langaber
Goto Top

Windows Server Sicherung Restore - Möglichkeiten

Liebe Kollegen,

ich weiß, die Frage ist trivial, trotzdem hoffe ich auf seriöse Antworten:

Welche Restore-Möglichkeiten gibt es denn GENAU, wenn man einen Server 2016/2019/2022 mit der kostenlosen integrierten Windows Server-Sicherung sichert ?
Backup erfolgt täglich um 20 Uhr über die GUI (also inkrementell) auf externe USB-Festplatten 3,5" in einer Dockingstation, es sind 2 HDD 6TB, die jeweils am Freitag um 17 Uhr gewechselt werden (Offline für 1 Woche gegen Ransomware).

Ein Restore ist offensichtlich NUR auf demselben Server möglich, bei Tests mit einem Bootstick mit demselben OS, also z. B. Server 2019, war ein Rücksichern auf einen NEUEN Server nicht möglich.
Ist dies normal ? Wenn ja, warum ? oder muss man nur etwas spezielles beachten ?
Auch kann man ja offensichtlich NUR das GESAMTE Image, bestenfalls einzelne Volumes, aber keine einzelnen VM' s zurück sichern ?

Anmerkung: beim Sichern wurde Alles (außer der externen USB-Sicherungsplatte natürlich) ausgewählt, also auch Bootsystem und Bare-Metal-Recovery, EFI-Systempartition und Systemstatus.

Bitte nicht schimpfen, wie doof man sein muss, sowas überhaupt hierzu fragen, wie üblich,
ich bitte einfach nur um Hilfe, welche Denkfehler ich alle mache, Danke liebe Kollegen.

Euer Langaber

Content-ID: 669726

Url: https://administrator.de/forum/windows-server-sicherung-restore-moeglichkeiten-669726.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

Vision2015
Vision2015 24.11.2024 um 10:11:45 Uhr
Goto Top
Moin...
Zitat von @Langaber:

Liebe Kollegen,

ich weiß, die Frage ist trivial, trotzdem hoffe ich auf seriöse Antworten:

Welche Restore-Möglichkeiten gibt es denn GENAU, wenn man einen Server 2016/2019/2022 mit der kostenlosen integrierten Windows Server-Sicherung sichert ?
warum nicht mit der Kostenlosen Veeam Version?
Backup erfolgt täglich um 20 Uhr über die GUI (also inkrementell) auf externe USB-Festplatten 3,5" in einer Dockingstation, es sind 2 HDD 6TB, die jeweils am Freitag um 17 Uhr gewechselt werden (Offline für 1 Woche gegen Ransomware).
oha... einmal die woche das backup medium zu wechseln finde ich etwas mager... sowas macht man täglich!

Ein Restore ist offensichtlich NUR auf demselben Server möglich, bei Tests mit einem Bootstick mit demselben OS, also z. B. Server 2019, war ein Rücksichern auf einen NEUEN Server nicht möglich.
eigentlich schon... was war genau nicht möglich?
ich tippe auf treiber Problem etc...
Ist dies normal ? Wenn ja, warum ? oder muss man nur etwas spezielles beachten ?
Vollständige Anleitung zur Durchführung von Windows Server Sicherung Bare Metal Recovery
Auch kann man ja offensichtlich NUR das GESAMTE Image, bestenfalls einzelne Volumes, aber keine einzelnen VM' s zurück sichern ?

Anmerkung: beim Sichern wurde Alles (außer der externen USB-Sicherungsplatte natürlich) ausgewählt, also auch Bootsystem und Bare-Metal-Recovery, EFI-Systempartition und Systemstatus.
Mormal face-smile

Bitte nicht schimpfen, wie doof man sein muss, sowas überhaupt hierzu fragen, wie üblich,
ich bitte einfach nur um Hilfe, welche Denkfehler ich alle mache, Danke liebe Kollegen.
ich schlage vor, du nutzt Veeam - ist auch kostenlos und funktioniert zu 100%

Euer Langaber
Frank
Langaber
Langaber 24.11.2024 um 10:27:18 Uhr
Goto Top
Moin Frank,

so wünscht man sich eine kompetente und seriöse Antwort am Sonntag Morgen face-smile !!! Tausend Dank !!!

Ich werde auf die kostenlose Veeam-Version umstellen ! Ich habe max. 4 VM' s bei meinen 18 Firmen-Kunden, meist sogar nur 2 VM' s.

