Wo kann ich Blocky for Veeam® kaufen?

Über ihren Systemhauspartner. Eine Liste der Partner finden sie auf der Webseite.

Auch wenn „Ihr“ Systemhauspartner noch nicht gelistet, wird er Sie dennoch sicher gern beim Schutz ihrer Veeam Umgebung unterstützen.

Ggfs. richten Sie sich über die Webseite an das Blocky for Veeam Team.

Was muss ich bei meinem Systemhaus bestellen, um meine Backup Volumes zu schützen?

Blocky wir im Abo-Lizenzmodell mit vertrieben und mit Ein-, Drei- und Fünfjahres-Lizenzen angeboten. Diese sollten innerhalb der kostenfreien 60-Tage-Trial Periode bestellt und installiert werden.

Für einzelne Volumes bis 25TB oder 50TB wird genau eine „Entry“-Lizenz benötigt.

Für mehrere zu schützende Repository Server Volumes bietet das „Enterprise“ Lizenzmodell Lizenzierungspakete bis 100TB, bis 250TB, bis 500TB, bis 1PB und >1PB an.

Wo wird die Lizenz installiert?

Die Blocky Lizenz wird als Lizenzfile auf jedem zu schützenden Volume geschützt abgelegt.

Wie funktioniert die Lizenzierung?

Der Kunde erhält eine sogenannte „Cap-ID“ für jedes zu schützende Windows Volume.

Mit der Cap-ID kann unter „License-Management“ eine Volume-Lizenz bei support@graudata.com angefordert werden („Register License“). Der/die Lizenzschlüssel werden innerhalb weniger Tage zugesendet und wird dann in der GUI unter „License-Management“ – „Install“ einem bestimmten Volume-Laufwerksbuchstaben zugeordnet.

Danach kann der Schutz mit einem Rechtsklick auf den Laufwerksbuchstaben aktiviert werden. Das geschützte Volume wird dann im Verzeichnisbaum den „Access-Controlled Volumes“ zugeordnet. Der Schutz kann jederzeit temporär (für Volume-Wartung) oder komplett deaktiviert werden.

Was passiert, wenn die Lizenz abläuft?

Der Kunde erhält rechtzeitig (konfigurierbar) eine Benachrichtigung, dass die Lizenz abläuft.

Eine nachgekaufte Lizenz kann jederzeit registriert und dann installiert werden.

Sollte keine Lizenz nachgekauft werden, kann in der GUI kann der Schutz des Volumes deaktiviert werden, um dann die Software zu deinstallieren.
Aus Sicherheitsgründen wird bei Ablauf einer Lizenz eines noch geschützten Volumes dieses auf Komplettschutz gestellt, also alle Änderungsanfragen abgelehnt.

Was ist ein “Threshold Count 0” in den Notifications

Wiederkehrende Prozesse – ungültige Lizenz, ungültige Whitelist

Der Count gibt an, wie oft ein bestimmtes Ereignis eingetreten sein muss, damit eine Notifikation erfolgt. Die 0 war dafür gedacht, dass das Ereignis mindestens einmal aufgetreten sein muss und dann regelmäßig notifiziert wird im Abstand des "Threshold Time Intervall". Sprich ein Ereignis welches dauerhaft besteht wie z.B. eine ungültige Lizenz oder ein ungültiger Whitelist Eintrag sollte darüber periodisch notifiziert werden können.

Das funktioniert aktuell aber nicht richtig was zur Folge hat, dass das Ereignis eben nicht nach x Minuten notifiziert wird, sondern erst wenn der Service auf das Vorliegen des Ereignisses neu prüft.

Im Fall der Lizenzen oder Whitelist Einträgen ist das entweder beim Neustart oder spätestens nach 24h. D.h. dann würde die Notifikation wieder getriggert.

