5 1 0: Blocky4sesam Konfiguration
Übersicht
Sicherungen sind ein Schlüsselbereich beim Schutz vor Ransomware in Unternehmen, da Cyber-Angriffe meist auf die Zerstörung von Sicherungsdaten abzielen. Mit Blocky4sesam entscheiden Sie sich für einen zuverlässigen Schutz Ihrer SEP sesam Sicherungen vor Ransomware - sicher, voll integriert und ohne übermäßigen Administrationsaufwand für Ihre Windows RDS Systeme.
Der Ransomware-Schutz basiert auf den bewährten Application-Whitelisting-Technologien von GRAU DATA (wie vom BSI empfohlen). Er ist speziell auf die Integration in SEP sesam Sicherungslösungen zugeschnitten und verhindert jegliche Veränderung der Daten ohne explizite Autorisierung. Um autorisierte Prozesse zu identifizieren, nutzt Blocky den Application Fingerprint. Unerlaubte Zugriffe werden ebenfalls protokolliert und an den Administrator gemeldet.
Voraussetzungen
- SEP sesam RDS V. 5.0.0 Jaglion oder höher.
- Es wird empfohlen, Blocky4Sesam auf einer RDS-Komponente ohne SEP sesam GUI einzurichten.
- Si3 NG läuft auf einer Java Plattform und benötigt eine Java Laufzeitumgebung. Die erforderliche Java-Version hängt von der SEP sesam Version ab. Für Details siehe Java-Kompatibilitätsmatrix, für Installationsanweisungen siehe Installation und Verwaltung von Java.
- Für die minimalen Si3-Hardwareanforderungen, die für den SEP sesam Si3 Deduplizierungsserver gelten, siehe Hardware Anforderungen.
- Für den Si3-NG-Datenspeicher ist eine zusätzliche Menge an RAM erforderlich. Details finden Sie unter Konfiguration des Si3 NG Deduplizierungsspeichers: Erforderliche zusätzliche Menge an RAM und CPU.
- Wenn Sie die maximale Größe für einen Si3 NG Deduplication Store abschätzen möchten, müssen Sie sicherstellen, dass auch genügend Platz für den Si3 Reparaturbereich vorhanden ist. Andernfalls hat der Si3 NG Deduplication Store zu wenig Platz für einen einwandfreien Betrieb. Der benötigte Speicherplatz sollte anhand der Größe eines FULL-Sicherungen aller erforderlichen Daten berechnet und um weitere 50% (dieser Datenmenge) vergrößert werden.
- Blocky4Backup erfordert die Installation der Windows GUI Komponente auf dem Windows Server.
Unterstützte Betriebssysteme und Dateisysteme
Blocky4sesam unterstützt die Dateisysteme NTFS und ReFS.
Die unterstützten Betriebssysteme sind:
- MS Windows Server 2012 R2 Standard & Enterprise Edition
- MS Windows Server 2016
- MS Windows Server 2019
- MS Windows Server 2022
Konfigurationsverfahren
Die Konfigurationsprozedur von Blocky4sesam besteht aus den folgenden allgemeinen Schritten:
- Installieren des Blocky4sesam Moduls.
- Vorbereiten des RDS System.
- Einrichten des SEP Si3 NG Deduplication Store auf dem von Blocky kontrollierten Volumen.
Sicherheitsüberlegungen
Ein ausreichender Schutz kann nur durch die Einhaltung der folgenden Sicherheitsempfehlungen erreicht werden:
- Deaktivieren Sie nach der Einrichtung den Fernzugriff auf das RDS-System. RDS sollte nur über eine lokale Konsole zugänglich sein.
- Schließen Sie alle irrelevanten Ports des RDS-Systems. Erwägen Sie die Verwendung erweiterter Netzwerksicherheit.
- Das RDS-System sollte nicht Mitglied einer Domäne sein.
