Zabezpieczenia Veeam przed ransomware

Pierwsze kroki w ochronie twoich kopii zapasowych przed ransomware

Ransomware – koszmar każdego administratora. Gdy zdarzy się atak, każdy próbuje ukryć swoją winę. Administrator bezpieczeństwa wskazuje, że winnym jest administrator sieci który wpuścił wirusa do sieci firmowej. Administrator sieci wskazuje na administratora danych, który nie ustawił reguł i zasad bezpiecznego dostępu do zasobów. Administratorzy mogą się tak przepychać w nieskończoność, a firmie zależy na tym aby dane odzyskać. Na kim skupi się więc cała uwaga? Oczywiście na administratorze kopii zapasowych. Możesz posiadać wielu administratorów w swojej firmie, lecz gdy ransomware atakuje, administror kopii zapasowych staje w pierwszym szeregu i próbuje odzyskać dane jak najszybciej z jak najmniejsza stratą. Poniższe zalecenia pozwolą twojemu administratorowi danych wyjść ze starcia zwycięsko.

Zabezpiecz swoją konsolę zarządzania – Veeam Backup & Replication console

Zacznijmy od czynności, o których z reguły się nie myśli. Zabezpieczenie konsoli, zarządzającej oprogramowaniem do wykonywania kopii zapasowych. Zapewne pomyślałeś wcześniej nad zastosowaniem szyfrowania kopii zapasowych czy nawet odpięciem od domeny całego serwera Veeam oraz jego repozytoriów. Niestety to nie są wystarczające kroki. Poza tym, sprawiają duże problemy w zarządzaniu – przecież każdy administrator domeny pragnie mieć dostęp wszędzie bez zastanawiania się jakie było ustawione hasło na konkretny serwer znajdujący się poza domeną. Chciałbym się wami podzielić kilkoma wskazówkami, które pomogą zabezpieczyć Wasz serwer Veeam, jednocześnie nie utrudniając życia administratorom.

Rozdziel konta użytkowników oraz polityki nadawania haseł

Użytkownik, który otwiera konsolę zarzadzania Veeam, musi być lokalnym administratorem, lecz nie musi być nim każdy lokalny administrator. Domyślnie, konsola Veeam jest skonfigurowana tak, aby wpuścić każdego, kto znajduje się w grupie lokalnych administratorów. Domyślnie, maszyny z Windowsem dodane do domeny, dodają administratorów domeny do grupy lokalnych administratorów. Jest to pomocne przy instalacji Veeama, gdy musimy nasze oprogramowanie wstępnie skonfigurować. Kolejnym krokiem po instalacji oraz wstępnej konfiguracji powinno być zawsze podjęcie decyzji, kto powinien mieć dostęp do konsoli i dlaczego. Oprogramowanie Veeam posiada kilka domyślnych ról użytkowników w zależności od tego, co mają oni w tym oprogramowaniu robić. Należy też pomyśleć nad poprawną polityką dotyczącą przetrzymywania i generowania haseł, w szczególności w przypadku gdy zwalnia się jeden z pracowników i trzeba zmienić hasła.

Przydziel odpowiednim użytkownikom, odpowiednie role

Mamy pięć, różnych ról, które mogą zostać przydzielone dowolnym użytkownikom lub grupom: restore operator, backup viewer, backup operator, tape operator i backup administrator. Restore operator – pozwala użytkownikom na odtwarzanie danych z kopii zapasowych lub gotowych replik. Backup viewer – może jedynie podglądać wykonywanie się kopii zapasowych, lecz nie może niczego odtwarzać. Backup operator – może uruchamiać i zatrzymywać utworozne wcześniej zadania kopii zapasowej, może również utworzyć zadanie Veeam ZIP. Tape operator – może wykonywać wszelkie operacje związane z obsługa taśm. Backup administrator ma dostęp do wszystkiego i może on przeprowadzić dowolną operację w oprogramownaiu Veeam, dlatego tak ważne jest aby ograniczyć ilość osób, które mają dostęp do tej roli.

Role pozwalają na podział obowiązków oraz ograniczenie dostępu użytkownikom, którzy tych dostępów nie potrzebują. Jeśli masz pracownika, który zajmuje się tylko wynoszeniem taśm z kopiami zapasowymi i chowaniem ich w sejfie lub innej lokalizacji to najlepiej takiemu pracownikowi nie dawać dostępu do modyfikowania zadań lub odtwarzania wrażliwych danych firmy. Wszystko co mu potrzebne otrzyma po dodaniu go do grupy tape operator. Backup viewer może się przydać gdy mamy zewnętrzny audyt bezpieczeństwa i chcemy dać dostęp audytorowi aby mógł podejrzeć wykonywanie się zadań kopii zapasowej. Pamiętaj aby nie przydzielać ról Veeama do domyślnych kont administratorskich windowsa, ponieważ do takich kont może mieć dostęp kilka osób jednocześnie i nie będziemy w stanie w przyszłości ustalić, który z naszych pracowników dokonał zmian lub przeprowadził nieautoryzowane odtwarzanie.

