O Acronis Cyber Protect é a solução de backup mais comum em PME portuguesas que têm suporte de MSP ou IT interno — e é também uma das mais completas para protecção contra ransomware, porque integra backup com detecção comportamental no mesmo agente. A vantagem central em relação a soluções de backup puras: o Acronis pode detectar e parar um ataque de ransomware antes de cifrar os ficheiros, e recuperar automaticamente qualquer ficheiro que tenha sido alterado antes da detecção.
Este artigo cobre a configuração do Acronis Cyber Protect na versão on-premises (Management Server) e na versão Cloud (Acronis Cyber Protect Cloud), com foco nas funcionalidades anti-ransomware que frequentemente ficam por configurar numa instalação padrão.
Neste artigo
- Planos e arquitectura — on-premises vs. cloud
- Active Protection — detecção comportamental anti-ransomware
- Configurar Active Protection — definições essenciais
- Backup imutável — proteger os próprios backups
- Safe Recovery — restauro com scan anti-malware integrado
- Políticas de backup anti-ransomware — configuração recomendada
- Proteger o próprio agente Acronis contra desinstalação
- Alertas e resposta a detecções
- Cenários típicos de PME — configuração recomendada
- Checklist de configuração anti-ransomware
1. Planos e arquitectura — on-premises vs. cloud
O Acronis tem dois modelos de deployment para PME. A escolha afecta onde fica o Management Server e onde são armazenados os backups:
| Modelo | Management Server | Armazenamento de backup | Ideal para |
|---|---|---|---|
| On-premises | Servidor local ou VM na infra da organização | NAS/SAN local + Acronis Cloud (opcional) | PME com IT interno, controlo total dos dados, requisitos de residência de dados PT/EU |
| Cloud (Cyber Protect Cloud) | Gerido pelo Acronis ou pelo MSP — acesso via portal web | Acronis Cloud (datacenters EU/PT disponíveis) | PME sem IT interno, gerido por MSP, sem infraestrutura local de backup |
ℹ Agente — o componente comum a ambos os modelos
Em ambos os modelos, é instalado um Acronis Agent em cada máquina a proteger (Windows, macOS, Linux). Este agente é responsável pelo backup local, pela comunicação com o Management Server e — o mais importante — pela Active Protection em tempo real. O agente funciona de forma autónoma mesmo sem conectividade ao servidor de gestão.
2. Active Protection — detecção comportamental anti-ransomware
A Active Protection é o mecanismo central de defesa anti-ransomware do Acronis. Ao contrário de um antivírus tradicional baseado em assinaturas, a Active Protection usa análise comportamental com IA — monitoriza padrões de modificação de ficheiros em tempo real e bloqueia processos que exibem comportamento típico de ransomware, mesmo que a variante seja completamente desconhecida.
O que a Active Protection monitoriza
| Comportamento detectado | Acção do Active Protection |
|---|---|
| Processo a cifrar ficheiros em massa em curto intervalo de tempo | Bloqueia o processo imediatamente + alerta |
| Processo a modificar extensões de ficheiros para extensão desconhecida | Bloqueia + quarentena do processo |
| Tentativa de modificação ou eliminação de ficheiros de backup Acronis | Bloqueia + protecção do próprio backup |
| Acesso massivo a partilhas de rede com modificação de ficheiros | Protecção de network shares e NAS |
| Processos de crypto mining (uso indevido de CPU) | Bloqueia e alerta (crypto mining blocker) |
| Ficheiros alterados antes da detecção do processo malicioso | Recuperação automática a partir do último backup (se activado) |
✓ Vantagem crítica: A Active Protection protege também os próprios ficheiros de backup armazenados localmente. Um ransomware que tente cifrar o ficheiro .tib ou .tibx do Acronis é bloqueado imediatamente — mesmo que o ransomware tenha chegado com credenciais de administrador.
