Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Среди пользователей растет обеспокоенность вопросами безопасности, связанными с вредоносными программами, программами-шантажистами и вторжениями в систему. Эти угрозы могут привести к значительным расходам и потере данных. Для защиты от таких атак Azure Backup теперь предоставляет функции безопасности для защиты гибридных резервных копий. В этой статье описывается, как включить и использовать эти функции для защиты локальных рабочих нагрузок с помощью Microsoft Azure Backup Server (MABS),Data Protection Manager (DPM) и агента Служб восстановления Microsoft Azure (MARS). К этим функциям относятся:
- Предотвращение. При выполнении критически важных операций, таких как изменение парольной фразы, добавляется дополнительный уровень аутентификации. Это гарантирует, что такие операции могут выполнять только пользователи с действительными учетными данными Azure.
- Оповещение. Уведомление по электронной почте отправляется администратору подписки всякий раз, когда выполняется критическая операция, например удаление данных резервного копирования. Это электронное письмо гарантирует быстрое уведомление пользователя о таких действиях.
- Восстановление. Удаленные данные резервных копий сохраняются в течение дополнительных 14 дней после удаления. Это гарантирует возможность восстановить данные в течение указанного периода времени, так что данные не будут утеряны даже в случае атаки. Кроме того, повышение минимального числа точек восстановления позволяет защититься от повреждения данных.
Примечание.
Включите многопользовательскую авторизацию (MUA) в хранилище служб восстановления, чтобы добавить дополнительный уровень защиты к критической операции отключения функций безопасности. Подробнее.
Минимальные требования к версии
Включите функции безопасности, только если вы используете:
- Агент Azure Backup: минимальная версия агента 2.0.9052. После включения этих функций обновите версию агента, чтобы выполнить критически важные операции.
- Azure Backup Server: минимальный агент Azure Backup версии 2.0.9052 с обновлением 1 для Azure Backup Server.
- System Center Data Protection Manager: минимальный агент Azure Backup версии 2.0.9052 с Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2.
Примечание.
Убедитесь, что вы не включите функции безопасности, если вы используете резервную копию виртуальной машины как услуга (IaaS). В настоящее время эти функции недоступны для резервного копирования виртуальных машин IaaS, поэтому их активация не окажет никакого воздействия.
Включение функций безопасности
Если вы создаете хранилище служб восстановления, вы можете использовать все функции безопасности. Если вы работаете с существующим хранилищем, включите функции безопасности, выполнив следующие действия.
Войдите на портал Azure с помощью учетных данных Azure.
Выберите Обзор и введите Службы восстановления.
Отобразится список хранилищ служб восстановления. В этом списке выберите хранилище. Затем откроется панель мониторинга выбранного хранилища.
В списке элементов, появляющемся под хранилищем, в разделе Параметры выберите Свойства.
В разделе "Параметры безопасности" выберите "Обновить".
Ссылка на обновление открывает панель параметров безопасности , которая содержит сводку по функциям и позволяет включить их.
Включите функции безопасности и нажмите кнопку "Сохранить".
Восстановление удаленных данных резервного копирования
Если параметр функций безопасности включен, Служба архивации Azure сохраняет удаленные данные резервного копирования в течение дополнительных 14 дней и не удаляет его немедленно, если выполняется операция остановки резервного копирования с удалением данных резервного копирования . Чтобы восстановить эти данные в течение 14-дневного периода, выполните следующие действия в зависимости от того, что вы используете:
Для пользователей агента служб восстановления Azure :
- Если компьютер, на котором выполняются резервные копии, по-прежнему доступен, повторно защитите удаленные источники данных и используйте данные восстановления на одном компьютере в службах восстановления Azure, чтобы восстановить все старые точки восстановления.
- Если этот компьютер недоступен, используйте восстановление на альтернативном компьютере , чтобы использовать другой компьютер служб восстановления Azure для получения этих данных.
Для пользователей Azure Backup Server :
- Если сервер, на котором выполняются резервные копии, по-прежнему доступен, повторно защитите удаленные источники данных и используйте функцию восстановления данных для восстановления со всех старых точек восстановления.
- Если этот сервер недоступен, используйте Восстановление данных из другого Azure Backup Server, чтобы получить данные с другого экземпляра Azure Backup Server.
Для пользователей Data Protection Manager :
- Если сервер, на котором выполняются резервные копии, по-прежнему доступен, повторно защитите удаленные источники данных и используйте функцию восстановления данных для восстановления со всех старых точек восстановления.
- Если этот сервер недоступен, используйте Добавить внешний DPM, чтобы использовать другой сервер Data Protection Manager для получения этих данных.
Предотвращение атак
Дополнительные проверки гарантируют выполнение некоторых операций только допустимыми пользователями. К ним относятся добавление дополнительного уровня проверки подлинности и поддержание минимального диапазона хранения для целей восстановления.
