FAQ

FAQs


Ihre Fragen, bereits beantwortet.

Blocky ist mit allen aktuellen IBM Spectrum Protect-Versionen kompatibel.

Blocky unterstützt Windows Server 2012, 2016, 2019 und 2022.

Bitte beachten Sie, dass nur Windows Server Betriebssysteme unterstützt werden und beispielsweise die Schutzfunktion unter Windows 10 nicht funktioniert.

Benutzer von IBM Spectrum Protect sollten ihre Sicherungsdatenträger mit Blocky for TSM schützen. Im Falle eines Verschlüsselungsangriffs bleibt das Backup intakt und ermöglicht eine schnelle Wiederherstellung der infizierten Server und Daten.

Darüber hinaus sollten IBM Spectrum Protect-Instanzordner, Speicherpools, Datenbankdatenträger sowie Aktiv- und Archivprotokolle geschützt werden.

Blocky schützt Windows NTFS- oder ReFS-Volumes und Bereitstellungspunkte, die mit einem Laufwerksbuchstaben im Windows-Geräte-Manager angezeigt werden.

Network Attached Storage (NAS-Geräte) haben eine eigene Sicherheitsumgebung und können leider nicht über Blocky geschützt werden.

Ja, diese Volumes dürfen nicht von anderen Anwendungen verwendet werden, zB als Cache oder Dump oder ähnliches. Diese Nutzung ist theoretisch möglich, jedoch kann die Funktion der anderen Anwendungen nicht garantiert werden, da das Blocky Whitelisting möglicherweise nicht alle DLLs der Anwendung erkennt und mit einem Fingerabdruck versehen.

Nein das ist nicht möglich. Erklärung siehe oben.

Ja, der Schutz kann entweder für ein gesamtes Volume oder für einzelne Verzeichnisse auf der ersten Verzeichnisebene des Volumes aktiviert werden. Dadurch können einzelne Verzeichnisse für andere Zwecke beschreibbar / änderbar gehalten werden. Die erforderliche Volumenlizenz bezieht sich jedoch immer auf die gesamte Kapazität des Volumens.

Die Blocky-Suite ist eine generische Schutzsoftware, die bei Bedarf auch andere Anwendungsszenarien schützen kann. Blocky4Backup wurde speziell für IBM Spectrum Protect Umgebungen getestet und wird entsprechend gepflegt und weiterentwickelt.

Antivirus-Software sollte natürlich parallel zu Blocky auf den IBM Spectrum Protect Instanzservern verwendet werden.

Um unnötige Antivirus-Benachrichtigungen zu vermeiden, sollte BlockyAccessCntrlSvc.exe im Ordner C:\Programme\GrauData\Blocky vom Echtzeit-Scan und der Verhaltensüberwachung in der Antivirus-Software ausgeschlossen werden.

Es gibt verschiedene Ereignisse, die zu einer Benachrichtigung des Administrators führen. Diese Benachrichtigungen sind konfigurierbar. Das Wichtigste ist, dass das Ereignis „unberechtigter Zugriff“ gemeldet wird. Ereignisbenachrichtigungen können per E-Mail, durch einen Eintrag im Blocky Log („Logging“ im Überwachungsbereich) und im Windows Application Event Log erfolgen.

Blocky folgt einer Standard-Windows-Anwendungsinstallation, muss jedoch als Systemadministrator installiert und gestartet werden.

Blocky für Veeam ist passwortgeschützt. Das Passwort wird benötigt, um die Schutzfunktion zu installieren, zu deinstallieren und zu aktivieren/deaktivieren. Das Blocky-Passwort verfügt auch über einen integrierten Brute-Force-Angriffsschutz.

Ja, Blocky für TSM bietet eine Befehlszeilenschnittstelle. Alle schutzrelevanten Befehle erfordern die Eingabe des Passwortes. Weitere Informationen finden Sie im Administratorhandbuch.

