Kategorien
Tutorials

DPM - Bandbackups verschlüsseln

Gerade in Hinblick auf ausgelagerte Backups oder die Zertifizierung ISO 27001 rückt die Frage nach verschlüsselten Backups in den Vordergrund. Der DPM bietet die Möglichkeit "Langfristige Backups", also Backups auf Band bzw. auf Tape zu verschlüsseln. Zum Verschlüsseln der Bandbackups nutzt der DPM ein Zertifikat.

Getestet wurde dieser Artikel unter DPM 2019, sollte aber auch unter anderen Versionen von DPM so funktionieren.

Folgen eines fehlenden Zertifikates

Der DPM benutzt zum Verschlüsseln der Backups ein Zertifikat. Ist dieses nicht vorhanden, kommt es beim Versuch ein Backup auf Band zu schreiben zu folgendem Fehler:

Unter DPMBackupStore ist kein Zertifikat vorhanden. (ID 24073)

Der Versuch ein verschlüsseltes Backup wiederherzustellen bricht mit folgendem Fehler ab:

Der DPM-Server ist nicht autorisiert, Lese- und Schreibvorgänge für das verschlüsselte Band auszuführen, da unter DPMBackupStore und DPMRestoreStore kein gültiges Zertifikat zum Entschlüsseln der Daten vorhanden ist. (ID 24071)

Zum Entschlüsseln wird das gleiche Zertifikat wie zum Verschlüsseln benötigt. Geht dieses verloren, sind die Backups nutzlos. Das Zertifikat sollte daher zusätzlich an einem sicheren Ort aufbewahrt werden, um den oberen Fehler im Ernstfall zu vermeiden.

Bandbackups mit dem DPM verschlüsseln

Es gibt nur zwei Voraussetzungen für das Verschlüsseln von Backups auf Band: Ein Zertifikat und die entsprechende Einstellung in der Schutzgruppe im DPM.

Der Zertifikatsspeicher

Im Zertifikatsspeicher unter den Computerzertifikaten gibt es zwei Ordner, die für den DPM relevant sind:

DPMBackupStore und DPMRestoreStore in der Zertifikatsverwaltung
Voraussetzung für das Verschlüsseln von Backups ist ein entsprechendes Zertifikat.

DPMBackupStore: Das Zertifikat, welches hier abgelegt ist, wird vom DPM standardmäßig zum Ver- und Entschlüsseln von Bandbackups verwendet.

DPMRestoreStore: Ist ein Zertifikat abgelaufen oder wird ersetzt, sollte das alte Zertifikat hier abgelegt werden. Ein hier abgelegtes Zertifikat kann zum Entschlüsseln von Backups verwendet werden.

Zertifikat mit der PowerShell erstellen

Mit einer administrativen PowerShell kann ein selbstsigniertes Zertifikat erstellt werden. Dafür sind einige Parameter erforderlich:

New-SelfSignedCertificate -DnsName "amadpm01", "amadpm01.lab.local" -FriendlyName "DPMBackup" -CertStoreLocation "cert:\LocalMachine\My" -KeyAlgorithm RSA -KeyLength 2048 -NotAfter (Get-Date).AddYears(10) -KeyUsage DataEncipherment -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider"
ParameterErklärung
DnsNameDie Namen des Servers, wofür das Zertifikat ausgestellt werden soll. I.d.R. der Hostname und der FQDN des Servers.
FriendlyNameAnzeigename des Zertifikats.
CertStoreLocationSpeicherort in der Zertifikatsverwaltung des Zertifikats.
KeyAlgorithmAlgorithmus des Schlüsselpaars für das Zertifikat.
KeyLengthSchlüssellänge. Aktuell sind 2048 Bit üblich und gelten als relativ sicher.
NotAfterAblaufdatum des Zertifikats. Im oberen Beispiel etwa 10 Jahre.
KeyUsageVerwendungszweck des Schlüssels. Im oberen Beispiel etwa Datenverschlüsselung.
ProviderDer Kryptographie Provider ist verantwortlich für die verfügbaren Algorithmen und Schlüssellängen, etwa RSA 2048 Bit wie im oberen Beispiel. Wird kein Provider angegeben, stürzt der komplette DPM beim Versuch ein verschlüsseltes Bandbackup zu erstellen, mit der Fehler-ID 917 ab und wird neu gestartet. Die Ereignisanzeige von Windows gibt schließlich den genauen Fehler mit einen Hinweis auf den Provider preis: System.Security.Cryptography.CryptographicException: Ungültigen Anbietertyp angegeben
Erforderliche Parameter für ein DPM-kompatibles Zertifikat.

