你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
对安全问题(例如恶意软件、勒索软件、入侵)的关注在逐渐上升。 这些安全问题可能会代价高昂(就金钱和数据来说)。 为了防范此类攻击,Azure 备份现在提供安全功能来帮助保护混合备份。 本文介绍如何使用 Microsoft Azure 备份服务器(MABS)、 数据保护管理器(DPM)和 Microsoft Azure 恢复服务(MARS)代理来启用和利用这些功能来保护本地工作负荷。 这些功能包括:
- 预防。 执行关键操作(例如更改密码)时,会添加额外的身份验证层。 使用此验证,确保只有具有有效 Azure 凭据的用户才可执行此类操作。
- 警报。 每当执行关键作(例如删除备份数据)时,会向订阅管理员发送电子邮件通知。 此电子邮件可确保用户快速收到有关此类操作的通知。
- 恢复。 删除的备份数据自删除之日起额外保留 14 天。 这可以确保能够在给定的时间段内恢复数据,因此即使遭到攻击,也不会丢失数据。 此外,还保留了更多的最小恢复点,以防止数据损坏。
注释
在恢复服务保管库上启用多用户授权(MUA),为禁用安全功能这一关键操作增加额外的保护层。 了解详细信息。
最低版本要求
仅当使用以下功能时启用安全功能:
- Azure 备份代理:最低代理版本 2.0.9052。 启用这些功能后,请升级代理版本以执行关键作。
- Azure 备份服务器:最低 Azure 备份代理版本 2.0.9052,搭配 Azure 备份服务器更新 1。
- System Center Data Protection Manager:Data Protection Manager 2012 R2 UR12Data Protection Manager 2016 UR2/ 的最低 Azure 备份代理版本 2.0.9052。
注释
如果使用的是基础结构即服务(IaaS)VM 备份,请确保未启用安全功能。 目前,这些功能不适用于 IaaS VM 备份,因此启用这些功能不会产生影响。
启用安全功能
如果要创建恢复服务保管库,可以使用所有安全功能。 如果使用的是现有保管库,请按照以下步骤启用安全功能:
使用 Azure 凭据登录到 Azure 门户。
选择 “浏览”,然后键入 “恢复服务”。
此时会显示恢复服务保管库列表。 从此列表中,选择一个保管库。 此时会打开选定的保管库仪表板。
从保管库下显示的项列表中,在 “设置”下,选择“ 属性”。
在 “安全设置”下,选择“ 更新”。
更新链接将打开 “安全设置” 窗格,该窗格提供功能摘要,并允许启用这些功能。
启用 安全功能并选择“ 保存”。
恢复已删除的备份数据
如果启用了安全功能设置,Azure 备份将保留已删除的备份数据再保留 14 天,如果执行 “停止备份并删除备份数据 ”作,则不会立即将其删除。 若要在 14 天内还原此数据,请执行以下步骤,具体取决于所使用的内容:
对于 Azure 恢复服务代理 用户:
- 如果负责备份的计算机仍然可用,请重新保护已删除的数据源,并使用 Azure 恢复服务中的恢复数据到同一台计算机功能,从所有旧的恢复点中恢复数据。
- 如果此计算机不可用,请使用 “恢复到备用计算机 ”来使用另一台 Azure 恢复服务计算机来获取此数据。
对于 Azure 备份服务器 用户:
- 如果发生备份的服务器仍可用,请重新保护已删除的数据源,并使用 “恢复数据 ”功能从所有旧恢复点恢复。
- 如果此服务器不可用,请使用 从另一个 Azure 备份服务器恢复数据 以使用另一个 Azure 备份服务器实例获取此数据。
对于 Data Protection Manager 用户:
- 如果发生备份的服务器仍可用,请重新保护已删除的数据源,并使用 “恢复数据 ”功能从所有旧恢复点恢复。
- 如果此服务器不可用,请使用 “添加外部 DPM” 来使用另一台 Data Protection Manager 服务器来获取此数据。
