当前,对于内部部署 Exchange 服务器的勒索软件攻击已经非常常见,因为它们存储了敏感和机密信息,以及业务数据。攻击者经常利用漏洞来访问组织的网络,并窃取或加密数据以勒索赎金。
即使攻击者没有成功加密数据,他们也可能会留下后门或造成其他损害,从而使企业的服务器无法使用或导致永久性数据丢失。这就是为什么准备好灾难恢复计划或恢复策略来处理此类危急情况非常重要的原因。
构建 Exchange Server 恢复策略的步骤
对Exchange Server的勒索软件攻击是任何管理员最糟糕的噩梦。它可能导致服务器无法使用,导致停机并造成经济损失。以下六步是Exchange Server恢复策略,如果您所在企业的Exchange服务器受到勒索软件的破坏和攻击,将会派上用场。
1、确定关键组件
在 Exchange Server 中,必须确定在灾难发生或勒索软件攻击后需要还原的关键组件和数据才能恢复服务。在谈论Exchange Server时,您应该考虑以下备份:
活动目录 (AD)
AD 是用于对用户进行身份验证和提供信息的数据库。它包含与 Exchange Server 环境相关的重要信息,例如用户和计算机、角色、权限等。因此,应当每 60 天或更早备份一次 AD。并将它作为系统状态的一部分进行备份。
邮箱数据库
邮箱数据库包含对业务至关重要的用户邮箱和邮件项目,如电子邮件、联系人、附件、日历项目等。
除了这两个组件之外,请考虑备份文件系统和系统状态。您可以通过创建基于卷影复制服务的备份来执行此操作。
2、选择备份策略
备份至关重要。因此,为内部部署 Exchange Server 选择最佳备份策略非常重要。在Exchange Server中,应使用DAG的本机数据保护(NDP),而不是仅依赖传统的备份技术。
Microsoft Exchange Server 还支持基于 VSS 的备份,您可以使用 Windows Server Backup(带有 VSS 插件的 WSB)或 Exchange 感知的第三方备份实用程序创建这些备份。根据 Exchange Server 环境,可以创建完整备份、增量备份或差异备份。
完整备份
在“完全备份”中,将复制 Exchange 数据库和事务日志文件。成功备份后,日志将自动截断。但是,完整备份需要更多时间才能完成,因为它必须使用日志文件备份整个数据库。此外,它还需要更多的存储空间来存储备份。因此,恢复时间也很长。
增量备份
在增量备份中,仅将事务日志中的特定更改复制到上次完全备份或增量备份。这有助于最大限度地减少备份频率并节省存储空间。与完整备份相比,创建或还原备份所需的时间也更少。增量备份完成后,日志将被截断。
差异备份
与增量备份类似,差异备份复制特定数据。唯一的区别是,它会复制自上次完整备份以来所做的所有更改,而不执行上一次差异备份或增量备份。这也有助于最大程度地减少还原数据库所需的备份频率、时间和操作。尽管创建备份所需的空间要少得多,但比增量备份占用的空间要多。还原也比前两种备份方法更快。日志也不会被截断,并且在备份之前保持不变。
重要提示:理想情况下,切勿将增量备份和差异备份组合或实现在一起。此外,还需要在服务器上禁用循环日志记录以允许差异备份或增量备份。
您可以按照流行的 3-2-1 备份规则来创建 Exchange 服务器备份。该规则规定,必须在两个不同的存储介质上创建至少三个备份,并在异地(可能是云)保留至少一个副本,最好是另一个数据中心或分支机构。
3、定义恢复点目标 (RPO)
定义恢复点目标 (RPO) 涉及确定组织在灾难发生时或勒索软件攻击后可以承受的数据丢失量。这可以用作参数,以确定需要备份的频率,以便以最有效的方式将数据丢失降至最低。
例如,在勒索软件攻击之后,您将能够恢复数据到上次备份的时间。这意味着上次备份后创建的任何数据都将永久消失。因此,如果您在凌晨 12:00 创建了最后一个备份,并且勒索软件攻击发生在上午 6:00,则在上午 12:00 到 6:00 之间累积或生成的数据无法从备份中恢复,并被视为永久丢失。
但是,您可以借助Exchange恢复软件(例如Stellar Repair for Exchange)恢复上次备份和灾难发生时创建的所有数据。如果备份失败或过时或不可用,也可以使用该软件。此外,它可以修复和提取受影响的Exchange Server或损坏的Exchange数据库文件中的邮箱,并将它们直接导出到新的Exchange Server或Office 365。您也可以将邮箱另存为单独的PST文件进行备份。
4、定义恢复时间目标 (RTO)
与恢复点目标类似,定义恢复时间目标 (RTO) 也很重要。它有助于确定上次备份发生勒索软件攻击或灾难后还原 Exchange 邮箱数据库和服务允许的最长时间。
它基本上告诉服务将保持关闭多长时间。它通常以分钟、小时或天为单位定义,具体取决于从备份或在第三方软件的帮助下恢复数据所需的估计时间。您可以在备份测试期间估计此时间。例如,如果恢复 100 GB 的数据需要一个小时,则恢复 1 TB 的数据可能需要大约 10 小时。它还有助于定义 SLA 并满足设定的期望。
5、测试恢复计划
测试备份和恢复计划比创建备份和恢复计划更重要。这将使您知道任何警告或限制,并在灾难发生之前修复它们。它还会让您知道所有必需的数据是否完全保留并且可以在需要时恢复。如果测试失败,您可以查看备份策略并采取必要步骤来确保恢复计划有效运行。它还将帮助您实现安心,因为您知道如果您的组织受到勒索软件的攻击,您可以恢复数据。
6、记录恢复计划
准备好Exchange Server恢复策略后,就该详细记录每个步骤和组件,以便在需要时快速恢复数据,并在勒索软件或恶意攻击后还原服务。它将有助于响应勒索软件事件,最大限度地减少勒索软件攻击的影响,并快速恢复关键任务操作。
总结
较新的漏洞和错误为威胁参与者利用和危害 Exchange 服务器打开了新的大门。您必须使用 Microsoft 定期发布的最新安全更新和累积更新来修补这些漏洞,以阻止攻击者。还建议您遵循最佳做法来增强 Exchange Server 的安全性。此外,您还应该创建一个 Exchange Server 恢复策略,以帮助您在灾难发生时恢复和还原 Exchange Server 和电子邮件服务。这将帮助您保护数据、维护声誉并防止勒索软件攻击后的经济损失。
原文链接:
原文作者:Shelly Bhardwaj