Как правильно организовать бекап пользовательских данных?

Question

[Николай Шаманович]

Прошел вирус-шифрователщик, начальство наконец задумалось о резервном копировании.
Планирую поставить 3-4 Тб диск в какой-нибудь комп, навернуть туда линукс и раздавать этот диск Самбой.
На пользовательской системе настроить стандартный виндовый бекапер в сетевую папку.
Какие могут быть подводные камни?
Как можно защитить сетевую папку от вирусов и пользователей (чтобы кроме бекапа никто не лазил)?
Можно ли настроить бекап на одном пользователе, а работать под другим?
В организации около 50 компов, все Windows 7. Доменов никаких нет.

Answer 1

[oia]

Смотри в сторону по с агентами на клиентских пк для запуска агента под локальный админом, а северной части уже указать что хранить сколько по времени итд

Comments

[Николай Шаманович]

Bacula или Bareos думаю смотреть в эту сторону, спасибо за совет.

Answer 2

[Владимир Мартьянов]

Если у юзера будет доступ на запись в этот каталог - троян и туда залезет со всеми вытекающими. Если ваш бэкап будет состоять только из одного "слепка" - после шифрования вы имеете все шансы перезатереть всю информацию мусором.

Comments

[Николай Шаманович]

Как сделать много слепков?

[Владимир Мартьянов]

Николай Шаманович: Эта штука называется "инкрементый бэкап". Можно тупо хранить слепки за последние N дней. Но лично я рекомендовал бы вам обратиться к профессионалам, которые занимаются системами резервного копирования.

Answer 3

[Евгений Хлебников]

от шифровальщика хорошо помогает включение теневой копии (см. предыдущие версии) на клиентских компьютерах.

Бэкапить централизованно рабочие места вне домена - лучше создать на всех машинах учетные записи для доступа из сети и с центральной машины (бэкапа) собирать данные.

Comments

[Владимир Мартьянов]

Не помогает теневая копия. Она отключается и очищается самим трояном без каких-либо вопросов.

[Евгений Хлебников]

а зачем вы пользователям административные права оставляете?

[АртемЪ]

yellowmew: Теневая копия это не бэкап.
Она должна быть но лишь как дополнение к бэкапу.
К тому же бэкап просто невозможен без теневой копии.

А чтобы никто не затер ваши теневые копии - не давайте администратору прав на их удаление.

[Евгений Хлебников]

АртемЪ: это был комментарий к шифровальщику.
по бэкапу следующий абзац ответа +)

[АртемЪ]

yellowmew: Кстати бэкап не обязательно собирать с центральной машины.
Можно копировать на центральную в сетевую папку. Просто потом центральная машина должна переместить бэкап из сетевой папки в хранилище недоступное по сети.
Я чаще делаю именно так.

Answer 4

[Андрей Ермаченок]

1. Не держать в принципе никакие бизнес-данные на компах юзеров, держать их на файловом сервере.
2. Архивировать их на другой комп (другой диск), к которым нет доступа у юзеров.
3. Делать полный архив раз в месяц, скажем, и раз в день (раз в час) - разностные копии.
4. Теневые копии тоже хорошо.
5. В придачу к Еженощным Бэкапам Super Flexible File Synchronizer хорошо себя зарекомендовал: делает раз в час копии свежих версий файлов с сохранением старых.

Answer 5

[argumentum]

Если хранить бэкап только за предыдущие сутки - высока вероятность, что незамеченный во-время вирус будет и в бэкапе.

Хорошую схему предлагала в свое время 1С:
- за последнюю неделю хранить бэкапы на каждый день
- за прошедший месяц - по бэкапу на конец каждой недели прошедшего месяца
- за прошедший год - по бэкапу на конец каждого месяца прошедшего года