t-6
Admiral
- Registriert
- Juni 2007
- Beiträge
- 8.956
Noch mal bzgl. der RDP-Portweiterleitung, um vielleicht ein wenig Wind aus den Segeln zu nehmen: Hat die Weiterleitung in einer Firewall (vorgeschaltete FW; Windows-GW) eine Kondition, dass die Weiterleitung nur für bestimmte Quell-IPs (statische IP(s) des Systemhaus) gelten soll?
edit: Ach nee, hattest du schon geschrieben.
Sicherungen auf eingebundene Netzlaufwerke sind spätestens seit dem Aufkommen von Kryptotrojanern absolutes Bubu. Das impliziert nämlich dass der am Server angemeldete Benutzer Schreibrechte ins Backup-Ziel hat.
Folgendes Szenario ist bereits heute ein moderner Klassiker: Da wird mangels Disziplin auf dem Server rumgesurft, Kryptrojaner wird eingefangen, und der überschreibt die Backups. Denn der Krypto arbeitet ja in der Berechtigungsebene des angemeldeten Users, und der hat halt Schreibrechte.
Keine halbwegs ernstzunehmende Backup-Software benötigt überhaupt einen Laufwerksbuchstaben zum Schreiben auf Shares. Das können die alle (!) auf FQDN\NETBIOS.
Jetzt könnte es natürlich auch sein (auf den ersten Blick nicht zu erkennen) dass X: nicht mit Schreibberechtigungen, sondern nur mit Lese-Berechtigung eingebunden ist und das Backup-Tool im Hintergrund mit einem nur ihm bekannten dedizierten Backup-User auf das Backup-Share vom Qnap sichert, in das auch nur der Backup-User Schreibberechtigungen hat - sonst niemand. Auch nicht der Qnap-Admin.
Dass X: mit Leseberechtigungen eingebunden ist lässt sich vielleicht dadurch erklären dass dadurch recht schnell festgestellt werden kann ob die Backups laufen und dass damit eine ggf. nötige Wiederherstellung schneller vonstatten gehen kann - wenn auch nicht viel schneller. Vielleicht macht das Backup-Tool auch darüber die Backup-Kopie auf die externe Festplatte, daher die Leserechte.
Das Szenario halte ich aber für unwahrscheinlich. Sagt mir Ockham.
Dass die Backup-Kopie anschließend vom zu sichernden System aus wieder aus dem Repository gezogen und dann auf die ext. HDD geschrieben wird die am Repository hängt ist bei eurer Struktur (ohne dedizierten Backup-Server) aber komplette Banane. Da ist der Server nach dem eigentlichen Backup noch mal damit beschäftigt Daten von hier nach da zu kopieren; ggf. reicht der Copy-Job noch in den Arbeitstag rein, wenn der Server eigentlich schon wieder produktiv genutzt werden soll.
Besser: Das QNAP synct das Backup-Verzeichnis selber auf die ext. HDD(s). Und schickt eine E-Mail wenn fertig. Die Timings der beiden Backup-Sync-Jobs müssen aber natürlich mal durchgetestet werden, damit die sich nicht kreuzen. Das QNAP kann ja gerne werktagsüber den Sync auf die HDD machen.
Ack. Ich würde aber erwarten dass das Systemhaus nicht mit Verfahren arbeitet die entweder seit mehreren Jahren nicht mehr Best Practice sind oder noch nie Best Practice waren.
Der TE fragt ja gerade nach einer zweiten Meinung.
Wenn in deinem Beispiel der TE sieht dass die Maler einen leeren Eimer mit "Bleifarbe"-Beschriftung haben rumstehen lassen, ist es dann gerechtfertigt den TE anzugehen weil der den Maler nicht vorher gefragt hat ob dieser Bleifarbe verwendet?
