Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
Tested by Grau Data Blocky for Veeam 2 5 0 Einfache Installation und Konfiguration Wirksamer Schutz von Backup-Repositories durch Filtertreiber Application Whitelisting und standardmäßig aktivierter Block-All-Policy Flexibel anwendbar auf komplette Laufwerke oder 1st-Level-Verzeichnisse Automatic-Whitelisting-Funktion erfasst Schreibzugriffe von allen Anwendungen Produkte Services www lanline de LANline 2 2022 11 der Zugriff nur einmalig gewährt sein soll Erfolgt innerhalb von 60 Sekunden keine Eingabe ist die Applikation geblockt Wenn ein Programm nur temporär Zugriff auf eine Datei erhalten soll ist die Option Grant zu wählen Mit Authorize Pid erhält der zughörige Anwendungsprozess den Schreibzugriff auf alle Dateien des Volumes bis dieser Prozess beendet ist Die Application Whitelist gilt immer global für alle geschützten Volumes und Verzeichnisse eines Servers Wir erstellten als ersten Test mit Notepad eine neue TXT-Datei und wählten als Speicherort das Veeam-Repository-Laufwerk Rdas wir zuvor als Access Controlled Volume konfiguriert hatten Nach kurzer Zeit erschien eine Popup-Warnmeldung dass Blocky for Veeam den Zugriff verhindert Nach Ablauf der 60 Sekunden erschien ein weiteres Fenster mit einer Access-Denied-Meldung Wir wiederholten nun diesen Vorgang wählten aber diesmal in der Request Table die den Zugriffsversuch von Notepad exe anzeigte die Option Whitelist Program Dadurch fügte Blocky das Notepad-Programm zur Liste der erlaubten Applikationen hinzu und wir konnten ab diesem Zeitpunkt Textdateien auf dem Repository-Volume mit Notepad speichern verändern und löschen Um die Veeam-Prozesse zur Whitelist hinzuzufügen richteten wir einen neuen Backup-Job für die Sicherung von drei Test-VMs ein und starteten die Datensicherung Gleichzeitig beobachteten wir in der Blocky-GUI die Request Table und fügten die zwei von Veeam benötigten Prozesse VeeamAgent exe und VeeamDeploymentSvc exe zur Application Whitelist hinzu Den Eintrag für Notepad exe entfernten wir wieder aus der Liste sodass nur noch Veeam Schreibrechte auf das Backup-Repository hatte Um sicherzugehen dass mit den zwei als vertrauenswürdig klassifizierten Veeam-Prozessen auch Restores fehlerfrei durchzuführen sind löschten wir die WS2019-VM aus dem vCenter Anschließend sicherten wir die VM aus dem Veeam-Backup an ihren ursprünglichen Speicherort zurück Der Restore verlief reibungslos und in der Request Table der Blocky-Konsole waren keine neuen Prozesse zu sehen die Schreibzugriffe ausführen wollten Am einfachsten lässt sich Blocky for Veeam mit Hilfe des Automatic-Whitelisting-Modus in Betrieb nehmen der für maximal 24 Stunden aktivierbar ist und dann von selbst wieder in den Block-Modus wechselt Der Mechanismus lässt alle Anwendungen auf das geschützte Volume zugreifen und fügt sie automatisch zur Whitelist hinzu Der Systemverwalter erhält damit einen genauen Überblick welche Programme das Laufwerk regelmäßig nutzen Dieses Verfahren ist nützlich wenn verschiedene Anwendungen auf ein Laufwerk zugreifen müssen Die nicht gewünschten Applikationen lassen sich anschließend aus der Whitelist löschen wodurch man den Zugriffsschutz passgenau einrichten kann Für den Schutz von Veeam-Repository-Laufwerken ist der automatische Modus nicht erforderlich weil in der Regel nur die zwei oben genannten Veeam-Prozesse in der Whitelist sein müssen Für den LANline-Test aktivierten wir das Automatic Whitelisting für eine Stunde Dann erstellten wir mit Wordpad eine neue Datei im RTF-Format und speicherten sie auf dem geschützten Repository-Laufwerk In der Blocky-Konsole konnten wir sehen dass wordpad exe automatisch zu den Trusted Applications hinzugefügt wurde Bei der Ausführung dieses Automatismus ist zu beachten dass er sofort beendet ist sobald man die Blocky-Konsole schließt Wenn ein Angreifer versucht eine vertrauenswürdige Anwendung zu manipulieren erkennt Blocky dies anhand des veränderten Fingerabdrucks und blockiert diese Applikation sofort In der Konsole markiert das Tool den kompromittierten Whitelist-Eintrag mit roter Farbe Unberechtigte Zugriffe sowie Modifizierungen an vertrauenswürdigen Anwendungen sind in einer Logdatei erfasst und der Systemverwalter erhält darüber auf Wunsch automatisch die Information per E-Mail Handelt es sich um eine aufgrund eines regulären Software-Updates erfolgte Änderung lässt sich der White list-Eintrag aktualisieren Dies hat die Erstellung eines neuen Fingerabdrucks zur Folge und die Applikation ist wieder als vertrauenswürdig eingestuft Die Software überwacht auch die Systemzeit und bekommt mit wenn ein Angreifer versucht die Zeit zurückzudrehen Sobald das Tool einen derartigen Manipulationsversuch erkennt stoppt es sofort alle Schreibzugriffe auf die geschützten Laufwerke auch die von Whitelist-Anwendungen Im Test versuchten wir den Schreibschutz des Repository-Laufwerks auszuhebeln indem wir den Blocky-Dienst stoppten auf Disabled setzten und den Server neu starteten Anschließend ließ sich die Blocky-GUI zwar noch öffnen jedoch nicht mehr bedienen Der Schreibzugriff auf das geschützte Laufwerk mit einer nicht vertrauenswürdigen Applikation war aber weiterhin geblockt weil der Filtertreiber von Blocky nach wie vor aktiv war Filtertreiber starten bereits vor dem eigentlichen Betriebssystem und lassen sich deshalb nur deaktivieren indem man die komplette zugehörige Applikation deinstalliert Für eine Deinstallation von Blocky muss man das beim Setup zugewiesene Admin-Passwort eingeben sodass dies für normale Benutzer nicht ohne weiteres möglich ist Mit Blocky for Veeam hat Grau Data einen schnell zu installierenden und einfach zu bedienenden Ransomware-Schutz für Backup-Repositories entwickelt die unter Windows laufen und lokale beziehungsweise direkt per SAN angebundene Laufwerke verwenden Im LANline-Test konnte die Kombination aus Filtertreiber und Application Whitelisting überzeugen Christoph Lange am