FAQs
Lizenzierung
Wo kann ich Blocky for Veeam® kaufen?
Über ihren Systemhauspartner. Eine Liste der Partner finden sie auf der Webseite.
Auch wenn „Ihr“ Systemhauspartner noch nicht gelistet, wird er Sie dennoch sicher gern beim Schutz ihrer Veeam Umgebung unterstützen.
Ggfs. richten Sie sich über die Webseite an das Blocky for Veeam Team.
Was muss ich bei meinem Systemhaus bestellen, um meine Backup Volumes zu schützen?
Blocky wir im Abo-Lizenzmodell vertrieben und mit Ein-, Drei- und Fünfjahres-Lizenzen angeboten. Diese sollten innerhalb der kostenfreien 14-Tage-Trial Periode bestellt und installiert werden.
Für einzelne Volumes bis 25TB oder 50TB wird genau eine „Entry“-Lizenz benötigt.
Für mehrere zu schützende Repository Server Volumes bietet das „Enterprise“ Lizenzmodell Lizenzierungspakete bis 100TB, bis 250TB, bis 500TB, bis 1PB und >1PB an.
Wo wird die Lizenz installiert?
Für jedes zu schützende Volume wir ein Lizenzfile bereitgestellt und in der Blocky for Veeam GUI entsprechend zugewiesen. Dabei legt Blocky das Lizenzfile geschützt auf dem Volume ab.
Wie funktioniert die Lizenzierung?
Der Kunde erhält eine sogenannte „Cap-ID“ für jedes zu schützende Windows Volume.
Mit der Cap-ID kann unter „License-Management“ eine Volume-Lizenz bei support@graudata.com angefordert werden („Register License“). Der Lizenzschlüssel kann online generiert werden oder per E-Mail abgerufen und dann innerhalb weniger Tage zugesendet. In der GUI wird die Lizenz dann unter „License-Management“ – „Install“ einem bestimmten Volume-Laufwerksbuchstaben zugeordnet.
Danach kann der Schutz mit einem Rechtsklick auf den Laufwerksbuchstaben aktiviert werden. Das geschützte Volume wird im Verzeichnisbaum den „Access-Controlled Volumes“ zugeordnet. Der Schutz kann jederzeit temporär (für Volume-Wartung) oder komplett deaktiviert werden.
Was passiert, wenn die Lizenz abläuft?
Der Kunde erhält rechtzeitig (konfigurierbar) eine Benachrichtigung, dass die Lizenz abläuft.
Eine nachgekaufte Lizenz kann jederzeit registriert und dann installiert werden.
Möchten Sie die Lizenz für Blocky for Veeam nicht verlängern und stattdessen deinstallieren, starten sie das Unistall-Programm (z.B. über „Programme hinzufügen oder entfernen“ unter Verwendung des Blocky-Passworts).
Aus Sicherheitsgründen wird bei Ablauf einer Lizenz eines noch geschützten Volumes dieses auf Komplettschutz gestellt, also alle Änderungsanfragen abgelehnt.
Installation
Welche Veeam Programmversionen werden unterstützt?
Blocky ist mit allen bekannten Veeam-Versionen kompatibel.
Welche Windows Betriebssysteme werden unterstützt?
Blocky unterstützt Windows Server 2012, 2016 und 2019.
Bitte beachten Sie, dass nur Windows Server - Betriebssysteme unterstützt sind und z.B. die Schutzfunktion unter Windows 10 nicht funktioniert.
Warum heißt das zu installierende Programm Blocky4Backup statt Blocky for Veeam?
Die Blocky-Suite ist ein generische Schutzsoftware, welche ggfs. auch weitere Anwendungsszenarien schützen kann. Blocky4Backup ist speziell für Veeam-Umgebungen getestet und wird entsprechend gepflegt und weiterentwickelt.
Wie wirkt Blocky im Zusammenspiel mit Antivirus-Software?
Antivirus-Software sollte natürlich parallel zu Blocky auf dem Veeam Repository Server verwendet werden.
Um unnötige Antivirus-Benachrichtigungen zu vermeiden, sollte in der Antivirus-Software aus dem Echtzeitscan und der Verhaltensüberwachung der BlockyAccessCntrlSvc.exe im Ordner C:\Program Files\GrauData\Blocky ausgeschlossen werden.
Wie Installiere ich Blocky?
Blocky benötigt einen vollständigen Server Desktop zur Installation. Dort wird das Zip File entpackt und das Installationsprogramm mit der rechten Maustaste als Administrator gestartet.
Was muss ich nach Updates von Veeam oder Windows Server beachten?
Möglicherweise ändern sich die Executables der im Whitelisting aufgeführten Programme. Damit wird der sogenannte „Fingerprint“ der Anwendung ungültig und muss aktualisiert werden.