Bei PC' s nutze ich diese schon, den kostenlosen Veeam Windows Agent, reicht dieser aus ?
Also diesen einfach auf dem Hyper-V-Host installieren und einen Veeam-Boot-Stick erstellen ?

Oder muss es bei Servern die Veeam Community Edition sein ?
Diese schleppt ja doch eine Datenbank mit sich, die auch sehr viel größere Umgebungen bedienen kann.
Wenn ja, sollte diese aber doch NICHT auf dem HOST installiert werden, sondern auf einem Management-PC ?
Es gibt ja immer NUR 1 Server bei meinen Kunden.

Sorry, falls hier auch wieder eine Frage dabei sein sollte, die ich eigentlich wissen sollte face-sad

Ich wünsche schon jetzt einen schönen Rest-Sonntag face-smile !

Harald
radiogugu
radiogugu 24.11.2024 aktualisiert um 11:10:01 Uhr
Goto Top
Zitat von @Langaber:
Ich werde auf die kostenlose Veeam-Version umstellen ! Ich habe max. 4 VM' s bei meinen 18 Firmen-Kunden, meist sogar nur 2 VM' s.

Moin.

Genau dafür ist die CE von Veeam sehr gut geeignet.

Bei PC' s nutze ich diese schon, den kostenlosen Veeam Windows Agent, reicht dieser aus ?
Also diesen einfach auf dem Hyper-V-Host installieren und einen Veeam-Boot-Stick erstellen ?

Veeam CE auf dem Host zu installieren ist nicht unbedingt "Best Practice", aber in kleineren Umgebungen meist trotzdem der richtige Weg.

Oder muss es bei Servern die Veeam Community Edition sein ?
Diese schleppt ja doch eine Datenbank mit sich, die auch sehr viel größere Umgebungen bedienen kann.
Wenn ja, sollte diese aber doch NICHT auf dem HOST installiert werden, sondern auf einem Management-PC ?
Es gibt ja immer NUR 1 Server bei meinen Kunden.

Wenn man sich den Luxus eines PC oder besser Servers leisten kann, welcher dediziert nur diese Aufgabe hat, dann gut. Ansonsten mit dem arbeiten, was da ist.

Die Veeam DB Optionen sind durchaus fähig größere Umgebungen abzubilden, ist aber auch für nur zwei VMs geeignet.

Sorry, falls hier auch wieder eine Frage dabei sein sollte, die ich eigentlich wissen sollte face-sad

Man kann nicht alles wissen face-smile

Ich wünsche schon jetzt einen schönen Rest-Sonntag face-smile !

Harald

Ebenso.

Gruß
Marc
Lochkartenstanzer
Lochkartenstanzer 24.11.2024 aktualisiert um 11:33:21 Uhr
Goto Top
Moin,

Wenn man die Serversicherung nur auf dem ursprünglichen Server zurücksichern könnte, wäre der Sinn eines Backups bei Hardwareausfall nicht gegeben.

Die Serversicherung kann man durchaus im Falle eines Desaster Recovery natürlich auch auf neuer Hardware oder in einer neuen VM zurückspielen. Was Du da allerdings falsch gemacht hast, ist aus Deinen dürftigen Angaben nicht ersichtlich.

Normalerweise kann man das Image, das die Sicherung be der Ersteinruchting erstellt zurückspielen und dann die restlichen Backups zurückspielen.

Als bequemere Alternative geht natürlich auch Veeam, U.U. sogar die Community Edition, wenn man nicht zu viele Kisten hat, wie es oben schon erwähnt wurde.

lks
maretz
maretz 24.11.2024 um 11:50:47 Uhr
Goto Top
Meine erste Empfehlung wäre dein Konzept noch mal genau zu überdenken. Unabhängig von der Software. Aber 1 Woche als "Sicherung" gegen ransomware? Da musst du schon auf nen wirklich bescheuertes Script-Kiddy stossen. Denn wenn die auch nur eine Hirnzelle mehr als das Toastbrot ausm Keller haben werden die da schon nen Trigger einbauen - DAMIT eben nicht einfach ne Sicherung zurückgespielt wird. Da würde ich schon mal min. auf 3 Monate gehen (und sei es "Tägliche Sicherung" für 1 Woche vorhalten, dann eben auf $Medium jede Woche eine extra Sicherung....).

