NAKIVO > Blog > Multiplatform

如何利用 NAKIVO 的惡意軟體掃描功能保護備份免受勒索軟體侵害

Updated: 22 6 月, 2026

撰文:: NAKIVO 團隊

備份已成為勒索軟體的主要攻擊目標。駭客透過阻止企業自行恢復資料,以此確保企業支付贖金。透過 NAKIVO Backup & Replication,您將獲得多項特點(例如不可變備份目標),以確保備份一旦建立,便不會因新的勒索軟體感染而遭到感染或損毀。然而,您該如何防止可能潛伏在生產環境中的既有惡意軟體感染,擴散至您的備份中?

勒索軟體可能相當複雜,在感染機器後,它可能會處於休眠狀態,直到被激活以破壞資料。 當備份受延遲加密型勒索軟體感染的虛擬或實體機器時,惡意軟體可能會在備份中保持休眠狀態。若日後還原受感染的備份,勒索軟體可能再次啟動,並隨時間推移開始加密程序。此情境可能導致系統再次受感染,並使新還原的資料遭到加密,對基礎架構的完整性構成重大風險。

在這篇文章中,我們將說明兩種使用"備份惡意軟體掃描"功能的方法 NAKIVO Backup & Replication 以確保您建立的備份檔案完整無誤,並能隨時順利進行還原。

觀看解決方案的實際運作

觀看解決方案的實際運作

立即預約任何特點的專屬示範,讓您迅速上手。我們的工程師隨時為您提供協助,並解答您可能有的任何疑問。

預約免費試用

NAKIVO 針對勒索軟體還原的最佳實踐

NAKIVO Backup & Replication 協助您確保在不同位置備有足夠的關鍵資料副本,以便在發生任何事故後成功還原。

以下是針對勒索軟體還原的一些最佳實踐:

  • Applying the 3-2-1 backup strategy. 請定期建立備份,以確保您至少擁有三份資料副本。其中至少兩份副本必須儲存於兩種不同的儲存媒體上,且至少有一份副本必須存放於異地。制定適當的保留政策,例如使用 祖父-父親-兒子 此保留方案將確保您擁有足夠的還原點,以便在基礎架構遭受勒索軟體攻擊時,能選擇一份未受感染的副本。
  • Immutability. 將其中一份備份複製儲存於 不可變儲存 或空間隔離儲存。具備不可變性的儲存方案可讓您僅需建立一次備份,此後即無法編輯或刪除資料,從而防止勒索軟體進行篡改。空間隔離儲存則是一種在完成備份寫入後即與外部物理斷開的儲存媒介,可確保勒索軟體無法實體存取這些資料。 NAKIVO Backup & Replication 支援多個不可變目標.
  • Backup and antivirus software integration. 您應為實體與虛擬機器啟用防毒軟體的威脅偵測功能。防毒軟體能偵測並刪除大多數類型的病毒。此外,您還應透過將防毒軟體與備份解決方案整合,為備份啟用威脅偵測功能,以確保備份檔案乾淨無虞,從而實現無虞的還原作業。您可使用"備份惡意軟體掃描"功能 NAKIVO Backup & Replication 整合防毒功能,並對備份檔案進行惡意軟體掃描。
  • Replication and DR. 使用複製功能,無論是定期的還是 即時複製,用於故障移轉和完整 站點還原 萬一勒索軟體導致您的基礎設施癱瘓,您需要改在其他位置重新啟動設備時。

透過 NAKIVO 的備份惡意軟體掃描功能,確保備份安全無虞

備份惡意軟體掃描特點 在 NAKIVO Backup & Replication 讓您能夠整合防毒軟體,並對備份檔案進行惡意軟體掃描。

NAKIVO 備份惡意軟體掃描的功能原理

實體或虛擬機器的磁碟會直接從備份中以虛擬磁碟的形式呈現。接著,這些虛擬磁碟會在選定的超管理程式伺服器上啟動,例如 ESXi 主機、Hyper-V、Nutanix、Linux/Windows 機器以及 VMware Cloud Director。

若為 ESXi 主機,虛擬磁碟會作為 iSCSI 目標連接至 ESXi 主機上的臨時虛擬機器。 虛擬機器的虛擬磁碟同樣會作為 iSCSI 目標連接至掃描伺服器。因此,運行於掃描伺服器上的防毒軟體便能掃描已掛載為 iSCSI 目標的磁碟/卷宗,其運作方式類似於防毒軟體掃描本機磁碟。

以下是此特點正常運作所需滿足的幾項需求:

  • iSCSI 發起者服務必須在掃描伺服器上執行。
  • 一個 代理人 已安裝於掃描伺服器上,以便將其與所需的 NAKIVO Backup & Replication 元件。

