Backup centralizzato, anche per difendersi dai ransomware

Il backup centralizzato, con i file memorizzati sulle varie workstation che vengono salvati in un unico sistema, è una delle migliori soluzioni per evitare perdite di dati, anche a seguito di un’infezione da ransomware.

Nell’articolo Proteggersi da Cryptolocker, TeslaCrypt e dai ransomware in generale abbiamo pubblicato alcuni suggerimenti di carattere generale per difendersi dai ransomware.

Indipendentemente dalle misure di sicurezza implementate all’interno della rete locale e dall’utilizzo di “buone pratiche” volte a prevenire infezioni ed attacchi malware, l’adozione di un’efficace politica di backup consente di limitare o, possibilmente, azzerare completamente i danni legati a perdite di dati sui singoli sistemi client collegati in rete locale.

I ransomware più aggressivi che dovessero essere eseguiti su un qualunque sistema collegato in rete locale, dapprima cancellano le copie shadow gestite ad esempio da Windows Vista e Windows 7 quindi iniziano a crittografare tutti i file personali degli utenti cominciando dal computer locale per poi lanciarsi sulle risorse condivise in rete locale accessibili dalla stessa macchina.

Se l’account utente in uso godesse delle autorizzazioni per accedere alle risorse condivise in rete locale, è altamente probabile che l’infezione da ransomware abbia come effetto anche la cifratura dei file memorizzati su altre workstation, server, server NAS e così via.

Proteggere le copie shadow di Windows Vista e Windows 7

Le copie shadow dei file dell’utente che Windows Vista e Windows 7 provvedono a creare, costituiscono un’eccellente ancora di salvezza allorquando si realizzasse di aver erroneamente modificato o cancellato un file oppure ci si rendesse conto di un attacco da ransomware.

Il problema è che i ransomware più “cattivi”, come spiegato nell’articolo Proteggersi da Cryptolocker, TeslaCrypt e dai ransomware in generale abbiamo pubblicato alcuni suggerimenti di carattere generale per difendersi dai ransomware, non soltanto crittografano i file personali dell’utente ma cancellano immediatamente anche tutte le copie shadow normalmente accessibili cliccando con il tasto destro del mouse su un file o su una cartella, scegliendo Proprietà quindi facendo clic su Versioni precedenti.

Il comando vssadmin.exe Delete Shadows /All /Quiet, eseguito dai ransomware o da altri malware, consente di cancellare tutte le copie shadow.

Il nostro consiglio è quello di eseguire l’utilità gratuita Cryptoprevent (cliccare su Download in corrispondenza del riquadro Free edition) ed attivare almeno la protezione Default.
I livelli di protezione Default e Maximum protection consentono di disattivare l’utilità di sistema vssadmin.exe.
Così facendo, un eventuale ransomware non potrà comunque cancellare le copie shadow memorizzate sul sistema i uso.

Come spiegato nell’articolo Bloccare esecuzione di programmi in Windows, Cryptoprevent utilizza la funzionalità integrata in Windows per la gestione dei criteri di gruppo per bloccare l’esecuzione dell’utilità vssadmin.exe così come degli programmi caricati da locazioni di memoria potenzialmente pericolose.

Proteggere la funzionalità copie shadow di Windows già consente di tenere a portata di mano una soluzione che consente di recuperare le precedenti versioni dei propri file.

Cronologia file di Windows 8.1 e di Windows 10

La funzione Cronologia file di Windows 8.1 e di Windows 10 consente di creare automaticamente delle copie di backup dei propri file su altri sistemi collegati in rete locale, su macchine server o su server NAS.

Cronologia file, una volta attivata, consente di “navigare” attraverso il contenuto delle cartelle così come si presentava alla data specificata.

Il consiglio, con Windows 8.1 e Windows 10, è quindi quello di configurare la funzionalità così come spiegato nell’articolo Recupero file in Windows 10 con Cronologia file.

