Sicherheitsfeatures für den Schutz von Hybridsicherungen mit Azure BackupSecurity features to help protect hybrid backups that use Azure Backup

Die Sorgen bezüglich Sicherheitsproblemen wie Schadsoftware, Ransomware und Eindringlingen werden immer größer.Concerns about security issues, like malware, ransomware, and intrusion, are increasing. Diese Sicherheitsprobleme können erhebliche Daten- und finanzielle Verluste mit sich bringen.These security issues can be costly, in terms of both money and data. Zum Schutz gegen solche Angriffe bietet Azure Backup jetzt neue Sicherheitsfeatures für den Schutz von Hybridsicherungen.To guard against such attacks, Azure Backup now provides security features to help protect hybrid backups. In diesem Artikel werden Aktivierung und Verwendung dieser Features mit einem Azure Recovery Services-Agent und Azure Backup Server beschrieben.This article covers how to enable and use these features, by using an Azure Recovery Services agent and Azure Backup Server. Zu den Features zählen:These features include:

  • Prävention.Prevention. Es wurde eine zusätzliche Authentifizierungsebene hinzugefügt, die bei allen kritischen Vorgängen wie Passphrasenänderungen zum Tragen kommt.An additional layer of authentication is added whenever a critical operation like changing a passphrase is performed. Durch diese Überprüfung wird gewährleistet, dass solche Vorgänge nur von Benutzern durchgeführt werden können, die über gültige Azure-Anmeldeinformationen verfügen.This validation is to ensure that such operations can be performed only by users who have valid Azure credentials.
  • Warnungen.Alerting. Bei kritischen Vorgängen wie dem Löschen von Sicherungsdaten wird eine E-Mail-Benachrichtigung an den Administrator der Abonnements gesendet.An email notification is sent to the subscription admin whenever a critical operation like deleting backup data is performed. Diese E-Mail stellt sicher, dass der Benutzer schnell über solche Aktionen benachrichtigt wird.This email ensures that the user is notified quickly about such actions.
  • Wiederherstellen.Recovery. Gelöschte Sicherungsdaten werden für zusätzliche 14 Tage ab dem Löschdatum aufbewahrt.Deleted backup data is retained for an additional 14 days from the date of the deletion. So wird gewährleistet, dass die Daten innerhalb des vorgegebenen Zeitraums wiederhergestellt werden können und also auch bei Angriffen keine Datenverluste auftreten.This ensures recoverability of the data within a given time period, so there is no data loss even if an attack happens. Zum Schutz vor beschädigten Daten werden darüber hinaus auch mehr Mindestwiederherstellungspunkte gepflegt.Also, a greater number of minimum recovery points are maintained to guard against corrupt data.

Hinweis

Sicherheitsfeatures sollten nicht aktiviert werden, wenn Sie eine Infrastructure-as-a-Service-VM-Sicherung (IaaS) verwenden.Security features should not be enabled if you are using infrastructure as a service (IaaS) VM backup. Sie stehen für die IaaS-VM-Sicherung noch nicht zur Verfügung, die Aktivierung hat also keine Auswirkungen.These features are not yet available for IaaS VM backup, so enabling them will not have any impact. Die Sicherheitsfeatures sollten nur aktiviert werden, wenn Sie die folgenden Elemente verwenden:Security features should be enabled only if you are using:

  • Azure Backup-Agent.Azure Backup agent. Agent-Mindestversion: 2.0.9052.Minimum agent version 2.0.9052. Nach der Aktivierung dieser Features sollten Sie auf diese Agent-Version aktualisieren, um kritische Vorgänge auszuführen.After you have enabled these features, you should upgrade to this agent version to perform critical operations.
  • Azure Backup Server.Azure Backup Server. Azure Backup-Agent-Mindestversion: 2.0.9052 mit Azure Backup Server-Update 1.Minimum Azure Backup agent version 2.0.9052 with Azure Backup Server update 1.
  • System Center Data Protection Manager.System Center Data Protection Manager. Azure Backup-Agent-Mindestversion 2.0.9052 mit Data Protection Manager 2012 R2 UR12 oder Data Protection Manager 2016 UR2.Minimum Azure Backup agent version 2.0.9052 with Data Protection Manager 2012 R2 UR12 or Data Protection Manager 2016 UR2.