Es kommt natürlich auch auf deine Umgebung an und was das für Firmenkunden sind (Sicherung auf externe USB-Platte in Dockingstation hört sich ja eher nach kleinst-unternehmen an). Hier würde ich im Zweifel anbieten das man die Sicherung der Daten (nicht der kompletten Maschinen) ggf. per rsync oder sonstwas extern auslagert (zB. bei dir irgendwo nen grosses Storage hinstellen). Dann hast du ne überschaubare Datenmenge UND im Falle eines erfolgreichen Angriffs musst du halt eben die Kisten im dümmsten Fall komplett von 0 aufsetzen. Solang du die Daten zurückspielen kannst wäre das zwar unangenehm aber bei der vermuteten Firmengrösse auch nicht der Weltuntergang wenns dann 1-2 Tage auf "Notbetrieb" läuft...
Vision2015
Vision2015 24.11.2024 um 14:24:05 Uhr
Goto Top
Moin...
Zitat von @Langaber:

Moin Frank,

so wünscht man sich eine kompetente und seriöse Antwort am Sonntag Morgen face-smile !!! Tausend Dank !!!
face-smile

Ich werde auf die kostenlose Veeam-Version umstellen ! Ich habe max. 4 VM' s bei meinen 18 Firmen-Kunden, meist sogar nur 2 VM' s.
prima face-smile

Bei PC' s nutze ich diese schon, den kostenlosen Veeam Windows Agent, reicht dieser aus ?
Also diesen einfach auf dem Hyper-V-Host installieren und einen Veeam-Boot-Stick erstellen ?

Oder muss es bei Servern die Veeam Community Edition sein ?
Ja. das sollte so sein!
Diese schleppt ja doch eine Datenbank mit sich, die auch sehr viel größere Umgebungen bedienen kann.
macht ja nix... ob 2 oder 10 VMs.... ist eben dabei!
Wenn ja, sollte diese aber doch NICHT auf dem HOST installiert werden, sondern auf einem Management-PC ?
Es gibt ja immer NUR 1 Server bei meinen Kunden.
das tut es auch mit einem Server.... ist ja eben nur einer da!
ordentliche Medien zur Sicherung, Veeam Recovery iso bereitlegen und gut ist!
ab und an, sollte eh ein Restore gemacht werden... zum Test und du nicht aus der übung kommst!

Sorry, falls hier auch wieder eine Frage dabei sein sollte, die ich eigentlich wissen sollte face-sad

Ich wünsche schon jetzt einen schönen Rest-Sonntag face-smile !

Harald
Frank
DivideByZero
DivideByZero 24.11.2024 aktualisiert um 15:02:50 Uhr
Goto Top
Moin,

Du scheinst ja als Dienstleister tätig zu sein. Wenn Du damit Geld verdienst, empfehle ich, dass Du Zeit in ein "Selbststudium" zum Thema Backup und Sicherheit gegen Ransomware-Attacken investierst.

Denn das, was Du da bisher machst, ist ein untaugliches Placebo, wie@maretz schon richtig schreibt.

Du sicherst aber nicht einmal eine Woche ab.

Beispiel: Attacke erfolgt, Verschlüsselung der Backup-HDD wird in der Nacht von Donnerstag auf Freitag gestartet und ist Freitag vormittags erledigt. Um 17:00 Uhr wird das Medium getauscht. Bis dahin hat bei Deinen Kunden vermutlich niemand mitbekommen, dass das Backup-Medium (Profi-Angreifer gehen erst danach an die Primärdaten) angegriffen ist. Anschließend wird das neue Medium in der Nacht von Freitag auf Samstag verschlüsselt. Und danach die Primärdaten. In weniger als 48h sind alle Daten weg.

Ergebnis: untauglich.

Aber auch für normale Sicherungszwecke untauglich, weil Du nur 2 Medien benutzt. Das ist ohne Ausnahme zu wenig, weil Du zu einem bestimmten Zeitpunkt (freitags) die Medien an derselben Stelle zusammen hast. Wasserrohrbruch im IT-Bereich oder Feuer am Freitag Nachmittag? Alle Daten weg. Primär und sämtliche Backups.

Bleibst Du also bei so einem System, musst Du die Anzahl der Medien drastisch erhöhen und bspw. auch mit Monats-Backups arbeiten, denn sonst laufen Deine Kunden, wie gezeigt, Gefahr, dass gar nichts mehr da ist, nicht einmal eine alte Sicherung.

