Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Maximální ochrana proti ransomware při zálohování na ext. disk

Chtěl bych vás požádat o názor: existuje při níže uvedeném postupu možnost "zavirování" zálohovaných souborů nějakým velmi důmyslným svinstvem (i když by to třeba bylo velmi nepravděpodobné)?

Pracuji na Windows. Na pevném disku A zálohuji. Vypnu, z USB disku nabootoji Linux, připojím ještě pevný disk B , provedu zálohu dokumentů z disku A na disk B, pc vypnu, pevný disk B i bootací USB zase odpojím; následně pracuji na Windows, při příští záloze se vše opakuje. Bootovací USB se použije jen na zálohování a nikdy se po bootování z něj nebude surfovat na webu, aby se eliminovalo riziko stažení nějaké potvory, ani se na něm nebude dělat nic jiného než zálohování; pevný disk B se připojí jen při zálohování.

Jako laikovi se mi tento postup zdá mnohem bezpečnější než obyčejné občasné zálohování připojením zálohovacího disku k pc - klasický windowsácký ransomware (ani ten, který by cíleně šel po pevných discích až v momentu jejich připojení) by (na disku B) neměl mít šanci. Ale co když ke mně ve Windows třeba pronikne svinstvo škodící Linuxu (vím, že jich moc není, ale přesto), obejde "windowsácký" antivirus, ve Windows bude "spát", a začne škodit právě po nabootování Linuxu a připojení pevného disku v Linuxu?

Je to vůbec možné? A pokud ano, má to podobnou pravděpodobnost jako srážka Země s asteroidem v tomto desetiletí, nebo se člověku, který se chce řídit principem maximální opatrnosti, vyplatí pro jistotu postupovat nějak jinak? Jak? Běžné rady typu "mějte aktualizovaný OS, používejte antivirus, nenavštěvujte podezřelé stránky, nerozklikávejte přílohy neznámých původců" znám. Ale pokud už by nějaký ransomware úspěšně překonal ochranu, pak při běžném připojení zálohovacího disku můžu mít stejně po zálohách.

Ano, jsem si skoro jist, že mé úvahy budou znít hodně paranoidně, ale napadá vás něco, co by ochránilo zálohy proti ransomware a podobným typům hrozeb lépe než nastíněný postup (a umožnilo by mi obejít se bez poskytování dat třetím stranám nebo placení předražených služeb třetích stran - chci si vystačit se svépomocí)?

Díky předem.