Jede Anwendung, die auf das geschützte Volume zugreifen darf, muss identifiziert und autorisiert werden. Dazu wird für jede Anwendung, die zugehörigen Komponenten und die laufenden Prozesse ein SHA1-Hashwert gespeichert und geprüft. Stimmt der Wert nicht überein, wurde die Anwendung absichtlich oder unabsichtlich geändert. Es weist dann unbeabsichtigt auf mögliche Schadsoftware-Aktivitäten hin. Eine beabsichtigte Änderung würde zum Beispiel dazu führen, dass ein Veeam-Software-Update den Fingerabdruck ungültig macht.

Die ausführbaren Dateien der im Whitelisting aufgeführten Programme können sich ändern. Dadurch wird der sogenannte „Fingerabdruck“ der Anwendung ungültig und muss aktualisiert werden. Die Programme mit nicht mehr aktuellen Fingerabdrücken werden in der Liste der vertrauenswürdigen Anwendungen farblich hervorgehoben und müssen aktualisiert werden: Rechte Maustaste – „Aktualisieren“. Der Fingerabdruck wird dann neu erstellt und das Programm kann erneut ausgeführt werden.

Die Benachrichtigung über ungültige Fingerabdrücke per E-Mail an den Administrator ist einfach einzurichten: Fügen Sie einen Eintrag am Ende der Liste der Benachrichtigungen hinzu (rechte Maustaste – Einfügen) und tragen Sie das Ereignis „Eintrag auf der Liste ungültig“ als E-Mail-Benachrichtigung ein.

Blocky verwendet eine eigene Filtertechnologie, um den Zugriff auf die geschützten Volumes zu überwachen. Auch wenn die Blocky GUI geschlossen ist, läuft der Schutz wie eingerichtet.

Wird der zugehörige Dienst jedoch geändert oder geschlossen, wechselt der Filtertreiber in den Vollschutz, lässt keine Änderungen am Volume mehr zu und benachrichtigt den Administrator.

Über Ihren IT-Reseller-Partner. Eine Liste der Partner finden Sie auf der Website.

Auch wenn „Ihr“ bevorzugter Reseller-Partner noch nicht aufgeführt ist, hilft er Ihnen gerne beim Schutz Ihrer IBM Spectrum Protect-Umgebung.

Wenden Sie sich bei Bedarf an das Blocky for TSM-Team auf der Website.

Blocky wird als Abonnement-Lizenzmodell verkauft und mit ein-, drei- und fünfjährigen Lizenzen angeboten. Diese sollten innerhalb der kostenlosen 14-tägigen Testphase bestellt und installiert werden.

Für einzelne Volumes bis 25 TB bzw. 50 TB ist genau eine „Entry“-Lizenz erforderlich.

Für mehrere zu schützende Repository-Server-Volumes bietet das Lizenzmodell „Enterprise“ Lizenzpakete bis 100 TB, bis 250 TB, bis 500 TB, bis 1 PB und > 1 PB.

Für jeden zu schützenden Datenträger wird eine Lizenzdatei bereitgestellt und entsprechend in der Blocky for TSM-GUI zugewiesen. Blocky speichert die Lizenzdatei geschützt auf dem Volume.

Der Kunde erhält für jedes zu schützende Windows-Volume eine „Cap-ID“. Mit der Cap-ID unter „License Management“ kann eine Volumenlizenz unter support@graudata.com („Register License“) angefordert werden. Der Lizenzschlüssel kann online generiert oder per E-Mail abgerufen und innerhalb weniger Tage versendet werden. In der GUI wird die Lizenz dann unter „License Management“ – „Install“ einem bestimmten Volume-Laufwerksbuchstaben zugewiesen.

Der Schutz kann dann mit einem Rechtsklick auf den Laufwerksbuchstaben aktiviert werden. Das geschützte Volume wird im Verzeichnisbaum den „Access-Controlled Volumes“ zugeordnet. Der Schutz kann jederzeit temporär (zur Volumenerhaltung) oder komplett deaktiviert werden.

Der Kunde erhält rechtzeitig eine Benachrichtigung (konfigurierbar), dass die Lizenz abläuft. Eine erworbene Lizenz kann jederzeit registriert und anschließend installiert werden. „Wenn Sie die Lizenz für Blocky for Veeam nicht verlängern und stattdessen deinstallieren möchten, starten Sie das Deinstallationsprogramm (zB über „Programme hinzufügen oder entfernen“ mit dem Blocky-Passwort.) Aus Sicherheitsgründen, wenn eine Lizenz auf einem geschützten Volume abläuft Blocky geht in den Vollschutz über, dh alle Änderungsanträge werden abgelehnt.

