Comment protéger votre dossier de sauvegarde contre CryptoLocker et d’autres ransomwares dans un service de domaine Active Directory

Nous allons montrer comment créer un dossier sécurisé auquel seuls l’administrateur du domaine et l’utilisateur de sauvegarde pourront accéder.

L’utilisateur de sauvegarde doit être utilisé uniquement par Uranium Backup, c’est un compte de service qui n’est pas destiné à être utilisé pour travailler sur les machines clientes. Ensuite, nous configurerons Uranium Backup pour qu’il puisse accéder au dossier sans partager les identifiants d’accès avec la machine locale ou l’utilisateur local.

Cette stratégie de sauvegarde ne permettra pas à une machine infectée par CryptoLocker ou un autre ransomware d’accéder aux données sauvegardées, ce qui vous rendra capable de les restaurer en cas de catastrophe. N’oubliez pas que l’intégrité des sauvegardes doit toujours être vérifiée, en fonction de la cadence des sauvegardes et des politiques de conservation des données.

Notez aussi que si Cryptolocker ou un autre ransomware infecte une machine utilisée par l’administrateur du domaine, en obtenant les privilèges maximums, il pourra accéder au dossier sécurisé.

Suivez le guide

La première étape consiste à créer l’utilisateur de sauvegarde

Créez ensuite le dossier de sauvegarde. Dans notre exemple, nous avons utilisé un serveur de fichiers basé sur Windows, mais il est possible d’utiliser un NAS basé sur Linux sans changer la stratégie de sauvegarde

Partagez le dossier

Ouvrez ensuite les paramètres avancés de l’onglet Sécurité

Désactivez l’héritage des permissions

Le champ de saisie des autorisations sera vide. Ajoutez une nouvelle autorisation Entrée pour permettre à l’administrateur du domaine d’avoir le contrôle total

Autorisez ensuite le Contrôle Total à l’utilisateur de la sauvegarde

La destination de la sauvegarde est prête. Ouvrez maintenant Uranium Backup et installez le service en spécifiant l’utilisateur de la sauvegarde comme compte de service

Remarquez : vous devez autoriser l’utilisateur de la sauvegarde à accéder aux dossiers contenant les données que vous devez sauvegarder. Les identifiants d’accès de l’utilisateur de sauvegarde ne doivent jamais être spécifiés comme les identifiants d’accès de l’élément Uranium Backup ou des chemins de destination. Comme seul le service est configuré pour s’exécuter sous l’utilisateur de la sauvegarde, seule la sauvegarde programmée pourra accéder au dossier sécurisé. Toute exécution manuelle échouera à accéder au dossier.