Hinweis

Diese Features sind nur für den Recovery Services-Tresor verfügbar.These features are available only for Recovery Services vault. Bei allen neu erstellten Recovery Services-Tresoren sind diese Features standardmäßig aktiviert.All the newly created Recovery Services vaults have these features enabled by default. Für vorhandene Recovery Services-Tresore müssen die Benutzer diese Features anhand der Schritte im folgenden Abschnitt aktivieren.For existing Recovery Services vaults, users enable these features by using the steps mentioned in the following section. Nach der Aktivierung gelten die Features für alle Recovery Services-Agent-Computer, Azure Backup Server-Instanzen und Data Protection Manager-Server, die im Tresor registriert sind.After the features are enabled, they apply to all the Recovery Services agent computers, Azure Backup Server instances, and Data Protection Manager servers registered with the vault. Die Aktivierung dieser Einstellung ist eine einmalige Aktion, und die Features können nach der Aktivierung nicht wieder deaktiviert werden.Enabling this setting is a one-time action, and you cannot disable these features after enabling them.

Aktivieren der SicherheitsfeaturesEnable security features

Wenn Sie einen Recovery Services-Tresor erstellen, können Sie alle Sicherheitsfeatures verwenden.If you are creating a Recovery Services vault, you can use all the security features. Aktivieren Sie die Sicherheitsfeatures bei Verwendung eines bereits vorhandenen Tresors mit folgenden Schritten:If you are working with an existing vault, enable security features by following these steps:

  1. Melden Sie sich mit Ihren Azure-Anmeldeinformationen beim Azure-Portal an.Sign in to the Azure portal by using your Azure credentials.
  2. Wählen Sie Durchsuchen, und geben Sie Recovery Services ein.Select Browse, and type Recovery Services.

    Screenshot des Azure-Portals mit der Option „Durchsuchen“

    Die Liste mit den Recovery Services-Tresoren wird angezeigt.The list of recovery services vaults appears. Wählen Sie aus dieser Liste einen Tresor aus.From this list, select a vault. Das ausgewählte Tresor-Dashboard wird geöffnet.The selected vault dashboard opens.

  3. Klicken Sie in der Liste mit den Elementen, die im Tresor angezeigt werden, unter Einstellungen auf Eigenschaften.From the list of items that appears under the vault, under Settings, click Properties.

    Screenshot der Optionen des Recovery Services-Tresors

  4. Klicken Sie unter Sicherheitseinstellungen auf Aktualisieren.Under Security Settings, click Update.

    Screenshot der Eigenschaften des Recovery Services-Tresors

    Über den Updatelink wird das Blatt Sicherheitseinstellungen geöffnet, auf dem Sie eine Zusammenfassung der Features finden und sie aktivieren können.The update link opens the Security Settings blade, which provides a summary of the features and lets you enable them.

  5. Wählen Sie aus der Dropdownliste Have you configured Azure Multi-Factor Authentication? (Haben Sie Azure Multi-Factor Authentication konfiguriert?), und wählen Sie einen Wert, um zu bestätigen, dass Sie Azure Multi-Factor Authentication aktiviert haben.From the drop-down list Have you configured Azure Multi-Factor Authentication?, select a value to confirm if you have enabled Azure Multi-Factor Authentication. Wenn Azure Multi-Factor Authentification aktiviert ist, werden Sie gebeten, sich bei der Anmeldung beim Azure-Portal von einem anderen Gerät (z.B. Mobiltelefon) aus zu authentifizieren.If it is enabled, you are asked to authenticate from another device (for example, a mobile phone) while signing in to the Azure portal.

    Wenn Sie wichtige Vorgänge in der Sicherung ausführen, müssen Sie eine im Azure Portal verfügbare Sicherheits-PIN eingeben.When you perform critical operations in Backup, you have to enter a security PIN, available on the Azure portal. Das Aktivieren der Azure Multi-Factor Authentication sorgt so für eine zusätzliche Sicherheitsebene.Enabling Azure Multi-Factor Authentication adds a layer of security. Nur autorisierte Benutzer mit gültigen Azure-Anmeldeinformationen, die über ein zweites Gerät authentifiziert sind, können auf das Azure-Portal zugreifen.Only authorized users with valid Azure credentials, and authenticated from a second device, can access the Azure portal.

