Hogyan mentsük adatainkat
Néhány jó tanács hogyan tároljuk / mentsük adatainkat úgy, hogy egy esetleges zsarolóvírusos támadás esetén se legyen adatvesztésünk.
Tartsuk be az alábbi pontokat:
- Minden nap készítsünk biztonsági mentést az adatokról (Csoportosítsuk az adataiknak a szerint, mely adatokat kell napi szinten mentenünk, és melyeket elegendő hetente). Legalább kétheti mentést őrizzünk meg folyamatosan. Könyvelőprogram esetén célszerű néhány hónapig is megőrizni az adatokat. Pl.: Egy negyedéves áfás céggel valami hiba történik az adatbázisban, akkor lehet, hogy csak hetekkel a hiba keletkezése után vesszük észre. Hiába van friss biztonsági mentésünk, a korábbi időszakra már nem tudunk visszaállni.
- Lehetőleg a mentéseket ne azon a gépen tároljuk ahol a mentendő adataink vannak (Elemi kár hardverhiba vagy zsarolóvírus esetén az a mentések is nagy valószínűséggel tönkremennek).
- Mindig használjunk jelszót a számítógépek bejelentkezésénél.
- Amennyiben szervert használunk, törekedjük arra, hogy minden adatunk a szerverre kerüljön. A statisztikák szerint a kilens gépeken tárolt adatokról, csak nagyon ritkán készül biztonsági mentés. A felhasználó a munka befejeztével nem szeretne várni, míg a mentés elkészül. A gép pedig nagy valószínűséggel ki van kapcsolva éjszaka. A szerver viszont az éjszakai időintervallumban el tudja végezni ezt a feladatot, és nem lassítja a munkát.
- Csak jelszóval lehessen hozzáférni a megosztott mappákhoz (a mindenkit tiltsuk le, mert így hozzá lehet férni az összes adatunkhoz bármilyen a hálózathoz kapcsolódó gépről. Pl.: WIFI-n keresztül akár mobiltelefonról is)
- Ne használjuk a számítógépet rendszergazda jogosultsággal (Akár tudhatja is a felhasználó a rendszergazda jelszavát, de ne legyen rendszergazda joga. Egy vírusfertőzés esetén csak a felhasználó profilját tudja szétszedni a vírus, nagy valószínűséggel a rendszer épen marad. Gyorsabb és könnyebb a helyreállítás. Kevésbé tud a vírus terjedni. Ismeretlen eszköz esetén (Pendrive) bekéri a rendszergazda jelszavát a rendszer, elkerülhető az illetéktelen hozzáférés)
- Mindig legyen naprakész víruskereső programunk. A vírusok többsége a megjelenést követő néhány órában fertőzi meg a legtöbb rendszert, így már 1 hetes víruskereső adatbázis egy új vírust nem fog észlelni.
- Távoli elérés esetén mindig alkalmazzunk titkosított kapcsolatot (VPN). Ne publikáljuk ki a szervert (Távoli asztal) közvetlenül az internetre. Ebben az esetben a rendszerünk védtelen lesz. Használjunk VPN (Virtuális magánhálózat) képes Routert. Így adatainkhoz titkosítva férhetünk hozzá az interneten keresztül távoli hozzáférés esetén. Ebben az esetben közvetlenül nem látszik a szerver elérhetősége az internetről. Lehetőleg ne a szervert használjuk internetes kapuként (proxy-ként) a netes tartalmak eléréséhez (SBS szerverek esetén jelenleg ez a leggyakrabban használt beállítás).
- Figyeljünk, a levelezésnél. Ne nyissuk meg olyan levelek csatolmányait ami gyanús. Pl.: google számla ami xls formátumban van. Futárszolgálat (pl.: gls, dpd stb) mellékelt fuvarlevél, vagy mellékelt számláját. Olyan levélben lévő hivatkozást ami egy nagy cég domain nevéhez hasonló címet tartalmaz (pl: bank neve más domain végződéssel cn, ru, org stb).
Lehetséges hálózati topológia minták:
- topológia esetén minden internetes forgalom a szerveren keresztül halad át. Adatbiztonság szempontjából ez a legveszélyesebb elrendezés. Minden forgalom áthalad a szerveren így a vírus is. Ennél az elrendezésnél előfordul. hogy a szerver kapcsolódik közvetlenül az internethez útválasztó nélkül. Ennél az elrendezésnél a legnagyobb a valószínűsége, hogy egy kártékony kód ki tudja használni az operációs rendszer sérülékenységét. Fontos, hogy távoli asztal szolgáltatást sose használjunk közvetlenül távoli elérés esetén. Használjunk VPN képes hálózati eszközt. Ebben az esetben csak VPN hitelesítés után férhetünk hozzá távolról a szerverhez.
