Hallo
Ich lese hier seit einiger Zeit mit, habe viel gelernt, bin aber noch unsicher, ob ich richtig unterwegs bin.
Ziel:
Schutz meiner Backups vor Ransomware
Setup:
Mein Arbeits-PC (Fotograf) wird mittels Macrium in angepassten "Grandfather-Father-Son"-Versionen laufwerksweise (vier Jobs für vier Laufwerke) auf eine DS1618+ gesichert. Jedes Laufwerk wird so ca. 3x/Woche gesichert.
Mein User hat Schreibzugriff auf die Freigaben dieser DS ausser auf die Backupordner, die sind nur lesend zu erreichen. Das Passwort für den separaten Backup-User ist aber natürlich in Macrium gespeichert...
Eine DS220+ ist über die zweite Netzwerkbuchse der DS1618+ direkt verbunden, kein weiterer Teilnehmer. Auf der anderen ist sie ebenfalls temporär (zum Prüfen, ob Backups gelaufen sind) mit dem Heimnetz verbunden, an dem die DS1618+ natürlich auch hängt.
Auf der DS220+ läuft nur Active Backup for Business welches einmal in der Woche die Backup-Freigaben (SMB) der DS1618+ pullt, dies mit einem User, welcher keine Schreibrechte auf der DS1618+ hat.
Beide DS haben komplexe Passwörter und beide Admin-User (welche anders heissen) sind jeweils mit 2FA geschützt.
Überlegungen:
Sollte mein PC verschlüsselt werden, wird s.w. auch die verbundene DS1618+ inkl. Backups verschlüsselt, ein Trojaner wird ziemlich sicher die Zugangsdaten für den Backupuser finden können. Dank der DS220+, welche (nach noch unklarer Strategie) diese Backups nur per Pull sichert und deren Zugangsdaten nirgends hinterlegt sind, sollte ich zu einem Backup vor dem Befall zurückkehren können.
Was meint ihr dazu? Und was wäre eine sinnvolle Aufbewahrungsstrategie für die DS220+, die Dateien von Macrium sind zumindest bei Fulls schnell mal in einstelliger Terabyte-Grösse, ansonsten kommen vielleicht 100-300GB pro Woche dazu mit der aktuellen Macrium-Strategie.
Ich lese hier seit einiger Zeit mit, habe viel gelernt, bin aber noch unsicher, ob ich richtig unterwegs bin.
Ziel:
Schutz meiner Backups vor Ransomware
Setup:
Mein Arbeits-PC (Fotograf) wird mittels Macrium in angepassten "Grandfather-Father-Son"-Versionen laufwerksweise (vier Jobs für vier Laufwerke) auf eine DS1618+ gesichert. Jedes Laufwerk wird so ca. 3x/Woche gesichert.
Mein User hat Schreibzugriff auf die Freigaben dieser DS ausser auf die Backupordner, die sind nur lesend zu erreichen. Das Passwort für den separaten Backup-User ist aber natürlich in Macrium gespeichert...
Eine DS220+ ist über die zweite Netzwerkbuchse der DS1618+ direkt verbunden, kein weiterer Teilnehmer. Auf der anderen ist sie ebenfalls temporär (zum Prüfen, ob Backups gelaufen sind) mit dem Heimnetz verbunden, an dem die DS1618+ natürlich auch hängt.
Auf der DS220+ läuft nur Active Backup for Business welches einmal in der Woche die Backup-Freigaben (SMB) der DS1618+ pullt, dies mit einem User, welcher keine Schreibrechte auf der DS1618+ hat.
Beide DS haben komplexe Passwörter und beide Admin-User (welche anders heissen) sind jeweils mit 2FA geschützt.
Überlegungen:
Sollte mein PC verschlüsselt werden, wird s.w. auch die verbundene DS1618+ inkl. Backups verschlüsselt, ein Trojaner wird ziemlich sicher die Zugangsdaten für den Backupuser finden können. Dank der DS220+, welche (nach noch unklarer Strategie) diese Backups nur per Pull sichert und deren Zugangsdaten nirgends hinterlegt sind, sollte ich zu einem Backup vor dem Befall zurückkehren können.
Was meint ihr dazu? Und was wäre eine sinnvolle Aufbewahrungsstrategie für die DS220+, die Dateien von Macrium sind zumindest bei Fulls schnell mal in einstelliger Terabyte-Grösse, ansonsten kommen vielleicht 100-300GB pro Woche dazu mit der aktuellen Macrium-Strategie.