  6. Wählen Sie zum Speichern von Sicherheitseinstellungen Aktivieren, und klicken Sie auf Speichern.To save security settings, select Enable and click Save. Aktivieren können Sie nur dann auswählen, wenn Sie im vorherigen Schritt einen Wert aus der Dropdownliste Have you configured Azure Multi-Factor Authentication? (Haben Sie Azure Multi-Factor Authentication konfiguriert?) ausgewählt haben.You can select Enable only after you select a value from the Have you configured Azure Multi-Factor Authentication? list in the previous step.

    Screenshot der Sicherheitseinstellungen

Wiederherstellen von gelöschten SicherungsdatenRecover deleted backup data

Backup bewahrt gelöschte Sicherungsdaten zusätzlich 14 Tage lang auf und löscht sie nicht sofort, wenn der Datenvorgang Stop backup with delete backup (Sicherungsabbruch mit Sicherungslöschung) ausgeführt wird.Backup retains deleted backup data for an additional 14 days, and does not delete it immediately if the Stop backup with delete backup data operation is performed. Um diese Daten innerhalb dieser 14 Tagen wiederherzustellen, gehen Sie je nachdem, was Sie verwenden, folgendermaßen vor:To restore this data in the 14-day period, take the following steps, depending on what you are using:

Für Benutzer des Microsoft Azure Recovery Services-Agent:For Azure Recovery Services agent users:

  1. Wenn der Computer, auf dem die Sicherungen durchgeführt wurden, noch verfügbar ist, verwenden Sie in Azure Recovery Services die Wiederherstellung von Daten auf demselben Computer, um die Wiederherstellung mithilfe aller alten Wiederherstellungspunkte durchzuführen.If the computer where backups were happening is still available, use Recover data to the same machine in Azure Recovery Services, to recover from all the old recovery points.
  2. Wenn dieser Computer nicht verfügbar ist, verwenden Sie die Wiederherstellung auf einem anderen Computer, um einen anderen Azure Recovery Services-Computer für die Wiederherstellung dieser Daten zu verwenden.If this computer is not available, use Recover to an alternate machine to use another Azure Recovery Services computer to get this data.

Für Benutzer von Azure Backup Server :For Azure Backup Server users:

  1. Wenn der Server, auf dem die Sicherungen durchgeführt wurden, noch verfügbar ist, schützen Sie die gelöschten Datenquellen erneut, und verwenden Sie das Feature Daten wiederherstellen, um die Wiederherstellung mithilfe aller alten Wiederherstellungspunkte durchzuführen.If the server where backups were happening is still available, re-protect the deleted data sources, and use the Recover Data feature to recover from all the old recovery points.
  2. Wenn dieser Server nicht verfügbar ist, befolgen Sie die Schritte unter Daten von einem anderen Azure Backup-Server wiederherstellen, um diese Daten von einer anderen Azure Backup Server-Instanz wiederherzustellen.If this server is not available, use Recover data from another Azure Backup Server to use another Azure Backup Server instance to get this data.

Für Benutzer von Data Protection Manager:For Data Protection Manager users:

  1. Wenn der Server, auf dem die Sicherungen durchgeführt wurden, noch verfügbar ist, schützen Sie die gelöschten Datenquellen erneut, und verwenden Sie das Feature Daten wiederherstellen, um die Wiederherstellung mithilfe aller alten Wiederherstellungspunkte durchzuführen.If the server where backups were happening is still available, re-protect the deleted data sources, and use the Recover Data feature to recover from all the old recovery points.
  2. Wenn dieser Server nicht verfügbar ist, verwenden Sie Externen DPM hinzufügen, um einen anderen Data Protection Manager-Server zum Abrufen dieser Daten zu verwenden.If this server is not available, use Add External DPM to use another Data Protection Manager server to get this data.

Verhindern von AngriffenPrevent attacks

Es wurden Prüfungen hinzugefügt, um sicherzustellen, dass bestimmte Vorgänge nur von gültigen Benutzern ausgeführt werden können.Checks have been added to make sure only valid users can perform various operations. Dazu gehören das Hinzufügen einer zusätzlichen Authentifizierungsebene und das Einhalten einer minimalen Aufbewahrungsdauer für die Wiederherstellung.These include adding an extra layer of authentication, and maintaining a minimum retention range for recovery purposes.