Předmět Autor Datum
Plán IMHO celkem dobrý, ale šel by ještě vylepšit. Problémy: 1 - podle popisu asi jedna metodická ch…
gilhad 04.08.2022 18:58
gilhad
PS: Oddělením od sítě se výrazně sníží napadnutelný povrch. (například zavaděč, co si stáhne tělo vi…
gilhad 04.08.2022 19:42
gilhad
1 - podle popisu asi jedna metodická chyba - pokud ti ransomware ve Windows zakóduje/zmrší soubory,…
fleg 04.08.2022 23:35
fleg
Děkuju, věřím, že by to byla spolehlivá cesta, a obdivuju zjevně precizně promyšlený koncept, který…
jarda89 06.08.2022 10:54
jarda89
Necetl jsem "Knizni vydani" predchoziho prispevku, ale jak pises dejme tomu kuprikladu pod tim Ubunt…
HPET 04.08.2022 21:29
HPET
Sandbook vypadá zajímavě. Podle toho, co jsem našel, prý teoreticky existuje pořád dost cest, jak by…
jarda89 06.08.2022 10:56
jarda89
zda lze opravdu vyloučit, že se spustí už v nějaké škodlivým kódem modifikované podobě. SandBox je…
HPET 06.08.2022 14:09
HPET
Podle toho popisu z linku od HPET je Sandbox určen k tomu, aby se v něm spouštěly podezřelé aplikace…
gilhad 06.08.2022 16:45
gilhad
SandBox je izolované prostředí pro spouštění potenciálně škodlivých programů. Není to izolace od pot…
dsa 06.08.2022 18:06
dsa
CIA, BIS nebo FSB? Paranoia je určitě namístě. :-)
IQ37 04.08.2022 21:43
IQ37
Jenom proto, že se chce bránit zavirování? Nemusíš přijít o plány raketových základen, zabolí i fotk…
L-Core 06.08.2022 06:09
L-Core
bootování z ssd: dokumenty nemívají bůhvíjakou velikost. takže to chce normální disk - hdd bez smr b…
lední brtník 05.08.2022 14:17
lední brtník
no nic, tazatele to už asi nezajímá, tak si ten IODD 2531 včetně 1tb disku asi koupím sám. (mimochod…
lední brtník 06.08.2022 00:43
lední brtník
Potřeboval jsem čas na klidné promyšlení rad. Nejde mi o to teď něco kupovat, ale vymyslet systém zá…
jarda89 06.08.2022 10:59
jarda89
Jen detail: ... skoro nikdo neumí čistě naformátovat disk ??? To myslíš vážně? S takovými znalostmi…
dsa 06.08.2022 11:30
dsa
tvuj roman se nedal moc cist. nemuzes zalohovat z toho potencialne napadeneho pc pod stejnym uctem,…
brum brum 06.08.2022 11:39
brum brum
Pokud bootovací box umožňuje vybrat z více různých .iso, které tam je třeba nejdřív dodat z nějakého…
jarda89 06.08.2022 13:59
jarda89
- bych zálohoval vždy ve stejném operačním systému (jiném než v tom, v němž běžně pracuji) ano, je… poslední
lední brtník 08.08.2022 13:56
lední brtník
Bez SMR to asi bude dražší. SMR je "trik" jak na stejnou plochu narvat víc dat, za cenu toho, že se…
gilhad 06.08.2022 12:09
gilhad
jezis ja jsem necetl ani tu tvoji reakci, skoncil jsem u prvni vety - a ted vidim, ze je to hromada…
brum brum 06.08.2022 12:11
brum brum
Nečetl jsem ta kvana textu, ale dám tip. Chránit data proti přepisu lze pomocí TrueCrypt. Předpoklád…
ST 06.08.2022 13:47
ST
Maximalni ochrana? Vcelku jednoducha vec: nekolik kombinovanych offline a online zaloh s kontrolnim…
RedMaX 06.08.2022 18:21
RedMaX

Plán IMHO celkem dobrý, ale šel by ještě vylepšit.
Problémy:
1 - podle popisu asi jedna metodická chyba - pokud ti ransomware ve Windows zakóduje/zmrší soubory, ale názvy jim ponechá, tak si při záloze přepíšeš dobré špatnýma sám
2 - ransomware, který se ti zavede ještě před výběrem a spuštěním OS (už jsem slyšel, že se nějaké takové vyskytují, ale běžné nejsou)
3 - chyba obsluhy ("jen si rychle ze záloh vytáhnu ...") a okolních uživatelů ("Hele, disk, co na něm asi je?")
---
Já bych na to šel spíš takhle:
- udělal záložní počítač (v principu klidně příšernou plečku) kde by byly ty disky se zálohama (a nahodil tam softwarový raid5 (nebo lepší))
- - ten záložní počítač ti umožní mít těch disků víc a zároveň umožní ho držet dost silně izolovaný proti útokům
- - diskové pole = snadno dostaneš dost velkou kapacitu, pokud je to
- - raid5 přežije i fyzickou havárii jednoho libovolného disku (raid6 přežije i dva disky) - vyndáš vadný, přidáš prázdný a necháš to ať se to samo opraví a dopočítá
- - softwarové pole ti zajistí, že to sestavíš na libovolném HW, co bude mít dost portů pro disky, čili pokud odejde základovka, není problém to oživit s libovolnou jinou plečkou. Navíc si to můžeš třeba i zaširovat dle libosti, pokud si chceš zajistit soukromí. (A nasekat tam libovolný počet hidden volumes, pokud chceš.)
- ten záložní počítač samozřejmě nebudeš používat k práci/zábavě, takže jeho HW je celkem nepodstatný a nic tam instalovat nebudeš (po prvotním nastavení). A používal bych ho normálně z příkazového řádku a bez nějakých "samose" automatizmů (tedy disk se připojí příkazem mount, nikoli zapojením, žadné blbosti jako hledání programů pro automatické spuštění po připojení, natož jejich spouštění a tak dál a tak dál).
- bootovat ho budeš z toho USB (nebo ještě líp z uzavřeného CD/DVD, na které ti už nikdo nic nenahraje a které si můžeš kdykoli zkontrolovat kdekoli, nebo vyrobit znova ) a klidně můžeš připojit ty datové disky v režimu, kdy na ně půjde psát (při zálohování), a nebo nepůjde psát (při obnově dat), pujdou číst, ale nepůjde z nich nic spustit.