- Öffnen Sie die Blocky-GUI nur, wenn Sie administrative Aufgaben durchführen (z. B. Lizenzierung oder Einrichtung). Schließen Sie die GUI sofort nach der Fertigstellung Ihrer Arbeit.
Weitere Informationen und zusätzliche Empfehlungen finden Sie unter Bewährte Praktiken zum Schutz vor Ransomware.
Installieren des Blocky4sesam Moduls
Installieren und konfigurieren Sie Ihren SEP sesam RDS. Laden Sie das Blocky4sesam Erweiterungsmodul vom SEP Download Center herunter, entpacken Sie das Installationspaket und installieren Sie Blocky4sesam.
Anmerkung | |
Das Dokument Blocky4BackupAdminGuide.pdf ist Teil des Installationspakets. Im Blocky4Backup Administration Guide finden Sie weitere Details zum Installationsvorgang. |
Wenn die Installation abgeschlossen ist, starten Sie die Blocky-GUI und richten das Passwort ein.
Vorbereiten des RDS Systems
Um die volle Funktionalität des SEP sesam Si3 NG Deduplication Store zu gewährleisten, muss der Java-Interpreter, der vom sds-Dienst von SEP sesam verwendet wird, für Blocky auf die Whitelist gesetzt werden.
Da andere Komponenten den Java-Interpreter verwenden könnten, sollte ein dedizierter Java-Interpreter nur für die Verwendung mit SEP sesam erstellt werden. Um die Sicherheit auf dem RDS-System zu erhöhen, muss der Zugriff auf den dedizierten Java-Interpreter eingeschränkt werden.
Um den SEP sesam RDS vorzubereiten und den Java-Interpreter zu konfigurieren:
- Führen Sie die <SESAM_VAR>\ini\sm_prof.ps1 als Administrator aus, um das PowerShell-Terminal mit dem sesam-Profil zu starten.
- Führe folgende Befehle aus:
>ini >$interpreter=(Get-Content sm.ini | findstr java_interpreter ).SubString(17) >$path_only=($interpreter.TrimEnd('\java.exe')) >copy $interpreter $path_only\sdsj.exe >echo $path_only
- Gehen Sie im Datei-Explorer zu dem Ordner, der den Befehl echo $path_only ausgibt.
- Klicken Sie mit der rechten Maustaste auf die Datei sdsj.exe und klicken Sie auf Eigenschaften.
- Auf dem Reiter Sicherheit klicken Sie auf Erweitert und dann auf Berechtigungen ändern.
- Klicken Sie auf Vererbung deaktivieren und wählen Sie dann die Option Vererbte Berechtigungen in explizite Berechtigungen für dieses Objekt konvertieren.
- Vergewissern Sie sich, dass der Benutzer SYSTEM Eigentümer der Dateien ist, und entfernen Sie dann alle Berechtigungseinträge mit Ausnahme des Eintrags für den Benutzer SYSTEM. Click OK.
- Melden sie sich in der Blocky GUI an und klicken sie in der Menüleiste Whitelisting und dann Whitelist Programs an. Navigieren Sie zum Speicherort der Datei sdsj.exe und fügen Sie sie der Whitelist hinzu.
- Öffnen sie die Konfigurationsdatein <SESAM_VAR>\ini\sm.ini mit dem Texteditor und ändern sie den java_interpreter Parameter in der Sektion [JAVA] von <JAVA_HOME>\java.exe zu <JAVA_HOME>\sdsj.exe. Beispielsweise:
Davor:[JAVA] java_interpreter=C:\Program Files\ojdkbuild\java-11-openjdk-11.0.15-1\bin\java.exe
Danach:
[JAVA] java_interpreter=C:\Program Files\ojdkbuild\java-11-openjdk-11.0.15-1\bin\sdsj.exe
- Starten sie den SEP sesam Service auf dem RDS Server.