- topológia esetén a hálózati forgalom nem megy keresztül a szerver gépen. Távoli hozzáférés esetén ne használjunk port átirányítást a távoli asztal eléréséhez a routeren. Használjunk VPN képes útválasztót. Ebben az esetben a távoli felhasználónak be kell jelentkeznie VPN-be, és csak ez után tudja elérni a szerver amennyiben ismeri a szerver IP címét. Az internetről közvetlenül nem lehet elérni közvetlenül a szervert. Vendég felhasználókat (Pl.: tárgyalóteremben osztott WIFI) mindig szeparáljuk a belső hálózatról. Használjunk szeparált hálózati szegmenst, ami csak internet elérést teszi lehetővé. A kapcsolódó gépek nem érik el a szervert, vagy a munkaállomásokat.
- topológia felépítése megegyezik a második felépítésével. Abban az esetben lehet hasznos, ha a router nem gigabites. Ebben az esetben érdemes egy gigabites switchet betenni a hálózatba és minden munkaállomást, illetve a szervert arra kötni. Amennyiben Gigabites hálózatot használunk 10x gyorsabb lesz a hálózati kapcsolatunk ami nagyban gyorsítja a könyvelőprogram és az ANYK működését is.
A következőkben a biztonsági mentés főbb lépéseit nézzük át.
Amennyiben rendelkezünk profi biztonsági mentő alkalmazással (Pl.: Symantec Backup exec) esetleg mentő hardveres megoldással (pl.: szalagos meghajtó), abban az esetben is célszerű figyelembe venni a lentebbi adatcsoportosítási ajánlásokat, bár ebben az esetben egy jól megtervezett mentési stratégia esetén nagyobb adatmennyiség is menthető kisebb erőforrás igénnyel. (Pl.: heti teljes mentés az adatokról hétvégén, valamint napi inkrementális mentés, ami csak azokat az adatokat menti minden nap, amelyek változtak a hétvégi mentés óta. stb.). Ebben az esetben is célszerű betartani, hogy a mentéseket tároló gépre csak korlátozottan lehessen hozzáférni. Lehetőleg a biztonsági mentést végző szoftver a mentő gépen legyen, ne az adatokat tároló gépen. Lehetőség szerint a mentő gép napközben legyen kikapcsolt állapotba, vagy ne lehessen elérni hálózatról (Ha nem elérhető a hálózaton nem is lehet megfertőzni. A mentő gép bekapcsolását kezdeményezheti akár a szerver is). Amennyiben rendelkezünk szalagos mentőegységgel, abban az esetben könnyebben védhetjük adatainkat. Sajnos ez napi beavatkozást igényel, hacsak nem kazettacserélős eszközzel rendelkezünk. Az automata kazettacserélős rendszerek ára egy kicsit borsos. Ezt a mentési módot nem részletezem a továbbiakban. Aki rendelkezik ilyen programmal, illetve hardver eszközzel annak az informatikusa tud készíteni mentési és katasztrófatervet. Amennyiben megtehetjük használjunk profi biztonsági mentő szoftvert.
Amennyiben nem rendelkezünk drága adatmentő programmal, akkor sem kell aggódnunk az adataink biztonsági mentése miatt. Elegendő feltelepíteni a gépre egy 7Zip programot és elhelyezni egy kis programot, ami elvégzi a mentést. Ebben az eseten adataink tömörített formában kerülnek mentésre 1 vagy több fájlba. A fájl nevében jelezve, hogy mikor készült. Visszakeres vagy visszaállítás esetén könnyen áttekinthető mely adatokat keressük. A biztonsági mentést célszerű automatizálni (miden éjszaka fusson le, ne kelljen kézi beavatkozás).
Adataink mentését szedjük szét több részre:
- Könyvelőprogram mentése. Mindig szedjük külön a könyvelő programot a többi adatunktól. Ezt napi szinten kell mentenünk és hosszabb ideig is meg kell őrizni.