-Das "Backup-Tool" riecht förmlich nach einem robocopy-Hack, oder einem simplen Sync-Tool, wenn es mit eingebundenen Netzlaufwerken arbeitet
-Schreibberechtigungen ins Backup-Repository scheinen nicht sauber begrenzt
-Möglicherweise läuft das Backup gar nicht wenn kein User angemeldet ist (bitte mal prüfen)
-RDP-Zugang nicht beschränkt; ein ausgewürfelter Port ist keine Sicherheit; erst recht nicht in dem niedrigen Bereich (gerne mal in die Ereignisanzeige -> Sicherheit schauen ob da schon Anmeldeversuche zu sehen sind...)
-VPN - anscheinend ein Ding der Unmöglichkeit (wtf!)
-Potential der Hardware nicht ausgenutzt (Qnap)
+multiple externe HDDs, wenn auch umständlich (wäre mglw. zielführender die Platten direkt am Server mit USB3 anzustöpseln statt sich den potentiellen Gigabit-Flaschenhals reinzuholen)
Ein paar Dinge die mich noch persönlich interessieren würden:
-was ist das für ein Server 2016? also welche Edition (Essentials, Standard, Datacenter)?
-habt Ihr eine Windows-Domäne?
-wenn Domäne, welche Benutzer sind in der Gruppe "Domänen-Admins" eingetragen?
-ist der Begriff "Logon-Script" in Zusammenhang mit Netzlaufwerken gefallen?
-haben die Alltags-Accounts der User auf den PCs Admin-Rechte ( sprich muss ein Passwort eingegeben werden wenn ein Programm installiert wird)?
-was "macht" der Server generell, also was sind seine Aufgaben?
-ist IPv6 in den Eigenschaften des Netzwerkadapters am Server abgehakt?
-beziehen die PCs bei euch IP per DHCP? Wer macht DHCP?
-Thema RDP: Systemsteuerung -> System -> Remoteeinstellungen - ist das Häkchen bei "Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (empfohlen)" angehakt?
-sind E-Mail-Benachrichtigungen am Qnap eingerichtet?
-was ist das für ein "Backup-Tool"?
-bekommt Ihr in irgendeiner Form Benachrichtigungen vom Backup-Tool, oder muss händisch nachgeschaut werden ob Backups gelaufen sind?
edit: Ach nee, hattest du schon geschrieben.
Sicherungen auf eingebundene Netzlaufwerke sind spätestens seit dem Aufkommen von Kryptotrojanern absolutes Bubu. Das impliziert nämlich dass der am Server angemeldete Benutzer Schreibrechte ins Backup-Ziel hat.
Folgendes Szenario ist bereits heute ein moderner Klassiker: Da wird mangels Disziplin auf dem Server rumgesurft, Kryptrojaner wird eingefangen, und der überschreibt die Backups. Denn der Krypto arbeitet ja in der Berechtigungsebene des angemeldeten Users, und der hat halt Schreibrechte.
Keine halbwegs ernstzunehmende Backup-Software benötigt überhaupt einen Laufwerksbuchstaben zum Schreiben auf Shares. Das können die alle (!) auf FQDN\NETBIOS.
Jetzt könnte es natürlich auch sein (auf den ersten Blick nicht zu erkennen) dass X: nicht mit Schreibberechtigungen, sondern nur mit Lese-Berechtigung eingebunden ist und das Backup-Tool im Hintergrund mit einem nur ihm bekannten dedizierten Backup-User auf das Backup-Share vom Qnap sichert, in das auch nur der Backup-User Schreibberechtigungen hat - sonst niemand. Auch nicht der Qnap-Admin.
Dass X: mit Leseberechtigungen eingebunden ist lässt sich vielleicht dadurch erklären dass dadurch recht schnell festgestellt werden kann ob die Backups laufen und dass damit eine ggf. nötige Wiederherstellung schneller vonstatten gehen kann - wenn auch nicht viel schneller. Vielleicht macht das Backup-Tool auch darüber die Backup-Kopie auf die externe Festplatte, daher die Leserechte.
