备份服务器免受勒索软件进攻的 9 个步骤

现在，勒索软件组织已经开始专门针对数据中心备份服务器进攻，因此企业应该大力保护这些备份服务器，以保障业务的正常开展。

以下是保护备份服务器的九个步骤：

一）及时打补丁

一定要确保企业的备份服务器及时接收最新操作系统更新。大多数勒索软件进攻都利用已经存在很长时间的补丁但未能及时安装的漏洞。此外，订阅备份软件提供的任何自动更新，及时完成更新才能确保备份服务器的安全。

二）禁用进站端口

备份服务器通常受到两种方式的进攻：一是利用漏洞或使用泄露的凭据登录，这就要求企业禁用除必要进站端口之外的所有端口，并同时停止这两个端口。二是只有备份软件执行备份和还原所需的端口才应保持打开状态，并且只能通过专用于备份服务器的 VPN 访问这些端口。另外，即使是局域网上的用户也应该使用 VPN。

三）削弱出站 DNS 请求

勒索软件感染备份服务器时做的第一件事就是利用命令掌握服务器。假如无法执行此操作，则无法接收有关下一步操作的阐明。因此，企业可以考虑使用本地主机文件或不支持外部查询的受限 DNS 系统，这是阻止勒索软件感染系统的最简单方法，这样可以从稍微不便中获得重大回报。究竟，为什么备份服务器需要合法地从互联网上随机机器的IP地址？

四）断开备份服务器与 LDAP 的连接

备份服务器不应连接到轻量级目录访问协议 （LDAP） 或任何其他集中式身份验证系统。这些通常受到勒索软件的进攻，可以很轻易地用于获取备份服务器本身或其备份使用程序的用户名和密码。许多安全专业人员认为，不应将治理员帐户放进LDAP，因此可能已经存在单独的密码治理系统。只答应在需要访问的人之间共享密码的商业密码治理器可能符合要求。

五）启用多重身份验证

展开全文

MFA 可以提高备份服务器的安全性，但使用除 SMS 或电子邮件以外的其他方法，都会成为进攻目的并。因此，企业可以考虑使用第三方身份验证使用程序，例如Google Authenticator或Authy或众多商业产品之一。

六）限制根帐户和治理员帐户

备份系统应该被配置，以便几乎没有人必须直接登录到治理员或root帐户。例如，假如在 Windows 上将用户帐户设置为治理员帐户，则该用户不必登录即可治理备份系统。该帐户应仅用于执行更新操作系统或添加存储等操作。当然，这些任务需要不频繁访问，并且要受到第三方使用的严厉监视，以防止h过度使用特权帐户。

七）考虑 SaaS 备份

使用软件即服务 （SaaS） 将备份服务器移出企业数据中心计算环境。这意味着不必不断更新备份服务器并使用防火墙将其与网络的其余部分隔离开来。这也使得没有必要为备份的特权帐户保护单独的密码治理系统。

八）使用最小特权

确保需要访问备份系统的人员仅具有完成其授权任务所需的权限。例如，删除备份、缩短保留期和执行存储的能力应限制为一小组，并且应严厉笔录和监视这些行为。假如进攻者获得对备份系统的不受限制的治理员访问权限，保证可以使用还原将他们想要的所有数据传输到未加密的位置进行渗透。

九）创建单独的根/治理员帐户

与 root 等效且仅偶然访问的单独 ID 可以在使用时触发警报并限制泄露损坏的可能性。考虑到此类特权可能对备份系统和敏锐数据造成的损害，值得为此付出。

实施这些步骤后，请务必咨询企业的备份给予商，以获取有关其产品和解决方案的最新使用提示。

原文地址：9 steps to protecting backup servers from ransomware

原文作者：W. Curtis Preston