3. Configurar Active Protection — definições essenciais
Caminho (on-premises): Management Console → Protection plans → [plano] → Anti-malware protection → Active Protection
Caminho (cloud): cloud.acronis.com → Protection → Protection plans → [plano] → Anti-malware → Active Protection
| Definição | Estado recomendado | Nota |
|---|---|---|
| Anti-ransomware protection | ON | Activado por defeito — confirmar que está activo |
| Automatically recover files after blocking a process | ON | Por defeito está OFF — activar. Recupera automaticamente ficheiros alterados pelo processo bloqueado |
| Protect backup files from ransomware | ON | Protege ficheiros .tib/.tibx locais de modificação por processos externos |
| Protect network shares and NAS | ON | Monitoriza e protege partilhas de rede montadas — essencial para ambientes com servidor de ficheiros |
| Protect your computer from illicit crypto mining | ON | Bloqueia processos de mining que consomem recursos sem autorização |
| Anti-malware scanning | ON — Real-time | Scanning em tempo real de ficheiros; complementa a detecção comportamental |
| Scheduled scan | Semanal (domingo, 03:00) | Scan completo semanal para detecção de ameaças latentes em ficheiros existentes |
Whitelist de processos legítimos — evitar falsos positivos
Em ambientes com software de gestão documental, CRM ou ERP que modifica muitos ficheiros em curto período (ex: geração de relatórios, importação de dados), a Active Protection pode gerar falsos positivos. Para estes casos:
- Aceder a Protection → Active Protection → Exclusions / Trusted processes
- Adicionar o executável do processo legítimo ao whitelist (ex:
C:\Program Files\ERP\erp.exe) - Validar que o processo está assinado digitalmente pelo fabricante antes de adicionar ao whitelist
- Documentar todos os processos em whitelist com justificação — revisão semestral obrigatória
4. Backup imutável — proteger os próprios backups
Tal como no Azure Backup, o Acronis suporta backup imutável com armazenamento WORM. Uma vez gravado um recovery point, não pode ser alterado, eliminado ou sobrescrito antes do prazo de retenção configurado — mesmo por um administrador com credenciais totais.
| Tipo de imutabilidade | Onde disponível | Configuração |
|---|---|---|
| Acronis Cloud (imutabilidade nativa) | Backups guardados no Acronis Cloud | Activar em SETTINGS → System Settings → Imutable Storage → Enable Immutable storage |
| Acronis Cyber Infrastructure (on-premises WORM) | Backups em storage local com Acronis Cyber Infrastructure | Requer Acronis Cyber Infrastructure instalado — configurar WORM no Backup Gateway |
⚠ Backups locais em NAS standard NÃO são imutáveis: Se os backups estão num NAS acessível via SMB/NFS, um ransomware com acesso à rede pode cifrar também esses backups. A única protecção eficaz para backups locais é: (1) NAS com imutabilidade WORM nativa, (2) Acronis Cyber Infrastructure com WORM, ou (3) NAS em VLAN completamente isolada sem acesso dos clientes. A Active Protection do Acronis acrescenta uma camada, mas não substitui o isolamento físico ou lógico.
5. Safe Recovery — restauro com scan anti-malware integrado
Um dos erros mais comuns na recuperação pós-ransomware é restaurar uma imagem de backup que já contém o malware — ou o backdoor que o ransomware instalou dias antes de cifrar. O resultado é uma segunda infecção logo após o restauro.
O Safe Recovery do Acronis resolve este problema: antes de restaurar uma imagem de backup, faz scan anti-malware completo ao conteúdo do backup e sinaliza qualquer ameaça encontrada. O administrador decide se prossegue com o restauro, avança para um recovery point mais antigo ou limpa a ameaça antes de restaurar (disponível somente para Entire machine ou Disks/volumes backups Windows).
Caminho: Recovery → [seleccionar máquina] → Recover → Enable anti-malware scan before recovery
Procedimento de Safe Recovery após ataque de ransomware
- Identificar os recovery points disponíveis — listar por data e verificar quais antecedem o ataque (com base na cronologia do incidente)
- Seleccionar o recovery point mais recente anterior à data estimada de comprometimento inicial
- Activar Anti-malware scan before recovery — o Acronis faz scan ao conteúdo do backup antes de restaurar
- Se o scan detectar ameaças no recovery point seleccionado: recuar para um recovery point mais antigo e repetir
- Após encontrar um recovery point limpo, prosseguir com o restauro
- Após restauro: executar scan completo do sistema restaurado antes de reconectar à rede
- Aplicar todos os patches pendentes antes de reconectar
ℹ Forensic backup — preservar evidências: O Acronis suporta Forensic Backup que inclui um dump de memória RAM e logs do sistema no momento do backup. Em caso de incidente, estes dados são essenciais para a análise forense — permitem identificar processos em execução e actividade de rede no momento do backup. Activar em servidores críticos: Protection plan → Backup → Enable forensic data collection.
6. Políticas de backup anti-ransomware — configuração recomendada
A política de backup no Acronis tem de ser concebida assumindo que o ransomware pode ter um dwell time de dias ou semanas — período em que o atacante já está na rede mas ainda não activou a cifragem. A retenção adequada garante recovery points anteriores ao comprometimento.