Das Zertifikat wird schließlich in den Computerzertifikaten unter den eigenen Zertifikaten abgespeichert. Von dort ist es per Drag & Drop in den Ordner "DPMBackupStore" zu verschieben:

Zertifikat für DPM installieren
Das neue Zertifikat kann per Drag & Drop von "Eigene Zertifikate" -> "Zertifikate" nach DPMBackupStore verschoben werden.

Schutzgruppe im DPM anpassen

Wenn das Zertifikat installiert ist, muss noch die entsprechende Option zum Verschlüsseln von Backups in den Schutzgruppen gesetzt werden. Dafür muss in den Optionen der Schutzgruppe unter "Bibliothek- und Banddetails auswählen" die Option "Daten verschlüsseln" ausgewählt sein:

DPM Bandbackups verschlüsseln
Der DPM kann Bandbackups verschlüsseln, wenn ein entsprechendes Zertifikat installiert ist.

Zertifikat sichern

Wenn das Zertifikat verloren geht, können die Daten aus dem Backup nicht mehr wiederhergestellt werden. Daher ist es wichtig, dieses zu exportieren und zusätzlich an einen sicheren Ort zu verwahren. Dies geht über die Option "Exportieren..." in der Zertifikatsverwaltung:

MMC Zertifikat exportieren
Das Zertifikat sollte unbedingt gesichert werden, damit die Backups jederzeit wiederhergestellt werden können.

Der private Schlüssel ist unbedingt mit zu exportieren. Ansonsten wähle ich folgende Optionen beim Export aus:

DPM-Zertifikat als PFX exportieren
Beim Festlegen des Kennworts ist eine Verschlüsselung zu wählen. Sofern auswählbar sollte aus Sicherheitsgründen "AES256-SHA256" gewählt werden.

Zertifikat wiederherstellen

Ist das Zertifikat verloren gegangen oder der Backup-Server wurde neu aufgesetzt, kann ein vorhandenes Bandbackup nicht wiederhergestellt werden. In diesem Fall muss das (hoffentlich) zuvor gesicherte Zertifikat wieder installiert werden. Das geht in den Computerzertifikaten wie folgt:

DPM-Zertifikat wiederherstellen
Das gesicherte Zertifikat kann im Fall der Fälle einfach wieder importiert werden, um auf bereits verschlüsselte Backups zugreifen zu können.

Es öffnet sich ein Dialog wo schließlich das Zertifikat (*.pfx) ausgewählt und importiert werden kann.


Weiterführende Links
https://docs.microsoft.com/de-de/troubleshoot/system-center/dpm/vnext-dpm-error-codes
https://docs.microsoft.com/en-us/windows/win32/seccertenroll/cryptoapi-cryptographic-service-providers
https://www.windowspro.de/script/new-selfsignedcertificate-selbstsignierte-zertifikate-ausstellen-powershell

Quellen
http://www.ms4u.info/2012/02/encrypt-data-to-tape-in-dpm-2012.html
https://www.youtube.com/watch?v=sSbJsUmYsbU
https://docs.microsoft.com/de-de/previous-versions/system-center/data-protection-manager-2010/ff399018(v=technet.10)
https://docs.microsoft.com/en-us/powershell/module/pkiclient/new-selfsignedcertificate?view=win10-ps

Seit mehreren Jahren begeistere ich mich privat und beruflich für die IT. Das habe ich dann auch zum Anlass genommen, diesen Blog ins Leben zu rufen, um dort praxisnahe Tutorials über verschiedene IT-Themen zu schreiben und meine selbst geschriebene Software zu veröffentlichen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.