Бэкап данных пользователя с помощью CobianBackup с защитой от вирусов-шифровальщиков

Общие сведения

Cobian Backup - это бесплатная программа для создания бэкапов. Умеет делать теневые копии, т.е. может копировать даже открытые в момент архивирования файлы (для работы теневого копирования требуется .NET 3.5). Сайт приложения: http://www.cobiansoft.com/index.htm

TYPSoft FTP Server - маленький и лёгкий FTP-сервер, работающий без установки, просто копируем куда надо и запускаем. Архив с программой прикреплён к статье.

Подготовка компьютера - сервера для архивации

1. Кроме основного пользователя нужно создать пользователя, например, bkup с паролем, например, password. Это нужно для того, чтобы текущий пользователь не имел доступа к созданным архивам и, например, вирус-шифровальщик, который запускается от имени текущего пользователя, не смог зашифровать наши архивы. Для пользователя можно создать свою отдельную группу Backup, чтобы раздавать права через назначение прав группе, а не пользователю. Хотя можно и пользователю. Пользователь bkup должен быть в группах “Пользователи” и “Backup”.

2. От имени текущего пользователя (например, user) создаём каталог D:\arhiv (если диск разбит на два раздела, если нет, то C:\arhiv)

3. Запускаем командную строку и в ней запускаем Total Commander от имени пользователя bkup:

runas /user:bkup “C:\totalcmd\totalcmd.exe”

На запрос пароля пишем password и получаем Total Commander, запущенный от имени bkup.

4. Создаём в каталоге D:\arhiv подкаталог с именами компьютеров пользователей, чьи архивы будут складироваться на наш сервер. Например, user, user2.

5. Чтобы обычный пользователь не мог попасть в этот каталог, нужно поменять параметры безопасности. Для этого, находясь в Total Commander пользователя bkup, нажимаем правой крысой на каталог, в контекстном меню - “Свойства”:

5.1. На вкладке “Безопасность” нажать “Дополнительно” - “Разрешения” - “Изменить разрешения”

5.2. Снять галочку “Добавить разрешения, наследуемые от родительских объектов”. В появившемся окне нажать кнопку “Добавить”. Затем ОК - ОК, чтобы вернуться в окно “Свойства”.

5.3. На вкладке “Безопасность” нажать кнопку “Изменить” и удалить все группы и всех пользователей, кроме группы “Администраторы”. Добавить группу “Backup”, дать ей разрешение на “Изменение” (поставить галочку). Должно получиться вот так (Кстати, можно вообще оставить только пользователя bkup, чтобы и администратор не мог в этот каталог залезть):

6. Скопировать программу TYPSoft FTP Server в каталог D:\programs (C:\programs если диска D: в системе нет). Программа работает без установки, просто скопировать и запустить.

7. Запустить FTP-сервер (ftpserv.exe) от имени пользователя bkup (можно запустить из Total Commander, запущенного от имени пользователя bkup).

7.1. Настройки - Пользователи. Если там в списке есть пользователи, то удалить лишних. Анонимуса, наверное, оставить, просто удалить у него все каталоги. Потом нажимаем кнопку “Новый” и заполняем поля:

7.1.1. Новый логин - bkup

7.1.2. Пароль - password

7.1.3. Корневой каталог - D:\arhiv (или C:\arhiv, если на диске только один раздел)

7.1.4. Доступ к папкам - поставить галочки “Файлы”: “Скачивание”, “Закачивание”, “Переименовать файлы и папки”, “Удалить”; “Папка”: “Создание”, “Удаление”, “Вложенные папки”. Потом “Сохранить” и “Закрыть”.

8. Теперь нужно настроить автоматический запуск FTP-сервера при включении ПК и, что важно, запуск должен быть от имени пользователя bkup. Для этого:

8.1. Пуск - Панель управления - Администрирование - Локальная политика безопасности - Локальные политики - Назначение прав пользователя - Вход в качестве пакетного задания. Добавить пользователя bkup.

8.2. Пуск - Панель управления - Администрирование - Планировщик заданий. Создать новое задание. Планировщик лучше запустить от имени Администратора. Можно нажать Shift, щёлкнуть правой крысой и выбрать “Запуск от имени другого пользователя”. А можно в командной строке: 

runas /user:Администратор "mmc C:\windows\system32\taskschd.msc"

8.3. Вкладка “Общие”:

8.3.1. Имя - Запуск FTP-сервера

8.3.2. ...использовать следующую учётную запись пользователя - выбрать пользователя bkup

8.3.3. Выполнять вне зависимости от регистрации пользователя

8.4. Вкладка “Триггеры”: При входе в систему, любой пользователь

8.5. Вкладка “Действия”: Запуск программы "C:\programs\TYPSoft FTP Server\ftpserv.exe"

После перезагрузки компьютера FTP-сервер будет запускаться планировщиком от имени пользователя bkup и его интерфейса на экране не будет видно. Процесс ftpserv.exe можно увидеть в Диспетчере задач, если включить “Отображать процессы всех пользователей”.