防止攻击
已添加检查,确保只有有效用户才可执行各种操作。 这包括添加额外的身份验证层,并为恢复目的维护最低保留范围。
执行关键操作的身份验证
作为为关键操作添加额外身份验证层的一部分,当您执行 DPM、MABS 和 MARS 的停止保护并删除数据和更改密码操作时,系统会提示输入安全 PIN。
此外,在 MARS 版本 2.0.9262.0 及更高版本中,移除 MARS 文件/文件夹备份中的卷、为现有卷添加新的排除设置、缩短保留期限以及切换到较不频繁的备份计划的操作,也都受到安全 PIN 码的保护,以增加安全性。
注释
目前,对于以下 DPM 和 MABS 版本,网盘的“停止保护并删除数据”功能支持安全 PIN:
- DPM 2016 UR9 或更高版本
- DPM 2019 UR1 或更高版本
- MABS v3 UR1 或更高版本
若要接收此 PIN,需要:
- 登录到 Azure 门户。
- 浏览到“恢复服务保管库”>“设置”>“属性”。
- 在“安全 PIN”下选择“生成”。 这会打开一个窗格,您需要在 Azure 恢复服务代理用户界面中输入其中的 PIN。 此 PIN 仅在五分钟内有效,该 PIN 会在该时间段后自动生成。
保持最小保留期
为了确保始终有有效数量的恢复点可用,已添加以下检查:
- 对于日保留期,应设置最少七天的保留期。
- 对于周保留期,应设置最少四周的保留期。
- 对于月保留期,应设置最少三个月的保留期。
- 对于年保留期,应设置最少一年的保留期。
关键操作通知
通常,执行关键作时,订阅管理员会发送电子邮件通知,其中包含有关该作的详细信息。 可以使用 Azure 门户为这些通知配置其他电子邮件收件人。
本文中提到的安全功能提供了针对目标攻击的防御机制。 更重要的是,如果发生攻击,这些功能使你能够恢复数据。
排除故障
| 操作 | 错误详细信息 | 决议 |
|---|---|---|
| 策略更改 | 无法修改备份策略。 错误:由于内部服务错误 [0x29834],当前操作失败。 请稍后重试该操作。 如果该问题仍然存在,请联系 Microsoft 支持部门。 | 原因: 启用安全设置时,会出现此错误,你尝试将保留范围缩小到上面指定的最小值以下,并且你使用的是不受支持的版本(本文的第一个说明中指定了受支持的版本)。 建议的操作: 在这种情况下,应将保留期设置为高于指定的最小保留期(每日七天、每周四周、每月三周或每年一年)以继续执行与策略相关的更新。 (可选)首选方法是更新备份代理、Azure 备份服务器和/或 DPM UR 以利用所有安全更新。 |
| 更改通行短语 | 输入的安全 PIN 不正确。 (ID:100130)提供正确的安全 PIN 以完成此操作。 | 原因: 执行关键作时输入无效或过期的安全 PIN(如更改密码)时,会出现此错误。 建议的操作: 若要完成操作,必须输入有效的“安全 PIN”。 若要获取 PIN,请登录到 Azure 门户并导航到“恢复服务保管库 > 设置 > 属性 > 生成安全 PIN”。 使用此 PIN 更改通行短语。 |
| 更改通行短语 | 操作失败。 ID:120002 | 原因: 启用安全设置时会出现此错误,如果你尝试更改密钥短语,而你使用的是不受支持的版本(有效版本在本文第一条备注中指定)。 建议的操作: 若要更改通行短语,必须先将备份代理更新到最低版本 2.0.9052,将 Azure 备份服务器更新为最低更新 1,并将/或 DPM 更新到最低 DPM 2012 R2 UR12 或 DPM 2016 UR2(下载链接如下),然后输入有效的安全 PIN。 若要获取 PIN,请登录到 Azure 门户并导航到“恢复服务保管库 > 设置 > 属性 > 生成安全 PIN”。 使用此 PIN 更改通行短语。 |
不可变性支持
启用恢复服务保管库的不可变性时,将阻止任何减少云备份保留期或移除与本地数据源相关的云备份的操作。
对 DPM 和 MABS 的不可变性支持