Deine unterstellten Klein-Unternehmenskunden fahren aber wahrscheinlich besser, wenn Du zusätzlich mit ein paar NAS-Systemen arbeitest, z.B. ein NAS beim Inhaber zu Hause mit VPN-Tunnel in die Firma und darauf versioniert sichern. Kostet nicht viel, erhöht die Datensicherheit/-verfügbarkeit im Restore-Fall deutlich.

Gruß

DivideByZero
pebcak7123
pebcak7123 25.11.2024 aktualisiert um 13:54:50 Uhr
Goto Top
Moin,
Veeam ist nen guter Ansatz, aber die Lizensierung der Community Edition verbietet den Einsatz bei Kunden, nur die Sicherung der eigenen Infrastruktur ist damit erlaubt. Finde ich persönlich auch vernünftig, und du kannst stellst das Backup den Kunden ja vermutlich eh in Rechnung.
Vision2015
Vision2015 25.11.2024 um 08:05:01 Uhr
Goto Top
Moin...

Veeam ist nen guter Ansatz, aber die Lizensierung der Community Edition verbietet den Einsatz bei Kunden
wiso dürfen Kunden kein Veeam nutzen? das ist doch Blödsinn.....
natürlich dürfen " Kunden" die Veeam Community Edition nutzen!

Frank
departure69
departure69 25.11.2024 um 08:05:34 Uhr
Goto Top
@DivideByZero:

Hallo.

Ich bezweifle, daß ein Verschlüsselungstrojaner beim integrierten Windows-Server-Backup Schaden anrichten kann. Ich weiß nicht, ob Du schonmal damit gearbeitet hast. Falls ja, könntest Du bemerkt haben, daß eine externe USB, sobald sie für den Windows-Server-Backup-Zweck vom Programm zur Verwendung eingerichtet wird, ihren Laufwerkbuchstaben verliert. Fortan kann nur noch über das Backup-Programm auf dieser USB-Platte geschrieben oder gelesen werden, sie taucht ansonsten nirgendwo mehr sichtbar mit Laufwerksbuchstaben auf.

Viele Grüße

von

departure69
pebcak7123
pebcak7123 25.11.2024 um 08:09:40 Uhr
Goto Top
Zitat von @Vision2015:

Moin...

Veeam ist nen guter Ansatz, aber die Lizensierung der Community Edition verbietet den Einsatz bei Kunden
wiso dürfen Kunden kein Veeam nutzen? das ist doch Blödsinn.....
natürlich dürfen " Kunden" die Veeam Community Edition nutzen!

Frank

Die Lizenz Bedingungen sind da recht klar man darf es nicht verwenden um damit Daten von Dritten zu sichern, bzw. dritten Backup Dienstleistungen anzubieten.
Siehe:
"1.17.2. Free Licenses and Community Edition Licenses
Free and Community Edition License products can be used in Your own production environment and only by You in accordance with the terms and conditions of this EULA and the Licensing Policy. You may not use the Free and Community Edition Licenses to provide services to third parties (including support and consulting services for existing Free and Community Edition License installations) or to process third-party data. Your use of Free and Community Edition License products is provided as-is, without any representations or warranties of any kind, and is at Your sole risk. Veeam has no obligation to support, maintain or provide any assistance regarding any of these licenses. "
departure69
departure69 25.11.2024 um 08:12:34 Uhr
Goto Top
@Langaber:

Ich hab' schon mehrere Windows-Server mit einem Backup aus der integrierten Windows-Server-Sicherung auf anderer Hardware wieder zum Laufen gebracht. Das funktioniert tadellos. In dem Wiederherstellungsdialog wird eine Schaltfläche gezeigt, wo bzw. mit der der Festplattentreiber eingeschoben wird, das ist zu allermeist nötig. Und wenn die Kiste wieder hergestellt ist, müssen natürlich auch noch weitere Treiber angepaßt werden, was ebenfalls logisch ist. Aber das funktioniert einwandfrei, selbst P2V oder V2P hab' ich damit schon erledigt.

Kann es sein, daß Du bei Deinem Versuch das notwendige RAID auf dem neuen/anderen Server nicht erst hergerichtet hattest? Das muß natürlich in/auf der neuen/anderen Hardware erfolgen, bevor das Backup eingespielt wird, von den Raid-Informationen weiß das Backup natürlich nichts. Das wäre aber bei Veeam genauso.

