Question 1

Veeam Upgrade zu Veeam V11 - Was muss ich für Blocky beachten?

Accepted Answer

Blocky for Veeam schützt auch die Windows Volumes der Veeam v11 Repositories sicher vor Verschlüsselung. Beim Veeam Upgrade von einer Vorgängerversion z.B. v9 oder v10 bitte die folgenden Schritte für Blocky durchführen:      1. Den Blocky Volume-Schutz vor dem Veeam update temporär deaktivieren 2. Nachdem Veeam Update den Blocky-Schutz wieder aktivieren 3. Die "Trusted Applications" updaten: a. Update der Fingerprints der bestehenden Whitelist-Einträge (rechte Maustaste-update)  b. Einfügen der Anwendung C:\Windows\Veeam\Backup\VeeamDeploymentSvc.exe in die Trusted Applications (über “Whitelisting” automatisch oder manuell hinzufügen)

Question 2

Welche Veeam Programmversionen werden unterstützt?

Accepted Answer

Blocky ist mit allen bekannten Veeam-Versionen kompatibel.

Question 3

Welche Windows Betriebssysteme werden unterstützt?

Accepted Answer

Blocky unterstützt Windows Server 2012, 2016 und 2019. Bitte beachten Sie, dass nur Windows Server - Betriebssysteme unterstützt sind und z.B. die Schutzfunktion unter Windows 10 nicht funktioniert.

Question 4

Warum heißt das zu installierende Programm Blocky4Backup statt Blocky for Veeam?

Accepted Answer

Die Blocky-Suite ist ein generische Schutzsoftware, welche ggfs. auch weitere Anwendungsszenarien schützen kann. Blocky4Backup ist speziell für Veeam-Umgebungen getestet und wird entsprechend gepflegt und weiterentwickelt.

Question 5

Wie wirkt Blocky im Zusammenspiel mit Antivirus-Software?

Accepted Answer

Antivirus-Software sollte natürlich parallel zu Blocky  auf dem Veeam Repository Server verwendet werden.   Um unnötige Antivirus-Benachrichtigungen zu vermeiden, sollte in der Antivirus-Software aus dem Echtzeitscan und der Verhaltensüberwachung der BlockyAccessCntrlSvc.exe im Ordner C:\Program Files\GrauData\Blocky ausgeschlossen werden.

Question 6

Wie Installiere ich Blocky?

Accepted Answer

Blocky benötigt einen vollständigen Server Desktop zur Installation. Dort wird das Zip File entpackt und das Installationsprogramm mit der rechten Maustaste als Administrator gestartet.

Question 7

Was muss ich nach Updates von Veeam oder Windows Server beachten?

Accepted Answer

Möglicherweise ändern sich die Executables der im Whitelisting aufgeführten Programme. Damit wird der sogenannte „Fingerprint“ der Anwendung ungültig und muss aktualisiert werden. Die Programme mit nicht mehr aktuellen Fingerprints werden in der Whitelist farbig hinterlegt und müssen aktualisiert werden: Rechte Maustaste – „Update“. Damit wird der Fingerprint neu erstellt und das Programm ist wieder ausführbar. Eine Benachrichtigung über ungültige Fingerprints per E-Mail an den Administrator lässt sich einfach einrichten: In der Liste der Notifications einen Eintrag am Ende hinzufügen (Rechte Maustaste – Insert) und den Event „Whitlelist Entry Invalid“ als E-Mail Notification eintragen.

