È importante se il mio supporto di ripristino è di sola lettura?

2

In passato, era abbastanza semplice creare un supporto di sola lettura per il recupero di un computer: ti sei semplicemente assicurato di usare i dischi di scrittura una volta. Questo significa che se avvii accidentalmente la macchina sul normale sistema operativo, qualsiasi malware che stai cercando di eliminare non potrebbe infettare il supporto di ripristino. In passato, potresti persino ricevere un disco premade (o un gruppo di questi) dal produttore.

Tuttavia, la maggior parte dei computer moderni non dispone ancora di un'unità CD / DVD e le dimensioni dei supporti di ripristino rendono rapido il DVD non pratico per questo scopo. Le unità USB sono diventando un'alternativa più comune per la memorizzazione supporto di ripristino esterno.

Tuttavia, a differenza di CD e DVD, le unità USB in genere non dispongono di protezione a livello di hardware dalle scritture. (Ci sono alcuni modelli più costosi che hanno questa caratteristica.) In effetti, le unità USB sono (o almeno erano) un modo estremamente semplice e comune di diffondere malware tra computer. Ciò mi preoccupa che se la macchina si avvia sul sistema operativo normale anziché sul backup (a causa di un errore dell'utente, il BIOS non riconosce che è avviabile, ecc.), Il supporto di ripristino stesso potrebbe facilmente infettarsi.

Sono eccessivamente preoccupato o la mia preoccupazione è legittima? Anche se non contraggo regolarmente il malware, preferisco avere la tranquillità che viene fornita con un piano di recupero abbastanza affidabile.

    
posta jpmc26 04.10.2016 - 02:12
fonte

1 risposta

2

La tua preoccupazione è assolutamente legittima.

Il mio piano di disaster recovery riguarda una ISO di Linux su un'unità di sola lettura che utilizzo per eseguire il nuke delle macchine compromesse dall'orbita prima dell'avvio su supporti scrivibili standard. La macchina viene rimossa dal supporto di sola lettura (non è possibile per il malware modificarlo), quindi viene completamente disattivata e infine riavviata utilizzando supporti scrivibili una volta che si ritiene che il malware sia sparito (sono esclusi attacchi firmware).

Se per qualche motivo i supporti di scrittura, come i dischi ottici, non sono un'opzione, è possibile provare a eseguire l'avvio in rete da un computer aggiornato con una configurazione firewall appropriata (che elimina qualsiasi cosa diversa dal DHCP e dal TFTP richiesti) pacchetti).

Un'altra soluzione è semplicemente scollegare il disco rigido della macchina, eseguire l'avvio da qualsiasi supporto scrivibile utilizzato e collegare l'unità una volta che la macchina viene avviata dal supporto di installazione. Supponendo che l'immagine di reinstallazione sia aggiornata, non ci dovrebbero essere troppi rischi di malware dall'unità in qualche modo compromettendo il sistema di reinstallazione e scrivendo sul supporto di reinstallazione.

    
risposta data 04.10.2016 - 02:33
fonte

Leggi altre domande sui tag