Проверка подлинности для выполнения критически важных операций
При добавлении дополнительного уровня проверки подлинности для критически важных операций вам будет предложено ввести ПИН-код безопасности при выполнении операций stop Protection с удалением данных и изменения парольной фразы для DPM, MABS и MARS.
Кроме того, начиная с версии MARS 2.0.9262.0 и более поздних, операции по удалению тома из резервного копирования файлов и папок MARS, добавлению нового параметра исключения для существующего тома, уменьшению продолжительности хранения, а также переходу на менее частое расписание резервного копирования защищены с помощью пин-кода для дополнительной безопасности.
Примечание.
В настоящее время для следующих версий DPM и MABS ПИН-код безопасности поддерживается для остановки защиты с помощью удаления данных в интернет-хранилище:
- DPM 2016 UR9 или более поздняя версия
- DPM 2019 UR1 или более поздние версии
- MABS версии 3 UR1 или более поздней версии
Чтобы получить этот ПИН-код, выполните указанные ниже действия.
- Войдите на портал Azure.
- Перейдите к хранилищу служб восстановления>параметров>свойства.
- В разделе ПИН-код безопасности выберите Создать. Откроется панель, содержащая ПИН-код, который будет введен в пользовательский интерфейс агента служб восстановления Azure. Этот ПИН-код действителен только в течение пяти минут, и он создается автоматически после этого периода.
Поддержание минимального диапазона хранения
Чтобы обеспечить наличие допустимого количества точек восстановления, добавлены следующие проверки:
- Для ежедневного хранения необходимо сделать не менее семи дней хранения.
- Для еженедельного хранения необходимо сделать не менее четырех недель хранения.
- Для ежемесячного хранения необходимо не менее трех месяцев хранения.
- Для ежегодного хранения необходимо сохранить данные не менее одного года.
Уведомления для критически важных операций
Как правило, при выполнении критической операции администратор подписки отправляет уведомление по электронной почте с подробными сведениями об операции. Вы можете настроить дополнительных получателей электронной почты для этих уведомлений с помощью портала Azure.
Функции безопасности, упомянутые в этой статье, предоставляют механизмы защиты от целевых атак. Более важно, если происходит атака, эти функции дают возможность восстановить данные.
Устранение неполадок
| Операция | Сведения об ошибке | Резолюция |
|---|---|---|
| Изменение политики | Не удалось изменить политику резервного копирования. Ошибка: сбой текущей операции из-за внутренней ошибки в службе [0x29834]. Повторите операцию через некоторое время. Если проблема сохраняется, обратитесь в службу поддержки корпорации Майкрософт. |
Причина. Эта ошибка возникает при включении параметров безопасности, вы пытаетесь уменьшить диапазон хранения ниже минимальных значений, указанных выше, и вы находитесь в неподдерживаемой версии (поддерживаемые версии указаны в первой заметке этой статьи). Рекомендуемое действие: В этом случае следует установить срок хранения выше минимального периода хранения, указанного (семь дней для ежедневных, четыре недели для еженедельных, три недели для ежемесячных или один год для ежегодных), для выполнения обновлений, связанных с политикой. При необходимости предпочтительный подход заключается в обновлении агента резервного копирования, Azure Backup Server и /или URI DPM для использования всех обновлений системы безопасности. |
| Изменение парольной фразы | Введен неправильный ПИН-код безопасности. (Идентификатор: 100130) Укажите правильный ПИН-код безопасности для выполнения этой операции. |
Причина. Эта ошибка возникает при вводе недопустимого или истекающего ПИН-кода безопасности при выполнении критической операции (например, при изменении парольной фразы). Рекомендуемое действие: Чтобы завершить операцию, необходимо ввести допустимый ПИН-код безопасности. Чтобы получить ПИН-код, войдите на портал Azure и перейдите к свойствам > параметров > хранилища > служб восстановления, создайте ПИН-код безопасности. Используйте этот ПИН-код для изменения парольной фразы. |
| Изменение парольной фразы | Ошибка при выполнении операции. Идентификатор: 120002 |
Причина. Эта ошибка возникает при включении параметров безопасности, вы пытаетесь изменить парольную фразу, и вы находитесь в неподдерживаемой версии (допустимые версии, указанные в первой заметке этой статьи). Рекомендуемое действие: Чтобы изменить парольную фразу, необходимо сначала обновить агент резервного копирования до минимальной версии 2.0.9052, Azure Backup Server до минимального обновления 1 и (или) DPM до минимального DPM 2012 R2 UR12 или DPM 2016 UR2 (скачать ссылки ниже), а затем ввести допустимый ПИН-код безопасности. Чтобы получить ПИН-код, войдите на портал Azure и перейдите к свойствам > параметров > хранилища > служб восстановления, создайте ПИН-код безопасности. Используйте этот ПИН-код для изменения парольной фразы. |
Поддержка неизменяемости
Если включена неизменяемость хранилища служб восстановления, операции, которые сокращают хранение облачных резервных копий или удаляют облачное резервное копирование для локальных источников данных, блокируются.
