Предыстория.
Знакомый работает на большом предприятии. Сеть магазинов 100+
Недавно напал шифровальщик. Зашифровал базы на основном сервере и все бэкапы на другом сервере.
Требовали 1 биткоин. Дня 3-4 восстанавливали, не смогли, сторговались и заплатили в итоге 0.2 биткоина.
Хакер оказался разговорчивым сказал как сломал их.
Он, брутфорсом попал на их сервер RDP, с правами пользователя. RDP было без VPN. Используя какую-то там уязвимость создал себе пользователя с админскими правами. А потом все внимательно изучил и зашифровал разделы нужных дисков.
Когда местные админы проводили расследования, то выяснилось, что этот хакер неделю у них на сервере лазил, входил и занимался там своими темными делами по 2-3 часа в сутки. Даже нашли в открытом доступе статью, по которой пошагово он создал себе пользователя с админскими правами. Почему решили, что по этой статье, потому что он даже имя пользователя сделал как в той статье.

К теме.
И вот я тоже задумался. У меня основные бэкапы на основном сервере и резервные бэкапы на отдельной машине. Я думал, что тем самым шифровальщик мне не грозит. Но в случае как выше, когда это не бездумный вирус шифрует, а человек хозяйствует в сети, то бэкапы надо прятать надежнее.
Тут уже поднимали тему как обезопасить бэкапы. Я 2 способа запомнил:
1. Отдельная машина включается по расписанию, забирает бэкапы, выключается.
2. Внешний HDD включается, забирает бэкапы, выключается.

Вопросы такие:
1. Насколько надежны эти схемы 1 и 2?

2. Решил пока остановится на 2, внешний HDD включение по расписанию, сбор, выключение. Диск под рукой.
Нашел программу USBDeview.exe, которая умеет выключать/включать USB HDD. Одну пока проблему решить не могу. Bat-файлы не могу запустить, UAC контроль учетных записей пользователей не дает вносить изменения. UAC отключать желания нет. Как для отдельных *.exe файлов нашел его выключать, как для *.bat найти не могу.
Подскажите решение, как лучше выключить/включать USB HDD программно?
Возможно есть USB-шнур, который можно включать/выключать программно.
Пока нашел, только USB-шнур с выключателем:
https://www.joom.com/ru/products/5e5a39dbad7dcb01013a7273

Нужны советы.

(0) Я так понимаю, сервер на устаревшей ОС 2008R2, либо Windows 7?
Без блокировки учетки при подборе пароля?

(1) Не спросил, но думаю не win7 точно.
Мне эта история с перебором кажется маловероятной. Может это сотрдуник-пользователь слил свои учётные данные.
Я спрашивал может ваш бывший админ так подгадил. Как можно найти бэкапы в сети. Говорят, что никого из админов в том числе бывших не подозревают.

Зачем так сложно? Включать - отключать.
Отдельный сервер (железка), которая забирает бэкапы с целевых серверов. У нее будет доступ к серверам, а с серверов к ней нет.

(3) Пока свободной машин нет, а HDD есть. А так да мне этот вариант нравится.

(0) Ловят?

(5) Как понять?

(3) (4) Если в (0) изучал схему взаимодействия серверов в течение недели, то где гарантии что и этот сервер не взломает?

(6) в полицию то обралились?

Дырка то известная с переименовыванием файлов
(4) для этого достаточно нас сервера и грамотного линуксоида, который это настроит

нас = NAS, он не так и дорого стоит, для конторы то

(7) Вот мне тоже кажется, выключенное оборудование надежнее. Его не заметно.
(8) Не спросил. Знакомый 1с-ник, а разгребали эту кашу админы.
(10) Ищу варианты решения проблемы.

(0) >> Используя какую-то там уязвимость создал себе пользователя с админскими правами.

Вопрос с нормальной настройкой установки патчей и обновлений для закрытия уязвимостей вообще не рассматривается?
Вероятность, что вас сломают при своевременно обслуживании ОС и с правильной настройкой прав в домене, крайне мала. Ибо слишком дорого стоит. А эксплуатировать старые уязвимости по инструкции с сети сейчас любой школьник сумеет.

Дополнительная подстраховка никогда не помешает.
Так что из рассматриваемых вариантов я бы рассматривал схему с отдельной машиной, чей пользователь имеет доступ к серверу и забирает по расписанию бекапы к себе, но к которой никто не имеет доступа. Включать/выключать эту машинку каждый раз - излишний изврат и паранойя.

(0) Сейчас практикую Centos сервер + sFTP + RAID. Для любителей поумничать - FirewallD включен и настроен. Сервер работает постоянно. Все машины в фоне с разницей 5 минут коннектятся и скидывают в свои папки на сервере новые/измененные файлы сохраняя в отдельной папке старые. Уже несколько нападений клиенты пережили практически безболезненно.

