當(dāng)前，對(duì)于內(nèi)部部署 Exchange 服務(wù)器的勒索軟件攻擊已經(jīng)非常常見(jiàn)，因?yàn)樗鼈兇鎯?chǔ)了敏感和機(jī)密信息，以及業(yè)務(wù)數(shù)據(jù)。攻擊者經(jīng)常利用漏洞來(lái)訪問(wèn)組織的網(wǎng)絡(luò)，并竊取或加密數(shù)據(jù)以勒索贖金。

即使攻擊者沒(méi)有成功加密數(shù)據(jù)，他們也可能會(huì)留下后門(mén)或造成其他損害，從而使企業(yè)的服務(wù)器無(wú)法使用或?qū)е掠谰眯詳?shù)據(jù)丟失。這就是為什么準(zhǔn)備好災(zāi)難恢復(fù)計(jì)劃或恢復(fù)策略來(lái)處理此類(lèi)危急情況非常重要的原因。

構(gòu)建 Exchange Server 恢復(fù)策略的步驟

對(duì)Exchange Server的勒索軟件攻擊是任何管理員最糟糕的噩夢(mèng)。它可能導(dǎo)致服務(wù)器無(wú)法使用，導(dǎo)致停機(jī)并造成經(jīng)濟(jì)損失。以下六步是Exchange Server恢復(fù)策略，如果您所在企業(yè)的Exchange服務(wù)器受到勒索軟件的破壞和攻擊，將會(huì)派上用場(chǎng)。

1、確定關(guān)鍵組件

在 Exchange Server 中，必須確定在災(zāi)難發(fā)生或勒索軟件攻擊后需要還原的關(guān)鍵組件和數(shù)據(jù)才能恢復(fù)服務(wù)。在談?wù)揈xchange Server時(shí)，您應(yīng)該考慮以下備份：

活動(dòng)目錄 （AD）

AD 是用于對(duì)用戶進(jìn)行身份驗(yàn)證和提供信息的數(shù)據(jù)庫(kù)。它包含與 Exchange Server 環(huán)境相關(guān)的重要信息，例如用戶和計(jì)算機(jī)、角色、權(quán)限等。因此，應(yīng)當(dāng)每 60 天或更早備份一次 AD。并將它作為系統(tǒng)狀態(tài)的一部分進(jìn)行備份。

郵箱數(shù)據(jù)庫(kù)

郵箱數(shù)據(jù)庫(kù)包含對(duì)業(yè)務(wù)至關(guān)重要的用戶郵箱和郵件項(xiàng)目，如電子郵件、聯(lián)系人、附件、日歷項(xiàng)目等。

除了這兩個(gè)組件之外，請(qǐng)考慮備份文件系統(tǒng)和系統(tǒng)狀態(tài)。您可以通過(guò)創(chuàng)建基于卷影復(fù)制服務(wù)的備份來(lái)執(zhí)行此操作。

2、選擇備份策略

備份至關(guān)重要。因此，為內(nèi)部部署 Exchange Server 選擇最佳備份策略非常重要。在Exchange Server中，應(yīng)使用DAG的本機(jī)數(shù)據(jù)保護(hù)（NDP），而不是僅依賴(lài)傳統(tǒng)的備份技術(shù)。

Microsoft Exchange Server 還支持基于 VSS 的備份，您可以使用 Windows Server Backup（帶有 VSS 插件的 WSB）或 Exchange 感知的第三方備份實(shí)用程序創(chuàng)建這些備份。根據(jù) Exchange Server 環(huán)境，可以創(chuàng)建完整備份、增量備份或差異備份。

完整備份

在“完全備份”中，將復(fù)制 Exchange 數(shù)據(jù)庫(kù)和事務(wù)日志文件。成功備份后，日志將自動(dòng)截?cái)?。但是，完整備份需要更多時(shí)間才能完成，因?yàn)樗仨毷褂萌罩疚募浞菡麄€(gè)數(shù)據(jù)庫(kù)。此外，它還需要更多的存儲(chǔ)空間來(lái)存儲(chǔ)備份。因此，恢復(fù)時(shí)間也很長(zhǎng)。

增量備份

在增量備份中，僅將事務(wù)日志中的特定更改復(fù)制到上次完全備份或增量備份。這有助于最大限度地減少備份頻率并節(jié)省存儲(chǔ)空間。與完整備份相比，創(chuàng)建或還原備份所需的時(shí)間也更少。增量備份完成后，日志將被截?cái)唷?/p>

差異備份

與增量備份類(lèi)似，差異備份復(fù)制特定數(shù)據(jù)。唯一的區(qū)別是，它會(huì)復(fù)制自上次完整備份以來(lái)所做的所有更改，而不執(zhí)行上一次差異備份或增量備份。這也有助于最大程度地減少還原數(shù)據(jù)庫(kù)所需的備份頻率、時(shí)間和操作。盡管創(chuàng)建備份所需的空間要少得多，但比增量備份占用的空間要多。還原也比前兩種備份方法更快。日志也不會(huì)被截?cái)?，并且在備份之前保持不變?/p>

重要提示：理想情況下，切勿將增量備份和差異備份組合或?qū)崿F(xiàn)在一起。此外，還需要在服務(wù)器上禁用循環(huán)日志記錄以允許差異備份或增量備份。