Authentifizierung für das Ausführen von kritischen VorgängenAuthentication to perform critical operations

Als Teil der zusätzlich hinzugefügten Authentifizierungsebene für kritische Vorgänge werden Sie beim Ausführen der Vorgänge Stop Protection with Delete data (Schutz mit Datenlöschung beenden) und Passphrase ändern dazu aufgefordert, die Sicherheits-PIN einzugeben.As part of adding an extra layer of authentication for critical operations, you are prompted to enter a security PIN when you perform Stop Protection with Delete data and Change Passphrase operations.

Hinweis

Die Sicherheits-PIN wird derzeit für Schutz beenden und Daten löschen für DPM und MABS nicht unterstützt.Currently, security pin is not supported for Stop Protection with Delete data for DPM and MABS.

So erhalten Sie diese PIN:To receive this PIN:

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Navigieren Sie zu Recovery Services-Tresor > Einstellungen > Eigenschaften.Browse to Recovery Services vault > Settings > Properties.
  3. Klicken Sie unter Sicherheits-PIN auf Generieren.Under Security PIN, click Generate. Daraufhin wird ein Blatt geöffnet, das die einzugebende PIN in der Azure Recovery Services-Agent-Benutzeroberfläche enthält.This opens a blade that contains the PIN to be entered in the Azure Recovery Services agent user interface. Diese PIN gilt nur für fünf Minuten und wird nach Ablauf dieses Zeitraums automatisch generiert.This PIN is valid for only five minutes, and it gets generated automatically after that period.

Einhalten einer minimalen AufbewahrungsdauerMaintain a minimum retention range

Um sicherzustellen, dass immer eine geeignete Anzahl von Wiederherstellungspunkten verfügbar ist, wurden die folgenden Prüfungen hinzugefügt:To ensure that there are always a valid number of recovery points available, the following checks have been added:

  • Bei einer täglichen Aufbewahrung sollten mindestens sieben Aufbewahrungstage vorgesehen werden.For daily retention, a minimum of seven days of retention should be done.
  • Bei einer wöchentlichen Aufbewahrung sollten mindestens vier Aufbewahrungswochen vorgesehen werden.For weekly retention, a minimum of four weeks of retention should be done.
  • Bei einer monatlichen Aufbewahrung sollten mindestens drei Aufbewahrungsmonate vorgesehen werden.For monthly retention, a minimum of three months of retention should be done.
  • Bei einer jährlichen Aufbewahrung sollte mindestens ein Aufbewahrungsjahr vorgesehen werden.For yearly retention, a minimum of one year of retention should be done.

Benachrichtigungen über kritische VorgängeNotifications for critical operations

Wenn kritische Vorgänge ausgeführt werden, erhält der Administrator der Abonnements in der Regel eine E-Mail-Benachrichtigung mit den Details des Vorgangs.Typically, when a critical operation is performed, the subscription admin is sent an email notification with details about the operation. Sie können im Azure-Portal zusätzliche E-Mail-Empfänger für diese Benachrichtigungen konfigurieren.You can configure additional email recipients for these notifications by using the Azure portal.

Die in diesem Artikel genannten Sicherheitsfeatures bieten Abwehrmechanismen gegen gezielte Angriffe.The security features mentioned in this article provide defense mechanisms against targeted attacks. Vor allem aber bieten Ihnen diese Features die Möglichkeit, bei einem Angriff Ihre Daten wiederherzustellen.More importantly, if an attack happens, these features give you the ability to recover your data.