Bei Count von 1 oder größer muss dann das Ereignis dann so oft aufgetreten sein (und zwar innerhalb der mit Intervall angegebenen Zeit), damit dann einmalig die Notifikation getriggert wird. Bei Ereignissen wie dem "unauthorized access" tritt das Ereignis dann ja u.U. mehrfach auf und wird dann auch immer wieder neu benachrichtigt, wenn die Count- und Intervall-Bedingung zutrifft.

Unsere Empfehlung ist daher (mit der aktuellen Software-Version), bei Ereignissen die einen Zustand abbilden, wie ungültige Lizenz, ungültige Whitelist, etc. den Count auf 0 zu setzen und das Intervall auf 1. Damit wird das Ereignis auf jeden Fall beim ersten Eintreten und spätestens bei der nächsten zyklischen Prüfung (ca. 24h, bzw. Neustart) notifiziert.

Bei Ereignissen die punktuell auftreten, wie ein "unauthorized access" ist ein Count-Wert von 1 oder größer anzusetzen, kombiniert mit einem entsprechenden Intervall, je nachdem wie schnell man die Notifikation möchte. Bei Count von 1 wäre das Intervall dann zwar unrelevant da ohnehin jedes Event notifiziert wird, aber bei Count größer 1 muss eben die angegebene Anzahl Events im angegebenen Intervall auftreten, damit das Event notifiziert wird.

Die Beschreibung finden Sie auch im Admin Guide in Kapitel 4.6, wobei der spezielle Fall mit Count=0 und Intervall=x leider so nicht ganz korrekt beschrieben wird. Das Handling der Notifications wird aber aktuell überarbeitet so dass die Software in einer der nächsten Versionen dann auch tatsächlich so funktioniert wie in der Doku beschrieben.

Welche Veeam Programmversionen werden unterstützt?

Blocky ist mit allen bekannten Veeam-Versionen kompatibel.

Welche Windows Betriebssysteme werden unterstützt?

Blocky unterstützt Windows Server 2012, 2016 und 2019.

Bitte beachten Sie, dass nur Windows Server - Betriebssysteme unterstützt sind und z.B. die Schutzfunktion unter Windows 10 nicht funktioniert.

Warum heißt das zu installierende Programm Blocky4Backup statt Blocky for Veeam?

Die Blocky-Suite ist ein generische Schutzsoftware, welche ggfs. auch weitere Anwendungsszenarien schützen kann. Blocky4Backup ist speziell für Veeam-Umgebungen getestet und wird entsprechend gepflegt und weiterentwickelt.

Wie wirkt Blocky im Zusammenspiel mit Antivirus-Software?

Ggfs. ist eine Eintragung im Antivirus erforderlich. à Andreas

Wie Installiere ich Blocky?

Blocky benötigt einen vollständigen Server Desktop zur Installation. Dort wird das Zip File entpackt und das Installationsprogramm mit der rechten Maustaste als Administrator gestartet.

Was muss ich nach Updates von Veeam oder Windows Server beachten?

Möglicherweise ändern sich die Executables der im Whitelisting aufgeführten Programme. Damit wird der sogenannte „Fingerprint“ der Anwendung ungültig und muss aktualisiert werden.

Die Programme mit nicht mehr aktuellen Fingerprints werden in der Whitelist farbig hinterlegt und müssen aktualisiert werden: Rechte Maustaste – „Update“. Damit wird der Fingerprint neu erstellt und das Programm ist wieder ausführbar.

Eine Benachrichtigung über ungültige Fingerprints per E-Mail an den Administrator lässt sich einfach einrichten: In der Liste der Notifications einen Eintrag am Ende hinzufügen (Rechte Maustaste – Insert) und den Event „Whitlelist Entry Invalid“ als E-Mail Notification eintragen.

Was schützt Blocky for Veeam?

Üblicherweise sichern Veeam-Anwender ihr erstes Backup mit Blocky for Veeam ab. Im Falle eines Verschlüsselungsangriffs bleibt das Backup unversehrt und ermöglicht die schnelle Wiederherstellung der befallenen Server und Daten.