Die Programme mit nicht mehr aktuellen Fingerprints werden in der Whitelist farbig hinterlegt und müssen aktualisiert werden: Rechte Maustaste – „Update“. Damit wird der Fingerprint neu erstellt und das Programm ist wieder ausführbar.
Eine Benachrichtigung über ungültige Fingerprints per E-Mail an den Administrator lässt sich einfach einrichten: In der Liste der Notifications einen Eintrag am Ende hinzufügen (Rechte Maustaste – Insert) und den Event „Whitlelist Entry Invalid“ als E-Mail Notification eintragen.
Einrichten der Notifications
Blocky for Veeam sendet Benachrichtigungen per E-Mail (SMTP) an den Administrator und/oder weitere E-Mail Adressen, basierend auf Regeln zu Events und Statusänderungen. Weiterhin benachrichtigt Blocky in der GUI in der Status Area und sendet an den Windows application event log.
Blocky can send alert notifications to the Windows application event log, to email
recipients and to the Status Area of the Blocky4Backup GUI depending on certain rules.
Eventtypen sind:
• unauthorized access
• authorized access
• no license valid
• license will expire soon
• invalid whitelist entry
• internal error
Eine Benachrichtigung über ungültige Fingerprints per E-Mail an den Administrator lässt sich einfach einrichten: In der Liste der Notifications einen Eintrag am Ende hinzufügen (Rechte Maustaste – Insert) und den Event „Whitlelist Entry Invalid“ als E-Mail Notification eintragen.
Weitere Infos: Bitte lesen sie den Admin Guide (Teil des Programmdownload-Zip-File)
Veeam Upgrade zu Veeam V11 - Was muss ich für Blocky beachten?
Funktion
Was schützt Blocky for Veeam?
Üblicherweise sichern Veeam-Anwender ihr erstes Backup mit Blocky for Veeam ab. Im Falle eines Verschlüsselungsangriffs bleibt das Backup unversehrt und ermöglicht die schnelle Wiederherstellung der befallenen Server und Daten.
Die Dateien von weiteren Backups wie Veeam Backup Copy Jobs und Veeam Scale-Out Repositories lassen sich gleichermaßen mit Blocky for Veeam schützen.
Welche Volumes können geschützt werden?
Blocky schützt Windows NTFS oder ReFS Volumes, die mit einem Laufwerksbuchstaben im Windows Gerätemanager erscheinen.
Network-Attached-Storage (NAS Geräte) haben ihre eigene Sicherheitsumgebung und können über Blocky leider nicht zusätzlich geschützt werden.
Gibt es Einschränkungen zur Nutzung der geschützten Volumes?
Ja, diese Volumes dürfen nicht von weiteren Anwendungen genutzt werden, welche das Volume z.B. als Cache oder Dump oder Ähnliches verwenden. Diese Nutzung ist theoretisch möglich, die Funktion der weiteren Anwendung kann aber nicht garantiert werden, da das Blocky Whitelisting möglicherweise nicht alle zu der Anwendung gehörenden DLLs und deren Prozesse identifizieren und mit einem Fingerprint versehen kann.
Kann man auch das Laufwerk C: schützen?
Nein, das ist nicht möglich. Erklärung siehe oben.
Kann man nur Teile eines Volumes schützen?
Ja, die Aktivierung des Schutzes ist entweder für ein ganzes Volume oder für einzelne Verzeichnisse der ersten Verzeichnisebene des Volumes möglich. Damit können einzelne Verzeichnisse für andere Zwecke beschreibbar/änderbar gehalten werden.
Die erforderliche Volume-Lizenz bezieht sich allerdings immer auf die gesamte Kapazität des Volumes.
Wie benachrichtigt Blocky for Veeam, wenn unerlaubte Schreibversuche auf das geschützte Volume erfolgen?
Es gibt verschiedene Events, die zur Benachrichtigung des Administrators führen. Diese Benachrichtigungen sind konfigurierbar. Das Wichtigste dabei ist, das der Event „unauthorized access“ benachrichtigt wird.
Eine Eventbenachrichtigung kann per E-Mail, über Eintrag in den Blocky Log („Logging“ in der Monitoring Area) und den Windows Application Event Log erfolgen.
Welche Anwendungen muss ich für Veeam Vx in das Whitelisting aufnehmen?
Normalerweise werden die Anwendungen über „Automatic Whitelisting“ identifiziert. Nicht erwünschte Anwendungen werden ggfs. manuell entfernt, weitere hinzugenommen. Bei Veeam V10 sieht die Liste üblicherweise wir folgt aus, wobei der CatalogDataService oftmals nur wöchentlich startet und somit manuell zur automatisch erzeugten Liste hinzugefügt werden sollte. Ihr Systemhauspartner berät sie bei der individuellen Einrichtung ihres Veeam Repository Servers.