ProblembehandlungTroubleshooting errors

VorgangOperation FehlerdetailsError details LösungResolution
RichtlinienänderungPolicy change Die Sicherungsrichtlinie konnte nicht geändert werden.The backup policy could not be modified. Fehler: Der aktuelle Vorgang ist aufgrund eines internen Dienstfehlers [0x29834] fehlgeschlagen.Error: The current operation failed due to an internal service error [0x29834]. Wiederholen Sie den Vorgang nach einiger Zeit.Please retry the operation after sometime. Wenn das Problem weiterhin besteht, wenden Sie sich an den Microsoft-Support.If the issue persists, please contact Microsoft support. Ursache:Cause:
Dieser Fehler tritt auf, wenn Sicherheitseinstellungen aktiviert sind, Sie versuchen, die Beibehaltungsdauer unter die oben angegebenen Mindestwerte zu verkürzen, und eine nicht unterstützte Version verwenden (unterstützte Versionen sind im ersten Hinweis in diesem Artikel angegeben).This error comes when security settings are enabled, you try to reduce retention range below the minimum values specified above and you are on unsupported version (supported versions are specified in first note of this article).
Empfohlene Maßnahme:Recommended Action:
In diesem Fall sollten Sie die Beibehaltungsdauer höher als den angegebenen Mindestzeitraum festlegen (sieben Tage für „Täglich“, vier Wochen für „Wöchentlich“, drei Wochen für „Monatlich“ oder ein Jahr für „Jährlich“), um mit richtlinienbezogenen Updates fortzufahren.In this case, you should set retention period above the minimum retention period specified (seven days for daily, four weeks for weekly, three weeks for monthly or one year for yearly) to proceed with policy related updates. Die optional bevorzugte Vorgehensweise ist das Aktualisieren des Backup-Agents, von Azure Backup Server und/oder DPM-Updaterollups (UR), um in den Genuss aller Sicherheitsupdates zu kommen.Optionally, preferred approach would be to update backup agent, Azure Backup Server and/or DPM UR to leverage all the security updates.
Ändern der PassphraseChange Passphrase Die eingegebene Sicherheits-PIN ist nicht korrekt.Security PIN entered is incorrect. (ID: 100130) Geben Sie die korrekte Sicherheits-PIN an, um diesen Vorgang abzuschließen.(ID: 100130) Provide the correct Security PIN to complete this operation. Ursache:Cause:
Dieser Fehler tritt bei der Eingabe einer ungültigen oder abgelaufenen Sicherheits-PIN beim Ausführen eines kritischen Vorgangs (z.B. Ändern der Passphrase) auf.This error comes when you enter invalid or expired Security PIN while performing critical operation (like change passphrase).
Empfohlene Maßnahme:Recommended Action:
Um den Vorgang abzuschließen, müssen Sie die gültige Sicherheits-PIN eingeben.To complete the operation, you must enter valid Security PIN. Um die PIN abzurufen, melden Sie sich beim Azure-Portal an und navigieren zu „Recovery Services-Tresor > Einstellungen > Eigenschaften > Sicherheits-PIN generieren“.To get the PIN, log in to Azure portal and navigate to Recovery Services vault > Settings > Properties > Generate Security PIN. Verwenden Sie diese PIN, um die Passphrase zu ändern.Use this PIN to change passphrase.
Ändern der PassphraseChange Passphrase Fehler beim Vorgang.Operation failed. ID: 120002ID: 120002 Ursache:Cause:
Dieser Fehler tritt auf, wenn Sicherheitseinstellungen aktiviert sind, Sie versuchen, die Passphrase zu ändern, und eine nicht unterstützte Version verwenden (unterstützte Versionen sind im ersten Hinweis in diesem Artikel angegeben).This error comes when security settings are enabled, you try to change passphrase and you are on unsupported version (valid versions specified in first note of this article).
Empfohlene Maßnahme:Recommended Action:
Um die Passphrase zu ändern, müssen Sie zuerst den Backup-Agent auf Mindestversion 2.0.9052, Azure Backup-Server auf mindestens Update 1 und/oder DPM auf mindestens DPM 2012 R2 UR12 oder DPM 2016 UR2 (Downloadlinks siehe unten) aktualisieren und dann die gültige Sicherheits-PIN eingeben.To change passphrase, you must first update backup agent to minimum version minimum 2.0.9052, Azure Backup server to minimum update 1, and/or DPM to minimum DPM 2012 R2 UR12 or DPM 2016 UR2 (download links below), then enter valid Security PIN. Um die PIN abzurufen, melden Sie sich beim Azure-Portal an und navigieren zu „Recovery Services-Tresor > Einstellungen > Eigenschaften > Sicherheits-PIN generieren“.To get the PIN, log in to Azure portal and navigate to Recovery Services vault > Settings > Properties > Generate Security PIN. Verwenden Sie diese PIN, um die Passphrase zu ändern.Use this PIN to change passphrase.

Nächste SchritteNext steps