Při zálohování bych:
- spočítal kontrolní součty všeho, co chci zálohovat (a klidně i pár věcí okolo) ještě v tom potenciálně napadeném prostředí hlavního počítaře a uložil je do souboru (někdy ransomware může nějakou dobu podstrkávat uživateli dešifrované soubory, než dokončí své pletichy)
- vypnul hlavní počítač
- odpojil ho od ethernetu (vytažením drátu)
- nabootoval ho z CD/DVD/USB s linuxem, spustil sshd (server)

- nabootoval záložní počítač, sestavil na něm ten raid, propojil ho drátem (ethernet, RJ45) s hlavním počítačem napřímo. Pak oběma nastavil adresy. (čili mám síť jen mezi těmito počítači, bez prostředníka, který by to mohl zdržovat, nebo zkoušet napadnout)
- připojil se přez SSH (klient) k tomu hlavnímu počítači, soubory tahal pomocí SCP (klient) spuštěného na záložním počítači a to do zvláštního adresáře
- - pak v tom adresáři (na záložním počítači) spočítal kontrolní součty všech souborů a porovnal je s těma spočítanýma z "nakaženého" systému - pokud sedí, tak máš stejné soubory, pokud nesedí, tak ti s nima něco šíbovalo pod rukama (a v tu chvíli se zastavit a začít řešit, co dál, co je a co není v pořádku a tak - nepokračovat bezmyšlenkovitě v zálohování)
- - ty součty z adresáře porovnat se součty minulé verze zálohy a tam by měly být stejné u souborů, které se neměnily - pokud nejsou, tak se ten soubor očividně změnil a je potřeba dořešit, zda byl změněn schválně, nebo podvratně. (proto se do toho adresáře kopírovalo těch věcí víc, než jen ty změněné) Pokud součty sedí, tak se ty soubory nezměnily (a dá se to využít pro minimalizaci místa)
- - - stejně bych na tom zálohovacím měl nějaký verzovací systém (git) pro každý projekt, nebo jinou malou jednotku, a používal ho - výhoda je, že se pak dá obnovit systém k nějakému dřívějšímu datu (a přitom soubory, které se mezi verzema nezměnily tak nezabírají místo navíc v kařdé verzi)
- - pokud vše sedí, tak zařadit ty soubory z adresáře jako novou verzi zálohy (včetně jejich součtů)
- - - ty součty občas překontrolovat, kdyby třeba začínal hnít disk, tak se to dozvíš včas
- - ideálně zálohovat zdrojáky, (nebo zdrojáky a z nich sestavené věci) - protože ze zdrojáků to sestavíš i na nové verzi systému, a pokud ne, tak je můžeš na tu verzi následně upravit. Sestavené věci jsou pohodlnější pro přetažení/instalaci, ale pokud se systém změní, tak můžou prostě přestat fungovat.
- - - u textových zdrojáků se navíc dá celkem snadno zkontrolovat, zda jsou pořád ještě příčetné, nebo je to změť divných znaků, případně si nechat vyjet změny a odhadem zjistit, zda jsi je opravdu dělal ty a zda dávají smysl

----

Výhoda je, že zálohovací počítač je furt v té samé verzi, spouští se na něm jen ty programy z CD/DVD a protože si natahá ty soubory jako DATA k sobě, tak se nikde nespouští a nemají šanci něco nějak nakazit (maximálně budeš mít v záloze zavirovaný soubor, ale ten virus se tu z něj nespustí)
Taky se to z něj dá obnovit na libovolný jiný počítač, pokud původní hlavní odejde, nebo ho vyměníš za lepší
Tím, že záložní počítač provádí výpočty a řídí přenosy se mu dá věřit, že to dělá správně, protože se na něj virus neměl jak dostat (aktivně, tedy tak, aby se spustil) - DATA zásadně nespouštíš, jen programy z CD/DVD, které ale ta DATA taky nespouští
Tím, že to v každém kroku testuješ, zabráníš nechtěným změnám (pokud "nakařený" počítač spočte kontrolní součty jinak, než čistý, tak je něco hodně špatně a ten počitač asi je nakažený opravdu, nejen v uvozovkách)

----
Já bych to jel normálně v holém "serverovém" systému, nikoli v grafických nadstavbách a desktopových prostředích, právě abych se vyhnul tomu, že by to něco iniciativně "ono samo" spouštělo (jako ty automounty (nebo jak to mají Win při vložení média, aby to spustilo všechny nalezené viry)). Takže i kdyby ta data obsahovala nějaký škodlivý kód pro Linux, tak ho nic nespustí a nebude mít šanci škodit.