Поддержка неизменяемости для DPM и MABS
Эта функция поддерживается с агентом MARS версии 2.0.9250.0 и выше из DPM 2022 UR1 и MABS версии 4.
В следующей таблице перечислены запрещенные операции на DPM, подключенном к неизменяемой резервной копии.
| Операция с неизменяемым хранилищем | Результат с DPM 2022 UR1, MABS версии 4 и последним агентом MARS. С помощью DPM 2022 UR2 или MABS версии 4 UR1 можно выбрать вариант хранения точек восстановления в сети по политике при остановке защиты или удалении источника данных из группы защиты из консоли. |
Результат с более старым агентом DPM/MABS и MARS |
|---|---|---|
| Удаление источника данных из группы защиты, настроенной для оперативного резервного копирования | 81001: Невозможно удалить элемент(ы) резервного копирования, так как у них есть активные точки восстановления, а выбранное хранилище — неизменяемое хранилище. | 130001. Служба архивации Microsoft Azure обнаружила внутреннюю ошибку. |
| Остановить защиту с удалением данных | 81001: Невозможно удалить элемент(ы) резервного копирования, так как у них есть активные точки восстановления, а выбранное хранилище — неизменяемое хранилище. С помощью DPM 2022 UR2 или MABS версии 4 UR1 можно выбрать вариант хранения точек восстановления в сети по политике при остановке защиты или удалении источника данных из группы защиты из консоли. |
130001. Служба архивации Microsoft Azure обнаружила внутреннюю ошибку. |
| Сокращение срока хранения в Сети | 810002. Сокращение хранения во время изменения политики и защиты запрещено, так как выбранное хранилище неизменяемо. | 130001. Служба архивации Microsoft Azure обнаружила внутреннюю ошибку. |
| командаRemove-DPMChildDatasource | 81001: Невозможно удалить элемент(ы) резервного копирования, так как у них есть активные точки восстановления, а выбранное хранилище — неизменяемое хранилище. Используйте новый параметр -EnableOnlineRPsPruning с -KeepOnlineData, чтобы данные сохранялись только до срока действия политики. С помощью DPM 2022 UR2 или MABS версии 4 UR1 можно выбрать вариант хранения точек восстановления в сети по политике при остановке защиты или удалении источника данных из группы защиты из консоли. |
130001. Служба архивации Microsoft Azure обнаружила внутреннюю ошибку. Используйте флаг -KeepOnlineData для хранения данных. |
Поддержка неизменяемости для MARS
В следующей таблице перечислены запрещенные операции для MARS, когда неизменяемость включена в хранилище служб восстановления. Разрешены другие операции, такие как увеличение хранения и исключение файла или папки из резервной копии.
| Запрещенная операция | Результат с помощью последнего агента MARS | Результат с старым агентом MARS |
|---|---|---|
| Остановить защиту, удаляя данные о состоянии системы | Ошибка 810001 Пользователь пытается удалить элемент резервного копирования или остановить защиту, удаляя данные, когда у элемента резервного копирования есть действующая (не истекшая) точка восстановления. |
Ошибка 130001 В Microsoft Azure Backup произошла внутренняя ошибка. |
| Остановить защиту с удалением данных | Ошибка 810001 Пользователь пытается удалить элемент резервного копирования или остановить защиту, удаляя данные, когда у элемента резервного копирования есть действующая (не истекшая) точка восстановления. |
Ошибка 130001 В Microsoft Azure Backup произошла внутренняя ошибка. MARS 2.0.9262.0 и более поздних версий предоставляют возможность остановки защиты и хранения точек восстановления в соответствии с политикой в консоли. |
| Сокращение срока хранения в Сети | Пользователь пытается изменить политику или защиту с сокращением срока хранения. | 130001 В Microsoft Azure Backup произошла внутренняя ошибка. |
| Remove-OBPolicy с флагом -DeleteBackup | 810001 Пользователь пытается удалить элемент резервного копирования или остановить защиту, удаляя данные, когда у элемента резервного копирования есть действующая (не истекшая) точка восстановления. Используйте флаг -EnablePruning для хранения резервных копий до срока хранения. |
130001 В Microsoft Azure Backup произошла внутренняя ошибка. Не используйте флаг -DeleteBackup . MARS 2.0.9262.0 и более поздних версий предоставляют возможность остановки защиты и хранения точек восстановления в соответствии с политикой в консоли. |
Дальнейшие действия
- Чтобы начать работать с хранилищем служб восстановления Azure, чтобы включить эти функции.
- Скачайте последний агент Служб восстановления Azure , чтобы защитить компьютеры Windows и защитить данные резервного копирования от атак.