Правильные права на архив Windows?

Question

[Александр]

Доброго дня
В связи с тем, что шифровальщики прекрасно монтируют все подключенные устройства появился вопрос о правах на них.
Хочу настроить резервное копирование с максимальной защитой от шифровальщиков на уровне прав на диск.
1. Как правильно бэкапить: на диск для архивов или на том?
2. Как правильно раздать права на диск/том с бэкапом?
Win Server 2008 R2 Std

UPD1:
Букву этому "Диску только для архивов" можно присвоить, что успешно делают шифровальщики.
Вопрос в отличии бэкапа - есть ли оно в этих двух способах?
3. Как настроить из под кого этот бэкап делать?
4. Какие давать ему права на копируемые диски?

Answer 1

[Александр]

Поэкспериментировал. Итог:

Бэкап делается от имени "система", всем остальным можно доступ к диску/тому/папке с бэкапом убрать.
Та же "система" имеет доступ ко всем дискам по умолчанию.

Разница между "Диском для архивов" и "Томом для архивов" состоит в простоте использования первого варианта и удобстве второго для, скажем, файловой помойки из ненужных файлов.

Главное не забыть добавить доменного юзера, из под которого сервер-клиент будет обращаться к серверу бэкапов в группу Операторы архива на сервере-клиенте.

Answer 2

[Karpion]

Правильный бэкап делается немного совсем не так:
Ставим отдельный компьютер для бэкапа. Под нормальной операционкой - я рекомендую FreeBSD, под неё вирусов практически нет; можно взять NAS. Windows либо рас'share'вает папки, которые надо бэкапить; либо имеет на себе агента бэкапа. Дальше бэкап-машина сама затягивает на себя нужные данные. Windows в принципе не имеет возможности записи на бэкап-машину.

Есть ещё вариант:
Ставим Linux. Внутрь ставим вирт.машину, на неё Windows. По мере необходимости данные из Windows бэкапятся в хост-систему, причём опять же Windows в принципе не имеет возможности записи туда, где хранятся бэкапы, всё пишет хост.

Comments

[Александр]

Ради такого достаточно держать микро(нано)пк (одноплаточный) где-нибудь за пределами с подключенным ЖДом и OpenVPN до клиента/сервера (бэкапируемого сервера).

Ответ хороший, но не по теме, надеюсь кому-нибудь да пригодится.

Меня же интересует именно правильная раздача прав на Винде.

Answer 3

[АртемЪ]

Права на запись, изменение, удаление только у пользователя Backup
Этот пользователь не должен быть администратором, и от имени этого пользователя не должны запускаться никакие программы кроме бэкапа.
У всех остальных, особенно у администраторов не должно быть прав на запись, изменение, или удаление архивов.

1. Как правильно бэкапить: на диск для архивов или на том?

Не совсем понятна разница. Вообще система работает с томами - буква присваивается тому. В принципе можно писать данные на том без буквы, а вот как вы будете работать с диском непонятно. Это уже софт нужен специальный.

Comments

[Александр]

Букву этому "Диску только для архивов" можно присвоить, что успешно делают шифровальщики.
Вопрос в отличии бэкапа - есть ли оно в этих двух способах?

Как настроить из под кого этот бэкап делать?
Какие давать ему права на копируемые диски?

[АртемЪ]

0pt1muS,

Букву этому "Диску только для архивов" можно присвоить, что успешно делают шифровальщики.

Не слышал о таких фактах. Хотя сделать это конечно же легко.

Вопрос в отличии бэкапа - есть ли оно в этих двух способах?

Нет конечно, отличия только в пути к файлу бэкапа.

Как настроить из под кого этот бэкап делать?

Запуск программы или службы с правами нужного пользователя.

Какие давать ему права на копируемые диски?

Необходимые и не более того. Как правило это только чтение.

[Александр]

АртемЪ,
1. harma гугл
2. да, есть — можно заранее изменить размер тома

[АртемЪ]

0pt1muS, Не понял к чему эти фразы?