Jinak pro ten záložní/zálohovací počítač ti stačí prakticky cokoli. Klidně Atom. Jediné co chceš je textová obrazovka, klávesnice, ethernet a sata kabely. Čili deska klidně z repasu z roku raz dva (no, mělo by to být vyšší verze než 486), RAM 1GB, zdroj ano, GPU ideálně integrované ... bez disků ten nejlacinější základ a holobyt stačí bohatě. 1.500 Kč i krabicí mi hodil google na první pokus a asi to jde i levněji, a ani ta krabice není nezbytná.

PS:
Oddělením od sítě se výrazně sníží napadnutelný povrch. (například zavaděč, co si stáhne tělo viru ze sítě si ho prostě nestáhne)
Oddělením na jiný počítač (přez jediný, celkem jasně daný protokol, kde si ten čistý počítač sám zařizuje, co bude s přenášenýma datama dělat + pro něj to prostě jsou jen binární data, ať je to text, program, obrázek, virus, nebo náhodná skupina bytů - všechno jedno, prostě nuly a jedničky, které uloží a případně posčítá, ale spouštět nebude) se možnosti viru na hlavním počítači opět extrémně sníží.
Pokud se nenajde nějaká hodně závažná zranitelnost v SSH, která by šla použít i v takovémto scénáři a virus, který by ji tak používal, tak ten zálohovací počítač může jet bez updatu léta letoucí a být naprosto v pohodě - a pokaždé se zachovat stejně. (Takže nehrozí, že by tam nějaký, vlastně nepotřebný, update zanesl novou zranitelnost, když se updatovat nebude a starý systém bude v pořádku - což se potvrdí časem).
Mimochodem architektura zálohovacího počítače klidně může být zcela jiná, než ta v hlavním (např. hlavní x86, zálohovací ARM) - čímž by ten virus musel být schopný se z windows x86 probít do linuxu x86 bootovaného z externího média a prolomit SSH, aby se vlámal do linuxu ARM na jiném počítači - to už ti tu zálohu spíš rozbije ten meteorit přímým zásahem počítače :)

Děkuju, věřím, že by to byla spolehlivá cesta, a obdivuju zjevně precizně promyšlený koncept, který působí tak, že by odolal i sofistikované a dlouhodobé snaze ajťáků pracujících pro tajné služby :-), ale při své úrovni pc gramotnosti bych nikdy neměl na to tohle zrealizovat.

Sandbook vypadá zajímavě. Podle toho, co jsem našel, prý teoreticky existuje pořád dost cest, jak by mohl infikovat počítač i poté, co se uzavře, což mi zas tolik nevadí (já bych v něm netestoval podivně vypadající programy, ale zálohoval). Nikde se ale nepíše (nebo jsem to alespoň nenašel) o tom, zda lze opravdu vyloučit, že se spustí už v nějaké škodlivým kódem modifikované podobě. Je možné se na to spolehnout? I když je koncipovaný tak, aby se v něm nespouštěly žádné rozšiřující programy - lze se spolehnout na to, že je do Sandboxu nějaký škodlivý kód nedostane či je tam nějak "nepodvrhne"?

zda lze opravdu vyloučit, že se spustí už v nějaké škodlivým kódem modifikované podobě.

SandBox je SandBox je zcela vylouceno ze je infikovan skodlivym kodem, jde o samotnou podstatu SandBoxu.
Na sifrovani tech zaloh/heslo, na to nepotrebujes kupovat zadne specialni krabicky nebo externi disky, IMHO jsou to zbytecne penize, sifrovat je muzes efektivne zcela zdarma.

