Come proteggere la vostra cartella di backup da CryptoLocker e altri ransomware in un Dominio Active Directory

Andiamo a scoprire come è possibile creare una cartella sicura che solo l’amministratore di dominio e l’utente di backup saranno in grado di accedere.

L’utente di backup verrà utilizzato esclusivamente da Uranium Backup, è un utente di servizio non inteso per essere utilizzato sulle macchine client. Configureremo Uranium Backup per renderlo in grado di accedere alla cartella sicura senza condividere le credenziali di accesso con l’utente locale o il computer locale, blindando di fatto l’accesso.

Questa strategia di backup non consentirà ad una macchina infetta da CryptoLocker o altri ransomware di accedere ai backup, permettendovi di recuperare i dati in caso di disastro. Ricorda che l’integrità dei backup va sempre controllata, in accordo con la cadenza dei backup e le policy di data retention.

Nota anche che se CryptoLocker o altri ransomware infettano una macchina utilizzata dall’amministratore di dominio, saranno probabilmente in grado di accedere ai massimi privilegi e aggredire la cartella sicura.

Segui la guida

Il primo passo è creare l’utente di backup:

Create la cartella di backup. Nel nostro esempio utilizziamo un file server Windows ma è possibile adottare lo stesso schema con un NAS Linux, che dovrà essere in dominio. Condividete la cartella:

Condividete la cartella

Aprite le configurazioni Avanzate della scheda Sicurezza:

Disabilitate l’ereditarietà dei permessi:

La lista dei permessi sarà vuota. Aggiungete dei nuovi permessi e consentite il Controllo Completo all’amministratore di dominio:

Fatto questo consentite il Controllo Completo anche all’utente di backup:

La destinazione di backup è pronta. Ora potete lanciare Uranium Backup ed installare il servizio specificando l’utente di backup come account:

Nota: l’utente di backup deve essere in grado di accedere agli elementi per poter eseguire il backup, per cui dovrete aggiungerlo ai permessi delle cartelle da copiare. Non utilizzate mai i dati di accesso dell’utente di backup come credenziali per gli elementi o le destinazioni, è sufficiente specificarlo come utente del servizio. L’utente di backup sarà utilizzato solamente dal servizio di Uranium Backup, che avvia i backup schedulati, qualsiasi esecuzione manuale opererà sotto l’utente che l’ha lanciata e quindi non avrà i diritti di accesso alla cartella sicura.