall.net...-help-block-cryptolocker/

donderdag 23 juni 2016 04:34

Acties:

0 Henk 'm!

Rolfie

mw2010 schreef op woensdag 22 juni 2016 @ 20:43:
Vwb de backup hebben we ervoor gekozen twee RS815+ nas servers aan te schaffen. Op elke lokatie komt 1 te staan. De Windows server draait op een VMWare stack en zal gebackupt worden middels een script op de eerste NAS. Deze verbreekt daarna direct de verbinding. De 1e NAS zal vervolgens een kopie van de backup wegschrijven op de 2e NAS.

Klinkt niet als een erg professionele oplossing moet ik zeggen. Het werk wel natuurlijk.
Waarom laat je de Synology niet via RSYNC je servers backupen? Hierbij zal de Synology de backup starten, en is dus de server die het verkeer start. Het kan dan zelfs achter een firewall staan, met alleen outbound port. Dit is nog een stuk veiliger. Je kunt een rsync daemon op de windows servers installeren.
Dit heb ik laatst ook gebouwd voor klanten. De Synology stond toen alleen bij iemand thuis, en maakte een OpenVPN verbinding. Het werkt redelijk stabiel.

We hebben nu alleen alles in Azure Backup gezet. Werkt een stuk beter en professioneler. Installatie kosten minuten en alles staat meteen encrypted buiten de deur. Ik ben meer tijd kwijt geweest aan de Synology backup dan aan de Azure backup. Waarbij Synology onstabieler draait dan Azure Backup. En Azure Backup veel meer retentie mogelijkheden heeft.

Onderwerpen