Anche nel caso di un attacco ransomware le precedenti copie dei file crittografati resteranno accessibili, previa rimozione della minaccia, facendo riferimento ai precedenti backup memorizzati altrove dalla funzionalità Cronologia file.
L’importante è verificare che le cartelle di rete specificate in Cronologia file come destinazione per la conservazione dei backup non siano accessibili dalla finestra Questo PC. In tal caso, il ransomware potrebbe crittografare il contenuto dell’unità usata per la memorizzazione delle copie di backup.

L’utilizzo di tecniche RAID, evidentemente, non aiuta nel caso di attacchi ransomware ma solo nel caso di danni o malfunzionamenti legati all’hardware: Evitare perdite di dati: come configurare RAID.

Backup centralizzato: perché?

La soluzione migliore, comunque, come suggerito nell’articolo Proteggersi da Cryptolocker, TeslaCrypt e dai ransomware in generale, consiste nel configurare un software esterno affinché si connetta alle varie workstation (client collegati in rete locale) ed effettui periodicamente il backup dei dati.

La ragione è presto detta: nessun client ha visibilità sulla cartella contenente i backup e, di conseguenza, anche un eventuale malware non potrebbe modificarne il contenuto.
Certo, la macchina server sulla quale è installato il software di backup potrebbe – in caso di infezione da ransomware – copiare anche i file cifrati, ma attivando un backup multiversione (vengono conservate più versioni degli stessi file) o anche un backup incrementale, si potranno agevolmente recuperare le versioni originali dei file.

Nel caso di un backup incrementale, infatti, vengono copiati tutti quei file che sono cambiati a partire dall’ultimo backup, sia esso un backup completo od un precedente backup incrementale.
Grazie all’utilizzo del backup incrementale, è possibile ridurre al minimo i tempi per l’aggiornamento delle copie di backup dal momento che vengono aggiornati solamente i file che sono cambiati, sono stati aggiunti oppure rimossi.
I software per il backup centralizzato più evoluti consentono di accedere ad una sorta di “cronologia file” che consente di verificare il contenuto del backup ad una certa data.

Chi ha a disposizione o comunque potesse allestire un server Linux nell’ambito della propria rete locale, può usare semplicemente il potente comando rsync specificando come sorgente le cartelle condivise sulle varie workstation.
Il comando rsync può tranquillamente utilizzare Samba per accedere alle cartelle Windows condivise in rete locale e protette con nome utente e password.

Coloro che preferissero un’interfaccia grafica per la gestione del backup centralizzato, possono ad esempio orientarsi su UrBackup.

Backup centralizzato con UrBackup

Amministrabile attraverso una comoda interfaccia web, il componente server di UrBackup può essere installato su sistemi Windows, Linux, sui NAS Synology, QNAP, Thecus o su FreeNAS.
Affinché i backup vengano effettuati, è però necessario installare un apposito componente client sulle varie workstation. Il client è disponibile nelle versioni compatibili con Windows e Linux.

UrBackup consente anche di fruire della cosiddetta deduplicazione, evitando di memorizzare più volte gli stessi dati conservati sulla stessa o su più workstation diverse.

I componenti server e client di UrBackup sono scaricabili facendo riferimento a questa pagina.

Non appena si sarà conclusa l’installazione del componente server, per accedere alla configurazione di UrBackup, basterà aprire il browser preferito e digitare http://localhost:55414 nella barra degli indirizzi.
Il primo consiglio consiste nell’accedere alle impostazioni quindi cliccare su Utenti ed associare una password all’account amministratore.

Tra i software alternativi, citiamo l’ottimo BackupPC (vedere l’articolo Automatizzare la creazione di backup nella rete locale con il software opensource BackupPC), Bacula e Amanda.
Gli ultimi due sono ancor più professionali ma richiedono maggior tempo per concludere con successo la loro installazione e configurazione.

In alternativa, è possibile gestire il backup multiversione dei file valutando l’acquisto e l’installazione in rete locale di server NAS come quello presentato nell’articolo Server NAS, il DS216 di Synology provato per voi.
Gli ultimi modelli di NAS Synology integrano già il software per abilitare immediatamente il backup multiversione con il caricamento dei file dai sistemi client collegati in rete locale.