- Sql alapú könyvelőprogram mentése (pl.: Kulcs-Soft, Infotéka stb.): Ütemezzük be a könyvelőprogram saját biztonsági mentő programját (pl.: kulcs Adatmentő és Visszatöltő programot), úgy hogy egy általunk megadott mappába készítsen minden nap biztonsági mentést. Ezt a mentési állományt kell mentenünk biztonságos helyre.
- Nem sql alapú (firebird, dbase) könyvelőprogram mentése (pl.: RLB, Tensoft, Novitax stb.): Ebben az esetben elegendő lenne csak az adatbázis mappákat menteni, de hasznosabb, ha az egész programot lementjük minden nap. Így a programverzió is megvan a mentett adatokhoz. Esetleges visszaállítás esetén gyorsítja a folyamatot.
- ANYK nyomtatványkitöltő program mentése: célszerű naponta mentést készíteni a nyomtatványkitöltő programról (mind a programról (c:/users/public/abevjava), mind a felhasználói adatokról (c:/users/felhasználónév/abevjava). Csak a felhasználói adatok mentése nem mindig elegendő egy visszaállítás esetén. Ezt a mentést nem kell hosszú ideig megőriznünk 10-14 nap elegendő.
- Központi (megosztott) dokumentumok. A dokumentumokat célszerű két részre szedni.
- Azokra az adatokra, amik napi szinten változhatnak. Ezekről az adatokról napi mentés szükséges. Ide sorolandó a levelezés mentése is (pl.: outlook adatfájl).
- Azokra az adatokra, amik ritkán változnak (archív adatok, cégek korábbi éveinek az adatai, elment cégek adatai stb). Ezeket elegendő hetente menteni. Általában ez a kategória teszi ki a mentendő adatok 80%-át. Így nagyon fontos ezeknek az adatoknak a külön szeparálása.
Fontos, hogy a mentéseket tároljuk külön hardver eszközön (egy másik számítógépen). Az itt található megosztott mappához ahova a mentések kerülnek, lehetőleg csak 1 felhasználónak adjunk jogosultságot, amely joggal a mentések készülnek, és sose hozzunk létre a szerveren ide mutató meghajtót (Betűjelet). Ebben az esetben, ha a szerverünk meg is fertőződik a mentések közvetlenül nem érhetőek el. Biztonságban vannak, mert a mentő felhasználó férhetne csak hozzá a mentésekhez. Lehetőleg ezt a felhasználót ne használjuk napi munkára, ne tartsuk bejelentkezve a rendszerben. A legjobb megoldás, ha a mentéseket tároló gép a mentési időszakon kívül mindig kikapcsolt állapotban van. A szerver megadott időben lefuttatja a mentési scriptet, ami bekapcsolja a távoli gépet. Elvégzi a mentéseket, majd kikapcsolja a távoli gépet. Amennyiben egy fertőzést elkapna a szerverünk és átkódolja a mentési scriptet, akkor a távoli gép nem fog bekapcsolódni. Ha esetleg pont mentés közben jön a vírus és elkezdi a szervert átkódolni, mire elérne a mentő géphez (ami nincsen bemappelve) már nagy valószínűséggel ki lesz kapcsolva.
A távoli gép bekapcsolásához szükséges program elérhető bejelentkezés után a letöltések mappában.
Az alábbi minták segítenek a mentési script beállításában:
D:\Util\wol.exe 502c35320812
"C:\Program Files\7-Zip\7z.exe" a F:\mentes\rlb\winkonyv_%date%.zip C:\WINKONYV\*
"C:\Program Files\7-Zip\7z.exe" a F:\mentes\esbo\esbo_%date%.zip C:\ESBO\*
TIMEOUT 60
XCOPY F:\mentes\rlb\winkonyv_%date%.zip \\Backup-PC\Mentes\Rlb\ /y
XCOPY F:\mentes\esbo\esbo_%date%.zip \\Backup-PC\Mentes\ESBO\ /y
TIMEOUT 30
shutdown -m \\Backup-PC -s -f -t 10
Nézzük soronként a minta programot, RLB könyvelőprogramra, ESBO-ra, ANYK-ra mutat be egy lehetséges beállítást. A minta alapján bármilyen könyvelőprogramra használható.