註:傳送器 已安裝在該機器上,並使用 備份儲存庫 預設情況下,可作為掃描伺服器來掃描此備份儲存庫中的備份。若在存放備份儲存庫的機器上已安裝防毒軟體,即可使用此預設選項。

您可查看完整的清單 系統需求與支援的防毒軟體 軟體。

本操作指南所使用的環境

此特點可在建立備份後立即使用,以便日後需要快速還原物件或機器時節省時間;或者在還原前執行,以確保還原點未受感染。

我們將在下方針對這兩種情境提供工作流程,並在我們的環境中使用以下設定:

  • NAKIVO Backup & Replication v.10.11 VA (virtual appliance):192.168.101.211
  • 配備防毒軟體的掃描伺服器:Windows 10 x64 (192.168.101.225)
  • 已於掃描伺服器上安裝 ESET NOD 32 防毒軟體 v.16
  • ESXi 7.0:192.168.101.201
  • ESXi 7.0:192.168.101.202(兩台 ESXi 主機均已新增至清單中)
  • 運行於 ESXi 7.0 上的 Windows 虛擬機器
  • 位於備份儲存庫中的 Windows 虛擬機器備份 NAKIVO Backup & Replication

已排定每日執行一次備份工作。

我們以預設設定在試用模式下安裝了防毒軟體。

註: NAKIVO 不提供防毒軟體的授權。您應使用試用金鑰,或自行購買防毒軟體授權。

新增掃描伺服器

NAKIVO Backup & Replication 支援透過網路存取的掃描伺服器上所安裝的防毒軟體進行備份掃描:

  • 掃描伺服器可以是運行防毒軟體的 Windows 或 Linux 實體或虛擬機器。掃描伺服器支援 Linux 和 Windows 作業系統的客戶端及伺服器版本。
  • 掃描伺服器必須能夠與 NAKIVO Backup & Replication.

註: 建議您使用運行於 Linux 系統上的掃描伺服器來掃描 Linux 備份,並使用運行於 Windows 系統上的掃描伺服器來掃描 Windows 備份。在一般使用情境下,Linux 掃描伺服器也能掃描 Windows 備份。然而,關鍵在於掃描伺服器的作業系統必須能夠識別備份目標機器的檔案系統。

接下來,我們將先在 NAKIVO 解決方案的網頁介面中,將掃描伺服器新增至清單中。

  1. 前往 Settings > Inventory,請點擊 圖示,然後點擊 Scan Servers.

    Adding a scan server in NAKIVO Backup & Replication

  2. 請輸入您要新增的掃描伺服器的參數:
    • 顯示名稱: ScanServer01
    • 平台: WindowsLinux – 這是安裝了防毒軟體的電腦所使用的作業系統
    • 主機名稱或 IP 位址: 請輸入掃描伺服器的主機名稱或 IP 位址
    • 憑證類型: 密碼(或私鑰)
    • 使用者名稱: 一個具備足夠權限的使用者帳戶,例如系統管理員
    • 密碼: 此使用者帳戶的密碼

    設定最大負載,也就是 最大同時執行任務數.

    輸入完掃描伺服器的所有需求參數後,請按 Test connection.

    如果掃描伺服器上未啟動 iSCSI 發起者服務,系統會顯示如下所示的訊息,告知您此情況。

    Adding a new scan server and connection test

  3. 要在 Windows 電腦上啟動 iSCSI 發起者服務:
    • 按下 Win+R,然後在"執行"對話方塊中輸入 compmgmt.msc,然後按下 Enter 鍵。
    • 前往 Services and Applications > Services,然後導航至 Microsoft iSCSI initiator service. 您可以手動啟動此服務一次,或將其設定為在 Windows 啟動後自動啟動。
  4. 右鍵點擊 Microsoft iSCSI initiator service 並點擊 Properties.

    Starting the iSCSI initiator service on the scan server (Windows 10)

  5. 在服務屬性視窗中,將啟動類型設定為 Automatic 然後點擊 Start. 然後按下 OK 以儲存設定。

    Starting iSCSI initiator on Windows 10 in automatic mode

  6. 返回 NAKIVO Backup & Replication 然後點擊 Test Connection 再次。現在連線測試應該會成功。點擊 Add 完成新增掃描伺服器的設定。

    註: 如果測試失敗,請確認防火牆未阻擋網路連線,並確保您已滿足所有需求。

    A connection with a scan server has been tested successfully

  7. 新的掃描伺服器現已顯示在掃描伺服器清單中。您可以在網頁介面中關閉此視窗。

    A scan server has been added

新增掃描伺服器後,即可設定惡意軟體的備份掃描。

在還原前對備份進行惡意軟體掃描

您可以在 NAKIVO Backup & Replication 在執行以下類型的備份工作還原之前:

