Vous trouverez ci-dessous quelques stratégies pour vous protéger contre les ransomwares en utilisant BackupChain (Windows Server Backup Software).
Les solutions les plus simples comprennent :
La sauvegarde dans le nuage.
La rotation des disques durs externes. Un seul disque doit être connecté à la fois. Configurez les disques durs externes pour qu'ils utilisent la même lettre de lecteur lorsqu'ils sont branchés et évitez de brancher plus d'un lecteur à la fois, car cela amènerait Windows à réorganiser les lettres de lecteur.
Des stratégies de protection contre les ransomwares plus élaborées tournent autour de l'idée de rendre les fichiers de sauvegarde inaccessibles aux ransomwares, qui s'exécutent généralement dans une session utilisateur normale ou dans le LocalSystem :
Créez un compte administrateur dédié et modifiez les paramètres de connexion du "Service BackupChain" de LocalSystem à ce nouveau compte dédié. Ainsi, même si un ransomware pénètre dans la session utilisateur LocalSystem, il n'aura pas accès aux dossiers utilisés par BackupChain.
Isolez les dossiers de sauvegarde (locaux ou sur le réseau) afin que seul le compte administrateur dédié de la CB puisse y écrire.
Si un NAS ou un partage réseau est utilisé, assurez-vous que personne n'a les droits d'écriture sur le dossier de sauvegarde, seulement l'utilisateur BC dédié.
Créez deux scripts au début et à la fin d'une tâche pour attacher et détacher les périphériques de stockage. Il peut s'agir de lecteurs locaux/externes ou iSCSI et ils ne seront visibles dans le serveur que pendant la durée de la tâche de sauvegarde.
Il existe sur le marché des dispositifs de gestion de l'alimentation qui permettent des cycles marche/arrêt contrôlés par ordinateur, un peu comme une carte relais. Avec un tel système, vous pouvez mettre sous tension un NAS ou un disque externe et l'éteindre à la fin de la sauvegarde, avec peut-être un délai de 10 minutes à la fin pour s'assurer que tous les tampons du système de fichiers sont vidés correctement. Il est possible de mettre sous tension ces types de circuits d'alimentation en appelant un exécutable dans l'onglet Options de BackupChain et ainsi mettre sous tension et éteindre le stockage à distance.
La meilleure isolation contre les ransomwares est une déconnexion physique (c'est-à-dire une mise hors tension et un débranchement physique, ce qui protège également contre les surtensions). Les déconnexions logicielles et l'isolation des dossiers ne sont qu'un obstacle qu'un ransomware suffisamment intelligent sera un jour capable de contourner.
N'oubliez pas que les ransomwares contiennent également un cheval de Troie, qui permet aux criminels d'accéder à votre ordinateur et donc à l'ensemble du réseau. Une fois que le ransomware a pénétré dans votre ordinateur, il permet au criminel de se connecter et de commettre tous les crimes "intelligents" qu'il souhaite. Histoire vécue d'un client : le criminel a eu accès à un ordinateur, a parcouru des documents, a trouvé un document contenant les détails d'accès à un compte de sauvegarde en nuage, puis s'est connecté au compte et a supprimé les données en nuage manuellement. Mais comme notre propre système de stockage de sauvegarde en nuage conserve également une copie hors ligne distincte de tous les comptes, notre client a pu restaurer l'ensemble des données du serveur de fichiers de l'usine. Toutes les autres sauvegardes locales ont été perdues.
Recommandations plus générales : limitez l'accès à certains comptes, ne vous connectez pas en utilisant le compte administrateur du domaine et ne restez pas connecté au système lorsque vous n'utilisez pas l'ordinateur. Utilisez des mots de passe distincts pour les différents ordinateurs. N'utilisez pas de lecteurs mappés et supprimez la connexion réseau lorsqu'elle n'est plus nécessaire.
La fonction de sauvegarde de version de BackupChain protège automatiquement contre les écrasements par les ransomwares, car ces derniers chiffrent et renomment généralement un fichier par la suite. Le fichier apparaît donc comme un nouveau fichier et est sauvegardé séparément si le système de sauvegarde est toujours en cours d'exécution. La sauvegarde du fichier original reste intacte.
Notez que le logiciel de sauvegarde BackupChain supprime les connexions réseau qu'il crée lui-même lorsque la sauvegarde est terminée. Cela réduit également la possibilité d'une attaque car les ransomwares plus élaborés vérifient maintenant toutes les connexions de serveurs extérieurs qui sont stockées dans la session de l'utilisateur et les infectent également. En exécutant le processus de sauvegarde dans une session utilisateur isolée, la session utilisateur du système local n'aura pas accès à ces connexions réseau, même si une sauvegarde est en cours.
Aucun commentaire:
Enregistrer un commentaire