在 DPM 2022 UR1 和 MABS v4 中,MARS 代理 2.0.9250.0 及更高版本支持此功能。
下表列出了不允许在连接到不可变恢复服务保管库的 DPM 上执行的操作:
| 在不可变保管库上执行的操作 | DPM 2022 UR1、MABS v4 和最新 MARS 代理的结果。 使用 DPM 2022 UR2 或 MABS v4 UR1,可以在停止保护或从控制台中删除保护组的数据源时按策略选择保留联机恢复点的选项。 |
较旧的 DPM/MABS 和/或 MARS 代理的结果 |
|---|---|---|
| 从为联机备份配置的保护组中删除数据源 | 81001:由于备份项具有活动恢复点,因此无法删除备份项,并且所选保管库是不可变的保管库。 | 130001:Microsoft Azure 备份遇到内部错误。 |
| 停止保护并删除数据 | 81001:由于备份项具有活动恢复点,因此无法删除备份项,并且所选保管库是不可变的保管库。 使用 DPM 2022 UR2 或 MABS v4 UR1,可以在停止保护或从控制台中删除保护组的数据源时按策略选择保留联机恢复点的选项。 |
130001:Microsoft Azure 备份遇到内部错误。 |
| 减少在线保留期 | 810002:不允许在策略/保护修改期间减少保留期,因为所选保管库是不可变的。 | 130001:Microsoft Azure 备份遇到内部错误。 |
| Remove-DPMChildDatasource 命令 | 81001:由于备份项具有活动恢复点,因此无法删除备份项,并且所选保管库是不可变的保管库。 将新选项 -EnableOnlineRPsPruning 与 -KeepOnlineData 配合使用,使数据仅保留到策略持续时间。 使用 DPM 2022 UR2 或 MABS v4 UR1,可以在停止保护或从控制台中删除保护组的数据源时按策略选择保留联机恢复点的选项。 |
130001:Microsoft Azure 备份遇到内部错误。 使用 -KeepOnlineData 标志保留数据。 |
对 MARS 的不可变性支持
下表列出了在恢复服务保管库上启用不可变性时不允许对 MARS 执行的操作。 允许执行其他作,例如增加保留期和从备份中排除文件/文件夹。
| 不允许的操作 | 最新 MARS 代理的结果 | 旧 MARS 代理的结果 |
|---|---|---|
| 停止保护,删除系统状态的数据 | 错误810001 用户尝试删除备份项,或尝试停止保护并删除备份项具有有效(未过期)恢复点的数据。 |
错误130001 Microsoft Azure 备份遇到内部错误。 |
| 停止保护并删除数据 | 错误810001 用户尝试删除备份项,或尝试停止保护并删除备份项具有有效(未过期)恢复点的数据。 |
错误130001 Microsoft Azure 备份遇到内部错误。 MARS 2.0.9262.0 及更高版本提供停止保护的选项,并根据控制台中的策略保留恢复点。 |
| 减少在线保留期 | 用户尝试通过缩短保留期限来修改策略或保护措施。 | 130001 Microsoft Azure 备份遇到内部错误。 |
| 带 -DeleteBackup 标志的 Remove-OBPolicy | 810001 用户尝试删除备份项,或尝试停止保护并删除备份项具有有效(未过期)恢复点的数据。 使用 –EnablePruning 标志将备份保留到其保留期。 |
130001 Microsoft Azure 备份遇到内部错误。 请勿使用 -DeleteBackup 标志。 MARS 2.0.9262.0 及更高版本提供停止保护的选项,并根据控制台中的策略保留恢复点。 |
后续步骤
- 开始使用 Azure 恢复服务保管库 来启用这些功能。
- 下载最新的 Azure 恢复服务代理 ,以帮助保护 Windows 计算机并保护备份数据免受攻击。