,关于外部部署 Exchange 主机的敲诈软件攻打曾经十分经常出现,由于它们存储了敏感和秘密信息,以及业务数据。攻打者经常应用破绽来访问组织的网络,并窃取或加密数据以敲诈赎金。
即使攻打者没有成功加密数据,他们也或者会留下后门或形成其余侵害,从而使企业的主机无法经常使用或造成终身性数据失落。这就是为什么预备好劫难恢复方案或恢复战略来解决此类危殆状况十分关键的要素。
构建 Exchange Server 恢复战略的步骤
对Exchange Server的敲诈软件攻打是任何治理员最蹩脚的噩梦。它或者造成主机无法经常使用,造成停机并形成经济损失。以下六步是Exchange Server恢复战略,假设您所在企业的Exchange主机遭到敲诈软件的破坏和攻打,将会派上用场。
1、确定关键组件
在 Exchange Server 中,必定确定在劫难出现或敲诈软件攻打后须要恢复的关键组件和数据才干恢复服务。在议论Exchange Server时,您应该思考以下备份:
优惠目录 (AD)
AD 是用于对用户启出发份验证和提供信息的数据库。它蕴含与 Exchange Server 环境关系的关键信息,例如用户和计算机、角色、权限等。因此,应当每 60 天或更早备份一次性 AD。并将它作为系统形态的一局部启动备份。
邮箱数据库
邮箱数据库蕴含对业务至关关键的用户邮箱和邮件名目,如电子邮件、咨询人、附件、日历名目等。
除了这两个组件之外,请思考备份文件系统和系统形态。您可以经过创立基于卷影复制服务的备份来执行此操作。
2、选用备份战略
备份至关关键。因此,为外部部署 Exchange Server 选用最佳备份战略十分关键。在Exchange Server中,应经常使用DAG的本机数据包全(NDP),而不是仅依赖传统的备份技术。
Microsoft Exchange Server 还支持基于 VSS 的备份,您可以经常使用 Windows Server Backup(带有 VSS 插件的 WSB)或 Exchange 感知的第三方备份适用程序创立这些备份。依据 Exchange Server 环境,可以创立完整备份、增量备份或差异备份。
完整备份
在“齐全备份”中,将复制 Exchange 数据库和事务日志文件。成功备份后,日志将智能截断。然而,完整备份须要更多时期才干成功,由于它必定经常使用日志文件备份整个数据库。此外,它还须要更多的存储空间来存储藏份。因此,恢复时期也很长。
增量备份
在增量备份中,仅将事务日志中的特定更改复制到上次齐全备份或增量备份。这有助于最大限制地缩小备份频率并节俭存储空间。与完整备份相比,创立或恢复备份所需的时期也更少。增量备份成功后,日志将被截断。
差异备份
与增量备份相似,差异备份复制特定数据。惟一的区别是,它会复制自上次完整备份以来所做的一切更改,而不执行上一次性差异备份或增量备份。这也有助于最大水高山缩小恢双数据库所需的备份频率、时期和操作。虽然创立备份所需的空间要少得多,但比增量备份占用的空间要多。恢复也比前两种备份方法更快。日志也不会被截断,并且在备份之前坚持不变。
关键提醒:现实状况下,切勿将增量备份和差异备份组合或实如今一同。此外,还须要在主机上禁用循环日志记载以准许差异备份或增量备份。
您可以依照盛行的 3-2-1 备份规则来创立 Exchange 主机备份。该规则规则,必定在两个不同的存储介质上创立至少三个备份,并在他乡(或者是云)保管至少一个正本,最好是另一个数据核心或分支机构。
3、定义恢复点指标 (RPO)
定义恢复点指标 (RPO) 触及确定组织在劫难出现时或敲诈软件攻打后可以接受的数据失落量。这可以用作参数,以确定须要备份的频率,以便以最有效的形式将数据失落降至最低。
例如,在敲诈软件攻打之后,您将能够恢双数据到上次备份的时期。这象征着上次备份后创立的任何数据都将终身隐没。因此,假设您在清晨 12:00 创立了最后一个备份,并且敲诈软件攻打出当初上午 6:00,则在上午 12:00 到 6:00 之间累积或生成的数据无法从备份中恢复,并被视为终身失落。
然而,您可以借助Exchange恢复软件(例如Stellar Repair for Exchange)恢复上次备份和劫难出现时创立的一切数据。假设备份失败或过期或无法用,也可以经常使用该软件。此外,它可以修复和提取受影响的Exchange Server或损坏的Exchange数据库文件中的邮箱,并将它们间接导出到新的Exchange Server或Office 365。您也可以将邮箱另存为独自的PST文件启动备份。
4、定义恢复时期指标 (RTO)
与恢复点指标相似,定义恢复时期指标 (RTO) 也很关键。它有助于确定上次备份出现敲诈软件攻打或劫难后恢复 Exchange 邮箱数据库和服务准许的最长时期。
它基本上通知服务将坚持封锁多长时期。它通常以分钟、小时或天为单位定义,详细取决于从备份或在第三方软件的协助下恢双数据所需的预计时期。您可以在备份测试时期预计此时期。例如,假设恢复 100 GB 的数据须要一个小时,则恢复 1 TB 的数据或者须要大概 10 小时。它还有助于定义 SLA 并满足设定的希冀。
5、测试恢复方案
测试备份和恢复方案比创立备份和恢复方案更关键。这将使您知道任何正告或限制,并在劫难出现之前修复它们。它还会让您知道一切必需的数据能否齐全保管并且可以在须要时恢复。假设测试失败,您可以检查备份战略并采取必要步骤来确保恢复方案有效运转。它还将协助您成功忧心,由于您知道假设您的组织遭到敲诈软件的攻打,您可以恢双数据。
6、记载恢复方案
预备好Exchange Server恢复战略后,就该详细记载每个步骤和组件,以便在须要时极速恢双数据,并在敲诈软件或恶意攻打后恢复服务。它将有助于照应敲诈软件事情,最大限制地缩小敲诈软件攻打的影响,并极速恢复关键义务操作。
总结
较新的破绽和失误为要挟介入者应用和危害 Exchange 主机关上了新的大门。您必定经常使用 Microsoft 活期颁布的最新安保降级和累积降级来修补这些破绽,以阻止攻打者。还倡导您遵照最佳做法来增强 Exchange Server 的安保性。此外,您还应该创立一个 Exchange Server 恢复战略,以协助您在劫难出现时恢复和恢复 Exchange Server 和电子邮件服务。这将协助您包全数据、保养声誉并防止敲诈软件攻打后的经济损失。
原文链接:
原文作者:Shelly Bhardwaj