Viele Grüße

von

departure69
departure69
departure69 25.11.2024 um 08:20:53 Uhr
Goto Top
@pebcak7123;

Hhmmm, schwierig, einerseits heißt "you may not" ja "Du darfst nicht", andererseits schreiben die letzten Sätze auch etwas von "at your own risk". Ja was denn nun, wie meinen die das genau? Darf man das nicht als Dienstleister, oder ist es dann bloß auf eigenes Risiko? Oder ist das "eigene Risiko" gesondert zu sehen, weil es für diese kostenlosen Versionen ohnehin keinen Support gibt? Daß das alles in einem Absatz steht, finde ich jedenfalls verwirrend.

Davon abgesehen: Der Kunde will eine kostenlose Version von Veeam einsetzen. Kriegt es aber selber nicht hin. Und holt sich deshalb einen Dienstleister, der ihm die Installation erledigt. Sehe da eigentlich kein Problem, wenn niemand behauptet, der Dienstleister hätte die Idee gehabt und dem Kunden diese kostenlose Version "aufgeschwatzt".

Viele Grüße

von

departure69
pebcak7123
pebcak7123 25.11.2024 um 08:23:24 Uhr
Goto Top
@departure69 letzteres, kein Support für die kostenlose Version
Naja und wenn der Kunde lieber nen gecracktes Office und Windows möchte, macht man dann auch ?
Langaber
Langaber 25.11.2024 um 09:01:59 Uhr
Goto Top
Vielen Dank für die vielen nützlichen Tipps und hilfreichen Hinweise,

ich werde demnächst noch einmal ein Zurückspielen auf neuer Hardware testen und dann die Fehlermeldung(en) hier posten.

Veeam CE werde ich nicht 'aufschwatzen', sondern **empfehlen*, und es dann FALLS DER KUNDE WÜNSCHT, dass ICH es IHM einrichte, installieren.

Ein Synology NAS, z. B. 723+ oder 923+, mit Active Backup for Business habe ich bei einigen Kunden schon zusätzlich im Einsatz mit täglicher Sicherung der VM' s, werde es jetzt bei ALLEN Kunden einsetzen.

Was wäre bei einem Synology-NAS mit AB4B bez. Ransomware-Schutz zusätzlich zur täglichen Sicherung zu empfehlen ?
Gruß Harald und eine gute stressfreie Woche face-smile
Crusher79
Crusher79 25.11.2024 um 09:22:52 Uhr
Goto Top
Hallo,

was genau ist das Problem beim Restore? Platte muss gleich groß oder größer sein. Ggf. noch RAID Treiber mit geben.

Man hat beim Recovery unter Windows kein Disk Util dabei - außer diskpat über die Kommandozeilen Tools.

Sicherst du nun VM oder unter dem OS? Normal sagt man das Sicherung unter OS bei einer VM zwar funktioniert, man aber nicht das volle potential ausschöpft. Dafür ist es unter OS aber je nach Einstellung dann mit application aware. AD Sicherung oder dass die Logs bei Exchange als gesichert markiert werden und dann sicher gelöscht werden. Sonst läuft ja der Exchange irgendwann mal voll.

Gerade bei AD und Exchange ist das recht wichtig. Einige kostenlose bieten kein Online Backup der DB an. AD und Exchange brauchen aber sowas. MS SQL Standard ist zu vernachlässigen, da man hier eigene Task über den Agent macht und so recht einfach immer Online sichern kann. Express geht auch, nur da fehlt die Komprimierung - kann man selber aber auch zippen....

Egal welches Tool du hast: Was wird gesichert? Nicht einfach nuns sagen Server + Daten. AD? Exchange? MS SQL? Ggf. D, E, F weg lassen, da Mailstore drauf läuft und schon via robocoy die Daten in ein Ziel pumpt. Auch hier ist es am Besten wenn das Progamm Backup mit macht und Logs bereitstellt. Sonst sichert man 2 TB Mailstore als VM und kopiert dann nochmal alles, weil man sich unsicher ist ob was fehlt oder die Key Dateien korrupt sind.


Du musst verstehen wie die Programme arbeiten. Mailstore mit seinen Jobs die robocopy gleichen sind ja simpel. Hat man alles kopiert, ist man fertig und hat konsistentes Backup. Nicht überall ist das so trivial.