Aby dokonać zmian i przypisać role konkretnym użytkownikom, w głównym menu oprogramowania Veeam szukamy pozycji Users and Roles.

Zalety lokalnych kont usługowych

Zapewne sami zastanawiacie się czy dodać odpowiedni serwer do domeny czy nie. Jeśli chodzi o oprogramowanie Veeam Backup & Replication, generalnie nie ma znaczenia czy znajduje się on w domenie czy poza nią. Jednak, jeśli już po instalacji postanawiasz dodać lub usunąć go z domeny, to musisz wykonać pewne dodatkowe czynności. Pliki konfiguracyjne Veeam znajdują się również w rejestrze, dlatego gdy dodamy lub usuniemy go z domeny co wiąże się z automatyczną zamianą nazwy serwera, musimy wtedy te pliki rejestru poprawić ręcznie.

Zalety podłączenia serwera Veeam do domeny to między innymi: scentralizowany punkt zarzadzania dostępami – Active Directory, łatwość nadawania dostępów poprzez przypisywanie użytkowników do poszczególnych grup, dostęp do zasobów domenowych bez konieczności podawania dodatkowych haseł oraz szybkie usuwanie starych kont po pracownikach, którzy już u nas nie pracują. Dodanie serwera Veeam do domeny na pewno ułatwi życie naszym administratorom jednak są pewne wady takiego rozwiązania. Główną i najważniejszą z nich jest to, iż konta domenowe mogą mieć dostęp do wielu zasobów jednocześnie, co ułatwia rozprzestrzenianie się oprogramowania ransomware w firmie gdy dane takiego konta zostaną przez nie uzyskane. Można temu zapobiec poprzez częsta zmianę haseł, dzięki stosowaniu odpowiednio bezpiecznych haseł oraz poprzez stosowanie polityki ograniczonego dostępu (dawanie użytkownikom dostępów tylko do rzeczy z których rzeczywiście korzystają). Pamiętaj że dodanie serwera Veeam do domeny nie musi oznaczać że stosujemy te same konto domenowe do dostępu do repozytoriów. Zastosowanie lokalnych kont usługowych jako jedynej drogi dostępu do danych pozwoli zabezpieczyć tobie twoje kopie zapasowe przed atakiem ransomware.

Granularnie przydzielaj odpowiedzialność

Veeam serwer posiada dodatkową webową konsolę do zarzadzania zwaną Veeam Backup Enterprise Manager. Konsola ta posiada trzy role, które można przypisać użytkownikom: portal administrator, portal user oraz restore operator. Portal administrator ma pełny dostęp do wszystkich sekcji związanych z naszym serwerem Veeam w portalu. Portal user ma dostęp tylko do konkretnych maszyn mu przydzielonych, które mają być zabezpieczone i może na nich przeprowadzać operację tworzenia kopii zapasowej oraz odtwarzania. Restore operator może tylko odtwarzać z konkretnych przydzielonych mu maszyn. Główna zaletą przydzielania dostępu użytkownikom poprzez ten portal, jest to, że nie mają oni dostępu do infrastruktury a mogą tylko tworzyć i odtwarzać kopie zapasowe z konkretnych przydzielonych im maszyn. Można więc dawać dostępy nie martwiąc się o to że osoba z działu x będzie miała wpływ na kopie zapasowe działu y. Taka forma przydzielania dostępów zabezpiecza nam dodatkowo serwer Veeam przed nieautoryzowanym dostępem i zmianami. Im bardziej szczegółowo nadamy dostępy tym lepiej będziemy chronieni przed ramsomware.

Konkluzja

Ograniczając liczbę użytkowników, którzy mają dostęp do naszego serwera Veeam, ograniczamy ilość różnych dróg, którymi ransomware lub inne szkodliwe oprogramowanie, może się dostać do naszych zasobów. Dywersyfikując rodzaje poświadczeń, które mają dostęp do serwera Veeam i jego komponentów, może znacząco obniżyć ilość szkód jakie powstaną w przypadku upublicznienia jednego z takich poświadczeń. Kolejnym ważnym tematem będzie zasada 3-2-1, oraz dlaczego jest ona taka ważna w walce z ramsomware.

   Jarosław Damse

   IT System Engineer

  Tel. 61 665 7179, jarek_d@ht.poznan.pl

Hardsoft-Telekom © 2021Realizacja: Grupa TENSE

Ta strona korzysta z plików cookies.