Skip to content
Menü schließen
Suche
MICROSOFT
IT-Lösungen vom Weltmarktführer
GREENBONE
IT-Schwachstellen erkennen und beseitigen
ARCTIC WOLF
24/7 Security Operations
ELO
Dokumentenmanagement und digitale Prozesse
Hewlett Packard Enterprise (HPE)
Smarte Lösungen für Datacenter und Netzwerk
EXTREME NETWORKS
Maximale Performance in LAN & WLAN
PALO ALTO
Sicherheit durch KI - Next-Generation Firewall
TERRA WORTMANN
IT-Komponenten und Cloud aus Deutschland
SOPHOS
Umfassende Cyber- und IT-Sicherheit
ZERTIFICON
Sichere Digitale Kommunikation für Business
VEEAM
Umfassende Daten - Resilienz. Datensicherung und Wiederherstellung
STARFACE
Software-basierte VoIP und Cloud-Telefonie
CITRIX
State-of-the-Art - Bereitstellung von Anwendungen, Desktops und Workspaces
NETSCALER
Die Plattform für konsistente Anwendungsbereitstellung und hochperformante Web-Anwendungen
HORNETSECURITY
Umfassende Sicherheit und Backup für Microsoft 365 - aus einer Hand
TENFOLD
Zugriffe und Berechtigungen elegant und nachhaltig verwalten

Verschaffen Sie sich einen Überblick über unsere branchenübergreifenden IT-Services für den Mittelstand.

Zur Übersicht
SYSTEM- UND SICHERHEITSPRÜFUNGEN / IT-CHECKS
IT-Prüfungen für höchste Sicherheit, Leistung und Business Continuity
IT SECURITY
Umfassende Beratung zum Schutz von Daten und Anwendungen.
MODERNISIERUNG IT-INFRASTRUKTUR
NETZWERKE
MODERN WORKPLACE
CLOUD

Verschaffen Sie sich einen Überblick über unsere Beratungsleistungen für den Mittelstand.

Zur Übersicht
HELPDESK & SUPPORT

IT SERVICE FÜR KMU

IT-Services speziell für kleine und mittelständische Unternehmen.
IT SECURITY
NETZWERK
CLOUD
DATA CENTER
WORKPLACE & ENDGERÄTE

Verschaffen Sie sich einen Überblick über unsere IT-Services für den Mittelstand.

Zur Übersicht
Navigation Menu Blog v2
Unser IT Blog
Bleiben Sie auf dem Laufenden und erhalten Sie neue Impulse.
Zum Blog
ARBEITEN BEI MICHAEL WESSEL
Navigation Menu Karriere
Jobs & Karriere
Aktuelle Stellenangebote
INFORMATIONEN & KONTAKT
Navigation Menu Ausbildung
Deine Ausbildung bei uns
Jetzt informieren
01-IT-Security-Check-_-Audit
08.20243 min Lesezeit

Die Absicherung der Veeam-Umgebung

Veeam-Umgebung richtig sichern | Blog
5:17

Die Datensicherungs-Lösung Backup and Replication von Veeam schützt täglich zuverlässig virtuelle und auch physikalische Infrastrukturen. Somit können nach einer Kompromittierung der Systeme diese schnell aus dem letzten Backup wiederhergestellt werden. Aber wie schützt man den Backup Server an sich vor einer Verschlüsselung oder dem Löschen von Restore Points?

Schutz des Veeam Backupservers vor Angriffen: Erste Schritte

Wenn der Backupserver auch Ziel des Angriffes geworden ist, hilft in den meisten Fällen nur noch der Restore von einem externen Medium wie Tape Laufwerk, Cloud Storage oder einem Backup Copy Ziel mit der "Immutable"-Funktionalität.

Man kann es aber dem Angreifer auch mit einfachen Mitteln erschweren an sein Ziel zu gelangen. In diesem Artikel möchte ich Ihnen aufzeigen, wie Sie mit kleinen Änderungen an Ihrer Veeam-Installation die Sicherheit der Umgebung erhöhen können.

 

Installieren Sie den Veeam Backup Server auf einem Windows Standalone-System. Für die Ausführung und Anmeldung an den zu sichernden Systemen muss der Backupserver nicht Mitglied einer Active Directory-Domain sein. Dies bietet den Vorteil, dass der Angreifer, nach erlangen eines administrativen Accounts, sich nicht auch auf dem Backup Server seine Schadsoftware verteilen kann.

So konfigurieren Sie Ihre ACLs für maximale Sicherheit

Wenn der Veeam Backupserver auch das Repository für die Datensicherungen bereitgestellt, sollten Sie die ACL’s für diesen Ordner anpassen. Sofern bei der Installation nichts anderes angegeben worden ist, laufen die Veeam-Dienste unter dem Systemaccount des Windows OS. Entfernen Sie alle File System-Berechtigungen außer Ihrem persönlichen Admin und dem Systemaccount. Mit einem kompromittierten Account ist es somit nicht möglich die Backup Files zu löschen oder zu verschlüsseln.

veeam-encryption

Verschlüsselung Ihrer Backup Jobs: Sicherheit durch Multiple Encryption Keys

Nutzen Sie die Encryption Funktion für die jeweiligen Backup Jobs. Richten Sie dies für das interne Configuration Backup der Veeam-Datenbank sowie auch für alle anderen Backup Jobs ein. Nutzen Sie ebenso mehrere Encryption Keys für die einzelnen Backup, Copy oder Tape Jobs. Hierdurch vermindern Sie das Risiko, dass der Hacker durch Datenklau Ihre Unternehmensdaten wiederherstellen kann.

