USB-Stick zur Sicherung im HP MicroServer lassen?

Also ich würde den Stick nicht stecken lassen.

Bei mir läuft täglich ein Backup auf ein NAS im selben Haus. Das NAS sichert täglich auf ein zweites NAS, das bei mir zu Hause steht.

EIn Backup das im Server steckt ist bei einem Ransomwareangriff ungeschützt. Außerdem ist das Backup nutzlos bei Brand oder Diebstahl.

Sinnvoller evtl zwei Sticks wöchentlich im Wechsel. Falls da mal ein Emotet schlummert....

Genau, bei uns ist es ein RDX Drive was sich nach dem Backup automatisch auswirft und dann am nächsten Tag / Früh weg genommen wird. Wir tauschen das 5 Tage lang. Also 5 RDX Platten und eine ist immer nur für 3h (Backup) im Server.

Nebenbei läuft jeden Tag ein Backup auf ein NAS über David Direkt. Also keine Laufwerksfreigabe etc.

Mehr wollen wir nicht

Vernünftige Backup-Software nehmen, bspw. NetJapan, und mindestens auf ein NAS (wie oben beschrieben mit Redundanz) und da über einen eigenen User des NAS, so dass mit keinem Windows-Benutzerrecht, auch admin, auf das NAS geschrieben werden kann. Somit auch nicht verschlüsselt wird.

Zusätzlich noch ab und an auf externe USB und es sollten alle Eventualitäten abgedeckt sein.

Zitat von dirkli

User des NAS, so dass mit keinem Windows-Benutzerrecht, auch admin, auf das NAS geschrieben werden kann

Somit sollte man Backups nicht via Laufwerkfreigaben auf die NAS (intern) schieben?
Dann werde ich das bei uns auch mal ändern, derzeit geht es über den \\192.168.... Pfad.

Unsere Backup Software Altaro VM Backup kann aber auch mit einem "Off-Site Server" arbeiten.

DAnn würde ich das auf der NAS installieren (mal schauen) und dann dort das hinschieben.

Oder kann ich auch mit anderen Rechten etc, auf die NAS dennoch über einen Netzwerk PFad schieben?

Was David angeht, kannst du doch im Admin und Strongbox den Direktpfad (\\NAS\Verzeichnis) angeben und dort auch einen User den nur das NAS kennt eintragen in der Storngbox Konfig.

Somit hat der Windows Unterbau nix mit dem NAS zu tun und das Backup schiebt der David-Admin dann direkt auf das NAS.

Genau wie David_1983 schreibt. Es geht ja darum, dass nur dieser dedizierte Nutzer des NAS auf den Sicherungsordner schreiben kann. Das kann durchaus eine Freigabe sein, kein Problem.

Bei uns wird die Strongbox auf einen Fileserver gesichert, der die Daten zusätzlich live auf einen NAS sichert, auf dem die Versionierung aktiv ist.

Außerdem wird der physische Hypervisor per Windows Backup auf eine angeschlossene USB-Platte gesichert.

Mein david im Eigeneinsatz liegt in der Cloud, da lasse ich die Strongbox auf die gleiche Platte sichern, das dann per Robocopy in OneDrive kopiert und hochgeladen wird.

Ok muss ich mir nochmal anschauen dann

wer sich wirklich gegen Emotet und Co absichern will richtet seine Datensicherungen so ein das irgendwo ein Sicherungsserver steht welcher selbsttätig die Datensicherungen der einzelnen Server oder Dienste einsammelt.
Dazu ist wichtig das niemand aus dem Netz je auf diesen Datensicherungsserver zugreift, also auch nirgends Logindaten für diesen Server vorhanden sind.
Der Datensicherungsserver selbst bekommt dann für jedes System von dem er Daten sichern soll einen individuellen Zugang mit individuellem Benutzer und Kennwort.
Auf den einzelnen Servern darf dann ruhig eine lokale Datensicherungssoftware laufen welche die Daten auf einer nur für den Sicherungsserver erreichbaren Freigabe ablegt.

Die weiter oben von einigen beschriebenen Verfahren bieten nämlich gegen einen echten Emotet Einbruch keine Absicherung weil bei Emotet in aller Regel einer der freundlichen Dienstleister des Emotet Gewerbes sich persönlich via einer inversen Remoteshell auf den befallenen Kisten umguckt und sich auch Zeit damit lässt seinen Coup vorzubereiten. Wenn Eure Server aktiv Daten auf einem Backup Server ablegen und dort auch Daten verändern können, dann kann das in aller Regel auch der freundliche Emotet Dienstleister und hat somit einen Hebel Eure Datensicherungen unbrauchbar zu machen.

Entweder sichert man also auf Bänder und vergewissert sich immer mal wieder das dort auch wirklich ankommt was man zu sichern glaubt und legt sich dann ausreichend Generationen davon weg, oder man lässt die Datensicherungen eben im Pull Verfahren von den Servern holen und bewahrt davon dann auch einige Generationen auf.

Alles andere endet im Emotet Fall im Desaster...

Die Vorgehensweise wie von riawie beschrieben, würde ich so unterschreiben. Wir machen das bei unseren Kunden auch auf diese Weise und nutzen dafür VMWare und die Backupsoftware Veeam B&R.

Gruß, Oliver

Zitat von complusit

...VMWare und die Backupsoftware Veeam B&R....

Da mal eingehakt: Wie bekommt man mit VEEAM das RDX-Laufwerk dazu, die Platte auszuwerfen? Geht das ?

Bei BEXEC (früher, mit Band) war das kein Problem; bei Veeam habe ich den Haken dafür nicht gefunden...

Hast du 'nen Tipp?

Danke

wulff

Meinst du das hier ?

zu finden bei dem Tape Job.

Hmm, Tape-Job haben wir nicht, weil wir die HyperV-VM's auf RDX sichern.

Unser Tape war beim früheren W2008-Server, der noch ein LTO-Tape hatte. Unser aktueller ist ein WinServer 2016 mit HyperV-Umgebung und eben einem RDX-Laufwerk (Neben einem räumlich entfernten NAS-System...)

wulff: Das alles gehört zwar eigentlich nicht mehr ins David Forum, sondern eher ins Veeam Forum, aber um die Frage zu beantworten: Ja das geht. Siehe Screenshots im Anhang.

Gruß, Oliver

Zitat von wulff

Hmm, Tape-Job haben wir nicht, weil wir die HyperV-VM's auf RDX sichern.

Du kannst bei Veeam doch bestimmt ein Kommando eintragen, das nach Job-Ausführung ausgeführt wird? Dann trag dort ein kleines Script mit freeeject.exe ein (freeeject.exe r:). Die Homepage scheint offline zu sein, aber bei Heise gibt's das Tool noch.

EDIT: complusit war schneller

Hallo, ja, gehört natürlich hier nicht mehr rein, weil in der Tat OT.

Dachte ich mir doch, dass das auch mit einem kleinen Script geht...

Danke für euren Hinweis, teste ich so.

OffTopic-Modus hiermit beendet...