我有一个硬盘驱动器,我想迁移到 Windows Storage Spaces ReFS 文件系统以获得更好的 Windows 兼容性。显然,将所有数据复制到另一个磁盘并返回是最后的手段;那么,有没有更好的方法?
最近,我们的一位客户接受了另一家(第三方)IT 审计公司的 IT 网络审计。结果总体不错,尽管他们指出我们在 Windows Server 上使用 iSCSI 客户端作为连接 NAS 的一种方式,而不是在 NAS 上创建 SMB 共享。他们认为这是一个坏主意:
“iSCSI 和勒索软件攻击也存在安全风险,可能会对 iSCSI 磁盘进行非法加密,导致数据无法读取。从安全角度来看,建议停用这种数据共享方法并采用共享方法。”
他们这是什么意思?它是否指的是 iSCSI 在比 SMB (应用程序)更低的 OSI 层(会话)上运行,并且 iSCSI 磁盘以与本地连接磁盘相同的方式呈现给应用程序层,因此更容易妥协?
如果是这样,正确吗?
我不是安全取证专家,尽管我们的工作通常是取证性质的。我的理解是,勒索软件攻击给定 Win 机器可访问的 SMB 共享上的数据的可能性与攻击 iSCSI 磁盘的可能性一样。
我的理解是正确的,还是我错过了什么?
问题的附加背景
CHAP 密码是在 iSCSI 服务器上设置的,所以我认为他们提出的观点与安装了 iSCSI 客户端的 Win 服务器的妥协有关。
只连接了一个 iSCSI 客户端,并且采用了非常强大的“网络卫生”来确保此密码在任何时候都不会输入到网络上或网络外的任何其他服务器或机器中。
通常,我们倾向于坚持使用 iSCSI 来使 NAS 磁盘可用于 Windows Server 我们发现,当 Windows 处理文件系统时,DACL 中的高级访问控制条目 (ACE) 没有任何问题。例如,QNAP 的实施过去在 ACE 排序方面存在问题,这可能是有问题的。我们还发现了在子对象上设置 CONTAINER_INHERIT_ACE 的错误(已传达给 QNAP,但至今仍未解决)。这一点与这个问题并不严格相关,但为我们为什么更喜欢 iSCSI 提供了一些背景信息。
与我的上述观点相反,在这个特定客户的情况下,有问题的 iSCSI 附加磁盘使用 ReFS 进行格式化,因为它用作 Veeam 备份存储。尽管技术上没有要求,但出于性能原因,Veeam 建议使用 ReFS 而不是 NTFS,因此我们倾向于使用此选项。(这是一篇很好的文章,解释了用于备份的 ReFS 与 NTFS。)这些收益只有在我们使用 iSCSI 时才有可能,而不是在我们将 NAS 移动到 SMB 时。
我已经阅读了一些关于这个主题的内容,并且找不到任何支持证据表明 iSCSI 比通过网络共享连接更容易受到勒索软件的影响,但我仍然持开放态度。
似乎有很多关于微软在 Windows Server 2019 中向 ReFS 添加缺失功能的议论。磁盘压缩现在可用吗?如果是这样,它是否与重复数据删除结合使用?
)
我找不到任何关于此的真实信息:-DI 拥有 Windows Server 2019,其中一个存储池由两个 HDD 和两个具有分层和镜像功能的 SSD 组成。在那上面有一个运行 ReFS 的卷。
如何检查 ReFS 分层是否正常工作以及是否可以手动设置层?
一段时间以来,我一直计划在我们的基础架构中运行 ReFS,但现在似乎有机会。所以在我开始深入配置测试环境之前,当我去抓 DiskMon、ProcMon 和 Iometer 时,
我想知道是否已经有一些报告可以提供一些见解,我主要担心的是:
- 是否可以将其用作 CSV?
- 它在读取多数环境中的表现如何?
- 站点之间的复制是否有任何已知的最佳配置?
- 激活 FileIntegrity 有什么缺点/好处吗?
任何帮助将不胜感激!