Reflect v7.1

Macrium Image Guardian (MIG) – Protezione contro i Ransomware

Posted by

Traduzione dell’articolo della KnowledgeBase del sito del produttore al seguente indirizzo
https://knowledgebase.macrium.com/display/KNOW7/Macrium+Image+Guardian
Nota: La protezione MIG è presente nelle sole licenze stand-alone di Reflect e non nelle licenze di tipo MAL

Per proteggere i file di backup di Macrium contro gli attacchi dei ransomware, Macrium ha sviluppato “Macrium Image Guardian” (MIG).
MIG impedisce di modificare in modo non autorizzato i file di backup di Macrium sui volumi locali o USB. Così, se dovesse sfortunatamente succedere che siate vittima di un attacco ransomware, i vostri backup saranno comunque difesi da Macrium Image Guardian. A differenza dei prodotti software antivirus, MIG si concentra sulla sola attività di protezione dei file Macrium. Ha una piccola dimensione e non riduce le prestazioni del PC su cui viene istallato.
Macrium Image Guardian protegge i file di backup da modifiche non autorizzate permettendo l’accesso in scrittura ai file di backup esistenti al solo Macrium Reflect 7.1 (o versioni superiori) e facoltativamente anche a MS RoboCopy. Sarà, invece, negato l’accesso a tutti gli altri processi che tentino di modificare o cancellare i file di backup.
MIG protegge i volumi NTFS locali e consente a Macrium Reflect 7.1 e versioni successive di utilizzare il volume protetto come risorsa di rete condivisa.
Architettura di protezione di Macrium Image Guardian

 

Macrium Image Guardian protegge i backup in un ambiente in rete

Nell’illustrazione sopra riportata, il PC che condivide il repository di backup (Volume condiviso) dispone di un’installazione completa di Macrium Reflect, incluso MIG. Un disco locale è condiviso sulla rete e MIG è stato abilitato su quella unità nell’interfaccia utente di Macrium Reflect.
Gli altri PC in rete possono eseguire il backup in questa unità condivisa e, se hanno installato MIG, l’accesso in scrittura ai file di backup verrà automaticamente concessa a Macrium Reflect 7.1 o versioni successive, tutti gli altri tentativi di accesso di scrittura ai file di backup, invece, saranno bloccati.
Il PC che ospita la condivisione con MIG installato può essere utilizzato come un’installazione autonoma di Macrium Reflect. L’unità protetta impedirà l’accesso non autorizzato ai file di backup su tale unità se il PC locale crea dei backup al volume protetto.
Potete leggere di più su MIG cliccando qui

Protezione all’Accesso dei File

Macrium Image Guardian protegge tutti i file dei backup salvati in locale da alterazioni o cancellazioni non autorizzate. Tutti i tentativi di alterazione saranno bloccati con la generazione di una segnalazione: “error 0x80070510 – Storage policy block”


Tipi di File Protetti

I file protetti da Macrium Image Guardian sono quelli aventi le estensioni seguenti.

Extension

Backup Type

.mrimg 

Macrium Reflect image files

.mrbak

Macrium Reflect File and Folder backup files

.mrex

Macrium Reflect Exchange backup files

.mrsql

*Macrium Reflect SQL backup files

*Nota: i file di backup SQL possono essere creati su un volume protetto solo da Macrium Reflect in esecuzione sul PC locale. L’accesso in scrittura via rete verrà bloccato per tutti i processi, incluso Macrium Reflect. Questa limitazione verrà rimossa in un futuro aggiornamento.

 

Limiti di operatività di Windows sui file protetti da Macrium Image Guardian

Macrium Image Guardian blocca l’apertura dei file protetti per modifica o cancellazione. Di seguito sono elencate alcune operazioni e approfondimenti nel caso desiderate conservare dei file di backup Macrium in locazioni non raggiungibili da Macrium Reflect.

  1. Windows Explorer Copy.
    Nuovi file di backup possono essere copiati su un volume protetto come risultato di un’operazione di copia di Windows Explorer.     La copia di un file nella stessa cartella dell’originale verrà bloccata sui file system locali. I file duplicati nella stessa cartella non sono desiderabili e dovrebbero essere evitati. Se l’identità del file di backup viene duplicata si possono presentare comportamenti imprevedibili di Macrium Reflect.
  2. Comandi DOS. COPY, MOVE e XCOPY.
    Questi comandi hanno esito positivo quando il risultato dell’operazione è un nuovo file. Non è possibile la sovrascrittura o l’eliminazione dei file di backup esistenti.
  3. RoboCopy.
    RoboCopy.exe può copiare, spostare e sincronizzare le cartelle. Per ulteriori informazioni sui parametri RoboCopy, consultate la seguente pagina:
    https://technet.microsoft.com/en-us/library/cc733145(v=ws.11).aspx
    Alcune operazioni di cancellazione di file o sovrascrittura sui file di backup impostabili con i parametri di RoboCopy possono essere eseguite nonstante il controllo di MIG se è abilitata l’opzione ‘Allow RoboCopy to sync and move backup files on protected volumes’

Parameter

Rule

/MOVE

/MOV

If the source folder is on a protected volume then the /MOVE /MOV parameters will only delete backup files in the source folder if the destination folder is also on a protected volume.