Podle toho popisu z linku od HPET je Sandbox určen k tomu, aby se v něm spouštěly podezřelé aplikace a on před jejich důsledky chránil běžící systém. (Což jak známo nedělá úplně dokonale.)
Pokud je ovšem běžící systém napaden, tak mu nic nebrání napadnout i Sandbox, který pak bude při spuštění dělat cokoli mu virus přikáže - Sandbox není ani určen, ani koncipován, na ochranu sanboxovaného systému před hlavním systémem. (Navíc, pokud jde opravdu o "lehky desktop" jak tvrdíten odkaz, tak pro většinu svých potřeb bude používat (možná už dávno infikované) služby hlavního systému. Čili pokud něco v Sandboxu zkusí udělat něco s diskem, tak se použijí služby Sandboxu k vyvolání služeb systému ke způsobení akce. Pokud je cokoli z toho napadeno, je napadena celá akce.)

Jinými slovy - na napadeném systému ti Sandbox už nepomůže (a ani se o to nebude snažit), protože používá právě ten napadený systém.

(No a pak je tu ještě otázka důvěry ve spolehlivou a bezpečnou funkci něčeho, od čeho nemáš zdroják, nesmíš zjišťovat, jak to přesně funguje a tyto věci ví jen nějací lidé od cizí firmy z cizí země, kteří o nich nesmí mluvit a ta firma za případně způsobené škody samozřejmě nezodpovídá ... přičemž víš, že stávající kód má bezpečnostní díry, ale nesmíš je ani ty, ani nikdo jiný zkoumat, natož opravit ...)

bootování z ssd:
dokumenty nemívají bůhvíjakou velikost. takže to chce normální disk - hdd bez smr bývají do 1tb, nebo ssd 250-500gb.
foukneš ho do bootovací krabičky: https://www.odkarla.cz/kryt-pevneho-disku-iodd-2531 (bazar, prý už je s 1tb diskem)
formát disku ntfs, bootovací adresář _ISO - do něj foukneš .iso svých oblíbených distribucí - live tučňák, hirens64, boot iso antiviru a další. čím menší/jednodušší, tím lepší.

https://pc.poradna.net/questions/3099338-externi-box-zalman-zm-ve-uz-se-v-cr-neprodava
formátování pokud je třeba: https://pc.poradna.net/questions/2840576-tip-zalman-ve-500-ve-300-ve-350-no-iso
nemusí být třeba: https://pc.poradna.net/questions/3099338-externi-box-zalman-zm-ve-uz-se-v-cr-neprodava#r3099379

po nabootování si postahuješ cenné dokumenty právě na tento odpojovací disk, nejlépe přes tvé připravené skripty.
odpojíš a žiješ dál, viry ať se jdou chuchnout.

síťové řešení by vypadalo jinak:
pro sběr záloh ze sítě bude sloužit nějaké atomové pc, čisté od malware (omezený účet, nepoužívané pro přístup na internet, chráněné třeba antiransomwarem).
https://www.gigacomputer.cz/zbozi/1336591-fujitsu-esprimo-q920-usff.html
výkon atomu, spotřeba 35w, nic moc: https://www.cpubenchmark.net/cpu.php?cpu=Intel+Core+i3-4130T+%40+2.90GHz&id=2035
to už spíš: https://www.mironet.cz/zotac-zboxci341be-mini-pc-intel-celeron-n4100-11ghz-2x-sodimm-bez-hdd-intel-uhd-2x-lan-bez-os+dp497731/
bude si mapovat ostatní pc v síti, bude mít přístup na oddíl na nasce pro zápis, tam bude přeposílat soubory. bylo by fajn vyřešit historii záloh.
ostatní pc mohou mít přístup k zálohám na nasce jen přes účet s právy ke čtení.

jinou možností je přístup přes nějaký "sync" a podobné protokoly, spouštěný ze strany nasky.
https://365tipu.cz/2022/07/18/tip2205-zmena-staje-zprovozneni-qnap-ts-364-a-prvni-zkusenosti/

Potřeboval jsem čas na klidné promyšlení rad. Nejde mi o to teď něco kupovat, ale vymyslet systém zálohování, který by splnil očekávání.

Lámu si hlavu s tím, jak se ten první model liší od mého původního modelu, kdy nabootuji ze speciálního "zálohovacího" USB se "zálohovacím" OS a připojím speciální zálohovací disk, který běží jen v prostředí "zálohovacího" USB? Podle toho, co jsem o Zalmanu a bootovacích krabičkách našel, je rozdíl v tom, že zde se ten OS spustí, díky jeho obrazu na USB zavedeném k pevnému disku, přímo na pevném disku, ne na USB - v čem je ale plus z hlediska bezpečnosti zálohy nebo uživatelského komfortu (vedle toho, že není potřeba mezičlánek typu programů, které z .iso vytvoří bootovací médium)? Nemůžu najít podstatný rozdíl - to samozřejmě neznamená, že tam není.

