最近流行っているランサムウェア(ディスクを暗号化してしまったりロックしてしまったりして金をせびるあれ)は、たちの悪いことに見えているネットワークドライブも全て被害に遭うそうです。
よって、現状だとバックアップもろとも死んでしまうので、構成を見直してみました。
要は、ひっかかる時は普段使いのユーザなので、こいつと別のユーザでバックアップをすることにして、普段使いのユーザはバックアップ用ドライブのアクセス権を読み取り専用にしてしまえば良いわけです。
・ユーザ「backup」を作成して、「Backup Operators」グループに入れる。
・バックアップを行うユーザを「backup」に変更する。ちなみに、wbadminで行う場合は、バッチファイルに記述するwbadminの実行ユーザと、タスクスケジューラで設定するバッチファイルの実行ユーザのどちらも「backup」に変更することを推奨。
・バックアップドライブのアクセス権に「backup」を加え、フルコントロールに設定する。
・バックアップドライブのアクセス権について、Authenticated Usersの書き込みを禁止する。
・バックアップドライブのアクセス権からAdministratorsグループを削除する。
・その他のユーザにアクセス権が設定されている場合はすべて削除する。
これで、普段使いのユーザが管理者権限を持っていても、バックアップドライブには書き込みできなくなるはずなので、適当なファイルの作成を試みて失敗すればOK。
もちろんバックアップのテストも忘れずに。
以上、いつもの備忘録でした。
0 件のコメント:
コメントを投稿