Бэкап данных пользователя с помощью CobianBackup с защитой от вирусов-шифровальщиков

6. Скопировать программу TYPSoft FTP Server в каталог D:\programs (C:\programs если диска D: в системе нет). Программа работает без установки, просто скопировать и запустить.

7. Запустить FTP-сервер (ftpserv.exe) от имени пользователя bkup (можно запустить из Total Commander, запущенного от имени пользователя bkup).

7.1. Настройки - Пользователи. Если там в списке есть пользователи, то удалить лишних. Анонимуса, наверное, оставить, просто удалить у него все каталоги. Потом нажимаем кнопку “Новый” и заполняем поля:

7.1.1. Новый логин - bkup

7.1.2. Пароль - password

7.1.3. Корневой каталог - D:\arhiv (или C:\arhiv, если на диске только один раздел)

7.1.4. Доступ к папкам - поставить галочки “Файлы”: “Скачивание”, “Закачивание”, “Переименовать файлы и папки”, “Удалить”; “Папка”: “Создание”, “Удаление”, “Вложенные папки”. Потом “Сохранить” и “Закрыть”.

8. Теперь нужно настроить автоматический запуск FTP-сервера при включении ПК и, что важно, запуск должен быть от имени пользователя bkup. Для этого:

8.1. Пуск - Панель управления - Администрирование - Локальная политика безопасности - Локальные политики - Назначение прав пользователя - Вход в качестве пакетного задания. Добавить пользователя bkup.

8.2. Пуск - Панель управления - Администрирование - Планировщик заданий. Создать новое задание. Планировщик лучше запустить от имени Администратора. Можно нажать Shift, щёлкнуть правой крысой и выбрать “Запуск от имени другого пользователя”. А можно в командной строке:

runas /user:Администратор "mmc C:\windows\system32\taskschd.msc"

8.3. Вкладка “Общие”:

8.3.1. Имя - Запуск FTP-сервера

8.3.2. ...использовать следующую учётную запись пользователя - выбрать пользователя bkup

8.3.3. Выполнять вне зависимости от регистрации пользователя

8.4. Вкладка “Триггеры”: При входе в систему, любой пользователь

8.5. Вкладка “Действия”: Запуск программы "C:\programs\TYPSoft FTP Server\ftpserv.exe"

После перезагрузки компьютера FTP-сервер будет запускаться планировщиком от имени пользователя bkup и его интерфейса на экране не будет видно. Процесс ftpserv.exe можно увидеть в Диспетчере задач, если включить “Отображать процессы всех пользователей”.

Настройка архивации на компьютере пользователя

Для бэкапа будет использоваться программа Cobian Backup, для копирования по сети - FTP протокол. Для этого на компьютере, на который будут копироваться архивы, должен быть установлен FTP-сервер. Об этом написано в предыдущем разделе.

1. Предварительная настройка ПК

1.1. Кроме основного пользователя нужно создать пользователя, например, bkup с паролем, например, password, от имени которого будет выполняться архивация. Это нужно для того, чтобы текущий пользователь не имел доступа к созданным архивам и, например, вирус-шифровальщик, который запускается от имени текущего пользователя, не смог зашифровать наши архивы. Для пользователя можно создать свою отдельную группу Backup, чтобы раздавать права через назначение прав группе, а не пользователю. Хотя можно и пользователю. Пользователь bkup должен быть в группах “Пользователи” и “Backup”.

1.2. От имени текущего пользователя (например, user) создаём каталог D:\arhiv (если диск разбит на два раздела, если нет, то C:\arhiv).

1.3. Запускаем командную строку и в ней запускаем Total Commander от имени пользователя bkup:

runas /user:bkup “C:\totalcmd\totalcmd.exe”

На запрос пароля пишем password и получаем Total Commander, запущенный от имени bkup.

1.4. Создаём в каталоге D:\arhiv подкаталог с именем компьютера, на котором работаем. Или пользователя, для которого будет делать архивы. Но поскольку у нас обычно на компьютере один пользователь, то можно просто имя ПК. Например, user1. Владельцем этого каталога будет автоматически назначен пользователь bkup.