Im schlimmsten Fall musst du doppelte Zeit einplanen: VM/ OS zurück gesichert. Daten der Anwendung XY nicht konsistent. Dann nochmal die Sicherung der Anwendung zurück spielen. Bei wenigen GB geht das. Mehrere TB sorgen für hohe Off-Zeiten.

Wenn du aber weißt dass die Anwendung nur einen dummen Datenbunker bedient, so kannst du danach auch die Software zum Sichern wählen. Wozu SQL Backup Modul mit kaufen, wenn der Server wunderbar Online die DB sichern kann? Gleiches gilt für die Transaktionslogs beim SQL. Aufräumen ....

Windows Backup sichert ja auch den Sytemstate seit Jahren separat! Denke ggf. über eine sinnvolle Kombi nach!

PS: Das Win PE von Veeam ist auch etwas hölzern. Netzwerk Treiber fehlen und müssen erst im Menü nachgeladen werden.

Bei UEFI zeigt Windows Backup Warmeldung wegen der versteckten Partitionen an. Unter BIOS hat man keine Probleme - UEFI/ BIOS: setze nur noch VMs ein und daher nur diese grobe Unterscheidung. Alte Maschinen wurden früher unter BIOS angelegt. Da zumindest läuft das Restore.

https://learn.microsoft.com/de-de/windows-hardware/drivers/devtest/backi ...

Wie gesagt Windows Sicherung läuft immer noch recht gut und tut was sie woll! Wir setzen sonst Acronis ein. Müsste mal UEFI Backup unter Windows testen. Bei BIOS gab es kaum Probleme.
maretz
maretz 25.11.2024 um 10:08:42 Uhr
Goto Top
Zitat von @departure69:

@DivideByZero:

Hallo.

Ich bezweifle, daß ein Verschlüsselungstrojaner beim integrierten Windows-Server-Backup Schaden anrichten kann. Ich weiß nicht, ob Du schonmal damit gearbeitet hast. Falls ja, könntest Du bemerkt haben, daß eine externe USB, sobald sie für den Windows-Server-Backup-Zweck vom Programm zur Verwendung eingerichtet wird, ihren Laufwerkbuchstaben verliert. Fortan kann nur noch über das Backup-Programm auf dieser USB-Platte geschrieben oder gelesen werden, sie taucht ansonsten nirgendwo mehr sichtbar mit Laufwerksbuchstaben auf.

Viele Grüße

von

departure69

Und was soll einem das sagen? Weils keinen Laufwerksbuchstaben gibt ist es sicher? Das abgezogene Laufwerk wäre demnach noch viel sicherer -> ist es aber eben nicht. NUR wenn du einen wirklichen Vollpfosten als Angreifer hast der vermutlich als Kind nich nur vom Wickeltisch gefallen ist sondern gleich die ganze Treppe genommen hat dürfte das passen.

Ansonsten wirst du nämlich da Zeitgesteuerte Aktionen haben -> und während deiner Sicherung sicherst du eben schon die infizierten Daten oder ggf. schon nur datenmüll (je nachdem wie es ausgelöst wird). Ob du jetzt nen Laufwerksbuchstaben hast oder nicht spielt dabei überhaupt keine Rolle. Wenn du ne Bombe mitm Zeitzünder hast wird es ja auch nicht wirklich helfen das Display abzukleben und zu sagen "nu is es sicher", oder?
Lochkartenstanzer
Lochkartenstanzer 25.11.2024 um 10:17:33 Uhr
Goto Top
Zitat von @departure69:

@DivideByZero:

Hallo.

Ich bezweifle, daß ein Verschlüsselungstrojaner beim integrierten Windows-Server-Backup Schaden anrichten kann. Ich weiß nicht, ob Du schonmal damit gearbeitet hast. Falls ja, könntest Du bemerkt haben, daß eine externe USB, sobald sie für den Windows-Server-Backup-Zweck vom Programm zur Verwendung eingerichtet wird, ihren Laufwerkbuchstaben verliert. Fortan kann nur noch über das Backup-Programm auf dieser USB-Platte geschrieben oder gelesen werden, sie taucht ansonsten nirgendwo mehr sichtbar mit Laufwerksbuchstaben auf.

Laufwerksbuchstaben sind unerheblich. Sobald Speichermedien im dierekten Zugriff des OS sind, sind sie auch für den Trojaner mit Adminrechten erreichbar.

