最近のコンピューターマルウェアは、マウントされたSMBボリュームを探し出し、そこで見つかったファイルに対して汚い仕事をします。これにより、NASベースのバックアップが危険にさらされます。Windowsの制限により、クライアントは1つのNASデバイスに接続するために、そのデバイス上にボリュームがいくつあっても、ログイン資格情報のセットを1つしか使用できません。「非表示」ボリュームは実際には非表示ではありません。
したがって、質問は次のとおりです。新しいNASデバイスをセットアップし、それをバックアップ専用にし、Windowsバックアップ(7、10から)をセットアップして、そのNASのボリュームを専用の資格情報セットで使用する場合、クライアントは、ボリューム接続と資格情報がキャッシュされていないか、マルウェアが利用できないことを確認しますか?
編集:つまり、Windowsバックアップサービスを実行していて、特定のユーザーとしてNASに接続するように構成している場合、実行時にログインユーザーが同じNASボリュームにアクセスできる可能性はありますか?
通常のユーザーが、バックアップアーカイブを含むボリュームへの読み取りおよび書き込みアクセス権を持っているのはなぜですか?また、外部バックアップアーカイブを作成する必要があります。マルウェアは、実際に書き込み可能なファイルのみを暗号化できます。したがって、ユーザーが最初に失うリスクを負わないボリュームに書き込むことを許可しないでください。それに応じて復旧計画を設計します。バックアップボリュームへの書き込みアクセス権を持つユーザーは、マルウェアである可能性のあるファイルにアクセスしないでください。
—
ラムハウンド
バックアッププロセスを実行するユーザーアカウントのみがNAS共有にアクセスできることを確認し、バックアップの実行専用のアカウントを使用します。すなわち、新しいユーザーアカウントを作成し、このアカウントにNAS上のすべての必要なアクセスを許可し、その下でバックアップとして実行します。それでおしまい。
—
オングストローム
@Angstrom更新された質問を参照してください。Windowsがバックアップサービスを実行するとき、現在ログインしているユーザーから完全に独立した、ある種の隔離されたコンテナ内で実行されますか?
—
オテウス16
@Ramhound「バックアップボリュームへの書き込みアクセス権を持つユーザーは、マルウェアである可能性のあるファイルにアクセスしないでください」と私は設計しようとしています。Windowsでの私の経験は、シングルユーザーOSであった時代に遡ります。「正しく動作する」かどうかはわかりません。編集した質問をご覧ください。
—
オテウス16
接続の共有は、ユーザーセッションのプロパティです。上記で述べたように、コンピューターの新しいユーザーアカウントを作成し、Backup Operatorsグループに追加し、Windowsバックアップサービスを切り替えて実行し、このアカウントにNASへのアクセスを許可します。できた これで、バックアッププロセスがシステムの他の部分から完全に分離されたので、共有接続がどのようなものであっても、マシン上の他の誰にも見えなくなります。
—
オングストローム