當前，對于內部部署 Exchange 服務器的勒索軟件攻擊已經非常常見，因為它們存儲了敏感和機密信息，以及業務數據。攻擊者經常利用漏洞來訪問組織的網絡，并竊取或加密數據以勒索贖金。

即使攻擊者沒有成功加密數據，他們也可能會留下后門或造成其他損害，從而使企業的服務器無法使用或導致永久性數據丟失。這就是為什么準備好災難恢復計劃或恢復策略來處理此類危急情況非常重要的原因。

構建 Exchange Server 恢復策略的步驟

對Exchange Server的勒索軟件攻擊是任何管理員最糟糕的噩夢。它可能導致服務器無法使用，導致停機并造成經濟損失。以下六步是Exchange Server恢復策略，如果您所在企業的Exchange服務器受到勒索軟件的破壞和攻擊，將會派上用場。

1、確定關鍵組件

在 Exchange Server 中，必須確定在災難發生或勒索軟件攻擊后需要還原的關鍵組件和數據才能恢復服務。在談論Exchange Server時，您應該考慮以下備份：

活動目錄 （AD）

AD 是用于對用戶進行身份驗證和提供信息的數據庫。它包含與 Exchange Server 環境相關的重要信息，例如用戶和計算機、角色、權限等。因此，應當每 60 天或更早備份一次 AD。并將它作為系統狀態的一部分進行備份。

郵箱數據庫

郵箱數據庫包含對業務至關重要的用戶郵箱和郵件項目，如電子郵件、聯系人、附件、日歷項目等。

除了這兩個組件之外，請考慮備份文件系統和系統狀態。您可以通過創建基于卷影復制服務的備份來執行此操作。

2、選擇備份策略

備份至關重要。因此，為內部部署 Exchange Server 選擇最佳備份策略非常重要。在Exchange Server中，應使用DAG的本機數據保護（NDP），而不是僅依賴傳統的備份技術。

Microsoft Exchange Server 還支持基于 VSS 的備份，您可以使用 Windows Server Backup（帶有 VSS 插件的 WSB）或 Exchange 感知的第三方備份實用程序創建這些備份。根據 Exchange Server 環境，可以創建完整備份、增量備份或差異備份。

完整備份

在“完全備份”中，將復制 Exchange 數據庫和事務日志文件。成功備份后，日志將自動截斷。但是，完整備份需要更多時間才能完成，因為它必須使用日志文件備份整個數據庫。此外，它還需要更多的存儲空間來存儲備份。因此，恢復時間也很長。

增量備份

在增量備份中，僅將事務日志中的特定更改復制到上次完全備份或增量備份。這有助于最大限度地減少備份頻率并節省存儲空間。與完整備份相比，創建或還原備份所需的時間也更少。增量備份完成后，日志將被截斷。

差異備份

與增量備份類似，差異備份復制特定數據。唯一的區別是，它會復制自上次完整備份以來所做的所有更改，而不執行上一次差異備份或增量備份。這也有助于最大程度地減少還原數據庫所需的備份頻率、時間和操作。盡管創建備份所需的空間要少得多，但比增量備份占用的空間要多。還原也比前兩種備份方法更快。日志也不會被截斷，并且在備份之前保持不變。

重要提示：理想情況下，切勿將增量備份和差異備份組合或實現在一起。此外，還需要在服務器上禁用循環日志記錄以允許差異備份或增量備份。

您可以按照流行的 3-2-1 備份規則來創建 Exchange 服務器備份。該規則規定，必須在兩個不同的存儲介質上創建至少三個備份，并在異地（可能是云）保留至少一個副本，最好是另一個數據中心或分支機構。

3、定義恢復點目標 （RPO）

定義恢復點目標 （RPO） 涉及確定組織在災難發生時或勒索軟件攻擊后可以承受的數據丟失量。這可以用作參數，以確定需要備份的頻率，以便以最有效的方式將數據丟失降至最低。

例如，在勒索軟件攻擊之后，您將能夠恢復數據到上次備份的時間。這意味著上次備份后創建的任何數據都將永久消失。因此，如果您在凌晨 12：00 創建了最后一個備份，并且勒索軟件攻擊發生在上午 6：00，則在上午 12：00 到 6：00 之間累積或生成的數據無法從備份中恢復，并被視為永久丟失。

但是，您可以借助Exchange恢復軟件（例如Stellar Repair for Exchange）恢復上次備份和災難發生時創建的所有數據。如果備份失敗或過時或不可用，也可以使用該軟件。此外，它可以修復和提取受影響的Exchange Server或損壞的Exchange數據庫文件中的郵箱，并將它們直接導出到新的Exchange Server或Office 365。您也可以將郵箱另存為單獨的PST文件進行備份。

4、定義恢復時間目標 （RTO）

與恢復點目標類似，定義恢復時間目標 （RTO） 也很重要。它有助于確定上次備份發生勒索軟件攻擊或災難后還原 Exchange 郵箱數據庫和服務允許的最長時間。

它基本上告訴服務將保持關閉多長時間。它通常以分鐘、小時或天為單位定義，具體取決于從備份或在第三方軟件的幫助下恢復數據所需的估計時間。您可以在備份測試期間估計此時間。例如，如果恢復 100 GB 的數據需要一個小時，則恢復 1 TB 的數據可能需要大約 10 小時。它還有助于定義 SLA 并滿足設定的期望。

5、測試恢復計劃

測試備份和恢復計劃比創建備份和恢復計劃更重要。這將使您知道任何警告或限制，并在災難發生之前修復它們。它還會讓您知道所有必需的數據是否完全保留并且可以在需要時恢復。 如果測試失敗，您可以查看備份策略并采取必要步驟來確保恢復計劃有效運行。它還將幫助您實現安心，因為您知道如果您的組織受到勒索軟件的攻擊，您可以恢復數據。

6、記錄恢復計劃

準備好Exchange Server恢復策略后，就該詳細記錄每個步驟和組件，以便在需要時快速恢復數據，并在勒索軟件或惡意攻擊后還原服務。它將有助于響應勒索軟件事件，最大限度地減少勒索軟件攻擊的影響，并快速恢復關鍵任務操作。

總結

較新的漏洞和錯誤為威脅參與者利用和危害 Exchange 服務器打開了新的大門。您必須使用 Microsoft 定期發布的最新安全更新和累積更新來修補這些漏洞，以阻止攻擊者。還建議您遵循最佳做法來增強 Exchange Server 的安全性。此外，您還應該創建一個 Exchange Server 恢復策略，以幫助您在災難發生時恢復和還原 Exchange Server 和電子郵件服務。這將幫助您保護數據、維護聲譽并防止勒索軟件攻擊后的經濟損失。

原文鏈接：??https://dzone.com/articles/how-to-build-your-exchange-server-recovery-strateg??

原文作者：Shelly Bhardwaj