(HDD bez SMR - bez SMR proto, že bude levnější, aniž by tím majitel o něco přišel, nebo to má i nějaký podstatnější důvod?)

Asi bych se bál kupovat cokoli na zálohování z bazaru, když všude čtu, jak skoro nikdo neumí čistě naformátovat disk - bál bych se té teoretické možnosti, že když něco opomenu (třeba něco, co by profík neopomenul), budu mít místo spolehlivé metody zálohování poškozené veškeré zálohy.

Využití té síťové cesty by předpokládalo výrazné zlepšení mé pc gramotnosti, mám povědomí o tom, že počítače v jedné siti spolu můžou komunikovat, ale nikdy jsem to nezkoušel prakticky využít. Takže bych se nyní zeptal jen obecně: je to opravdu bezpečné? Když dojde k napadení počítače a ostatní uživateké budou "mít přístup k zálohám na nasce jen přes účet s právy ke čtení", nejde to nějak prolomit a zálohovací pc infikovat? Kdybys porovnal můj původní návrh a tenhle postup, kde je větší pravděpodobnost prolomení ochrany?

tvuj roman se nedal moc cist.
nemuzes zalohovat z toho potencialne napadeneho pc pod stejnym uctem, pod kterym pobezi i vir a napadne ti pripojenou zalohu. toho si asi jsi vedom, kdyz pises o bootu z linuxu. jinou moznosti je ten hirens pe, jestli ti vice vyhovuji osekane windows.
ten boot box (iodd, zalman) umozni vybrat .iso, ze ktereho nabootujes.
zalohovane dokumenty odlozis primo na ten box, na nic jineho ho nebudes pouzivat.

kdyz by byla potreba zalohovat bezpecne par pc, toto se jeste s usb mediem da.

anebo automatizovana varianta se "sbernym pc" ve vetsi siti, co si sam postupne projde a namapuje pc v siti, zalohy stahne bud na svuj druhy velky disk, nebo je posle na sitovou nasku.
ten sberny pc neni pro bezne uzivani, pro zadne surfovani. musi byt bezpodminene cisty.

Pokud bootovací box umožňuje vybrat z více různých .iso, které tam je třeba nejdřív dodat z nějakého jiného média, pak pro mě ale za předpokladu, že

- bych ho používal jen jako zálohovací zařízení,
- bych zálohoval vždy ve stejném operačním systému (jiném než v tom, v němž běžně pracuji),
- mi nezáleží na rychlosti zálohování,

má přidanou hodnotu jen v tom, že si nepotřebuju pro zálohování ponechávat USB disk s funkčním OS připraveným k bootu programem typu Rufus, stačí mi na nějaký USB disk "mechanicky" dát .iso soubor a ten pak můžu z média, z něhož jsem ho přenesl, smazat. V tomhle ohledu je tedy bootovací krabička jednodušší, ale z hlediska bezpečnosti je to (pokud použiju bezpečný program typu Rufus) stejné jako bootovat z USB jiný OS (OS 2) než ten, v němž normálně pracuju (OS1), připojit zálohovací externí disk připojovaný jen v OS2 a z disku užívaného v OS1 kopírovat.

Pletu se?

- bych zálohoval vždy ve stejném operačním systému (jiném než v tom, v němž běžně pracuji)

ano, je to jiná instalace, nikdy se nespouští systém z c:
už jsem to psal: na boot boxu může být několik .iso skoro libovolného systému, třeba minimalistický win7, nebo win10 pe (viz hirens 64, celkem pomalý start), stažené iso antivirového cd, záchranné cd některého zálohovacího programu, tučňák ...
no je to jedno, ten box iodd už v tom bazaru nemají, asi jsem mu dělal moc velkou reklamu.

ale je možné si vyrobit pomocí nějakého "windows to go" boot flashku ... doporučuju spíš nvme box, zase kvůli iops, i tak to bude bída.
nevím nakolik je ta věc přenositelná mezi více pc s odlišným hw, můžeš testovat. ale pro zálohy tvého pc klidně.
komentáře k té věci: https://www.czc.cz/geek/it-bastlirna-windows-to-go-aneb-jak-mit-svuj-pocitac-neustale-u-sebe/clanek

anebo úplně jiná cesta, kterou tu popisují další: spouštět nějakou virtuálku = vždy čistý systém.
ta si pomocí skriptu přimapuje síťový disk, na který neuvidí tvůj potenciálně zamořený běžný pracovní os, protože přístupová práva různých uživatelů.
součástí skriptu rovnou může být xcopy/robocopy souborů na ten síťový disk.
pro vir v hlavním systému je tento síťový disk neviditelný. a nenapadnutelný, když všude v síti předpokládáme vyšší verzi smb protokolu a normální profi verzi windows bez anonymního sdílení.

