現在越來越重視安全性問題,例如惡意程式碼、勒索軟體和入侵。 這些安全性問題在成本和資料方面付出的代價很高。 為了防範這類攻擊,Azure 備份現在提供安全性功能來協助保護混合式備份。 本文說明如何使用 Microsoft Azure 備份伺服器 (MABS)、 Data Protection Manager (DPM) 和 Microsoft Azure 復原服務 (MARS) 代理程式,啟用及運用這些功能來保護內部部署工作負載。 這些功能包括:
- 預防。 每當執行重要作業 (如變更複雜密碼) 時,就會多一道驗證。 這項驗證用來確保只有具備有效 Azure 認證的使用者,才能執行這類作業。
- 警示。 每當執行刪除備份數據等重要作業時,就會傳送電子郵件通知給訂用帳戶管理員。 這封電子郵件可確保使用者迅速獲知這類動作。
- 復原。 已刪除的備份資料會額外保留 14 天 (從刪除日期算起)。 這可確保指定時間週期內的資料復原能力,所以即使發生攻擊,也不會遺失任何資料。 而且會維護更多的復原點,以防範資料損毀。
備註
在您的復原服務保管庫上啟用多使用者授權(MUA),以將額外的保護層新增至停用安全性功能這項重要作業。 深入瞭解。
最低版本需求
只有在您使用下列專案時,才啟用安全性功能:
- Azure 備份代理程式:最低代理程式 版本 2.0.9052。 啟用這些功能之後,請升級代理程式版本以執行重大作業。
- Azure 備份伺服器:最低 Azure 備份代理程式版本 2.0.9052 搭配 Azure 備份伺服器更新 1。
- System Center Data Protection Manager: 最低 Azure 備份代理程式版本為 2.0.9052,適用於 Data Protection Manager 2012 R2 UR12/ 和 Data Protection Manager 2016 UR2。
備註
如果您使用基礎結構即服務 (IaaS) VM 備份,請確定您未啟用安全性功能。 目前,這些功能不適用於 IaaS VM 備份,因此啟用這些功能並不會影響它們。
啟用安全性功能
如果您要建立復原服務保存庫,您可以使用所有安全性功能。 如果您使用現有的保存庫,請遵循下列步驟來啟用安全性功能:
使用您的 Azure 認證登入 Azure 入口網站。
選取 [瀏覽],然後輸入 復原服務。
隨即會出現 [復原服務保存庫] 清單。 從此清單中選取保存庫。 選取的保存庫儀表板隨即開啟。
從出現在保存庫下的項目清單中,選取 [ 設定] 下的 [ 屬性]。
在 [安全性設定] 底下,選取 [ 更新]。
更新鏈接會開啟 [ 安全性設定 ] 窗格,其中提供功能摘要,並可讓您加以啟用。
啟用 安全性功能,然後選取 [ 儲存]。
復原已刪除的備份數據
如果啟用安全性功能設定,Azure 備份會保留已刪除的備份數據 14 天,而且不會在執行 刪除備份數據作業停止備份 時立即刪除。 若要在 14 天期間還原此數據,請根據您使用的項目採取下列步驟:
針對 Azure 復原服務代理程式 使用者:
- 如果備份發生所在的計算機仍然可用,請重新保護已刪除的數據源,並使用復原數據至 Azure 復原服務中的 相同電腦 ,從所有舊的恢復點復原。
- 如果無法使用這部計算機,請使用 [復原至替代計算機 ] 來使用另一部 Azure 復原服務計算機來取得此數據。
針對 Azure 備份伺服器 使用者:
- 如果備份發生所在的伺服器仍然可用,請重新保護已刪除的數據源,並使用 復原數據 功能從所有舊的恢復點復原。
- 如果無法使用此伺服器,請使用 從另一部 Azure 備份伺服器復原數據 ,以使用另一個 Azure 備份伺服器實例來取得此數據。
針對 Data Protection Manager 使用者:
- 如果備份發生所在的伺服器仍然可用,請重新保護已刪除的數據源,並使用 復原數據 功能從所有舊的恢復點復原。
- 如果無法使用此伺服器,請使用 [新增外部 DPM ] 來使用另一部 Data Protection Manager 伺服器來取得此數據。