Das wäre wie mit Kleinklndern und haustieren, die sobald sie etwas nicht mehr sehen, davon ausgehen, daß es nicht mehr da ist.

lks
Crusher79
Crusher79 25.11.2024 um 10:34:53 Uhr
Goto Top
Windows Backup via PowerShell kann seit Jahren auf UNC Pfad sichern. Auch mit Zeitstempel. Laufwerksbuchstaben sind damit erledigt.

Recovery geht auf die gleiche Art und Weise. Dank LAN kann man Backup also flexible mit Bordmitteln irgendwo ablegen.

Immutable: Debian + XFS Dateisystem - flexibel falls man mal Veeam einstzen will. Das Flag ist aber nicht ausschließlich an XFS gebunden.

pwsh läuft auch unter Debian recht gut. Bash Scripte bekommen zwar auch vieles hin, aber wer PS gewohnt ist wird damit Freude haben. Damit kann man auch einfach Backups abholen und immutable verstauen. SMB, FTP, etc.

Je nach Firmengröße gibt es einige Methoden um Verschlüsselung vom Backup Depot zu verhindern oder stark zu erschweren.

Abhängig vom Volumen wäre dann 10 GBit ganz nett, um es zeitlich binnen 24 Std. zu schaffen. PowerShell mit -Parallel Option knackt locker die 2 GBit. Je nach Ziel 3 - 5 GBit. Gerade die großen Blöcke aus Windows Backup sind kein Problem.

Viele setzen auc bei KMU OPNsense oder sowas ein. VLANs und speparate Backup Bereiche sind also nicht mal sonderlich kostenintensiv.

Wie @maretz schon sagte ist die Diskussion über Laufwerksbuchstaben als Sicherheitsfeature nix wert! Ein Backup Rep. muss geschützt werden. Offline nehmen oder in eine sicheren Netzwerk unterbringen. Zumindest in der Form, dass bestehende Ketten nicht zerstört werden können. Ein munterers *.* kopiert auch die kryptischen Daten mit.

Speicher ist ja nicht mehr teuer. Lieber eine kleine Materialschlacht und sich bitte nicht auf abgehängte Laufwerksbuchstaben verlassen!

Im Netzwerk bietet ein Backup noch anderes Potential: Übertragung in eine Cloud, Gebäudeabschnitte, etc. etc.
goscho
goscho 25.11.2024 um 12:04:22 Uhr
Goto Top
Moin Leute,

ich möchte meinen Senf hier auch noch zum Thema Backup in KMU beisteuern, da ich seit Ewigkeiten ausschließlich KMU betreue.
Bei mir kommt Veritas Backup Exec zum Einsatz, in Ausnahmefällen Veritas System Recovery. BEIDE SIND NICHT KOSTENLOS. Dafür aber richtig gut.
Ich nutze diese Software schon seit fast 30 Jahren und damals waren es NT4-Server und der Restore komplizierter als heute.
Aber selbst damals konnte man schon einzelne Mails aus einer Sicherung des EX5.5 wiederherstellen.

Es spielt keine Rolle, ob ich eine Kleinfirma mit einem Server ohne VMs oder eine mit mehreren Bare Metal Servern und mehreren VMs sichern lassen soll, egal ob Windows oder Linux (Linux nur nicht als Backup-Server).
Im Idealfall nutzt man - wie bei VEEAM - auch einen dedizierten Backup-Server, aber bei einigen KMU macht das der Hyper-V-Host.
Die Sicherungen werden inkrementell mit wöchentlicher Gesamtsicherung auf NAS oder Backup-Server im selben Unternehmen - möglichst in einen anderen Brandabschnitt - erstellt.
Zusätzlich gibt es eine wöchentliche Kopie der Komplettsicherung auf RDX und auch zusätzliche Jahressicherungen auf RDX-Kassette, die außer Haus gelagert werden.

Die Kosten sollten für die Kunden nicht das Problem sein, wenn sie erstmal verinnerlicht haben, wie wichtig ein Backup ist. Das ist dann der Job des Dienstleisters.