Настройка архивации на компьютере пользователя

Для бэкапа будет использоваться программа Cobian Backup, для копирования по сети - FTP протокол. Для этого на компьютере, на который будут копироваться архивы, должен быть установлен FTP-сервер. Об этом написано в предыдущем разделе.

1. Предварительная настройка ПК

1.1. Кроме основного пользователя нужно создать пользователя, например, bkup с паролем, например, password, от имени которого будет выполняться архивация. Это нужно для того, чтобы текущий пользователь не имел доступа к созданным архивам и, например, вирус-шифровальщик, который запускается от имени текущего пользователя, не смог зашифровать наши архивы. Для пользователя можно создать свою отдельную группу Backup, чтобы раздавать права через назначение прав группе, а не пользователю. Хотя можно и пользователю. Пользователь bkup должен быть в группах “Пользователи” и “Backup”.

1.2. От имени текущего пользователя (например, user) создаём каталог D:\arhiv (если диск разбит на два раздела, если нет, то C:\arhiv).

1.3. Запускаем командную строку и в ней запускаем Total Commander от имени пользователя bkup:

runas /user:bkup “C:\totalcmd\totalcmd.exe”

На запрос пароля пишем password и получаем Total Commander, запущенный от имени bkup.

1.4. Создаём в каталоге D:\arhiv подкаталог с именем компьютера, на котором работаем. Или пользователя, для которого будет делать архивы. Но поскольку у нас обычно на компьютере один пользователь, то можно просто имя ПК. Например, user1. Владельцем этого каталога будет автоматически назначен пользователь bkup.

1.5. Чтобы обычный пользователь не мог попасть в этот каталог, нужно поменять параметры безопасности. Для этого, находясь в Total Commander пользователя bkup, нажимаем правой крысой на каталог, в контекстном меню - “Свойства”

1.5.1. На вкладке “Безопасность” нажать “Дополнительно” - “Разрешения” - “Изменить разрешения”

1.5.2. Снять галочку “Добавить разрешения, наследуемые от родительских объектов”. В появившемся окне нажать кнопку “Добавить”. Затем ОК - ОК, чтобы вернуться в окно “Свойства”.

1.5.3. На вкладке “Безопасность” нажать кнопку “Изменить” и удалить все группы и всех пользователей, кроме группы “Администраторы”. Добавить группу “Backup”, дать ей разрешение на “Изменение” (поставить галочку). Должно получиться вот так (Администратора, кстати, можно и не добавлять, тогда пользователь, случайно получивший по недосмотру права админа, всё равно не сможет зайти в этот каталог. И вирус, запущенный с правами пользователя-админа, тоже не сможет):

1.6. Нужно дать группе Backup (или пользователю bkup) права на чтение домашнего каталога обычного пользователя. Для этого с правами на всякий случай Администратора запустить Total Commander, найти домашний каталог пользователя на диске C: (на SSD я обычно не создаю второй раздел) или D: (а на больших дисках обычно создаю и переношу домашний каталог обычно в D:\home\user\).

2. Установка и настройка Cobian Backup

2.1. Можно скачать в интернете (https://www.cobiansoft.com/index.html)

2.2. Чтобы Cobian Backup мог запускаться в качестве службы от имени пользователя bkup, нужно открыть Пуск - Панель управления - Администрирование - Локальная политика безопасности - Локальные политики - назначение прав пользователя - Вход в качестве службы. Добавить пользователя bkup.

2.3. Установка обычная, ничего сложного. Выбираем русский язык, Далее, принять условия, Далее, каталог установки по умолчанию, “Создать значки в меню Пуск”, “Установить инициатор теневого копирования” (может потребоваться .NET 3.5, в "семёрке" он есть), Далее, Тип установки - Служба, Параметры службы - ”Запускать под обычной учётной записью", Учётная запись - bkup (пароль тоже ввести), “Автоматически запускать интерфейс”, Далее, Установить.

2.4. После установки поменять основные настройки (Инструменты - Параметры):

2.4.1. Общие

2.4.1.1. Проверять наличие обновлений - снять галочку. Обновлений, к сожалению, нет.

2.4.1.2. Выделить сообщение о новой версии красным цветом - снять галочку

2.4.1.3. Использовать системный каталог временных файлов - снять галочку, вписать какой-нибудь общедоступный C:\temp или D:\temp

2.4.2. Журнал

2.4.2.1. Ежедневное создание файлов журнала - оставляем

2.4.2.2. Показывать журнал в реальном времени - снять галочку, лог потом по почте придёт

2.4.2.3. Показывать файловые операции на экране - снять галочку

2.4.2.4. Посылать журнал по почте - поставить галочку

2.4.2.5. Отправлять журнал вложением - убрать галочку

2.4.2.6. Отправлять только при ошибках в работе - не ставить галочку

2.4.2.7. Удалять журнал после отправки - оставить галочку

2.4.2.8. График отправки - После каждого задания

2.4.3. Почта

У меня поднят свой маленький, но гордый локальный почтовый сервер. Можно настроить почту на яндексе, например, тоже будет работать.

