Verschlüsselungstrojaner ausschließen, Backup einer Netzwerkfreigabe auf neues NAS

[FR34K89]

Hallo liebes Forum,

mich treibt seit einiger Zeit privat und beruflich die Sorge nach Datensicherheit.
Man liest immer wieder von Schadsoftware, welche auch Netzwerkfreigaben befallen können und die Frage wie man dem aus dem Weg geht.
Zentral geht es in beiden fällen um folgende Idee:

Ich habe einen Windows Server mit allen Dateien und Server bzw Client Backups als Windows Freigabe.
Nun kaufe ich einen neuen Server bzw NAS welcher auf die Freigabe zugreifen kann, selber aber keine Schreibrechte nach außen vergibt, also read-only. Dieser macht von der Windows Freigabe fortlaufend oder nachts eine Kopie des aktuellen Datenbestandes. Sollte also zb ein Verschlüsselungstrojaner alles Verschlüsseln hätte ich sofort einen aktuellen Ersatzserver/NAS mit allen Dateien, des aktuellen Betriebes. Mir geht es direkt um ein Backup ohne spezielle Backupcontainer!
Nun das Problem nach meiner Auffassung...der neue Backupserver müsste ständig alle Daten indizieren, was auf dem Hauptserver erheblichen Rechenaufwand benötigt, gibt es also zb eine Software welche entweder die Windows Indizierung ausliest oder auf dem Hauptserver läuft und eine eigene Indizierung erstellt? Alternativ könnte ich mir diesen Fall auch für die Zeiten vorstellen in denen nieman Arbeitet, also von 20Uhr bis 6 Uhr!

Ist das möglich? Hat jemand eine Idee oder soetwas selber schoneinmal versucht?

Es geht konkret um etwa 400GB an Dokumenten, also unglaublich vieler kleiner Dateien in zich Unterordnern.

Ich danke euch für eure Ideen und Hilfestellungen.

 

[dom0309]

BackupAssist kann Backups direkt von den Files machen. (kein Contrainer o.Ä. wie Symantec)

Bei mir habe ich die Änderungsberechtigung von Dateien auf Shares mit vielen Dateien entfernt. Die Trojaner ändern ja die Datei.

Eine Vernünftige Antivirussoftware kann da auch helfen. Bei uns Trendmicro mit Ransomware erkennung.

 

[FR34K89]

Ich kann doch aber nicht die Änderungsberechtigung an Shares entfernen, dann kann doch niemand mehr mit den Daten arbeiten, oder stehe ich jetzt auf dem Schlauch?
Ich habe einfach bedenken, dass ein Mitarbeiter zb via Mail sich soetwas draufläd. Wir haben auf den Clients Antivirussoftware von Avast. Am ende ist aber nach meiner Meinung kein Antivirusprogramm 100% verlässlich.

 

[riff-raff]

Mit fail2ban kannst du zusätzlich Locky auch an seiner Arbeit hindern sollte es doch zu einer ungewollten Infektion eines Clients im LAN kommen: Anleitung

 

[cbtestarossa]

Genau, wenn Ändern verboten wird kannst du nur noch Lesen.

Die Frage stellt sich WO man WAS einschränken sollte.

Und wie eine Backupstrategie aussehen sollte.

Und wie man die Systeme absichert gegen denn ganzen Virus Mist.

Von Malwarbytes gibts ne Beta was glaub Heise sogar getestet hat. Ein paar Daten kann man noch verlieren wenn Locky zuschlägt.
https://forums.malwarebytes.org/index.php?/topic/177751-introducing-malwarebytes-anti-ransomware/

 

[FR34K89]

Naja deswegen dachte ich ja ich synce die Shares vom "lesenden" NAS, auf dem keiner Schreiben darf, damit wäre das ja geklärt.
Momentan haben wir dauerhaft eine Backupfestplatte mit dem Windows BAckup Client, der 2x am Tag ein Backup macht, sowie einmal die Woche ein BAckup auf einer Platte die sonst im Schrank liegt, falls mal ein Schaden durch zb Überspannung auftritt.
Ich finde einfach die Idee Sinnvoll ständig den Datenbestand ein zweites mal zur Sicherheit vorhalten zu können, ohne dass jemand darauf zugreifen kann...aber möglicherweise ist das auch unnütz und paranoid, da lasse ich mich gerne Überzeugen!
Auf dem WindowsServer an sich, läuft kein Antivirus, da es A durch die Clients ja vermeintlich sicher ist und B Es für den SBS/WHS 2011 gar keine (nach meiner Info) Antivirus Software gibt.