Keiner meiner aktuellen Kunden betreut dieses Sicherungen selbst. Das wird komplett von uns gemacht, wie auch die monatlichen Testwiederherstellungen und natürlich auch Fehlerbeseitigungen.
Der einzige Job des Kunden besteht darin, wöchentlich die Kassetten zu wechseln und einige werden bei Fehlern auch per Mail informiert und so noch weiter sensibilisiert.
kreuzberger
kreuzberger 25.11.2024 um 15:52:44 Uhr
Goto Top
@Langaber

Was wäre bei einem Synology-NAS mit AB4B bez. Ransomware-Schutz zusätzlich zur täglichen Sicherung zu empfehlen ?

Zum Ransomware-Schutz benötigt man ein Offline-Backup. Also ein Backup, was nicht rund um die Uhr per Datenleitung mit den zu sichernden Daten-Servern) verbunden ist. Bei NAS-Geräten kann man das zb erreichen, indem man einerseits ein zwischengeschalteten Switch per Zeitschaltuhr ausschaltet/einschaltet oder eben das NAS selbst sich automatisch einschaltet/aussschaltet (bei SYNOLOGY möglich)

Kreuzberger
Datenreise
Datenreise 27.11.2024 um 23:58:20 Uhr
Goto Top
aber bei einigen KMU macht das der Hyper-V-Host.

Was wiederum, wenn man erbsenzählerisch genau sein will, gegen Microsofts Lizenzbedingungen verstößt. Jedenfalls für den Fall, dass man den Windows Server als Hypervisor installiert und mit derselben Lizenz noch 1-2 Windows Server VMs betreibt.
Lochkartenstanzer
Lochkartenstanzer 28.11.2024 aktualisiert um 00:12:59 Uhr
Goto Top
Zitat von @Datenreise:

aber bei einigen KMU macht das der Hyper-V-Host.

Was wiederum, wenn man erbsenzählerisch genau sein will, gegen Microsofts Lizenzbedingungen verstößt. Jedenfalls für den Fall, dass man den Windows Server als Hypervisor installiert und mit derselben Lizenz noch 1-2 Windows Server VMs betreibt.

Eben nicht. solche Dienste wie Backup, dürfen auch auf dem Hypervisor laufen, ohne gegen die Lizenzbestimmungen zu verstoßen. IIRC dürfen auf dem Hyper-V-Host Programme und Dienste laufen, die dem Management und Backup des Hosts und der VMs dienen.

Inwieweit es sinnvoll ist muß im einzelfall entschieden werden.

lks
Datenreise
Datenreise 28.11.2024 um 03:01:41 Uhr
Goto Top
Ok, ich hatte dazu mal etwas anderes gelesen, aber Du scheinst Dir ja sehr sicher zu sein, in sofern nehme ich das gerne als Korrektur.
Dass Lizenzierung in vielen Fällen ein ### ist, muss man in diesem Forum sicherlich nicht extra betonen.
goscho
goscho 28.11.2024 um 09:15:11 Uhr
Goto Top
Zitat von @Datenreise:

aber bei einigen KMU macht das der Hyper-V-Host.

Was wiederum, wenn man erbsenzählerisch genau sein will, gegen Microsofts Lizenzbedingungen verstößt. Jedenfalls für den Fall, dass man den Windows Server als Hypervisor installiert und mit derselben Lizenz noch 1-2 Windows Server VMs betreibt.

Auch von mir kommt der Konter:
Dienste, die der Verwaltung und Wartung des MS Hyper-V-Hosts dienen, dürfen auf diesem ausgeführt werden. Dazu würde ich ein Backup des Hyper-V und seiner VMs uneingeschränkt zählen.
Datenreise
Datenreise 28.11.2024 um 12:13:20 Uhr
Goto Top
Ok, hab's nochmal hochoffiziell in den Lizenzbedingungen nachgelesen. Man ist berechtigt, "Software zum Verwalten und Warten von Betriebssystemumgebungen auf dem lizenzierten Server auszuführen."
Also grob die Formulierung, die @goscho genannt hat.

Im Zweifel also ein juristischer Streit, ob Backup zu "Wartung und Verwaltung" zählt.
Langaber
Langaber 04.12.2024 um 09:09:25 Uhr
Goto Top
Hallo liebe Kollegen,
melde mich mal wieder, habe zur Zeit viele Arzttermine und trotzdem eine 1-Personen-Firma am Laufen halten und das Kundengeschäft betreuen (i.M. z.B. viele E-Rechnung-Anfragen), ist nicht so einfach, komme also erst am WE dazu hier wieder zu lesen. Bis dahin, Danke für die vielen Anregungen und Info's.
Bis später, Euer Harald