2.5. Создание задания архивации - нажимаем круглую кнопку с плюсиком

2.5.1. Общие

2.5.1.1. Имя задания - по имени компьютера, например, BT-OPERATOR1

2.5.1.2. Основные настройки - все галочки оставляем

2.5.1.3. Тип копирования - Добавочный

2.5.2. Файлы

2.5.2.1. Источники - обычно добавляю Рабочий стол, Документы (это кнопкой Добавить - Каталог), файл с настройками заданий самого Cobian Backup (c:\Program Files\Cobian Backup 11\DB\MainList.lst) и адресныe книги Thunderbird (искать в профиле, например d:\home\user\Thunderbird\Profiles\kpya8y83.default\abook.mab Их может быть несколько, так что можно маской d:\home\user\Thunderbird\Profiles\kpya8y83.default\*.mab)

2.5.2.2.Пути назначения

2.5.2.2.1. В локальный каталог - например D:\arhiv\BT-OPERATOR1

2.5.2.2.2. FTP - Соединение

2.5.2.2.2.1 FTP-сервер - например, 192.168.0.1

2.5.2.2.2.2. Логин - bkup

2.5.2.2.2.3. Пароль - password

2.5.2.2.2.4. Начальный каталог - например, \BT-OPERATOR1

По поводу начального каталога. На FTP-сервере у нас корневой каталог, скажем, D:\arhiv. В нём каталоги пользователей user, BT-OPERATOR1, BT-OPERATOR2. Так вот, здесь в настройках начальный каталог считается от корневого, который обозначается символом \

Поэтому, чтобы попасть по FTP в каталог D:\arhiv\BT-OPERATOR1 нужно написать \BT-OPERATOR1).

2.5.2.2.2.5. Пассивный режим - поставить галочку

2.5.2.2.2.6. FTP - Дополнительно

2.5.2.2.2.6.1. Принудительный UTF-8 без автоопределения кодировки - поставить галочку. Без него не копируются архивы с русскими именами. С ним, правда, копируются с именами в кодировке UTF-8, которая превращает их в крякозябры, но зато работает. И вообще, потом переключим язык и архивы будут английскими буквами.

2.5.3. Расписание - ставим “Ежедневно” и выбираем время запуска

2.5.4. Цикличность

2.5.4.1. “Хранить полных копий” - я ставлю 2. Когда будет создана третья полная копия, первая будет удалена.

2.5.4.2. Интервал между полными копиями - я ставлю 5. То есть полная копия будет создаваться через каждые 5 инкрементальных.

2.5.5. Сжатие

2.5.5.1. Тип сжатия - 7zip

2.5.5.2. Деление на части - 1 Гб

2.5.6. Фильтр - в исключения стоит добавить следующие маски файлов: *.mp3,*.mp4,*.mpeg,*.avi,*.mkv,*.mov

Ну и исключить ненужные каталоги из архивируемых. Например, в каталоге Documents бывает каталог Загрузки. Его есть смысл исключить, т.к. обычно загрузки никто не чистит и там копится куча ненужного хлама.

2.5.7. Дополнительно

2.5.7.1. Аутентификация

2.5.7.1.1. Запустить задание от имени другой учётной записи - поставить галочку

2.5.7.1.2. Учётная запись - bkup

2.5.7.1.3. Домен - не трогаем, там точка так и остаётся (это означает локальный комп)

2.5.7.1.4. Пароль и подтверждение пароля - password

После того как будут сделаны все настройки ещё раз зайти в меню Инструменты - Параметры - Общие и переключить используемый язык на English, чтобы архивы создавались с английскими именами. Это нужно, чтобы не иметь проблем с кодировками и именами крякозябрами.

Заключение

Итак, после всех настроек мы получаем:

    • На клиентском компьютере у нас доступ в каталог с архивами пользователей должен быть только у пользователя bkup. Программа Cobian Backup запускается службой от имени bkup, задания архивации в этой программе запускаются от имени пользователя bkup. Архивы создаются на локальном компьютере и по FTP копируются на сервер.
    • На сервере архивации доступ к каталогам с архивами пользователей тоже должен быть только у пользователя bkup.
    • На сервере архивации с помощью планировщика от имени пользователя bkup запущен FTP-сервер TYPSoft FTP Server. Поэтому у нас нет никаких расшаренных папок, в которые может свободно зайти вирус и зашифровать там всё.
    • Сервер архивации есть смысл делать не один на всех, а выделить под это какой-нибудь один компьютер в одном кабинете/этаже/здании, один компьютер в другом кабинете/этаже/здании и так далее, чтобы не гонять гигабайты по (городской) сети.