(7) Расскажи, как он его взломает. Туда же никто не подключается.

(13) У меня другая схема.
BareOS - забирает по расписанию с серверов и рабочих станций, все что в задании расписано.

У меня для бекапов (вот таких, самая последняя миля) используется bacula.

На комьютер, который нужно бекаить ставиться Bacula-client работает в режиме сервера (слушает сетевые соединения), сервер бекапов он авторизует по сертификату (но можно и по паролю). Этот bacula-client заточен бекапить файлы, но может выполнить любой скрипт перед тем как бекапить.

Сам сервер от клиентов сетевые соединения вообще не принимает. Он не в домене, у него другой логин/пароль, он не принимает сетевые соединения ни от кого, кроме рабочей станции админа, его нет в DNS.

Найти и ломануть его можно только очень сильно хотеть, действовать изнутри сетрки и знать, что искать.

(14) также как и в (0) через рукожопых админов.

(15) (12) +1

Машина эта кстати может быть вполне себе пентиумом 4 +2GB ОЗУ. Туда только пару-тройку HDD большого объема воткнуть

(1) Первая схема нормально работает.

Странно, что никто не предложил закрыть внутреннюю сетку VPNом. Уже сколько раз к людям лазили по rdp, выставляли на бабки - и все равно все жрут этот кактус...

(12) <Вопрос с нормальной настройкой установки патчей и обновлений для закрытия уязвимостей вообще не рассматривается? >
чтоты, 90% людей в этой сфере 'установил винду, отключил к чертям эти кривые обновления!!!разраз'... тут даже на мисте периодические такое проскакивает

я уж молчу про переименование учетки Администратор и установке нормальных паролей ...<Он, брутфорсом попал на их сервер RDP.> -- вообще рукалицо

От брутфорса нужны нормально настроить сервер и есть проги... типа RdpGuard, успеешь заметить и залочит на время.
А внешнее устройство можно попробовать включать умной розеткой.))

(22) защитить rdp и поставить умную розетку?
Чет вспомнилось
https://kyky.org/news/hakery-vzlomali-vibrator-i-zapustili-s-nego-strim
https://cryptoworld.su/vzlom-umnoj-rozetki-tp-link-hs110-wi-fi/

От целевой атаки, без нормальной службы ИБ вас (всех) ничего не спасёт. Ни обновления, ни переименования учёток, ни программное отключение интерфейсов (детский сад - штаны на лямках). При богатой и разветвленной инфраструктуре только комплексный подход и постоянная работа специалистов может помочь. Это я вам как ИБшник говорю. )

сервер пускает только с определенного списка айпишников...
для остальных - 3 попытки и блокирую айпишник
бекапы делаю не только в облако но и в сетевое хранилище (по фтп)

Лучше сфокусироваться на настройках безопасности сервера.
Обновить ОС
Огранчить ко-во попыток ввода пароля
Ограничить подсети с которых могут подключаться пользователи
Настроить политику на сложность паролей
Возможно сменить стандартный порт RDP (не знаю используется TCP или UDP протокол, если UDP то смена порта существенно усложнит подключение злоумышленика)

(26) в современных реалиях светить rdp (как и sql и многое другое) во внешку, на любом порту - ССЗБ

(26) смена порта совершенно не влияет на защиту. обновление ос никак не защищает. сложность паролей для многих сотрудников - неподъемная задача.
к тому же пароли сохраняются на компе и легко тырятся мошенниками. вроде помогает впн. но его часто блокируют провайдеры, пока не нашел, как с этим бороться.

(28) OpenSSH на HTTPS (443) порту - помогало пока всегда.

(0) через усб устройства часто виснут. я отключаю разделы на хдд. акронис ругается, но копии делает. только так пока что удается защититься от шифровальщиков.
пароли рано или поздно кто-нибудь сливает. один мошенник в письме написал, что пароли ему слил пров через даркнет. он же сам сказал, что для защиты нужны впн и сертификаты,
все остальное фигня. последний раз я "терял" базы лет семь назад. а вот бэкапить целиком все данные у многих клиентов не хватает ресурсов, но я за них и не отвечаю, это уже их проблемы.

(29) не, OpenVPN, т.е.

(27) VPN добавит тормозов, если интернет канал слабый. Но безусловно VPN стандартное решение для подобных задач.
(28) Попробуйте поднять SSH сервер на стандартном порте и удивитесь на сколько быстро в логах будет куча попыток подключиться с левых IP. Нестандартный порт - это знак для злоумишленника, что админы задумывались о безопасности.

