Macrium Image Guardian

Macrium Image Guardian chroni twoje kopie zapasowe przed nieautoryzowaną modyfikacją.

MIG zapewnia dostęp tylko Macrium Reflect v7.1 oraz innym programom producenta. Wszystkie inne procesy, które chciałyby wprowadzi jakiekolwiek zmiany spotkają się z odmową dostępu przy próbie modyfikacji danych.

MIG chroni lokalne wolumeny NTFS. Umożliwia Macrium Reflect v7.1 i nowszym wersjom korzystanie z chronionego woluminu jako wspólnego zasobu sieciowego.

Architektura ochrony Macrium Image Guardian:

Macrium Image Guardian chroniący kopie zapasowe w środowisku sieciowym.

Na powyższym rysunku komputer z udostępnieniem repozytorium kopii zapasowych (Shared Volume) ma pełną instalację Macrium Reflect, w tym MIG. Dysk lokalny jest współdzielony przez sieć, a na nim jest włączony MIG w interfejsie użytkownika Macrium Reflect.

Jeśli chodzi o pozostałe komputery w sieci to można stworzyć ich kopie zapasowe i zapisać je na tym udostępnionym dysku oraz wymagać zainstalowania MIG. Dostęp do zapisu kopii zapasowej jest automatycznie przyznawany Macrium Reflect v7.1. Późniejsze próby zapisu lub zmiany tych plików nie powiodą się.

Komputer z udostępnionym oprogramowaniem MIG może być używany jako samodzielna instalacja Macrium Reflect. Chroniony dysk uniemożliwia osobom nieupoważnionym dostęp do plików kopii zapasowych na tym dysku, jeśli lokalny komputer tworzy kopie zapasowe na chronionym woluminie.

Typy chronionych plików:

Rozszerzenie Typy Backup’ów
.mrimg Macrium Reflect image files
.mrbak Macrium Reflect File and Folder backup files
.mrex Macrium Reflect Exchange backup files
.mrsql *Macrium reflect SQL backup files


*
Uwaga: pliki kopii zapasowych SQL można tworzyć tylko w celu ochrony przez Macrium Reflect na lokalnym komputerze. Dostęp do zapisu w sieci będzie blokowany dla wszystkich procesów, w tym Macrium Reflect. To ograniczenie zostanie usunięte w przyszłej aktualizacji.

Próba skopiowania, zmiany nazwy lub edycji dowolnego z powyższych typów plików zakończy się niepowodzeniem i spowoduje następujący błąd:

Wszystkie procesy, oprócz Macrium Reflect, zostaną zablokowane z błędem 0x80070510 – blokada strategii magazynowania.

Instalowanie programu Macrium Image Guardian.

MIG jest domyślnym składnikiem instalatora Macrium Reflect dostępnym we wszystkich wersjach, z wyjątkiem Free Edition.

Aktywowanie Macrium Image Guardian.

MIG staje się aktywny, bezpośrednio po instalacji i automatycznie chroni dyski docelowe.

Aby włączyć lub wyłączyć MIG, wybierz opcję ‚Other Tasks’ > ‚Macrium Image Guardian Settings..’ menu option:

 Włącz Image Guardian Uruchamia usługę Image Guardian
Automatycznie chroni lokalne dyski na których znajdują się kopie zapasowe Po włączeniu wszystkie przeszukiwane archiwa są zapisywane i program Image Guardian jest włączony dla lokalnych kopii zapasowych.
Podczas tworzenia nowych kopii zapasowych niezabezpieczone dyski docelowe zostaną automatycznie chronione przez włączenie Image Guardian na dysku.
Po ponownym uruchomieniu komputera program Image Guardian zostanie ponownie włączony na wszystkich napędach kopii zapasowych. Zapobiega to przypadkowemu pozostawieniu napędów bez zabezpieczenia przez ręczne wyłączenie zabezpieczenia.
Wyłączenie Wyłącza usługę Image Guardian. Usługa pozostanie do czasu włączenia „Włącz” przez to okno dialogowe.

