當(dāng)前，對于內(nèi)部部署 Exchange 服務(wù)器的勒索軟件攻擊已經(jīng)非常常見，因為它們存儲了敏感和機密信息，以及業(yè)務(wù)數(shù)據(jù)。攻擊者經(jīng)常利用漏洞來訪問組織的網(wǎng)絡(luò)，并竊取或加密數(shù)據(jù)以勒索贖金。

即使攻擊者沒有成功加密數(shù)據(jù)，他們也可能會留下后門或造成其他損害，從而使企業(yè)的服務(wù)器無法使用或?qū)е掠谰眯詳?shù)據(jù)丟失。這就是為什么準(zhǔn)備好災(zāi)難恢復(fù)計劃或恢復(fù)策略來處理此類危急情況非常重要的原因。

構(gòu)建 Exchange Server 恢復(fù)策略的步驟

對Exchange Server的勒索軟件攻擊是任何管理員最糟糕的噩夢。它可能導(dǎo)致服務(wù)器無法使用，導(dǎo)致停機并造成經(jīng)濟損失。以下六步是Exchange Server恢復(fù)策略，如果您所在企業(yè)的Exchange服務(wù)器受到勒索軟件的破壞和攻擊，將會派上用場。

1、確定關(guān)鍵組件

在 Exchange Server 中，必須確定在災(zāi)難發(fā)生或勒索軟件攻擊后需要還原的關(guān)鍵組件和數(shù)據(jù)才能恢復(fù)服務(wù)。在談?wù)揈xchange Server時，您應(yīng)該考慮以下備份：

活動目錄 （AD）

AD 是用于對用戶進行身份驗證和提供信息的數(shù)據(jù)庫。它包含與 Exchange Server 環(huán)境相關(guān)的重要信息，例如用戶和計算機、角色、權(quán)限等。因此，應(yīng)當(dāng)每 60 天或更早備份一次 AD。并將它作為系統(tǒng)狀態(tài)的一部分進行備份。

郵箱數(shù)據(jù)庫

郵箱數(shù)據(jù)庫包含對業(yè)務(wù)至關(guān)重要的用戶郵箱和郵件項目，如電子郵件、聯(lián)系人、附件、日歷項目等。

除了這兩個組件之外，請考慮備份文件系統(tǒng)和系統(tǒng)狀態(tài)。您可以通過創(chuàng)建基于卷影復(fù)制服務(wù)的備份來執(zhí)行此操作。

2、選擇備份策略

備份至關(guān)重要。因此，為內(nèi)部部署 Exchange Server 選擇最佳備份策略非常重要。在Exchange Server中，應(yīng)使用DAG的本機數(shù)據(jù)保護（NDP），而不是僅依賴傳統(tǒng)的備份技術(shù)。

Microsoft Exchange Server 還支持基于 VSS 的備份，您可以使用 Windows Server Backup（帶有 VSS 插件的 WSB）或 Exchange 感知的第三方備份實用程序創(chuàng)建這些備份。根據(jù) Exchange Server 環(huán)境，可以創(chuàng)建完整備份、增量備份或差異備份。

完整備份

在“完全備份”中，將復(fù)制 Exchange 數(shù)據(jù)庫和事務(wù)日志文件。成功備份后，日志將自動截斷。但是，完整備份需要更多時間才能完成，因為它必須使用日志文件備份整個數(shù)據(jù)庫。此外，它還需要更多的存儲空間來存儲備份。因此，恢復(fù)時間也很長。

增量備份

在增量備份中，僅將事務(wù)日志中的特定更改復(fù)制到上次完全備份或增量備份。這有助于最大限度地減少備份頻率并節(jié)省存儲空間。與完整備份相比，創(chuàng)建或還原備份所需的時間也更少。增量備份完成后，日志將被截斷。

差異備份

與增量備份類似，差異備份復(fù)制特定數(shù)據(jù)。唯一的區(qū)別是，它會復(fù)制自上次完整備份以來所做的所有更改，而不執(zhí)行上一次差異備份或增量備份。這也有助于最大程度地減少還原數(shù)據(jù)庫所需的備份頻率、時間和操作。盡管創(chuàng)建備份所需的空間要少得多，但比增量備份占用的空間要多。還原也比前兩種備份方法更快。日志也不會被截斷，并且在備份之前保持不變。

重要提示：理想情況下，切勿將增量備份和差異備份組合或?qū)崿F(xiàn)在一起。此外，還需要在服務(wù)器上禁用循環(huán)日志記錄以允許差異備份或增量備份。