Die Dateien von Veeam Backup Copy Jobs und Veeam Scale-Out Repositories lassen sich gleichermaßen mit Blocky for Veeam schützen.

Welche Volumes können geschützt werden?

Blocky schützt Windows NTFS oder ReFS Volumes, die mit einem Laufwerksbuchstaben im Windows Gerätemanager erscheinen.

Network-Attached-Storage (NAS Geräte) haben ihre eigene Sicherheitsumgebung und können über Blocky leider nicht zusätzlich geschützt werden.

Gibt es Einschränkungen zur Nutzung der geschützten Volumes?

Ja, diese Volumes dürfen nicht von weiteren Anwendungen genutzt werden, welche das Volume z.B. als Cache oder Dump oder Ähnliches verwenden. Diese Nutzung ist theoretisch möglich, die Funktion der Anwendung kann aber nicht garantiert werden, da das Blocky Whitelisting möglicherweise nicht alle Anwendungen inkl. DLLs und deren Prozesse identifizieren und mit einem Fingerprint versehen kann.

Kann man auch das Laufwerk C: schützen?

Nein, das ist nicht möglich. Erklärung siehe oben.

Kann man nur Teile eines Volumes schützen?

Ja, die Aktivierung des Schutzes ist entweder für ein ganzes Volume oder für einzelne Verzeichnisse der ersten Verzeichnisebene des Volumes möglich. Damit können einzelne Verzeichnisse für andere Zwecke beschreibbar/änderbar gehalten werden.

Die erforderliche Volume-Lizenz bezieht sich allerdings immer auf die gesamte Kapazität des Volumes.

Wie benachrichtigt Blocky for Veeam, wenn unerlaubte Schreibversuche auf das geschützte Volume erfolgen?

Es gibt verschiedene Events, die zur Benachrichtigung des Administrators führen. Diese Benachrichtigungen sind konfigurierbar. Das Wichtigste dabei ist, das der Event „unauthorized access“ benachrichtigt wird.
Eine Eventbenachrichtigung kann per E-Mail, über Eintrag in den Blocky Log („Logging“ in der Monitoring Area) und den Windows Application Event Log erfolgen.

Welche Anwendungen muss ich für Veeam Vx in das Whitelisting aufnehmen?

Normalerweise werden die Anwendungen über „Automatic Whitelisting“ identifiziert. Nicht erwünschte Anwendungen werden ggfs. manuell entfernt, weitere hinzugenommen. Bei Veeam V10 sieht die Liste üblicherweise wir folgt aus, wobei der CatalogDataService oftmals nur wöchentlich startet und somit manuell zur automatisch erzeugten Liste hinzugefügt werden sollte. Ihr Systemhauspartner berät sie bei der individuellen Einrichtung ihres Veeam Repository Servers.

---

Wozu wird der „Fingerprint“ einer Anwendung genommen und was ist das?

Jede Anwendung, welche auf das geschützte Volume zugreifen darf, muss identifiziert und autorisiert werden. Dazu wird zu jeder Anwendung, den zughörigen Komponenten und den laufenden Prozessen ein SHA1 Hash-Wert hinterlegt und geprüft. Stimmt der Wert nicht überein, liegt eine gewollte oder ungewollte Änderung der Anwendung vor. Ungewollt weißt dann auf mögliche Malware-Aktivitäten hin. Gewollt ist z.B. ein Veeam Software-Update.

Was passiert, wenn der Blocky Serviceprozess geschlossen wird?

Blocky nutzt eine eigene Filtertechnologie zur Überwachung der Zugriffe auf die geschützten Volumes. Auch wenn die Blocky GUI beendet ist, läuft der Schutz wie eingerichtet.

Wird allerdings der zugehörige Service verändert oder geschlossen, schaltet der Filtertreiber auf Komplettschutz, lässt keine Veränderungen mehr zu und benachrichtigt den Administrator.