- sor bekapcsolja a távoli gépet. Az exe állomány után a mentő gép címét kell megadni. (Futtatásnál írjuk be a mentő gépen a cmd parancsot. Erre egy fekete ablak jelenik meg. Írjuk be az alábbi parancsot. ipconfig /all A megjelenő listában keressük meg a Physical Address sort és írjuk le az ottani betű szám sort kötőjelek nélkül. Ez a fizikai címe a mentő gépnek)
- sor becsomagolja az F:mentesrlb mappába a teljes könyvelő programot. winkonyv_%date%.zip a tömörített fájl neve lesz ami mentés után winkonyv_2017-11-20.zip formában fog megjelenni a mentések között. A könyvelőprogram elérési útja C:WINKONYV
- sor becsomagolja az F:mentesesbo mappába a teljes esbo programot. esbo_%date%.zip a tömörített fájl neve lesz ami mentés után esbo_2017-11-20.zip formában fog megjelenni a mentések között. Az ESBO elérési útja C:ESBO
- sor 1 perc szünet, hogy biztosan elkészüljön a tömörített állomány.
- sor A lementett könyvelőprogram áthelyezése a biztonsági másolatokat tároló számítógépre.
- sor A lementett esbo áthelyezése a biztonsági másolatokat tároló számítógépre.
- sor 0,5 perc szünet, hogy biztosan lementődjön a távoli gépen a mentés.
- sor lekapcsoljuk a távoli gépet
Nézzünk egy példát nagyobb adatmennyiség lemetésére:
D:\Util\wol.exe 502c35320812
DEL F:\Mentes\Konyveles\*.* /q
"C:\Program Files\7-Zip\7z.exe" a F:\Mentes\Konyveles\Konyveles_%date%.zip D:\kozos\* -v2g
XCOPY F:\Mentes\Konyveles\*.* \\Backup-PC\Mentes\Konyveles\ /y
TIMEOUT 60
shutdown -m \\Backup-PC -s -f -t 10
Nézzük soronként a minta programot.
- sor bekapcsolja a távoli gépet.
- Törli a szerveren lévő korábbi mentési állományokat. elegendő csak az utolsó mentés megtartása a szerveren a többi úgy is megvan a menéseket tároló gépen.
- sor becsomagolja az D:kozos mappa teljes tartalmát. Konyveles_%date%.zip a tömörített fájl neve lesz ami mentés után Konyveles_2017-11-20.zip formában fog megjelenni a mentések között. Itt beállítjuk, hogy 2GB-os csomagokra bontva készítse el a mentési fájlt.
- sor a lementett adatok áthelyezése a biztonsági másolatokat tároló számítógépre.
- sor 1 perc szünet, hogy biztosan lementődjön a távoli gépen a mentés.
- sor lekapcsoljuk a távoli gépet
Összetettebb mentési struktúrát is készíthetünk. Ez mindig az adatok körétől, mennyiségétől, és az adatok változékonyságától függ.
Nézzünk egy példát összetettebb biztonsági mentésre.
- Lementjük a könyvelőprogramot, ANYK-t, ESBO-t stb minden nap a távoli gépre.
- A távoli gépen induláskor áthelyezzük az előző napi mentéseket egy olyan könyvtárba ami nincsen megosztva. Minden hónap első napján készült mentést helyezzük másik mappába (ez t csak évente fogjuk törölni), illetve induláskor karbantartunk (minden könyvelőprogram mentést töröljünk, ami 4 hónapnál régebbi (a napi mentések mappából töröljünk csak, a havi mentésekből ne). Minden ANYK mentést töröljünk ami 2 hétnél régebbi. ) Így nem fog betelni a mentéseket tároló gép.
- Készítsünk napi mentést a felhasználói adatokról páratlan héten pl.: a mentések1 mappába páros héten a mentések2 mappába. Minden hónap első napján vagy minden hétvégén egy külön mappába helyezzük el a mentést. Páros héten az utolsó mentéskor töröljük a páratlan heti mentéseket és fordítva. Így minimálisan 7-13 friss mentésünk lesz az adatokról, és nem telik meg olyan gyorsan a gép. A heti vagy havi külön mentéseket célszerű hosszabb ideig megőrizni. Ez az adatmennyiségtől, illetve a rendelkezésre álló tárhelytől függ.
Egy jó tanács, hogy a szerveren a tömörítés célmappája sose legyen SSD. Mindig használjunk erre HDD-t. Az SSD-k írási ciklusszáma jóval kisebb, mint az átlagos merevlemezeké. Hamarabb meghibásodik és jóval költségesebb az adattárolás. A mentéseket tároló gépben szintén merevlemezre mentsünk.