(0) Это нормально! ", брутфорсом попал на их сервер RDP, с правами пользователя. RDP было без VPN"
Знаю админа, который на открытый (на время) RDP уже 5 раз все базы потерял...
И не на одном сервере!
Расстрелять за это не получилось - руководство не дало добро.
Но он умудрился еще и не сделать роллинг бэкапов, и поэтому свежие копии на ftp не загружались, потому что место кончилось ;)
Опять расстрелять не удалось - руководство опять не дало добро.
Придется ждать пока *внезапно* копии сдохнут вместе с винтом, а потом и грохнется база...

(24) от целенаправленной атаки и наличие службы ИБ не поможет (вообще у меня крайне предвзятое отшноешнеи к господам которые там обычно работают), а про детский сад - вы зря, чем больше геморроя - тем с большей вероятностью ids сработает и всё отключит

+(33) Ну и есть и скипты на Github, и сторонние (платные) программы, которые подбор пароля блокируют по IP.
Но это все костыли, впн надежнее на 100500%

(0) >2. Решил пока остановится на 2, внешний HDD включение по расписанию, сбор, выключение.

Если все это происходит на скомпрометированном сервере, то схеме нерабочая.

Рабочая схема — это pull на бэкап сервер + периодическая ротация носителей с оффлайн хранением (в сейфе).

В действительно надежной схеме должен обязательно присутствовать элемент, который может выполнить только человек и только локально, физически, руками. Но это же является и слабым местом, потому что такая схема не может быть полностью автоматизирована. На любой регламент у нас рано или поздно забивают.

(0) Как для отдельных *.exe файлов нашел его выключать, как для *.bat найти не могу.

Это конечно не решение сабжевой проблемы, но, так, к сведению, для решения процитированной ее части - скомпилировать bat в exe, никакой проблемы нет. Например прогой: CMD2EXE. Ищется в сети на раз. Как-то давно, уже не помню для чего, пользовался. Ехе-шники получаются вполне себе рабочие.

(0) Схемы не помогут от человека. Он вычислит, когда машины включаются - и зашифрует. Поможет только накопитель типа WORM.

(25) а если айпи, с которого должны ходить, динамический? Когда речь про коронавирусную удаленку, то так оно и будет - дома редко кто за статику приплачивает, и айпи вполне могут меняться при любой перезагрузке домашнего роутера или сами по себе, по желанию провайдера.

(41) покупаем 10 "роутеров" по 100р в "домашнем" регионе)

А зачем выключать бекап сервер? Тем более, если он "забирает"? В Win2016 по дефолту все из вне закрыто, он даже не виден в сети. Бекап сервер (под него можно заюзать любой ноут) выносишь вне домена. Меняешь имя дефолтюзера. Ставишь дикий пароль со сменой раз в месяц. Профит.

(41) ВПН не предлагать ?

(41) ... микротик авторизация по мак адресу...

(45) "по мак адресу" в локалке то зачем?) лучше eth3 и запереть микротик

(17) наделить сервер бекапов ультимативным свойством - вообще никому нельзя с ним "разговаривать" из локали.
никаких удалёнок, рдп и лан-сервисов, доступ в ОС только физический через мышь и клаву.

Простые правила, чтобы спать спокойно и не надо было включать выключать жесткие диски(если уж хакер зашел на сервер и видит по расписанию когда происходит бекап, почему он не может дождаться включения диска или сервера и все там стереть?) и заниматься прочей ерундой.
1. Сервер не торчит голым РДП наружу(неизвестно зачем вообще это может быть нужно). Если использовать vpn с сертификатом, то подобрать пароль не выйдет.
2. Бекапы падают на сервер где происходит хранение истории. Например на ЯД или на своем отдельном сервере можно настроить хранение истории. В таком случае если хакер получит доступ к бекапам, он удалит или зашифрует только текущие версии файлов. Всегда можно будет поднять незашифрованную версию или версию до удаления.

(32)wireguard говорят очень хорош в этом плане. Знакомый говорил что замечал, что скорость не падает а увеличивается даже немного под ним. хз как это работает.

(49) Wireguard - быстро в работе, но не проверенно временем и не так легко в настройке. Накладные расходы очень низкие. В случае с openvpn накладные расходы могут быть 60-70% от пропускной способности физической сети.

(48) насчет ЯД вы зря написали. Хакер же тоже читает мисту. В следующий раз он обязатнльно еще и на ЯД бекапы зашифрует.

(50)>60-70%
Из-за чего так много?

(0) Зашифрует внешний диск во время бекапа, как только он подключится. Шифровальщики отлавливают моменты подключения жестких дисков специально для этого.

>  Используя какую-то там уязвимость создал себе пользователя с админскими правами. А потом все внимательно изучил и зашифровал разделы нужных дисков.

Фокус с подменой заставки экрана, которая запускалась от админа, исправили еще на каком-то из сервис паков win 2000.
А можно узнать, что за уязвимость?

(20) потому что топик стартер хочет обезопасить бекапы путем отключения HDD, а не предотвратить вторжение в будущем.
Я тоже для сервера резервного копирования держу отдельный "контур безопастности". Ну т.е. взлом инфраструктуры не есть взлом этого сервера. Вполне логичное решение. В учебниках об этом пишут.