您可以按照流行的 3-2-1 備份規(guī)則來(lái)創(chuàng)建 Exchange 服務(wù)器備份。該規(guī)則規(guī)定，必須在兩個(gè)不同的存儲(chǔ)介質(zhì)上創(chuàng)建至少三個(gè)備份，并在異地（可能是云）保留至少一個(gè)副本，最好是另一個(gè)數(shù)據(jù)中心或分支機(jī)構(gòu)。

3、定義恢復(fù)點(diǎn)目標(biāo) （RPO）

定義恢復(fù)點(diǎn)目標(biāo) （RPO） 涉及確定組織在災(zāi)難發(fā)生時(shí)或勒索軟件攻擊后可以承受的數(shù)據(jù)丟失量。這可以用作參數(shù)，以確定需要備份的頻率，以便以最有效的方式將數(shù)據(jù)丟失降至最低。

例如，在勒索軟件攻擊之后，您將能夠恢復(fù)數(shù)據(jù)到上次備份的時(shí)間。這意味著上次備份后創(chuàng)建的任何數(shù)據(jù)都將永久消失。因此，如果您在凌晨 12：00 創(chuàng)建了最后一個(gè)備份，并且勒索軟件攻擊發(fā)生在上午 6：00，則在上午 12：00 到 6：00 之間累積或生成的數(shù)據(jù)無(wú)法從備份中恢復(fù)，并被視為永久丟失。

但是，您可以借助Exchange恢復(fù)軟件（例如Stellar Repair for Exchange）恢復(fù)上次備份和災(zāi)難發(fā)生時(shí)創(chuàng)建的所有數(shù)據(jù)。如果備份失敗或過(guò)時(shí)或不可用，也可以使用該軟件。此外，它可以修復(fù)和提取受影響的Exchange Server或損壞的Exchange數(shù)據(jù)庫(kù)文件中的郵箱，并將它們直接導(dǎo)出到新的Exchange Server或Office 365。您也可以將郵箱另存為單獨(dú)的PST文件進(jìn)行備份。

4、定義恢復(fù)時(shí)間目標(biāo) （RTO）

與恢復(fù)點(diǎn)目標(biāo)類(lèi)似，定義恢復(fù)時(shí)間目標(biāo) （RTO） 也很重要。它有助于確定上次備份發(fā)生勒索軟件攻擊或?yàn)?zāi)難后還原 Exchange 郵箱數(shù)據(jù)庫(kù)和服務(wù)允許的最長(zhǎng)時(shí)間。

它基本上告訴服務(wù)將保持關(guān)閉多長(zhǎng)時(shí)間。它通常以分鐘、小時(shí)或天為單位定義，具體取決于從備份或在第三方軟件的幫助下恢復(fù)數(shù)據(jù)所需的估計(jì)時(shí)間。您可以在備份測(cè)試期間估計(jì)此時(shí)間。例如，如果恢復(fù) 100 GB 的數(shù)據(jù)需要一個(gè)小時(shí)，則恢復(fù) 1 TB 的數(shù)據(jù)可能需要大約 10 小時(shí)。它還有助于定義 SLA 并滿足設(shè)定的期望。

5、測(cè)試恢復(fù)計(jì)劃

測(cè)試備份和恢復(fù)計(jì)劃比創(chuàng)建備份和恢復(fù)計(jì)劃更重要。這將使您知道任何警告或限制，并在災(zāi)難發(fā)生之前修復(fù)它們。它還會(huì)讓您知道所有必需的數(shù)據(jù)是否完全保留并且可以在需要時(shí)恢復(fù)。 如果測(cè)試失敗，您可以查看備份策略并采取必要步驟來(lái)確?；謴?fù)計(jì)劃有效運(yùn)行。它還將幫助您實(shí)現(xiàn)安心，因?yàn)槟廊绻慕M織受到勒索軟件的攻擊，您可以恢復(fù)數(shù)據(jù)。

6、記錄恢復(fù)計(jì)劃

準(zhǔn)備好Exchange Server恢復(fù)策略后，就該詳細(xì)記錄每個(gè)步驟和組件，以便在需要時(shí)快速恢復(fù)數(shù)據(jù)，并在勒索軟件或惡意攻擊后還原服務(wù)。它將有助于響應(yīng)勒索軟件事件，最大限度地減少勒索軟件攻擊的影響，并快速恢復(fù)關(guān)鍵任務(wù)操作。

總結(jié)

較新的漏洞和錯(cuò)誤為威脅參與者利用和危害 Exchange 服務(wù)器打開(kāi)了新的大門(mén)。您必須使用 Microsoft 定期發(fā)布的最新安全更新和累積更新來(lái)修補(bǔ)這些漏洞，以阻止攻擊者。還建議您遵循最佳做法來(lái)增強(qiáng) Exchange Server 的安全性。此外，您還應(yīng)該創(chuàng)建一個(gè) Exchange Server 恢復(fù)策略，以幫助您在災(zāi)難發(fā)生時(shí)恢復(fù)和還原 Exchange Server 和電子郵件服務(wù)。這將幫助您保護(hù)數(shù)據(jù)、維護(hù)聲譽(yù)并防止勒索軟件攻擊后的經(jīng)濟(jì)損失。

原文鏈接：??https://dzone.com/articles/how-to-build-your-exchange-server-recovery-strateg??

原文作者：Shelly Bhardwaj