防止攻擊
已新增檢查來確保只有有效使用者才能執行各種作業。 其中包括新增額外的驗證層,並維護復原用途的最低保留範圍。
執行重要作業的驗證
當您針對關鍵操作新增額外一層驗證時,系統會提示您輸入安全性 PIN 碼,此操作適用於當您在 DPM、MABS 和 MARS 上執行停止保護並刪除數據和變更密碼短語時。
此外,從 MARS 版本 2.0.9262.0 和更新版本開始,從 MARS 檔案/資料夾備份中移除磁碟區的操作、為現有磁碟區新增排除設定、縮短保留期間,以及調整至較不頻繁的備份排程,此類操作也受安全性 PIN 保護,以增強安全性。
備註
目前,對於下列 DPM 和 MABS 版本,停止保護並刪除資料對於線上儲存體支援安全性 PIN 碼:
- DPM 2016 UR9 或更新版本
- DPM 2019 UR1 或更新版本
- MABS v3 UR1 或更新版本
若要接收此 PIN 碼:
- 登入 Azure 入口網站。
- 流覽至 復原服務保存庫>設定>屬性。
- 在 [安全性 PIN 碼] 底下,選取 [產生]。 這會開啟一個窗格,其中包含要輸入於 Azure 復原服務代理程式使用者介面中的 PIN。 此 PIN 僅有效五分鐘,且會在該期間之後自動產生。
維持最小保留範圍
為了確保永遠都有有效的復原點可用,已新增下列檢查:
- 若為每日保留,最少應該保留七天。
- 若為每週保留,最少應該保留四週。
- 若為每月保留,最少應該保留三個月。
- 若為每年保留,最少應該保留一年。
重要作業的通知
一般而言,執行重大作業時,訂用帳戶管理員會傳送電子郵件通知,其中包含作業的詳細數據。 您可以使用 Azure 入口網站來設定這些通知的其他電子郵件收件者。
本文所述的安全性功能提供防禦機制,以防止目標攻擊。 更重要的是,如果發生攻擊,這些功能可讓您復原數據。
錯誤排除
| 作業 | 錯誤詳細資料 | 解決辦法 |
|---|---|---|
| 原則變更 | 無法修改備份原則。 錯誤:由於發生內部服務錯誤 [0x29834],導致目前的作業失敗。 請稍後再重試作業。 如果問題持續發生,請連絡 Microsoft 支援服務。 |
原因: 啟用安全性設定時,會出現此錯誤,您嘗試將保留範圍減少在上述的最小值以下,且您處於不支援的版本(本文的第一個附注中已指定支援的版本)。 建議的動作: 在此情況下,您應該將保留期限設定為高於指定的最小保留期間(每天七天、每週四周、每月三周或每年一年),以繼續進行原則相關更新。 或者,慣用的方法是更新備份代理程式、Azure 備份伺服器和/或 DPM UR,以利用所有安全性更新。 |
| 變更複雜密碼 | 輸入的安全性 PIN 不正確。 (標識碼:100130)提供正確的安全性 PIN 以完成這項作業。 |
原因: 當您在執行重大作業時輸入無效或過期的安全性 PIN 時,就會發生此錯誤(例如變更複雜密碼)。 建議的動作: 若要完成作業,您必須輸入有效的安全性 PIN 碼。 若要取得 PIN,請登入 Azure 入口網站,然後流覽至 [復原服務保存庫 > 設定 > 內容 > 產生安全性 PIN]。 使用此 PIN 來變更通行短語。 |
| 變更複雜密碼 | 作業失敗。 識別碼:120002 |
原因: 當安全性設定已啟用,而您嘗試變更複雜密碼,且您使用不受支援的版本時,就會出現此錯誤 (本文的第一個附註會指出有效的版本)。 建議的動作: 若要變更複雜密碼,您必須先將備份代理程式更新為最低版本 2.0.9052、將 Azure 備份伺服器更新為最低更新 1,並將/或 DPM 更新為最低 DPM 2012 R2 UR12 或 DPM 2016 UR2(以下下載連結),然後輸入有效的安全性 PIN 碼。 若要取得 PIN,請登入 Azure 入口網站,然後流覽至 [復原服務保存庫 > 設定 > 內容 > 產生安全性 PIN]。 使用此 PIN 來變更通行短語。 |
不變性支援
啟用復原服務保存庫 的不變性 時,會封鎖減少雲端備份保留或移除內部部署數據源雲端備份的作業。