Question 8

Einrichten der Notifications

Accepted Answer

Blocky for Veeam sendet Benachrichtigungen per E-Mail (SMTP) an den Administrator und/oder weitere E-Mail Adressen, basierend auf Regeln zu Events und Statusänderungen. Weiterhin benachrichtigt Blocky in der GUI in der Status Area und sendet an den Windows application event log. Blocky can send alert notifications to the Windows application event log, to email recipients and to the Status Area of the Blocky4Backup GUI depending on certain rules.      Eventtypen sind: • unauthorized access • authorized access • no license valid • license will expire soon • invalid whitelist entry • internal error Eine Benachrichtigung über ungültige Fingerprints per E-Mail an den Administrator lässt sich einfach einrichten: In der Liste der Notifications einen Eintrag am Ende hinzufügen (Rechte Maustaste – Insert) und den Event „Whitlelist Entry Invalid“ als E-Mail Notification eintragen. Weitere Infos: Bitte lesen sie den Admin Guide (Teil des Programmdownload-Zip-File)

Question 9

Was schützt Blocky for Veeam?

Accepted Answer

Üblicherweise sichern Veeam-Anwender ihr erstes Backup mit Blocky for Veeam ab. Im Falle eines Verschlüsselungsangriffs bleibt das Backup unversehrt und ermöglicht die schnelle Wiederherstellung der befallenen Server und Daten. Die Dateien von weiteren Backups wie Veeam Backup Copy Jobs und Veeam Scale-Out Repositories lassen sich gleichermaßen mit Blocky for Veeam schützen.

Question 10

Welche Volumes können geschützt werden?

Accepted Answer

Blocky schützt Windows NTFS oder ReFS Volumes, die mit einem Laufwerksbuchstaben im Windows Gerätemanager erscheinen. Network-Attached-Storage (NAS Geräte) haben ihre eigene Sicherheitsumgebung und können über Blocky leider nicht zusätzlich geschützt werden.

Question 11

Gibt es Einschränkungen zur Nutzung der geschützten Volumes?

Accepted Answer

Ja, diese Volumes dürfen nicht von weiteren Anwendungen genutzt werden, welche das Volume z.B. als Cache oder Dump oder Ähnliches verwenden. Diese Nutzung ist theoretisch möglich, die Funktion der weiteren Anwendung kann aber nicht garantiert werden, da das Blocky Whitelisting möglicherweise nicht alle zu der Anwendung gehörenden DLLs und deren Prozesse identifizieren und mit einem Fingerprint versehen kann.

Question 12

Kann man auch das Laufwerk C: schützen?

Accepted Answer

Nein, das ist nicht möglich. Erklärung siehe oben.

Question 13

Kann man nur Teile eines Volumes schützen?

Accepted Answer

Ja, die Aktivierung des Schutzes ist entweder für ein ganzes Volume oder für einzelne Verzeichnisse der ersten Verzeichnisebene des Volumes möglich. Damit können einzelne Verzeichnisse für andere Zwecke beschreibbar/änderbar gehalten werden. Die erforderliche Volume-Lizenz bezieht sich allerdings immer auf die gesamte Kapazität des Volumes.

Question 14

Wie benachrichtigt Blocky for Veeam, wenn unerlaubte Schreibversuche auf das geschützte Volume erfolgen?"

Accepted Answer

Es gibt verschiedene Events, die zur Benachrichtigung des Administrators führen. Diese Benachrichtigungen sind konfigurierbar. Das Wichtigste dabei ist, das der Event „unauthorized access“ benachrichtigt wird.
Eine Eventbenachrichtigung kann per E-Mail, über Eintrag in den Blocky Log („Logging“ in der Monitoring Area) und den Windows Application Event Log erfolgen.

Question 15

Welche Anwendungen muss ich für Veeam Vx in das Whitelisting aufnehmen?

Accepted Answer

Normalerweise werden die Anwendungen über „Automatic Whitelisting“ identifiziert. Nicht erwünschte Anwendungen werden ggfs. manuell entfernt, weitere hinzugenommen. Bei Veeam V10 sieht die Liste üblicherweise wir folgt aus, wobei der CatalogDataService oftmals nur wöchentlich startet und somit manuell zur automatisch erzeugten Liste hinzugefügt werden sollte. Ihr Systemhauspartner berät sie bei der individuellen Einrichtung ihres Veeam Repository Servers.

Question 16

Wozu wird der „Fingerprint“ einer Anwendung genommen und was ist das?

