Wie schütze ich das NAS-Laufwerk gegen den Verschlüsselungs-Trojaner

[zajeg]

Ich arbeite mit Windows 10 und schütze die Daten mit dem Versionenverlauf auf ein externes NAS-Laufwerk.

Sind damit die Daten auch gegen den Verschlüsselungs-Trojaner geschützt. Wenn nicht wie soll ich das automatische Backupkonzept anpassen damit der Schutz gewährleistet bleibt?

 

[PC-John]

Das sicherste Mittel dagegen ist, das NAS-Laufwerk nach einem Backup wieder herunter zu fahren.
Während dem Backup aber muss gesorgt werden, dass nicht gerade so ein Trojaner werkelt.
So kann allenfalls die Working-Machine total im Eimer sein, das NAS kann jedoch nicht erreicht werden.

Da muss die Backup-Strategie aber entsprechend angepasst werden:
Der Wunsch nach sofortigem Auto-Backup nach jedem File schliessen oder auch Zwischensicherungen davon müsste auf die Zweckmässigkeit hin überprüft werden.

Wenn während der ganzen Working-Session der Pfad zum NAS offen sein muss, wird dieses Trojaner-Thema schwierig bis unmöglich zu lösen.

Natürlich kann man den Zugriff zum NAS mit einem Passwort sichern.
Ob da so ein Trojaner auch das Login-Pop-Up zerstören kann, müsste ein Spezialist hier beantworten können.
Eine Probe aufs Exempel ist eine heisse Sache.

Relativ sicher dagegen ist ein zweiter Sicherungspfad auf eine unabhängige Box, z. B. ein WD-My-Book mit 6 TB für 209.-
https://www.brack.ch/wd-my-book-3-5-6tb-314034

Ich selbst habe ein solches Konstrukt im Einsatz und noch etwas ausgebaut:
Dieses WD-My-Book bediene ich ab dem Werkstatt-PC, welcher seinerseits auch auf das NAS zugreifen kann, die NAS-Verbindung aber per Batchfile gestartet werden muss.
Von diesem Werkstatt-PC aus schaufle ich händisch das ganze NAS auf die WD-My-Book, das dauert schon ein paar Stunden.
Und vor allem: Auf dem Werkstatt-PC gibt es keine Mails, und das Internet-surfen wird auf das Nötigste beschränkt.

Ganz klar, eine 100%-Sicherheit gibt es nicht. Und für die normale Viren/Trojaner-Abwehr gibt es genügend Empfehlungen dritterseits.

PC-John

 

[RetoHa]

Der Dateiversionsverlauf ist eine feine Sache. Aber in der Tat gegen Locky und Co. ziemlich machtlos! Das gilt ja aber ganz generell für alle Samba-Shares - ich nehme an, Du machst die Datensicherung einfach auf ein Netzfreigaben auf einem NAS - unabhängig von Dateiversionsverlauf oder anderen Backup-Tools.

Eine low tech Variante, die ich Freunden empfehle, ist ein Vollbackup auf eine externe Festplatte einmal pro Vierteljahr. Diese HDD kommt dann in die Schublade und ist die Absicherung gegen Ereignisse, die radikale Maßnahmen erfordern.

Ich selbst benutze zur Datensicherung (und Dateisynchronisation) Seafile auf meinem Raspberry Pi. Seafile bietet mit der Dateiversionierung eine Funktionalität wie der Dateiversionsverlauf. Über die Weboberfläche kann man bequem auf frühere Versionsstände zugreifen. Da die Daten aber nicht in Dateiformat abgespeichert werden (sondern in Blöcken - frage mich aber nciht genaueres) und die dazugehörige Datenbank auf einer Nicht-Windows-Plattform läuft, kann auch ein aggressiver Krypto-Locker den Daten nichts anhaben.

Ich habe mir das System selbst aufgesetzt. Das hat mich aber viel Zeit gekostet - bin kein Linuxer. Wen Du Seafile einfacher nutzen willst, dann schaue Dir mal dieses Produkt an: www.ionas-server.com Das ist ein private Cloud-Server, den Du im eigenen Netzwerk betreibst. Der Clou: Das Ding kommt vorkonfiguriert zu Dir und in einer individuellen Einrichtungssession wird das Gerät bei Dir eingerichtet.

Ich finde Seafile dem Dateiversionsverlauf nciht nur wegen der Sicherheit überlegen: Dank mobile Apps und Sync-Funktion hast Du Deine Daten überall verfügbar und Du hast eine echte private Dropbox Alternative.

Seafile ist zwar definitiv nicht für jedermann, weil halt etwas komplizierter, aber so eine eierlegende Wollmilchsau ist es schon in gewisser Weise.

Ciao
Reto