| Parâmetro | Servidores críticos | Workstations | Razão |
|---|---|---|---|
| Tipo de backup | Entire machine (imagem completa) | Files & folders ou Entire machine | Imagem completa permite restauro bare-metal |
| Frequência | A cada 4 horas (incremental) | Diário (22:00, incremental) | Minimizar RPO em servidores transaccionais |
| Retenção diária | 30 dias | 14 dias | Cobre dwell time médio de ransomware (14–28 dias) |
| Retenção semanal | 12 semanas | 4 semanas | Ransomware com persistência mais longa |
| Retenção mensal | 12 meses | 3 meses | Conformidade NIS2, auditorias |
| Destino primário | NAS isolado na VLAN de backup | NAS isolado ou servidor local | Separação de rede impede acesso do ransomware |
| Destino secundário | Acronis Cloud (com imutabilidade) | Acronis Cloud | Cópia offsite; inviolável mesmo com infra local comprometida |
Configurar destino duplo (dual destination)
- No plano de backup, activar Backup replication ou definir dois destinos no campo Where to back up
- Destino 1: Network folder → caminho UNC do NAS (
\\nas-backup\acronis$) - Destino 2: Acronis Cloud Storage → seleccionar o tenant/customer
- Activar Enable immutability no destino cloud
- Definir retenção diferente por destino se necessário
7. Proteger o próprio agente Acronis contra desinstalação
Ransomware sofisticado como o LockBit 5.0 tenta desinstalar agentes de segurança antes de executar a cifragem. O Acronis Cyber Protect 16+ introduziu protecção nativa contra isto: a desinstalação e actualização do agente são bloqueadas por defeito e só podem ocorrer durante uma janela de manutenção definida pelo administrador.
Caminho: Settings → Agents → [agente] → Agent protection settings
| Definição | Valor recomendado |
|---|---|
| Block uninstallation | ON (activado por defeito no Cyber Protect 16+) |
| Allow uninstall/update only during maintenance window | ON |
| Maintenance window duration | 1–4 horas, em horário nocturno (ex: sábado, 02:00–06:00) |
8. Alertas e resposta a detecções
Uma detecção da Active Protection sem resposta adequada é uma oportunidade perdida de contenção precoce. Configurar alertas correctos é tão importante quanto a própria detecção.
Configurar notificações por email
Caminho: Settings → Email notifications → Add notification rule
- Ransomware detected → email imediato para equipa IT + responsável de cibersegurança
- Backup failed → email imediato para equipa IT
- Agent offline > 4 hours → email de alerta (agente pode ter sido desinstalado ou máquina comprometida)
- Backup not run for > 24 hours → email de alerta
Resposta imediata a uma detecção de ransomware
Quando o Acronis bloqueia um processo e gera um alerta de ransomware, é necessário agir imediatamente — não assumir que o blocking foi suficiente:
- Verificar o alerta no portal Acronis — identificar o processo bloqueado, a máquina afectada e os ficheiros envolvidos
- Isolar a máquina da rede imediatamente — mesmo que o Acronis tenha bloqueado o processo, pode haver outros processos maliciosos activos
- Verificar o processo bloqueado — não é um falso positivo? Confirmar com os utilizadores se estava a correr algo legítimo
- Verificar outras máquinas da rede — o ransomware pode já ter propagado; verificar alertas em todas as máquinas do mesmo segmento
- Se confirmado ataque: activar o Plano de Resposta a Ransomware — a Active Protection ganhou tempo mas o incidente tem de ser tratado na íntegra
9. Cenários típicos de PME portuguesa — configuração recomendada
10. Checklist de configuração anti-ransomware
| # | Tarefa | Prioridade |
|---|---|---|
| ☐ | Confirmar que o agente Acronis está instalado e activo em todos os endpoints e servidores | CRÍTICO |
| ☐ | Activar Anti-ransomware protection + Automatically recover files after blocking em todos os planos | CRÍTICO |
| ☐ | Activar Protect backup files from ransomware e Protect network shares and NAS | CRÍTICO |
| ☐ | Configurar destino de backup com pelo menos uma cópia em Acronis Cloud com imutabilidade activada | CRÍTICO |
| ☐ | Activar Safe Recovery (scan anti-malware antes do restauro) em todos os planos de recuperação | CRÍTICO |
| ☐ | Configurar alertas de email para detecção de ransomware, falha de backup e agente offline | CRÍTICO |
| ☐ | Verificar que a retenção diária é de pelo menos 30 dias nos servidores críticos | ALTA |
| ☐ | Activar Block agent uninstallation com janela de manutenção definida (Cyber Protect 16+) | ALTA |
| ☐ | Executar e documentar teste de restauro completo trimestralmente | ALTA |
| ☐ | Activar Forensic backup nos servidores mais críticos (DC, servidor de ficheiros, ERP) | NORMAL |
| ☐ | Rever e actualizar whitelist de processos confiantes semestralmente | NORMAL |
Artigos relacionados no kbase.pt
- Plano de Resposta a Ransomware: Guia para Empresas Portuguesas
- Backup com Microsoft Azure: Configurar Retenção e Restore Anti-Ransomware
- Isolamento de workstation comprometida: procedimento step-by-step
- Relatório de Incidente de Cibersegurança: template para CNPD/NIS2
- NIS2 em Portugal: Checklist Técnica para Sysadmins