  • VMware vSphere 虛擬機器
  • Microsoft Hyper-V 虛擬機器
  • Nutanix AHV 虛擬機器
  • VMware Cloud Director
  • 實體機器
  • 快閃開機
  • 通用物件

在此範例中,我們使用 Flash VM 啟動工作來執行還原前的惡意軟體掃描:

  1. 前往 Jobs 然後選取包含您要檢查病毒和惡意軟體之機器備份的備份工作。在我們的情況下,這是 VMware Windows 虛擬機器備份工作.
  2. 選取備份工作後,請按一下 Recover,然後在還原選單中,按下 Flash boot for VMware.

    Adding a new Flash VM boot job for a VMware VM

適用於 VMware 的新版 Flash 開機工作精靈 開啟:

  1. Backups. 從所需的備份工作項目中,選取您要進行病毒掃描的備份。您可以選取多個備份。我們選取 Windows 虛擬機器,這是我們備份系統中唯一有備份的機器。點擊 Next 在精靈的每個步驟中,請點擊"繼續"。

    Selecting a backup of a VMware VM for a flash VM boot job with a malware scan

  2. Destination. 選擇要執行此臨時虛擬機的位置,並將來自備份的虛擬磁碟連接至該位置。目標選項包括 ESXi 主機、ESXi 資料存放區、虛擬網路,以及虛擬機資料夾(可選)。所選的 ESXi 主機已新增至 NAKIVO 清單中。

    Selecting a destination ESXi host to run a temporary VM

  3. Schedule. 設定排程,或選擇按需執行此 Flash VM 啟動工作。由於我們希望在還原前先對備份進行病毒掃描,因此選擇按需執行此工作。

    Selecting scheduling options for a Flash VM boot job

  4. Options. 設定 Flash VM 啟動工作選項。
    • 請輸入工作名稱。
    • 關於 Malware detection 選項,點擊 Enabled.

    在隨後出現的彈出視窗中,請選擇惡意軟體偵測設定:

    • 掃描伺服器: 請選擇先前已新增至清單中的掃描伺服器。
    • 掃描類型: Deep scanquick scan. 快速掃描用於掃描作業系統磁碟(分割區)上病毒通常會利用的標準位置。深度掃描則會掃描所有檔案。
    • 若偵測到惡意軟體,請選擇處理方式: 還原工作失敗繼續並恢復至隔離網路.
    • 設定掃描超時. 若超過設定的時間,則該工作將以失敗狀態終止。

    設定完成後,請點擊 Apply 以儲存此工作項目的惡意軟體偵測設定。

    然後點擊 Finish & Run 完成精靈設定,並執行包含惡意軟體掃描功能的 Flash VM Boot 工作。

    Enabling and configuring malware detection in options

  5. 選擇工作執行範圍,然後按下 Run.

    Running the Flash VM Boot job for all VMs

在 ESXi 主機上啟動的臨時虛擬機器中的每個虛擬磁碟,都會作為 iSCSI 目標公開,並掛載至掃描伺服器。

請等待臨時虛擬機器在 ESXi 主機上建立完成,並將虛擬磁碟掛載後,系統會對其進行惡意軟體與病毒掃描。

在下方的螢幕截圖中,您可以看到 Flash Boot 工作正在執行,且已發現 2 個問題。請點擊 2 個問題 點擊此處查看惡意軟體掃描的詳細資訊。

2 issues were found after scanning a backup for viruses

如我們所見,有兩項問題需要我們關注。點擊 View details 以顯示更多資訊。在對虛擬機器備份進行惡意軟體掃描後,防毒軟體發現了兩個可能可疑的檔案,並將其判定為惡意軟體。

The report of malware scan of the backup in NAKIVO Backup & Replication

請注意,"Flash VM Boot"工作不會自動停止。您必須在完成惡意軟體掃描並檢查防毒掃描報告後,手動停止此工作。

備份完成後立即掃描惡意軟體

若要在備份工作完成後自動執行惡意軟體掃描,您應使用該解決方案的 站點還原 功能:

  1. 前往 Jobs 在 NAKIVO Backup & Replication 網頁介面,點擊 + 要新增一份工作,請點擊 Site recovery.