Regelmäßige Updates und das 4-Augen-Prinzip in Veeam

Durch regelmäßige Aktualisierung Ihrer Veeam Backup & Replikation Software werden Sicherheitslücken geschlossen. Gleichzeitig werden auch neue Sicherheitsfunktionen mit eingeführt. Ab der Version 12.1.0.2131 wurde daher das 4-Augen-Prinzip etabliert. Diese Funktion bewirkt, dass sie z.B. bei einer Löschaktion erst von einem 2. Veeam-Administrator bestätigt wird, bevor die Operation durchgeführt wird. Diese Option dient nicht nur dem Schutz, dass ein Angreifer Zugangsrechte zum Veeam-System erlangt hat und sein Unwesen treibt, sondern auch der eigenen Sicherheit- um nicht aus Versehen durch Löschen von Backups SLA’s zu verletzten.

veeam-user-roles

Diese Four-Eyes-Authorization wird auf Operationen die in der Veeam-Console, über das PowerShell "Cmdlet", der Rest API oder dem Veeam Backup Enterprise Manager getätigt werden angewendet.

  • Löschen von Backup Dateien vom Repository oder der Configuration-Datenbank
  • Löschen von Unavailable Backups aus der Configuration Datenbank
  • Entfernen von Backup Repositories, Storage oder Service Provider in der Backup Infrastruktur
  • Operationen in der Dateiansicht
    • Ändern, Umbenennen oder Löschen von Dateien
    • Überschreiben von Dateien
    • Umbenennen oder Löschen von Ordnern
  • Hinzufügen, Aktualisieren und Löschen von User oder Usergruppen
  • Aktivieren und Deaktivieren der Multi-Faktor Authentication (MFA) von Usern oder Gruppen
  • Zurücksetzten von MFA für einen Benutzer
  • Aktivieren, Ändern oder Ausschalten des automatischen Logoff

 

Malware-Scanning und Bedrohungserkennung in Veeam Version 12.1

Ab der gleichen Veeam-Version wurde auch der Malware Scanner eingeführt. Dieser scannt die gesicherten Daten inline oder nachgelagert gegen eine interne Datenbank mit bekannten Malware Files und Endungen. Der Scanner schaut sich auch die Aktivitäten im Filesystem des zu sichernden Systems an. Sollten hier zu viele Daten gleichzeitig gelöscht oder verändert worden sein, welches ein Anzeichen auf einen Verschlüsselungstrojaner ist, wird ebenso eine Warnung generiert.

veeam-br

Im Filesystem des Backup Server kann in der dazugehörigen Logdatei nachgeschaut werden, welche Bedrohungen oder Bulk File-Löschungen auf dem zu sichernden Objekt gefunden worden sind.

veeam-client

Tipp: Best Practices zur Absicherung Ihrer Veeam-Backup-Infrastruktur

Dies sind nur einige Punkte wie Sie Ihre Veeam-Backup-Infrastruktur schützen und absichern können. Noch mehr Möglichkeiten der Härtung Ihrer Veeam Umgebung bekommen Sie bei uns oder im Introduction - Veeam Backup & Replication Security Best Practice Guide sowie in der entsprechenden Veeam Technical Documentation des Helpcenters.

Sprechen Sie uns gern an. Unser Vertriebsteam und unsere Techniker stehen Ihnen mit Rat und Tat zur Seite.

Thomas Pein

IT-Consultant
... zuständig für die Konzeptionierung und Umsetzung Ihrer Backup Projekte OnPrem und/oder in der Azure Cloud sowie Optimierung und Troubleshooting Ihrer vorhandenen Backup- und Storage-Infrastruktur.

KOMMENTARE

VERWANDTE ARTIKEL

09.20245 min Lesezeit

MDR im Vergleich: Sophos und Arctic Wolf

Ob Sophos oder Arctic Wolf: MDR ist unerlässlich für Ihre Cybersecurity. Entdecken Sie, welche Lösung die passende für Ihr Unternehmen ist.
Mehr lesen
08.20244 min Lesezeit

Multifaktorauthentifizierung, jetzt! Microsoft setzt MFA ab dem 15. Oktober 2024 durch

Microsoft setzt ab 15. Oktober 2024 die MFA-Pflicht für alle Entra ID- und Cloud-Anwendungen durch. Unser Blogartikel über Konsequenzen und Strategien!
Mehr lesen
08.20241 min Lesezeit

Verbindungsprobleme bei Handscannern? Zebra-Scanner mit Extreme Networks!

Verbindungsprobleme adé: Extreme Networks für Handscanner von Zebra! Holen Sie sich die richtige Netzwerklösung für reibungslose Prozesse in der Logistik.
Mehr lesen