Backup eines Folders auf einem Windows- Server ?

Hinweis: Nach dem 31.12.2025 ist eine Registrierung nicht mehr möglich, nutze die verbleibenden Tage!

    Moin,


    ich möchte ein Backup in der Form konstruieren, das ich eine QNAP nehme (ich hab eine TS 670 pro mit 96TB hier, 60 TB im Raid6), auf der ich von der QNAP aus einen freigegebenen Ordner auf dem Windows- Server wegsichere. Also, die QNAP "zieht" den Windows- Ordner rüber (entgegen zu "der Windows- Server bekommt eine iSCSI Freigabe zur QNAP, und "schiebt" die Daten da hin).

    Das kann als Synchro- Job sein, oder auch als Job, der regelmäßig zeitbasiert läuft. Auf dem Windows- Server läuft ein Veeam, das mir die Files (=Sicherungen der Virtuellen Server) in einen definierten Ordner packt.

    Wichtig ist mir, das auf der Windows- Seite keine Zugangsdaten zur QNAP hin vorhanden sein dürfen. Lediglich auf der QNAP gibt es einen Nutzer, der die Win- Freigabe auslesen würde.

    Ist das machbar ?

    Und könnte man sich dann dennoch mit den Daten des QNAP- Backup- Kontos auf der QNAP anmelden und die Backups dort wieder löschen ? Oder kann man einem User, der eine Freigabe auslesen muss, das Anmelden an sich verbieten ?

    (Ich versuche, eine Art "durchbruchsicheres Backup" zu bauen... damit jemand, der auf dem Windows- System Daten verschlüsselt, nicht auch noch zur QNAP durchkommt, und dort weitermacht).


    Danke !

    Carsten

  • Carsten_Qnappie

    Hat den Titel des Themas von „Backup eines Folder auf einem Windows- Server ?“ zu „Backup eines Folders auf einem Windows- Server ?“ geändert.

    Mit nem HBS3 Active Sync Backup kannste Daten zum QNAP ziehen, auf dem Windows Server würden also keine Zugangsdaten des QNAP verwendet.

    Und auch umgekehrt braucht man keine iSCSI LUN, ein normales SMB Share würde es auch tun 8o .

    BTW: Schadsoftware verbreitet sich meist über das Netzwerk, weniger über Shares.


    Gruss

    Moin,


    das Problem ist, das Schadsoftware in Unternehmen heutzutage versucht, Deine Daten zu cryptieren. Und dazu greift man halt die Shares an- die Ausbreitung zwischen den Servern läuft dann per Netzwerk, klar.


    Das Problem ist, das egal auf welchem Träger Du ein Share aufmachst, sobald Du aus der Domain heraus darauf schreiben kannst, es per Design unsicher ist - eben weil ein Angreifer auf entsprechender Stufe dieses Shares cryptieren wird. UND wenn er ein Backup findet, z. B. auf einem Share, er das auch cryptieren wird, damit Du gern und willig Deine 10 Bitcoin rübergibst.


    Also braucht es eine Lösung, mittels der ein Share leergezogen wird in ein Backup, von einer Maschine außerhalb der Domain, die keinerlei User / Kennwort aus der Domain verwendet oder nutzt. Der Angreifer sieht dann ggf. noch eine QNAP mit einer IP, aber wann die was wo sichert, sieht er nicht. Er kann jetzt nur noch versuchen, da sozusagen "auf Verdacht" auch noch reinzukommen, um zu gucken, ob da ggf. Backups sind - das ist dann aber schon richtig tief gewühlt, ich vermute, so weit gehen die meisten Angriffe dann eben doch nicht.


    Man könnte die QNAP noch zeitgesteuert nur dann im Netz lassen, wenn sie sichert, so könnte man das Angriffsfenster noch verkleinern...mal gucken.


    Carsten