1.5. Чтобы обычный пользователь не мог попасть в этот каталог, нужно поменять параметры безопасности. Для этого, находясь в Total Commander пользователя bkup, нажимаем правой крысой на каталог, в контекстном меню - “Свойства”

1.6. Нужно дать группе Backup (или пользователю bkup) права на чтение домашнего каталога обычного пользователя. Для этого с правами на всякий случай Администратора запустить Total Commander, найти домашний каталог пользователя на диске C: (на SSD я обычно не создаю второй раздел) или D: (а на больших дисках обычно создаю и переношу домашний каталог обычно в D:\home\user\).

2. Установка и настройка Cobian Backup

2.1. Можно скачать в интернете (https://www.cobiansoft.com/index.html)

2.2. Чтобы Cobian Backup мог запускаться в качестве службы от имени пользователя bkup, нужно открыть Пуск - Панель управления - Администрирование - Локальная политика безопасности - Локальные политики - назначение прав пользователя - Вход в качестве службы. Добавить пользователя bkup.

2.3. Установка обычная, ничего сложного. Выбираем русский язык, Далее, принять условия, Далее, каталог установки по умолчанию, “Создать значки в меню Пуск”, “Установить инициатор теневого копирования” (может потребоваться .NET 3.5, в "семёрке" он есть), Далее, Тип установки - Служба, Параметры службы - ”Запускать под обычной учётной записью", Учётная запись - bkup (пароль тоже ввести), “Автоматически запускать интерфейс”, Далее, Установить.

2.4. После установки поменять основные настройки (Инструменты - Параметры):

2.4.1. Общие

2.4.1.1. Проверять наличие обновлений - снять галочку. Обновлений, к сожалению, нет.

2.4.1.2. Выделить сообщение о новой версии красным цветом - снять галочку

2.4.1.3. Использовать системный каталог временных файлов - снять галочку, вписать какой-нибудь общедоступный C:\temp или D:\temp

2.4.3. Почта

У меня поднят свой маленький, но гордый локальный почтовый сервер. Можно настроить почту на яндексе, например, тоже будет работать.

2.5. Создание задания архивации - нажимаем круглую кнопку с плюсиком

2.5.1. Общие

2.5.1.1. Имя задания - по имени компьютера, например, BT-OPERATOR1

2.5.1.2. Основные настройки - все галочки оставляем

2.5.1.3. Тип копирования - Добавочный

2.5.4.2. Интервал между полными копиями - я ставлю 5. То есть полная копия будет создаваться через каждые 5 инкрементальных.

2.5.5. Сжатие

2.5.5.1. Тип сжатия - 7zip

2.5.5.2. Деление на части - 1 Гб

2.5.6. Фильтр - в исключения стоит добавить следующие маски файлов: *.mp3,*.mp4,*.mpeg,*.avi,*.mkv,*.mov

Ну и исключить ненужные каталоги из архивируемых. Например, в каталоге Documents бывает каталог Загрузки. Его есть смысл исключить, т.к. обычно загрузки никто не чистит и там копится куча ненужного хлама.

2.5.7. Дополнительно

2.5.7.1. Аутентификация

2.5.7.1.1. Запустить задание от имени другой учётной записи - поставить галочку

2.5.7.1.2. Учётная запись - bkup

2.5.7.1.3. Домен - не трогаем, там точка так и остаётся (это означает локальный комп)

2.5.7.1.4. Пароль и подтверждение пароля - password

После того как будут сделаны все настройки ещё раз зайти в меню Инструменты - Параметры - Общие и переключить используемый язык на English, чтобы архивы создавались с английскими именами. Это нужно, чтобы не иметь проблем с кодировками и именами крякозябрами.

Заключение

Итак, после всех настроек мы получаем:

• На клиентском компьютере у нас доступ в каталог с архивами пользователей должен быть только у пользователя bkup. Программа Cobian Backup запускается службой от имени bkup, задания архивации в этой программе запускаются от имени пользователя bkup. Архивы создаются на локальном компьютере и по FTP копируются на сервер.
• На сервере архивации доступ к каталогам с архивами пользователей тоже должен быть только у пользователя bkup.
• На сервере архивации с помощью планировщика от имени пользователя bkup запущен FTP-сервер TYPSoft FTP Server. Поэтому у нас нет никаких расшаренных папок, в которые может свободно зайти вирус и зашифровать там всё.
• Сервер архивации есть смысл делать не один на всех, а выделить под это какой-нибудь один компьютер в одном кабинете/этаже/здании, один компьютер в другом кабинете/этаже/здании и так далее, чтобы не гонять гигабайты по (городской) сети.