(50)Вроде как в настройке просто добавить ключи и тунель поднялся. Вся настройка. На тему не проверен временем, он уже добавлен в ядро линукс, я думаю достаточно проверен.
(51)В этом вся мысль, что историю файлов удалить не получится. Ну зашифрует он бекапы, поднял историю когда этот файл не был зашифрован. На этом все.

(55)Уязвимость всегда одна - RDP шлюз. Хакеры используют уязвимости, подбирают пароли (не будут пользователю создавать логин пароль плана ww8ZNGMdR2g6GY30LBQO - iYrtvd5dxP51A5xTaxX6 будет наверняка проще) речь о том, чтобы убрать эту проблему, тогда может быть и штатной защиты папки с бекапами путем настройки прав будет достаточно. В учебниках не пишут, что если дыра известна, то надо ее закрыть в первую очередь или это не логично?

(0) Запускай cmd.exe, пусть он запускает .bat

(57) Почему одна-то? Их тысячи! Еще через web-сервера, например, взламывать популярно очень. Безопасность - тема бездонная.

Но топик стартер спросил про hdd и защиту бекапов. А не про защиту RDP.

(56) непонятно, чем поможет. Если например сегодня зашифровал. История состоит из двух дат: вчера все файлы были незашифрованы, сегодня все файлы зашифрованы.

Странно, очень странно. Про то что через RDP вся эта жопота происходит - разговоры идут с конца девяностых и они вообще не утихали. Тем не менее люди все равно выставляют терминальные серверы в инет. Какой смысл читать и писать, если все равно никто не слушает и не принимает к сведению? Единственный рабочий вариант - VPN, ежу ведь понятно, им и надо заниматься. По крайней мере пока вам не надо у себя на площадке чего-то еще наружу открывать не надо.

(44) да уже лет 8 как. Другие варианты попросту не рассматривались, если нужен доступ снаружи - только через VPN, всякая хрень вроде почт и сайтов - средствами сторонних хостинг-провайдеров, пусть они разгребают если чо.

Лично я RDP соединения дополнительно защищаю белым списком на роутере, т.е. зайти на сервак по RDP можно только с того IP, которому это разрешено. Ну и на точках, откуда заходят, обязательно нужен статический IP, но это терпимые затраты на безопасность. Ну и роутер по удаленке не админится, а только локально. Неудобно, зато безопасно. Конечно, роутер  - это не D-Link dir-300, а нечто посерьезнее. Но в крупных компаниях обычно есть деньги на какой-нибудь приличный микротик

(63) это удобно если из офисов коннект нужен. Если телекомьютеры-удаленщики из дома ходят, то я не очень понимаю, как их заставить себе фиксированный IP сделать. А если домашний инет отвалится и он решит себе на комп с телефона инет раздать?

у меня вот случай был - девушка из больницы через ноут и мобилу VPNом подключалась. С ребенком лежала.

> Лично я RDP соединения дополнительно защищаю белым списком на роутере, т.е. зайти на сервак по RDP можно только с того IP, которому это разрешено.

У вас все работники купили по белому ip дома?  А как быть если срочно нужно зайти что-то исправить, под рукой только телефон?

(59)История всегда одна. Каким то образом проникли через РДП торчащий безответственно наружу без какой либо защиты. Может стоить убрать причину а не следствие?
(60)Нет никаких дат. Ты сделал бекап и залил его в облако. В облаке есть версия номер раз. Потом пришел хакер и зашифровал твои бекапы в облаке. А потом их удалил. А потом закниул на их место свои файлы с таким же именем и снова их зашифровал. У тебя есть доступ к любой версии. И к той которую закинул именно ты не зашифрованную. Что тут может быть непонятного?

(54) Уязвимость скорее всего эта: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-1472#ID0EHJAC
https://www.secura.com/blog/zero-logon

(67) Мы говорим о targeted атаке, которую выполняет человек с мозгами, а не скрипт. Он находит пароль к облаку в скриптах бэкапа или где он там лежит, заходит в облако и удаляет незашифрованные бэкапы.

Идеальной защиты нет и не будет.

(0) Что ему мешает про мониторить и посмотреть как работает ваша сеть изнутри. Те же диски вкл или выкл он также увидит и просто затрет все за раз. Выход такой себе. Просто надо настроить все грамотно один раз и все, чтоб не было проникновения.

(61) Да просто тут кто как настраивает RDP . Кто то через жопу и получает -> что ТС написал. А можно сделать RDP хоть через двухфакторную аутентификацию (смс, ключи генерации, токены , рутокены и т.д.)  количеством попыток входа, с кучей всяких настроек, сторонним софтом.  И все будет работать как часы и на долго.