您可以按照流行的 3-2-1 備份規(guī)則來創(chuàng)建 Exchange 服務(wù)器備份。該規(guī)則規(guī)定，必須在兩個不同的存儲介質(zhì)上創(chuàng)建至少三個備份，并在異地（可能是云）保留至少一個副本，最好是另一個數(shù)據(jù)中心或分支機構(gòu)。

3、定義恢復(fù)點目標(biāo) （RPO）

定義恢復(fù)點目標(biāo) （RPO） 涉及確定組織在災(zāi)難發(fā)生時或勒索軟件攻擊后可以承受的數(shù)據(jù)丟失量。這可以用作參數(shù)，以確定需要備份的頻率，以便以最有效的方式將數(shù)據(jù)丟失降至最低。

例如，在勒索軟件攻擊之后，您將能夠恢復(fù)數(shù)據(jù)到上次備份的時間。這意味著上次備份后創(chuàng)建的任何數(shù)據(jù)都將永久消失。因此，如果您在凌晨 12：00 創(chuàng)建了最后一個備份，并且勒索軟件攻擊發(fā)生在上午 6：00，則在上午 12：00 到 6：00 之間累積或生成的數(shù)據(jù)無法從備份中恢復(fù)，并被視為永久丟失。

但是，您可以借助Exchange恢復(fù)軟件（例如Stellar Repair for Exchange）恢復(fù)上次備份和災(zāi)難發(fā)生時創(chuàng)建的所有數(shù)據(jù)。如果備份失敗或過時或不可用，也可以使用該軟件。此外，它可以修復(fù)和提取受影響的Exchange Server或損壞的Exchange數(shù)據(jù)庫文件中的郵箱，并將它們直接導(dǎo)出到新的Exchange Server或Office 365。您也可以將郵箱另存為單獨的PST文件進行備份。

4、定義恢復(fù)時間目標(biāo) （RTO）

與恢復(fù)點目標(biāo)類似，定義恢復(fù)時間目標(biāo) （RTO） 也很重要。它有助于確定上次備份發(fā)生勒索軟件攻擊或災(zāi)難后還原 Exchange 郵箱數(shù)據(jù)庫和服務(wù)允許的最長時間。

它基本上告訴服務(wù)將保持關(guān)閉多長時間。它通常以分鐘、小時或天為單位定義，具體取決于從備份或在第三方軟件的幫助下恢復(fù)數(shù)據(jù)所需的估計時間。您可以在備份測試期間估計此時間。例如，如果恢復(fù) 100 GB 的數(shù)據(jù)需要一個小時，則恢復(fù) 1 TB 的數(shù)據(jù)可能需要大約 10 小時。它還有助于定義 SLA 并滿足設(shè)定的期望。

5、測試恢復(fù)計劃

測試備份和恢復(fù)計劃比創(chuàng)建備份和恢復(fù)計劃更重要。這將使您知道任何警告或限制，并在災(zāi)難發(fā)生之前修復(fù)它們。它還會讓您知道所有必需的數(shù)據(jù)是否完全保留并且可以在需要時恢復(fù)。 如果測試失敗，您可以查看備份策略并采取必要步驟來確保恢復(fù)計劃有效運行。它還將幫助您實現(xiàn)安心，因為您知道如果您的組織受到勒索軟件的攻擊，您可以恢復(fù)數(shù)據(jù)。

6、記錄恢復(fù)計劃

準(zhǔn)備好Exchange Server恢復(fù)策略后，就該詳細記錄每個步驟和組件，以便在需要時快速恢復(fù)數(shù)據(jù)，并在勒索軟件或惡意攻擊后還原服務(wù)。它將有助于響應(yīng)勒索軟件事件，最大限度地減少勒索軟件攻擊的影響，并快速恢復(fù)關(guān)鍵任務(wù)操作。

總結(jié)

較新的漏洞和錯誤為威脅參與者利用和危害 Exchange 服務(wù)器打開了新的大門。您必須使用 Microsoft 定期發(fā)布的最新安全更新和累積更新來修補這些漏洞，以阻止攻擊者。還建議您遵循最佳做法來增強 Exchange Server 的安全性。此外，您還應(yīng)該創(chuàng)建一個 Exchange Server 恢復(fù)策略，以幫助您在災(zāi)難發(fā)生時恢復(fù)和還原 Exchange Server 和電子郵件服務(wù)。這將幫助您保護數(shù)據(jù)、維護聲譽并防止勒索軟件攻擊后的經(jīng)濟損失。

原文鏈接：??https://dzone.com/articles/how-to-build-your-exchange-server-recovery-strateg??

原文作者：Shelly Bhardwaj