DPM 和 MABS 的不變性支援
支援此功能的 MARS 代理程式版本從 2.0.9250.0 開始,包括 DPM 2022 UR1 和 MABS v4。
下表列出連線到不可變復原 DPM 上所不允許的作業:
| 不可變保存庫上的作業 | DPM 2022 UR1、MABS v4 和最新 MARS 代理程序的結果。 使用 DPM 2022 UR2 或 MABS v4 UR1,您可以在停止保護或從控制台從保護群組移除數據源時,選取依原則保留在線恢復點的選項。 |
使用較舊的 DPM/MABS 和/或 MARS 代理程序的結果 |
|---|---|---|
| 從針對在線備份設定的保護群組移除數據源 | 81001:備份專案無法刪除,因為它具有作用中的恢復點,而選取的保存庫是固定的保存庫。 | 130001:Microsoft Azure 備份發生內部錯誤。 |
| 停止使用刪除資料來進行保護 | 81001:備份專案無法刪除,因為它具有作用中的恢復點,而選取的保存庫是固定的保存庫。 使用 DPM 2022 UR2 或 MABS v4 UR1,您可以在停止保護或從控制台從保護群組移除數據源時,選取依原則保留在線恢復點的選項。 |
130001:Microsoft Azure 備份發生內部錯誤。 |
| 減少在線保留期限 | 810002:不允許在原則/保護修改期間減少保留,因為選取的保存庫是不可變的。 | 130001:Microsoft Azure 備份發生內部錯誤。 |
| Remove-DPMChildDatasource 命令 | 81001:備份專案無法刪除,因為它具有作用中的恢復點,而選取的保存庫是固定的保存庫。 使用新的選項 -EnableOnlineRPsPruning 搭配 -KeepOnlineData 來保留資料,僅到原則期限為止。 使用 DPM 2022 UR2 或 MABS v4 UR1,您可以在停止保護或從控制台從保護群組移除數據源時,選取依原則保留在線恢復點的選項。 |
130001:Microsoft Azure 備份發生內部錯誤。 使用 -KeepOnlineData 旗標來保留數據。 |
MARS 的不變性支援
下表列出在復原服務保存庫上啟用不變性時,MARS 不允許的作業。 允許其他作業,例如增加保留期和排除備份的檔案/資料夾。
| 不允許的作業 | 具有最新 MARS 代理程式的結果 | 使用舊 MARS 代理程式的結果 |
|---|---|---|
| 停止系統狀態的保護,並刪除數據 | 錯誤810001 使用者嘗試刪除備份項目或停止使用刪除備份項目具有有效 (未到期) 復原點資料的保護。 |
錯誤130001 Microsoft Azure 備份發生內部錯誤。 |
| 停止使用刪除資料來進行保護 | 錯誤810001 使用者嘗試刪除備份項目或停止使用刪除備份項目具有有效 (未到期) 復原點資料的保護。 |
錯誤130001 Microsoft Azure 備份發生內部錯誤。 MARS 2.0.9262.0 和更新版本提供停止保護,以及根據主控台中原則保留復原點的選項。 |
| 減少在線保留期限 | 用戶嘗試通過縮短保留期來修改政策或保護措施。 | 130001 Microsoft Azure 備份發生內部錯誤。 |
| Remove-OBPolicy 與 -DeleteBackup 旗標 | 810001 使用者嘗試刪除備份項目或停止使用刪除備份項目具有有效 (未到期) 復原點資料的保護。 使用 –EnablePruning 旗標,將備份保留到其保留期間。 |
130001 Microsoft Azure 備份發生內部錯誤。 請勿使用 -DeleteBackup 旗標。 MARS 2.0.9262.0 和更新版本提供停止保護,以及根據主控台中原則保留復原點的選項。 |
後續步驟
- 開始使用 Azure 復原服務保存庫 來啟用這些功能。
- 下載最新的 Azure 復原服務代理程式 ,以協助保護 Windows 計算機並保護您的備份資料免受攻擊。