Ivanti radzi – 9 kroków do ochrony przed Ransomware

  1. Dopilnuj aby zawsze mieć zaktualizowany system operacyjny i aplikacje.
    Ivanti sprawdza dostępne aktualizacje, ich poprawność, a następnie automatycznie implementuje je w twoich systemach.
  2. Upewnij się, że oprogramowanie antywirusowe jest aktualne i zaplanowane są regularne skanowania systemu.
    Oprogramowanie antywirusowe firmy Ivanti może zautomatyzować ten proces.
  3. Zarządzaj korzystaniem z uprzywilejowanych kont.
    W miejsce uprawnień administratora, korzystniejszym jest nadanie użytkownikowi uprzywilejowanego dostępu. Dzięki takiemu zabiegowi utrzymujemy wysokie bezpieczeństwo organizacji i wysoką produktywność pracowników.
    Ivanti Privilege Management pomaga zdefiniować zasady nadawania uprawnień. Pomaga on nadawać takie uprawnienia, które pozwalają użytkownikom swobodnie wykonywać swoją pracę, bez zbędnego dostępu do wrażliwych danych.
  4. Implementuj kontrolę dostępu, która skupia się na danych.
    Oprogramowanie Ivanti umożliwia definiowanie reguł, które uniemożliwiają dowolnemu programowi (innemu niż określony) jakiekolwiek modyfikacje krytycznych lub wrażliwych dokumentów lub plików.
  5. Określanie, implementowanie i egzekwowanie reguł oprogramowania.
    Oprogramowanie Ivanti ułatwia definiowanie, wdrażanie i egzekwowanie reguł, które regulują zachowywanie się innego oprogramowania. Reguły mogą ograniczać zdolność wyznaczonego oprogramowania do wykonania, tworzenia, modyfikowania lub odczytywania dowolnego pliku znajdujących się w określonych folderach, w tym folderów tymczasowych używanych przez przeglądarki i inne programy. Zasady te mogą być stosowane w całym środowisku lub w odniesieniu do konkretnych użytkowników lub grup.
  6. Wyłącz makra w Microsoft Office.
    Wyłączenie makr w Office pozwoli zablokować wiele rodzajów złośliwego oprogramowania, w tym ransomware. Na przykład Locky to stosunkowo nowe oprogramowanie do szyfrowania, rozprzestrzeniające się przede wszystkim przez spam z załącznikami. Zachęca użytkowników do włączania makr w dokumentach programu Word, które pobierają szkodliwe oprogramowanie na maszyny.
    Ivanti Security Suite umożliwia administratorom działów IT określanie zasad wyłączania makr. Wdrażanie tej polityki pracownikom, którzy nie potrzebują makr, skutecznie blokuje ransomware.
  7. Zbuduj białą listę aplikacji.
    To rozwiązanie skutecznie eliminuje możliwość uruchamiania ransomware, ponieważ nie jest on zaufanym programem. Takie rozwiązanie zapewnia, iż ​​tylko znane aplikacje oznaczone jako zaufane mogą działać.
    Rozwiązania Ivanti, w tym Ivanti Application Management, oferują wiele opcji dla kompleksowego, elastycznego, skutecznego i prostego tworzenia białej listy. Na przykład rozwiązanie Ivanti automatycznie wykryje wszystkie aplikacje działające na „czystym” systemie (systemach) i potwierdzi integralność aplikacji wobec własnej bazy danych zaufanych aplikacji. Dodanie reguł do zaufania aplikacji opartych na ich właścicielach (np. Autoryzowanych administratorów) i dostawców (np. Microsoft, Oracle) dodatkowo zmniejsza to ilość konfiguracji wymaganą do tworzenia list zaufanych aplikacji.
  8. Ogranicz użytkowników do środowisk wirtualnych lub kontenerowych.
    W większości przypadków ransomware jest rozpowszechniany jako załącznik do poczty elektronicznej. Ograniczanie użytkowników do środowisk wirtualnych lub kontenerowych zapewni, że wszystkie programy typu ransomware, które uzyskują dostęp do systemu użytkownika, nie będą w stanie zagrozić podstawowemu środowisku pracy użytkownika.
    BUFFERZONE, partner Ivanti ONE, oferuje eleganckie rozwiązanie do izolowania zagrożeń, które integruje się z rozwiązaniami bezpieczeństwa Ivanti. Więcej informacji o BUFFERZONE można znaleźć pod adresem http://www.Ivanti.com/partners/Ivanti-one/bufferzone/.
  9. Regularne tworzenie kopii zapasowych krytycznych plików.
    FBI zaleca terminowe tworzenie kopii zapasowych ważnych plików. Jeśli to zrobisz, kopie zapasowe zaoszczędzą twój czas i pieniądze, jeśli organizacja zostanie zaatakowana przez ransomware.

Nie musisz jednak polegać tylko na kopiach zapasowych, aby zwalczyć ransomware. Zastosowanie zabezpieczeń przedstawionych powyżej, a zwłaszcza funkcje kontroli dostępu oferowane przez firmę Ivanti. Pomoże skutecznie chronić środowisko IT przed atakami.

Jak Unitrends wykrywa ataki RANSOMWARE i odzyskuje dane

Wysokie wskaźniki zmian danych mogą wskazywać na atak ransomware lub inną złośliwą aktywność. Oprogramowanie Unitrends monitoruje tą aktywność przy użyciu analizy predykcyjnej. W razie wystąpienia anomalii przesyła informacje do użytkownika aby ten podjął odpowiednie działanie.