Blocky kann abhängig von bestimmten Regeln Warnmeldungen an das Windows-Anwendungsereignisprotokoll, an E-Mail-Empfänger und an den Statusbereich der Blocky4Backup-GUI senden.

Ereignistypen

 

  • unautorisierter Zugriff
  • autorisierter Zugriff
  • keine Lizenz gültig
  • Lizenz läuft bald ab
  • ungültiger Whitelist-Eintrag
  • interner Fehler

Die Benachrichtigung über ungültige Fingerabdrücke per E-Mail an den Administrator ist einfach einzurichten: Fügen Sie am Ende der Benachrichtigungsliste einen Eintrag hinzu (rechte Maustaste – Einfügen) und tragen Sie als E-Mail-Benachrichtigung das Ereignis „Whitlelist Entry Invalid“ ein.

Weitere Informationen: Bitte lesen Sie den Admin Guide (Teil des Programm-Download-Zip-Files)

Wiederkehrende Prozesse – ungültige Lizenz, ungültige Whitelist

Die Anzahl gibt an, wie oft ein bestimmtes Ereignis aufgetreten sein muss, damit eine Benachrichtigung erfolgt. Die 0 sollte sicherstellen, dass das Ereignis mindestens einmal aufgetreten sein muss und dann regelmäßig im „Schwellenzeitintervall“ benachrichtigt. Mit anderen Worten, ein dauerhaft bestehendes Ereignis, wie eine ungültige Lizenz oder ein ungültiger Whitelist-Eintrag, soll periodisch gemeldet werden können. Dies funktioniert derzeit jedoch nicht richtig, das heißt, das Ereignis wird nicht nach x Minuten benachrichtigt, sondern erst, wenn der Dienst das Eintreten des Ereignisses erneut prüft. Bei Lizenzen oder Whitelist-Einträgen ist dies entweder beim Neustart oder spätestens nach 24 Stunden der Fall. Mit anderen Worten, die Benachrichtigung würde dann erneut ausgelöst.

 

Wenn der Zählerstand 1 oder größer ist, muss das Ereignis gemäß dem angegebenen Wert (und innerhalb der mit dem Intervall angegebenen Zeit) zuerst häufig auftreten, damit einmal die Benachrichtigung auslösen. Bei Ereignissen wie z. B. „unberechtigter Zutritt“ kann das Ereignis dann mehrfach auftreten und wird dann bei Vorliegen der Zähl- und Intervallbedingungen immer wieder benachrichtigt.

 

<

Unsere Empfehlung ist daher (mit der aktuellen Softwareversion) in Fall von Ereignissen, die einen Zustand repräsentieren um den Zähler auf 0 und das Intervall auf 1 zu setzen. Im Falle einer ungültigen Lizenz, ungültiger Whitelist usw. erfolgt die Benachrichtigung beim nächsten zyklischen Test (ca. 24 Stunden oder nach einem Neustart).

Aussichten für selektiv auftretende Ereignisse, wie „unberechtigter Zugriff“, sollte ein Zählwert von 1 oder größer gesetzt werden, kombiniert mit einem entsprechenden Intervall, je nachdem, wie schnell Sie die Benachrichtigung wünschen. Bei einem Zählerstand von 1 wäre das Intervall dann irrelevant, da ohnehin jedes Ereignis benachrichtigt wird, bei einem Zählerstand größer als 1 muss jedoch die angegebene Anzahl von Ereignissen im angegebenen Intervall eintreten, damit das Ereignis benachrichtigt wird.

Weitere Details finden Sie im Admin Guide in Abschnitt 4.6, wobei der Sonderfall mit Count = 0 und Interval = x leider nicht richtig beschrieben ist. Der Umgang mit den Benachrichtigungen wird derzeit überarbeitet, damit die Software in einer der nächsten Versionen (> 2.5) wie in der Dokumentation beschrieben funktioniert.

Holen Sie sich Ihre 14-tägige kostenlose Testversion