Accepted Answer

Jede Anwendung, welche auf das geschützte Volume zugreifen darf, muss identifiziert und autorisiert werden. Dazu wird zu jeder Anwendung, den zughörigen Komponenten und den laufenden Prozessen ein SHA1 Hash-Wert hinterlegt und geprüft. Stimmt der Wert nicht überein, liegt eine gewollte oder ungewollte Änderung der Anwendung vor. Ungewollt weißt dann auf mögliche Malware-Aktivitäten hin. Gewollt ist z.B. ein Veeam Software-Update.

Question 17

Was passiert, wenn der Blocky Serviceprozess geschlossen wird?"

Accepted Answer

Blocky nutzt eine eigene Filtertechnologie zur Überwachung der Zugriffe auf die geschützten Volumes. Auch wenn die Blocky GUI beendet ist, läuft der Schutz wie eingerichtet. Wird allerdings der zugehörige Service verändert oder geschlossen, schaltet der Filtertreiber auf Komplettschutz, lässt keine Veränderungen mehr zu und benachrichtigt den Administrator.

Question 18

Was ist ein “Threshold Count 0” in den Notifications

Accepted Answer

Wiederkehrende Prozesse – ungültige Lizenz, ungültige Whitelist Der Count gibt an, wie oft ein bestimmtes Ereignis eingetreten sein muss, damit eine Notifikation erfolgt. Die 0 war dafür gedacht, dass das Ereignis mindestens einmal aufgetreten sein muss und dann regelmäßig notifiziert im Abstand des "Threshold Time Intervall" wird. Sprich ein Ereignis welches dauerhaft besteht wie z.B. eine ungültige Lizenz oder ein ungültiger Whitelist Eintrag sollte darüber periodisch notifiziert werden können. Das funktioniert aktuell aber nicht richtig was zur Folge hat, dass das Ereignis eben nicht nach x Minuten notifiziert wird, sondern erst wenn der Service auf das Vorliegen des Ereignisses neu prüft. Im Fall der Lizenzen oder Whitelist Einträgen ist das entweder beim Neustart oder spätestens nach 24h. D.h. dann würde die Notifikation wieder getriggert. Bei Count von 1 oder größer muss das Ereignis zuerst dem angegebenen Wert entsprechend oft auftreten (und zwar innerhalb der mit Intervall angegebenen Zeit), um einmalig die Notifikation auszulösen. Bei Ereignissen wie dem "unauthorized access" tritt das Ereignis dann u.U. mehrfach auf und wird dann auch immer wieder neu benachrichtigt, wenn die Count- und Intervall-Bedingung zutrifft. Unsere Empfehlung ist daher (mit der aktuellen Software-Version), bei Ereignissen die einen Zustand abbilden, wie ungültige Lizenz, ungültige Whitelist, etc. den Count auf 0 zu setzen und das Intervall auf 1. Damit wird das Ereignis auf jeden Fall beim ersten Eintreten und spätestens bei der nächsten zyklischen Prüfung (ca. 24h, bzw. Neustart) notifiziert. Bei Ereignissen die punktuell auftreten, wie ein "unauthorized access" ist ein Count-Wert von 1 oder größer anzusetzen, kombiniert mit einem entsprechenden Intervall, je nachdem wie schnell man die Notifikation möchte. Bei Count von 1 wäre das Intervall dann zwar unrelevant da ohnehin jedes Event notifiziert wird, aber bei Count größer 1 muss eben die angegebene Anzahl Events im angegebenen Intervall auftreten, damit das Event notifiziert wird. Die Beschreibung finden Sie auch im Admin Guide in Kapitel 4.6, wobei der spezielle Fall mit Count=0 und Intervall=x leider so nicht ganz korrekt beschrieben wird. Das Handling der Notifications wird aber aktuell überarbeitet so dass die Software in einer der nächsten Versionen ( >2.5 ) dann auch tatsächlich so funktioniert wie in der Doku beschrieben.

Question 19

Wie ist Blocky selbst geschützt?