Zagrożenie związane z Ransomware wciąż rośnie. Kilka z bardziej alarmujących faktów:

Jak działa Ransomware?

Ransomware to złośliwe oprogramowanie komputerowe, które instaluje się  w tle (bez wiedzy użytkownika) na urządzeniu ofiary (np. komputerze, smartfonie, itp.). Później następuje atak cryptoviral extortion, który szyfruje dane ofiary. Aby odszyfrować dane użytkownik zmuszony jest zapłacić okup. Innym rodzajem ataku jest cryptovirology leakware , który grozi opublikowaniem danych ofiary w razie nie zapłacenia okupu. Proste ransomware może zablokować system w sposób, który nie jest trudny do odwrócenia dla osoby znającej się na szyfrowaniu, wyświetlają one komunikat z prośbą o płatność w celu odblokowania urządzenia. Bardziej zaawansowane złośliwe oprogramowanie szyfruje pliki ofiary, sprawiając, że są niedostępne i wymagają wpłaty okupu aby je odszyfrować. Ransomware może również szyfrować Master File Table (MFT) komputera lub cały dysk twardy. Tak więc ransomware jest atakiem typu „odmowa dostępu”, który uniemożliwia użytkownikom komputerów uzyskiwanie dostępu do plików. Związane jest to niemożliwością odszyfrowania plików bez użycia odpowiedniego klucza. Atak Ransomware jest zazwyczaj przeprowadzane przy użyciu trojana.

Odpowiedź Unitrends

Firma Unitrends opracowała unikalne podejście do zwalczania złośliwego oprogramowania: Predictive Analytics działa na zasadzie wykrywania proaktywnego. Urządzenia Unitrends chronią lokalnie fizyczne i wirtualne stanowiska pracy jak również zapewniają ciągłość lokalną i w chmurze.

Podczas gdy kopie zapasowe są wykonywane przez urządzenia Unitrends, analizator danych predykcyjnych, analizuje strumień danych i wykorzystuje metodę probabilistyczną w celu zidentyfikowania anomalii. Analiza ta dokonywana jest w celu dopasowania zachowań, które mogły by wystąpić w systemie, w przypadku ataku ransomware. Następnie program wysyła powiadomienie do administratorów IT, ostrzegając ich przed złośliwym oprogramowaniem w systemie (ach), którego dotyczy luka. Ta proaktywna funkcja wykrywania zagrożeń ma zastosowanie zarówno do zasobów fizycznych, jak i do tworzenia kopii zapasowych wirtualnych zasobów. Silnik analizatora predykcyjnego wykorzystuje różnice heurystyczne w celu wykrycia nieprawidłowego zachowania, a zmiana wskaźnika jest jednym z tych czynników.

Czułość silnika analityki predykcyjnej można zmienić, jeśli okaże się, że jest on zbyt agresywny(czuły) w wykrywaniu zmian. Można to zrobić w celu zminimalizowania fałszywych powiadomień.

System porównuje średnią wielkość unikalnych danych w systemie zasobu z wielkością unikatowych danych które są w najnowszej kopii zapasowej. Alarm zostanie wygenerowany, gdy wykryte będzie pięć razy więcej niż przeciętna ilość unikalnych danych (zakładając domyślną wartość 500). Aby zmniejszyć czułość, zwiększamy tę wartość do 600. Dzięki temu ostrzeżenie zostanie wygenerowane dopiero wtedy gdy program wykryje 6-krotne przekroczenie ilości unikalnych danych.

Jeśli konkretne maszyny wirtualne na platformie VMware, Hyper-V lub jakieś fizyczne maszyny muszą być wykluczone z proaktywnego wykrywania, to po prostu możemy wykluczyć je z analizy.

Artykuł powstał na bazie artykułu producenta (How Unitrends helps detect and recover from a ransomware attack)

Jak przywrócić wirtualne urządzenie SvSAN w 3 prostych krokach

StorMagic SvSAN to rozwiązanie typu software-defined storage (SDS). Jest zaprojektowane do budowania infrastruktury haiperkonwergentnej i macierzowej za pomocą 2 (lub więcej) serwerów.

W przypadku katastrofy, gdy jeden z serwerów ma przerwę z powodu awarii dysku lub innego rodzaju usterki, jesteś w stanie przywrócić jedno z urządzeń wirtualnych SvSAN (virtual appliances).