Einrichten des SEP Si3 NG Deduplication Store auf dem von Blocky kontrollierten Volume
Um den Blocky-Datenspeicher im SEP sesam GUI einzurichten, legen Sie zunächst einen neuen SEP Si3 NG Deduplication Store an und erstellen dann einen dedizierten Medienpool mit der gewünschten Aufbewahrungsfrist:
- In Auswahl -> Komponenten klicken Sie auf Datenspeicher, um die Datenspeicher anzuzeigen.
- Wählen Sie im Menü Datenspeicher die Option Neuer Datenspeicher. Das Dialogfeld Neuer Datenspeicher wird geöffnet:
- Wählen Sie aus der Auswahlliste Speicherart den SEP Si3 NG Deduplication Store.
- Wählen Sie in der Auswahlliste Device Server den Blocky4sesam RDS für Ihren Datenspeicher aus.
- Geben Sie im Feld Pfad den Speicherort Ihres Blocky4sesam-Datenspeichers ein oder verwenden Sie die Schaltfläche Durchsuchen, um ihn auszuwählen. Klicken Sie auf OK.
- Klicken Sie unter Auswahl -> Medienpools auf Neuer Medienpool. Das Dialogfeld Neuer Medienpool wird geöffnet.
- Geben Sie den Namen, die Laufwerksgruppe und den Aufbewahrungszeit des Medienpools sowie weitere Felder nach Bedarf an.
- Klicken Sie im Datenspeicher-Inhaltsfenster mit der rechten Maustaste auf Ihren Blocky-Datenspeicher und dann auf Eigenschaften.
- Doppelklicken Sie in der Liste der Laufwerke auf das erste Laufwerk, um das Fenster Eigenschaften des Laufwerks zu öffnen.
- Im Feld Optionen geben Sie -o use_blocky ein. Diese Laufwerksoption ermöglicht es dem Deduplizierungsspeicher, in einem Blocky-kompatiblen Modus zu laufen und gewährleistet ein korrektes Verhalten während der Laufwerkskonfiguration. Klicken Sie auf OK.
- Führen Sie eine Testsicherung für Ihren neu erstellten Deduplizierungsspeicher durch. Weitere Details finden Sie unter Ausführen einer Testsicherung auf den Si3.
- Melden Sie sich in der Blocky GUI an und aktivieren Sie Access Control für das Volumen, auf dem sich Ihr neu erstellter SEP Si3 NG Deduplication Store befindet. Detaillierte Anweisungen finden Sie im Blocky4Backup Administration Guide.
Lizenzierung
Um Ihre Lizenz für das von Blocky kontrollierte Volumen zu aktivieren, auf dem Ihr Deduplizierungsspeicher läuft, sollten Sie eine Capacity-ID erhalten haben. Wenn Sie Blocky4Sesam für mehrere RDS-Server erworben haben, sollten Sie für jede erworbene Instanz eine Capacity-ID erhalten haben. In diesem Fall wiederholen Sie das folgende Verfahren für jeden Server und die entsprechende Capacity-ID.
- Starten Sie die Blocky GUI auf dem Blocky RDS und geben Sie Ihr Passwort ein.
- Klicken Sie in der oberen Menüleiste auf License und dann auf Request License.
- Wählen Sie im Popup-Fenster das Volumen, für das Sie Ihre Lizenz aktivieren möchten, und klicken Sie auf OK.
- Geben Sie Ihre Capacity-ID ein und klicken Sie auf OK.
- Folgen Sie dem Assistenten, um das Lizenzierungsverfahren abzuschließen. Weitere Einzelheiten finden Sie im Blocky4Backup Administration Guide.
Siehe auch
SEP Immutable Storage – SiS (Unveränderlicher Speicher) - Konfiguration eines Si3 Deduplication Store - Verschlüsselung des Si3 NG Deduplication Stores - Wie richte ich einen Remote Device Server (RDS) ein - Standard Sicherungsverfahren - Standard Rücksicherungsverfahren - Web Rücksicherungsassistent - Lizenzierung