对本地Exchange服务器的勒索软件攻击如今变得非常普遍,因为它们存储敏感和机密信息以及业务数据。攻击者经常利用漏洞来访问组织的网络并窃取或加密数据以获取赎金。即使攻击者没有成功加密数据,他们也可能留下后门或造成其他损害,从而使企业的服务器无法使用或导致永久性数据丢失。这就是为什么制定灾难恢复计划或恢复策略来处理此类紧急情况非常重要的原因。构建Exchange服务器恢复策略的步骤对Exchange服务器的勒索软件攻击是任何管理员最糟糕的噩梦。它会使服务器无法使用,导致停机并造成经济损失。如果您公司的Exchange服务器受到威胁并受到勒索软件的攻击,以下六步ExchangeServer恢复策略将派上用场。1.识别关键组件在ExchangeServer中,必须识别需要恢复的关键组件和数据,以便在灾难或勒索软件攻击后恢复服务。在谈论ExchangeServer时,您应该考虑以下备份:ActiveDirectory(AD)AD是用于对用户进行身份验证和提供信息的数据库。它包含与ExchangeServer环境相关的重要信息,例如用户和计算机、角色、权限等。因此,应该每60天或更早备份一次AD。并将其作为系统状态的一部分进行备份。邮箱数据库邮箱数据库包含关键业务用户邮箱和邮件项目,例如电子邮件、联系人、附件、日历项目等。除了这两个组件之外,还要考虑备份文件系统和系统状态。您可以通过创建基于卷影复制服务的备份来执行此操作。2、选择备份策略备份很重要。因此,为本地ExchangeServer选择最佳备份策略非常重要。在ExchangeServer中,应使用DAG的本机数据保护(NDP)而不是仅依赖传统的备份技术。MicrosoftExchangeServer还支持基于VSS的备份,您可以使用WindowsServerBackup(带有VSS插件的WSB)或支持Exchange的第三方备份实用程序创建这些备份。根据您的ExchangeServer环境,您可以创建完整、增量或差异备份。完全备份在完全备份中,Exchange数据库和事务日志文件被复制。备份成功后,日志会自动截断。但是,完整备份需要更多时间才能完成,因为它必须备份整个数据库和日志文件。此外,它需要更多的存储空间来存储备份。因此,恢复时间也长。增量备份在增量备份中,仅将事务日志中的特定更改复制到上次完整或增量备份。这有助于最大限度地减少备份频率并节省存储空间。与完整备份相比,创建或恢复备份所需的时间也更少。增量备份完成后,日志将被截断。差异备份类似于增量备份,因为差异备份复制特定数据。唯一的区别是它复制自上次完整备份以来所做的所有更改,而不执行上次差异或增量备份。这也有助于最大限度地减少备份频率、时间和恢复数据库所需的操作。虽然创建备份所需的空间要少得多,但它比增量备份占用更多空间。恢复也比前两种备份方法更快。日志也不会被截断并且在备份之前保持不变。重要提示:理想情况下,不应将增量备份和差异备份组合在一起或一起实施。此外,需要在服务器上禁用循环日志记录以允许差异或增量备份。您可以按照流行的3-2-1备份规则创建Exchange服务器备份。该规则规定,必须在两个不同的存储介质上创建至少三个备份,其中至少一个副本保存在异地(可能在云中),最好是另一个数据中心或分支机构。3.定义恢复点目标(RPO)定义恢复点目标(RPO)涉及确定组织在发生灾难或勒索软件攻击后可以承受的数据丢失量。这可以用作一个参数来确定需要多久备份一次,以便以最有效的方式最大限度地减少数据丢失。例如,在勒索软件攻击后,您将能够将数据恢复到上次备份的时间。这意味着在上次备份之后创建的任何数据都将永久消失。因此,如果您在12:00AM创建了最后一个备份,而勒索软件攻击发生在6:00AM,则无法从备份中恢复在12:00AM至6:00AM之间积累或生成的数据,并被视为永久丢失.但是,借助StellarRepairforExchange等Exchange恢复软件,您可以恢复在上次备份和灾难打击期间创建的所有数据。如果备份失败、过时或不可用,也可以使用该软件。此外,它可以从受影响的Exchange服务器或损坏的Exchange数据库文件中修复和提取邮箱,并将它们直接导出到新的Exchange服务器或Office365。您还可以将邮箱另存为单独的PST文件以进行备份。4.定义恢复时间目标(RTO)与恢复点目标类似,定义恢复时间目标(RTO)也很重要。它有助于确定在勒索软件攻击或灾难发生后从上次备份恢复Exchange邮箱数据库和服务所允许的最长时间。它基本上告诉服务将保持多长时间。它通常以分钟、小时或天为单位定义,具体取决于从备份或借助第三方软件恢复数据所需的估计时间。您可以在备份测试期间估计这个时间。例如,如果恢复100GB的数据需要一个小时,那么恢复1TB的数据可能需要大约10个小时。它还有助于定义SLA并满足设定的期望。5.测试恢复计划测试备份和恢复计划比创建备份和恢复计划更重要。这将使您了解任何注意事项或限制,并在灾难发生之前解决它们。它还将让您知道是否所有必需的数据都已完全保留并且可以在需要时恢复。如果测试失败,您可以检查您的备份策略并采取必要的步骤来确保您的恢复计划有效运行。它还将帮助您高枕无忧,因为您知道如果您的组织受到勒索软件的攻击,您可以恢复数据。6.记录恢复计划一旦您制定了ExchangeServer恢复策略,就应该详细记录每个步骤和组件,以便您可以在需要时快速恢复数据,并在勒索软件或恶意攻击后恢复服务。它将有助于响应勒索软件事件,最大限度地减少勒索软件攻击的影响,并快速恢复关键任务操作。总结较新的漏洞和错误为威胁行为者利用和破坏Exchange服务器打开了新的大门。您必须使用Microsoft定期发布的最新安全更新和累积更新来修补这些漏洞,以阻止攻击者。还建议您遵循最佳实践来增强ExchangeServer的安全性。此外,您应该创建一个ExchangeServer恢复策略,以帮助您在发生灾难时恢复和恢复ExchangeServer和电子邮件服务。这将帮助您保护您的数据、维护您的声誉并防止勒索软件攻击后的经济损失。原文链接:https://dzone.com/articles/how-to-build-your-exchange-server-recovery-strateg原作者:ShellyBhardwaj