Bez SMR to asi bude dražší.

SMR je "trik" jak na stejnou plochu narvat víc dat, za cenu toho, že se ti datové stopy částečně překrývají jako šindele, takže je to jednak méně spolehlivé (při každém čtení stopy se ti do toho jako šum přičítají sousední data, takže je musíš odfiltrovávat), jednak (skoro) jakýkoli zápis vyžaduje následně přepsat ještě všechny stopy nad ním až do konce bloku (ok, tak se to různě cachuje a požadavky se spojí, ale většinou pak stejně přepisuješ i data, na která jsi nesahal. Hodně takových dat.) Jako vedlejší důsledek ono to přepisování taky nějakou dobu trvá (takže následně je zápis pomalejší) a během toho to nesmí v blbou chvíli ztratit napájení, jinak ti to může zmršit nějaká naprosto nesouvisející data, na která jsi ani nesahal. No a taky to tím pádem žere víc elektřiny (protože ty zápisy navíc)

Čili bez SMR to bude dražší, ale asi spolehlivější, odolnější a úspornější.

jezis ja jsem necetl ani tu tvoji reakci, skoncil jsem u prvni vety - a ted vidim, ze je to hromada az nesmyslu.

smr disk je hustsi zpusob zaznamu. u jednomuzneho pouziti z usb disku to neni takova tragedie.

boot boxy samozrejme startuji system ze sebe, podobne jako boot flaska. jen umoznuji po zapnuti vybrat z vice ruznych .iso, vyse jsou nejake odkazy.

boot z usb disku je samozrejme mnohem pomalejsi nez z pc. mozna se ti casem bude hodit puvodni 1tb disk z boxu nahradit ssd (mnohem vyssi iops).
zalezi na velikosti zalohovanych dokumentu, na cene ssd at se to vejde.
puvodni 1tb disk by pak slouzil jako obycejne usb.
ze nekdo neumi zformatovat disk: no muj problem to neni, nevim jak ty. ten box uz muze byt pripraven k pouziti, je u nej navod.
ano, je to bazarovy kousek, chapu. ale taky mozna posledni dostupny kus v republice. vratit to jde ve 14denni lhute.
novejsi s jinym ovladanim jsou iodd2541.

rozhodnuti je samozrejme na tobe.

jeste k siti:
no jak to ctu, bude lepsi kdyz na to zapomenes.
nemas ani zaklady windows kdyz neznas ruzne uzivatelske ucty a pristupova prava, nevis zrejme nic o mbr/gpt discich kdyz je formatovani problem.
nekomplikuj si zivot siti.

Nečetl jsem ta kvana textu, ale dám tip. Chránit data proti přepisu lze pomocí TrueCrypt. Předpokládám, že zpomalení bude nepozorovatelné. Stačí využít "pouze pro čtení". Vím, že to není odpověď na zadání dotazu. Přesto to dávám ke zvážení.

Maximalni ochrana?

Vcelku jednoducha vec: nekolik kombinovanych offline a online zaloh s kontrolnimi soucty, ktere navic neustale kontrolujes. Pokud to navic doplnis "vypalovacim" systemem, mas data dokonale ochranena.
(Vypalovaci system mohou byt media ruzneho typu, od ruznych CD, DVD, BR medii, po paskove jednotky, spolecne maji to, ze na ne lze zapsat pouze jednou. Pozor zase ale na spolehlivost nekterych jednozapisovych typu ulozist.

Stupen ochrany spis vychazi od dulezitosti chranenych dat, protoze s vyssi bezpecnosti prichazi take vyssi cena za zalohovani. Jine pozadavky tak budou na zalohovani digitalnich dat bezne domacnosti a jine bude mit vedecky pracovnik jaderneho vyzkumu.

Zpět do poradny Odpovědět na původní otázku Nahoru