Accepted Answer

Blocky for Veeam ist passwortgeschützt. Das Passwort ist zum Installieren, Deinstallieren sowie Aktivieren/Deaktivieren der Schutzfunktion erforderlich.

Question 20

Hat Blocky eine CLI?

Accepted Answer

Ja, Blocky for Veeam stellt ein Command Line Interface zur Verfügung. Alle schutzrelevanten Befehle erfordern die Angabe des Passworts. Details siehe Admin-Guide.

Question 21

Kann man eine Volume auf einer USB Disk schützen?

Accepted Answer

Ja, solange die USB Disk quasi als Fixed Disk verwendet wird.

Question 22

Ist Blocky von Log4J betroffen?

Accepted Answer

Nein, das ausführbare Programm sowie deren externe Tools wie der Lizenzgenerator, sind in C++ implementiert und damit nicht von der Lücke betroffen.

Question 23

Wo kann ich Blocky for Veeam® kaufen?

Accepted Answer

Über ihren Systemhauspartner. Eine Liste der Partner finden sie auf der Webseite. Auch wenn „Ihr“ Systemhauspartner noch nicht gelistet, wird er Sie dennoch sicher gern beim Schutz ihrer Veeam Umgebung unterstützen. Ggfs. richten Sie sich über die Webseite an das Blocky for Veeam Team.

Question 24

Was muss ich bei meinem Systemhaus bestellen, um meine Backup Volumes zu schützen?"

Accepted Answer

Blocky wir im Abo-Lizenzmodell vertrieben und mit Ein-, Drei- und Fünfjahres-Lizenzen angeboten. Diese sollten innerhalb der kostenfreien 14-Tage-Trial Periode bestellt und installiert werden. Für einzelne Volumes bis 25TB oder 50TB wird genau eine „Entry“-Lizenz benötigt. Für mehrere zu schützende Repository Server Volumes bietet das „Enterprise“ Lizenzmodell Lizenzierungspakete bis 100TB, bis 250TB, bis 500TB, bis 1PB und >1PB an.

Question 25

Wo wird die Lizenz installiert?

Accepted Answer

Für jedes zu schützende Volume wir ein Lizenzfile bereitgestellt und in der Blocky for Veeam GUI entsprechend zugewiesen. Dabei legt Blocky das Lizenzfile geschützt auf dem Volume ab.

Question 26

Wie funktioniert die Lizenzierung?

Accepted Answer

Der Kunde erhält eine sogenannte „Cap-ID“ für jedes zu schützende Windows Volume. Mit der Cap-ID kann unter „License-Management“ eine Volume-Lizenz bei support@graudata.com angefordert werden („Register License“). Der Lizenzschlüssel kann online generiert werden oder per E-Mail abgerufen und dann innerhalb weniger Tage zugesendet. In der GUI wird die Lizenz dann unter „License-Management“ – „Install“ einem bestimmten Volume-Laufwerksbuchstaben zugeordnet. Danach kann der Schutz mit einem Rechtsklick auf den Laufwerksbuchstaben aktiviert werden. Das geschützte Volume wird im Verzeichnisbaum den „Access-Controlled Volumes“ zugeordnet. Der Schutz kann jederzeit temporär (für Volume-Wartung) oder komplett deaktiviert werden.

Question 27

Was passiert, wenn die Lizenz abläuft?"

Accepted Answer

Der Kunde erhält rechtzeitig (konfigurierbar) eine Benachrichtigung, dass die Lizenz abläuft. Eine nachgekaufte Lizenz kann jederzeit registriert und dann installiert werden.  Möchten Sie die Lizenz für Blocky for Veeam nicht verlängern und stattdessen deinstallieren, starten sie das Unistall-Programm (z.B. über „Programme hinzufügen oder entfernen“ unter Verwendung des Blocky-Passworts).
Aus Sicherheitsgründen wird bei Ablauf einer Lizenz eines noch geschützten Volumes dieses auf Komplettschutz gestellt, also alle Änderungsanfragen abgelehnt.