De bestaande configuratie beschermt, zover ik kan beoordelen, niet tegen ransomware. Indien de lokale bestanden ge-encrypt worden door ransomware, zullen de gebackupte bestanden op stack vervangen worden door de meest recente. Daarmee is de backup gecompromitteerd omdat op stack enkel nog de ge-encrypte bestanden staan.

Om te beschermen tegen een ransomware aanval zijn mijn inziens de volgende wijzigingen nodig:

• Standaard accounts met alleen read/create rechten
• Admin accounts met multi factor authentication - of rechten elevation vanuit standaard account
• Versie beheer voor bestanden
• Verwijderde bestanden bewaren zonder tijdslimiet

De backup applicatie maakt gebruikt van een standaard account waarbij bestanden onder versie beheer worden opgeslagen op stack. Doordat de oude versies niet overschreven worden kan herstel plaatsvinden door een datum marker (zo zag de backup uit op 11 november 2019). Tijdens de stille fase (randomsware actief, bestanden ge-encrypt, maar systeem functioneel) zullen de bestanden zowel lokaal als bij stack ge-encrypt worden opgeslagen waardoor deze data wel verloren is.

Lokaal verwijderde bestanden worden op stack geflagged als verwijderd maar worden bewaard totdat een admin account deze daadwerkelijk verwijdert.

Met bovenstaande wijzigingen wordt de bescherming tegen ransomware significant verbeterd maar het is zeker niet waterproof. Suggesties om dit idee verder te verbeteren?