Das Szenario halte ich aber für unwahrscheinlich. Sagt mir Ockham.
Dass die Backup-Kopie anschließend vom zu sichernden System aus wieder aus dem Repository gezogen und dann auf die ext. HDD geschrieben wird die am Repository hängt ist bei eurer Struktur (ohne dedizierten Backup-Server) aber komplette Banane. Da ist der Server nach dem eigentlichen Backup noch mal damit beschäftigt Daten von hier nach da zu kopieren; ggf. reicht der Copy-Job noch in den Arbeitstag rein, wenn der Server eigentlich schon wieder produktiv genutzt werden soll.
Besser: Das QNAP synct das Backup-Verzeichnis selber auf die ext. HDD(s). Und schickt eine E-Mail wenn fertig. Die Timings der beiden Backup-Sync-Jobs müssen aber natürlich mal durchgetestet werden, damit die sich nicht kreuzen. Das QNAP kann ja gerne werktagsüber den Sync auf die HDD machen.
Ack. Ich würde aber erwarten dass das Systemhaus nicht mit Verfahren arbeitet die entweder seit mehreren Jahren nicht mehr Best Practice sind oder noch nie Best Practice waren.
Der TE fragt ja gerade nach einer zweiten Meinung.
Wenn in deinem Beispiel der TE sieht dass die Maler einen leeren Eimer mit "Bleifarbe"-Beschriftung haben rumstehen lassen, ist es dann gerechtfertigt den TE anzugehen weil der den Maler nicht vorher gefragt hat ob dieser Bleifarbe verwendet?
-Das "Backup-Tool" riecht förmlich nach einem robocopy-Hack, oder einem simplen Sync-Tool, wenn es mit eingebundenen Netzlaufwerken arbeitet
-Schreibberechtigungen ins Backup-Repository scheinen nicht sauber begrenzt
-Möglicherweise läuft das Backup gar nicht wenn kein User angemeldet ist (bitte mal prüfen)
-RDP-Zugang nicht beschränkt; ein ausgewürfelter Port ist keine Sicherheit; erst recht nicht in dem niedrigen Bereich (gerne mal in die Ereignisanzeige -> Sicherheit schauen ob da schon Anmeldeversuche zu sehen sind...)
-VPN - anscheinend ein Ding der Unmöglichkeit (wtf!)
-Potential der Hardware nicht ausgenutzt (Qnap)
+multiple externe HDDs, wenn auch umständlich (wäre mglw. zielführender die Platten direkt am Server mit USB3 anzustöpseln statt sich den potentiellen Gigabit-Flaschenhals reinzuholen)
Ein paar Dinge die mich noch persönlich interessieren würden:
-was ist das für ein Server 2016? also welche Edition (Essentials, Standard, Datacenter)?
-habt Ihr eine Windows-Domäne?
-wenn Domäne, welche Benutzer sind in der Gruppe "Domänen-Admins" eingetragen?
-ist der Begriff "Logon-Script" in Zusammenhang mit Netzlaufwerken gefallen?
-haben die Alltags-Accounts der User auf den PCs Admin-Rechte ( sprich muss ein Passwort eingegeben werden wenn ein Programm installiert wird)?
-was "macht" der Server generell, also was sind seine Aufgaben?
-ist IPv6 in den Eigenschaften des Netzwerkadapters am Server abgehakt?
-beziehen die PCs bei euch IP per DHCP? Wer macht DHCP?
-Thema RDP: Systemsteuerung -> System -> Remoteeinstellungen - ist das Häkchen bei "Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (empfohlen)" angehakt?
-sind E-Mail-Benachrichtigungen am Qnap eingerichtet?
-was ist das für ein "Backup-Tool"?
-bekommt Ihr in irgendeiner Form Benachrichtigungen vom Backup-Tool, oder muss händisch nachgeschaut werden ob Backups gelaufen sind?
Nicht wirklich.
Zuletzt bearbeitet: