Test: Blocky for Veeam 2.5.0 von Grau Data
Ransomware-Schutz für Veeam-Backups
Die Software Blocky for Veeam schützt Backup-Daten mit Hilfe eines Filtertreibers, der dafür sorgt, dass nur die in einer Whitelist enthaltenen Applikationen Dateien ändern dürfen. Im LANline-Test konnte das Werkzeug, entwickelt für Windows-Server mit NTFS- und ReFS-Dateisystemen, unter anderem durch eine einfache Handhabung überzeugen.
Ein wirksamer Schutz vor Ransomware-Angriffen ist angesichts der stark steigenden Zahl an Attacken für Unternehmen jeder Größe wichtig. Oft fokussieren die Angreifer auch Backup-Daten. Angesichts dieser Bedrohungslage erweitern viele Backup-Hersteller ihre Software um zusätzliche Mechanismen, um beispielsweise Ransomware-Angriffe mit Hilfe von Tools für die Erkennung von Anomalien frühzeitig feststellen zu können. Einen wirksamen Schutz bieten auch spezielle Worm-Speichersysteme, auf denen sich die Backup-Daten nicht mehr nachträglich verändern lassen.
Grau Data geht mit der Software Blocky einen etwas anderen Weg und hat für Backup-Server, die unter Windows laufen, einen Filtertreiber entwickelt, der sicherstellt, dass nur die vom Systemverantwortlichen explizit freigegebenen Anwendungen Daten auf den Backup-Repositories verändern dürfen. Voraussetzung für dieses Application Whitelisting ist, dass die zu schützenden Laufwerke lokal angebunden und mit NTFS oder ReFS formatiert sind. Über ein SAN per Fibre Channel oder iSCSI direkt an den Windows-Server angebundene Disks lassen sich ebenfalls unterstützen. Der Mechanismus aus Filtertreiber und Application Whitelisting kann auch die Datenlaufwerke von beliebigen Anwendungen schützen.
Mit Backup-Repositories und Verzeichnisfreigaben, die File-Server per SMB oder NFS bereitstellen, funktioniert Blocky dagegen nicht. Die Integrität der als vertrauenswürdig klassifizierten Anwendungen stellt Blocky mit Hilfe eines Fingerabdrucks fest, der sich aus verschiedenen Check-Summen und Hashes bildet. Blocky for Veeam installiert man auf dem Veeam-Repository-Server, dessen Backup-Volumes geschützt sein sollen. Es handelt sich um dieselbe Software wie bei dem Produkt Blocky4Backup, das man auch mit Backup-Lösungen von anderen Herstellern nutzen kann. Den Zusatz „for Veeam“ hat Grau Data angehängt, weil der Hersteller seine Lösung im Zusammenspiel mit Veeam ausführlich getestet hat.
Für den LANline-Test installierten wir auf einem virtuellen Windows Server 2019 die kostenfreie Veeam Community Edition. Der Veeam-Server lief auf einem VMware-vSphere-7-ESXi-Cluster und agierte als Backup- und Repository-Server. Das Setup von Blocky for Veeam war schnell abgeschlossen. Um den Zugriffsschutz für ein komplettes Volume scharfzuschalten, markiert man es und wählt mit der rechten Maustaste im Aufklappmenü den Befehl „Switch on Access Control“. Dadurch sind Schreibzugriffe von allen Applikationen standardmäßig unterbunden. Der Blockmechanismus lässt sich auch für einzelne Verzeichnisse im Root-Folder eines Volumes aktivieren.
Um den Zugriff von Anwendungen auf ein geschütztes Volume zu erlauben, bietet Blocky zwei Wege an. Das Tool zeigt in der Konsole in einer Request Table jede Anwendung an, die gerade versucht, Daten auf das Laufwerk zu schreiben. Der Systemverwalter kann in der Spalte Access über ein Aufklappmenü wählen, ob diese Anwendung zur Whitelist gehören oder ob der Zugriff nur einmalig gewährt sein soll. Erfolgt innerhalb von 60 Sekunden keine Eingabe, ist die Applikation geblockt. Wenn ein Programm nur temporär Zugriff auf eine Datei erhalten soll, ist die Option Grant zu wählen. Mit Authorize Pid erhält der zughörige Anwendungsprozess den Schreibzugriff auf alle Dateien des Volumes, bis dieser Prozess beendet ist. Die Application Whitelist gilt immer global für alle geschützten Volumes und Verzeichnisse eines Servers.
- Ransomware-Schutz für Veeam-Backups
- Testdurchlauf
Lesen Sie mehr zum Thema