Wozu wird der „Fingerprint“ einer Anwendung genommen und was ist das?
Jede Anwendung, welche auf das geschützte Volume zugreifen darf, muss identifiziert und autorisiert werden. Dazu wird zu jeder Anwendung, den zughörigen Komponenten und den laufenden Prozessen ein SHA1 Hash-Wert hinterlegt und geprüft. Stimmt der Wert nicht überein, liegt eine gewollte oder ungewollte Änderung der Anwendung vor. Ungewollt weißt dann auf mögliche Malware-Aktivitäten hin. Gewollt ist z.B. ein Veeam Software-Update.
Was passiert, wenn der Blocky Serviceprozess geschlossen wird?
Blocky nutzt eine eigene Filtertechnologie zur Überwachung der Zugriffe auf die geschützten Volumes. Auch wenn die Blocky GUI beendet ist, läuft der Schutz wie eingerichtet.
Wird allerdings der zugehörige Service verändert oder geschlossen, schaltet der Filtertreiber auf Komplettschutz, lässt keine Veränderungen mehr zu und benachrichtigt den Administrator.
Was ist ein “Threshold Count 0” in den Notifications
Wiederkehrende Prozesse – ungültige Lizenz, ungültige Whitelist
Der Count gibt an, wie oft ein bestimmtes Ereignis eingetreten sein muss, damit eine Notifikation erfolgt. Die 0 war dafür gedacht, dass das Ereignis mindestens einmal aufgetreten sein muss und dann regelmäßig notifiziert im Abstand des "Threshold Time Intervall" wird. Sprich ein Ereignis welches dauerhaft besteht wie z.B. eine ungültige Lizenz oder ein ungültiger Whitelist Eintrag sollte darüber periodisch notifiziert werden können.
Das funktioniert aktuell aber nicht richtig was zur Folge hat, dass das Ereignis eben nicht nach x Minuten notifiziert wird, sondern erst wenn der Service auf das Vorliegen des Ereignisses neu prüft.
Im Fall der Lizenzen oder Whitelist Einträgen ist das entweder beim Neustart oder spätestens nach 24h. D.h. dann würde die Notifikation wieder getriggert.
Bei Count von 1 oder größer muss das Ereignis zuerst dem angegebenen Wert entsprechend oft auftreten (und zwar innerhalb der mit Intervall angegebenen Zeit), um einmalig die Notifikation auszulösen. Bei Ereignissen wie dem "unauthorized access" tritt das Ereignis dann u.U. mehrfach auf und wird dann auch immer wieder neu benachrichtigt, wenn die Count- und Intervall-Bedingung zutrifft.
Unsere Empfehlung ist daher (mit der aktuellen Software-Version), bei Ereignissen die einen Zustand abbilden, wie ungültige Lizenz, ungültige Whitelist, etc. den Count auf 0 zu setzen und das Intervall auf 1. Damit wird das Ereignis auf jeden Fall beim ersten Eintreten und spätestens bei der nächsten zyklischen Prüfung (ca. 24h, bzw. Neustart) notifiziert.
Bei Ereignissen die punktuell auftreten, wie ein "unauthorized access" ist ein Count-Wert von 1 oder größer anzusetzen, kombiniert mit einem entsprechenden Intervall, je nachdem wie schnell man die Notifikation möchte. Bei Count von 1 wäre das Intervall dann zwar unrelevant da ohnehin jedes Event notifiziert wird, aber bei Count größer 1 muss eben die angegebene Anzahl Events im angegebenen Intervall auftreten, damit das Event notifiziert wird.
Die Beschreibung finden Sie auch im Admin Guide in Kapitel 4.6, wobei der spezielle Fall mit Count=0 und Intervall=x leider so nicht ganz korrekt beschrieben wird. Das Handling der Notifications wird aber aktuell überarbeitet so dass die Software in einer der nächsten Versionen ( >2.5 ) dann auch tatsächlich so funktioniert wie in der Doku beschrieben.
Wie ist Blocky selbst geschützt?
Blocky for Veeam ist passwortgeschützt. Das Passwort ist zum Installieren, Deinstallieren sowie Aktivieren/Deaktivieren der Schutzfunktion erforderlich.
Hat Blocky eine CLI?
Ja, Blocky for Veeam stellt ein Command Line Interface zur Verfügung. Alle schutzrelevanten Befehle erfordern die Angabe des Passworts. Details siehe Admin-Guide.
Kann man eine Volume auf einer USB Disk schützen?
Ja, solange die USB Disk quasi als Fixed Disk verwendet wird.
Ist Blocky von Log4J betroffen?
Nein, das ausführbare Programm sowie deren externe Tools wie der Lizenzgenerator, sind in C++ implementiert und damit nicht von der Lücke betroffen.