Przerwanie węzła klastra lub inny rodzaj awarii.Najważniejsze !
Każde urządzenie wirtualne SvSAN ma domyślnie automatyczną kopię zapasową na dowolnym innym urządzeniu SvSAN. Oznacza to, że można łatwo przywrócić utracone urządzenie wirtualne SvSAN z dowolnego istniejącego urządzenia wirtualnego SvSAN.

Opis przypadku
W tym scenariuszu na zrzucie ekranu mamy 3 hosty ESXi.
Należy pamiętać, że ten scenariusz jest również w pełni uzasadniony dla dwóch hostów ESXi.

Wszystkie zrzuty ekranu są pobierane z konsoli Stormagic SvSAN vCenter Web Plugin, która jest w pełni zintegrowana z VMware vCenter WebClient.

Na poniższym zrzucie ekranu widać, że pierwsze i trzecie urządzenie SvSAN ma błędy w synchronizacji. Brakuje drugiego urządzenia – powodem może być usterka sprzętu ESXi lub jakakolwiek inna awarii hosta.

Krok 1: Wybierz jedno z pozostałych urządzeń

Musisz wybrać jedno z pozostałych urządzeń i kliknąć Restore… (Przywróć)

W oknie dialogowym można wybrać brakujące drugie urządzenie wirtualne SvSAN.

Krok 2: wybierz brakujące urządzenie wirtualne SvSAN

Wybierz urządzenie wirtualne SvSAN, które chcesz przywrócić, i kliknij przycisk Restore… (Przywróć)

Krok 3: Postępuj zgodnie z kreatorem przywracania

Teraz musisz postępować zgodnie z kreatorem przywracania, który prowadzi Cię przez cały proces.

Wprowadź uprawnienia do vCenter.

Wybierz host ESXi, który został odzyskany z awarii sprzętu, i wprowadź hasło administratora.

Wybierz datastore, na którym chcesz przywrócić wirtualne urządzenie SvSAN.

W razie potrzeby dostosuj konfigurację dysku.

Wybierz i zmień sieć.

Wprowadź uprawnienia administratora.

Po kilku minutach od zakończenia pracy kreatora przywracane urządzenie SvSAN pojawia się. Wszystkie urządzenia SvSAN są teraz w fazie Warning, ponieważ ponowna synchronizacja została uruchomiona automatycznie. Ponowna synchronizacja może zająć trochę czasu w zależności od rozmiaru synchronizowanych zasobów.

Można również śledzić postępy synchronizacji przy użyciu konsoli webowej urządzenia SvSAN.

Powyższy opis w czytelny sposób przedstawia łatwość odzyskania infrastruktury StorMagic SvSAN.

 

Ostatnia prosta w 2016

picjumbo-com_hnck90163. października 2016 to data która dla wielu handlowców oznacza jedno: zaczynamy Q4, ostatnia prosta w 2016, co jeszcze muszę sprzedać do końca roku, żeby obronić plan roczny.

Powiem wprost, to samo pytanie zadajemy sobie i my, więc mamy wspólny cel. Aby go osiągnąć każdy ma swoje sposoby i środki. Jako nadal świeży i organicznie działający na Polskim rynku dystrybutor zdecydowaliśmy się na uruchomienie bloga. Zapewne czas pokaże, czy to był dobry krok, czy tylko strata czasu.

Ok, ale do rzeczy. Po co nam to? Chcemy podzielić się (ot taka forma ekshibicjonizmu), tym co u nas się dzieje. Co zmienia się u naszych dostawców. Czasami wprost będziemy tłumaczyć wpisy naszych kolegów z Niemiec, UK, czy też Holandii. Czasami napiszemy coś zupełnie od siebie. Tak czy inaczej należy spodziewać się i wymagać od nas wartościowych treści, a dodatkowo prosimy o wszelką konstruktywną krytykę.

Witamy jeszcze raz na naszym blogu i zachęcamy do systematycznego przeglądania.

 

 

Rozwiązanie dla Twojego wirtualnego biura

Spraw, aby logowanie użytkownika, Office 365 i inne najważniejsze aplikacje działały jak zainstalowane lokalnie lub nawet szybciej!

Poniższy artykuł stanowi tłumaczenie tekstu Andreasa Fleischmanna, obejmującego stanowisko Lead IT-Consultant w Prianto.

Oryginalny tekst znajdziesz tutaj >>

Użytkownie FSLogix Profile Container na kilku maszynach w tym samym czasie.

FSLogix Profile Container jest czymś podobnym do Windows User Profile umiejscowionego w pliku VHD lub VHDX. Pomysł podobny do Microsoft User Profile Disks dla RDS, próbuje rozwiązać problemy związane z tradycyjnym podejściem wędrujących profili Windows. Czytaj dalej Rozwiązanie dla Twojego wirtualnego biura