    Adding a new site recovery job

  2. 新的"站點還原"工作精靈 開啟。在 Actions 步驟,點擊 Run Jobs 要加入 執行工作 將動作新增至站點還原工作的一系列動作中。

    Adding the Run Jobs action in a new site recovery job

  3. 選擇要執行的工作。選擇 VMware 惡意軟體掃描的工作 該項目是依照上一節所述的方式建立的。

    請選擇操作選項:

    • 在以下位置執行此動作: Run this action in both testing and production mode
    • 等待行為: Start next action immediately

    點擊 Save 儲存此站點還原工作項目,並繼續設定其他工作項目。

    Selecting a Flash VM boot job to run as the first action in the site recovery job

  4. 加入 Wait 此動作將作為第二個工作項目,在 Flash VM 啟動工作開始後立即執行。

    Adding the Wait action as the second action in the site recovery job

  5. 設定 請稍候 操作。請根據您在該環境中的經驗,設定一個等待時間,以估算掃描當前備份主機磁碟所需的時間。在本範例中,1 小時應已足夠。您應確保在停止執行惡意軟體掃描工作時,Flash VM 啟動前,掃描作業已有足夠時間完成。

    操作:

    • 在以下位置執行此動作: Run this action in both testing and production mode
    • 錯誤處理: Stop and fail the job if this action fails

    點擊 Save 然後回到新增站點還原動作的頁面。

    Configuring the Wait action in the site recovery job

  6. 點擊 Stop Jobs 以新增站點還原工作項目的第三個動作。

    Adding the Stop VMware VMs action

  7. 設定 停止僱用工作 操作。選擇 針對 VMware 虛擬機的快速啟動工作:惡意軟體掃描 (我們先前使用過的)。當掃描虛擬機器備份以檢查病毒的指定時間(由"等待"動作設定)結束(到期)後,必須停止"Flash VM 啟動"工作(此工作僅能由使用者直接停止,或透過站點還原的"停止"動作停止)。

    操作選項:

    • 在以下位置執行此動作: Run this action in both testing and production mode
    • 等待行為: Wait for this action to complete
    • 錯誤處理: Stop and fail the job if this action fails

    點擊 Save 以儲存此工作動作。

    Selecting a Flash VM boot job to stop

  8. 所有三項必要的站點還原工作項目已新增。點擊 Next 在"站點還原工作"精靈中,請繼續。

    All three actions for malware scan after making a backup are added to the site recovery job

  9. 由於沒有複製或故障移轉工作,您可以跳過網路對應步驟(網路)。同樣地,您可以跳過 Re-IP 步驟。
  10. 請在精靈的第 4 步設定測試排程。請使用 工作關連 排程選項,讓此站點還原工作能在備份工作完成後立即執行惡意軟體掃描。這表示,一旦虛擬機器備份完成,新建立的站點還原工作便會自動啟動。此操作將觸發已啟用惡意軟體掃描設定的 Flash 開機工作/動作。因此,惡意軟體掃描會自動開始。

    請為附表 1 選擇以下選項:

    • 執行另一項工作: VMware Windows 虛擬機器備份
    • 執行此工作: Immediately.
    • 請選擇 After successful 核取方塊。

    Configuring scheduling using job chaining to run the site recovery job right after a VM backup job

  11. 選項 步驟,輸入工作名稱,例如, 在虛擬機器備份後執行 SR 惡意軟體掃描.

    設定還原時間目標。此 RTO 值不得少於 請稍候 操作(即站點還原工作操作清單中的第二項操作)。由於此範例中掃描惡意軟體的等待時間為 60 分鐘,因此我們將此站點還原工作的 RTO 設定為 65 分鐘。此設定旨在避免因時間不足而無法完成站點還原工作的所有操作,從而導致工作失敗。

    點擊 Finish 儲存設定並關閉精靈。

    Configuring site recovery job options

現在,您可以啟動 Windows 虛擬機器備份工作,並了解工作自動化是如何運作的:

  1. Windows 虛擬機器備份工作已啟動。
  2. 虛擬機器備份工作一完成,即會啟動站點還原工作。此站點還原工作包含"Flash VM 啟動"工作。
  3. 包含惡意軟體掃描功能的 Flash VM 啟動工作,將作為站點還原工作的一部分啟動。
  4. 當設定的惡意軟體掃描時段結束時,所有工作都會停止。您可以檢查問題並查看防毒報告。

    Automatic scanning of backups for viruses after backup creation is working

在此範例中,我們說明了如何透過 NAKIVO 解決方案設定惡意軟體掃描,使其在每次備份工作完成後自動執行。您也可以在從備份還原實體與虛擬機器之前執行惡意軟體掃描,如下所示。

觀看解決方案的實際運作

觀看解決方案的實際運作

立即預約任何特點的專屬示範,讓您迅速上手。我們的工程師隨時為您提供協助,並解答您可能有的任何疑問。

預約免費試用

People also read

Picture
vSphere Web Client 出現「503 服務不可用」錯誤:該怎麼辦?
Picture
勒索軟體即服務(RaaS):企業必須了解的事項
Picture
VMware 虛擬機器效能問題的全面概述