This ensures that existing files cannot be moved to an unprotected volume and compromised.

/MIR

/PURGE

If the target folder is on a protected volume then the the /MIR  /PURGE parameters
will only delete backup files in the target folder if both of the following conditions are true:

1.      The source folder is a backup destination in any saved backup definition xml file.

2.      The target folder is not a backup destination in any saved backup defintion xml file

This ensures that the synchronisation operation cannot inadvertently, or otherwise, delete files in a folder that is used as a backup destination in Macrium Reflect.

All
overwrite operations

If the result of any parameter is to overwrite an existing backup file on a protected volume then this will only be allowed if the target folder is not a backup destination in any saved backup definition xml file.

RoboCopy e le Condivisioni di Rete

Se la sorgente di una operazione di /MOVE /MOV o l’obiettivo di una operazione di /MIR /PURGE è in un volume di rete protetto da MIG allora tutte le operazioni di cancellazione sono bloccate. Questo perché le “regole” di RoboCopy possono essere applicate solo se la sessione di Windows che apre i file è la stessa sessione di Windows su cui è in esecuzione RoboCopy. Nel caso di una condivisione di rete, è il computer remoto che sta aprendo i file e bloccherà quindi tutte le operazioni di cancellazione.

Istallazione di Macrium Image Guardian

MIG è un componente opzionale del programma di installazione di Macrium Reflect, selezionato per impostazione predefinita, ed è disponibile per Windows 7 e versioni successive in tutte le edizioni di Macrium Reflect tranne che per l’edizione gratuita

 

Dopo l’installazione, se MIG ha automaticamente protetto qualsiasi disco locale usato dalle definizioni di backup esistenti, la prima volta che viene avviato Macrium Reflect viene visualizzata la seguente finestra di avviso:

Attivazione di Macrium Image Guardian

MIG è attivo subito dopo l’installazione e protegge automaticamente le unità di destinazione del backup.

Per attivare o disattivare MIG, andare sulla voce del menu ‘Other Tasks’ > ‘Macrium Image Guardian Settings…’:

Turn on Image Guardian

Starts the Image Guardian Service

Automatically
protect local backup drives

When turned on, all saved backup definitions are searched and Image Guardian is enabled for local backup drives

When creating a new backups, unprotected target drives will be automatically protected by enabling Image Guardian on the drive.

When the PC is restarted, Image Guardian will be re-enabled on all backup drives. This prevents accidentally leaving your drives unprotected by manually turning protection off.

Allow RoboCopy to sync and move backup files on protected volumes

Enables the MS utility RoboCopy to delete and overwrite backup files on protected volumes with the /MOV, /MOVE, /PURGE and /MIR parameters.

Parameter

Rule

/MOVE

/MOV

If the source folder is on a protected volume then the /MOVE /MOV parameters will only delete backup files in the source folder if the destination folder is also on a protected volume.

This ensures that existing files cannot be moved to an unprotected volume and compromised.

/MIR

/PURGE

If the target folder is on a protected volume then the the /MIR  /PURGE parameters will only delete backup files in the target folder if both of the following conditions are true:

  1. The source folder is a backup destination in any saved
    backup definition xml file.
  2. The target folder is not a backup destination in any
    saved backup defintion xml file    .

This ensures that the synchronisation operation cannot inadvertently, or otherwise, delete files in a folder that is used as a backup destination in Macrium Reflect.

All
overwrite operations

If the result of any parameter is to overwrite an existing backup file on a protected volume then this will only be allowed if the target folder is not a backup destination in any saved backup definition xml file.

RoboCopy and Network Shares

If the source of a /MOVE /MOV or target of a /MIR /PURGE operation is a MIG protected volume on a network share then all delete operations are blocked. This is because RoboCopy ‘Rules’ can only be applied if the Windows session that’s opening the files is the same Windows session that’s running RoboCopy. In the
case of a network share, the remote computer is opening the files and will block all delete operations.

Off

Turns off the Image Guardian service.

Restart
service on reboot

The service will remain ‘Off’ until the next Windows startup. If not selected the service will remain ‘Off’ until re-enabled in this dialog.

Eventi generati da Macrium Image Guardian

Per visualizzare gli eventi di Windows generati da Guardian, andare sulla voce del menu ‘Other Tasks’ > ‘Macrium Image Guardian Settings..’ e selezionare la liguetta ‘Events’

 

Number

Event Name

Severity

Description

100

EVT_MIG_SERVICE

_STARTED

Informational

Image Guardian service started

110

EVT_MIG_DRIVER

_STARTED_BY_SERVICE

Informational

Image Guardian driver started by service

200

EVT_MIG_SERVICE

_STOPPED

Informational

Image Guardian service stopped

300

EVT_MIG_VOLUME

_PROTECTED

Informational

Volume (\\?\Volume{6a2d53fe-c79a-11e1-b189-806e6f6e6963}\) is protected

310

EVT_MIG_BLOCK

_VERIFICATION

_FILE_ACCESS

Informational

Blocking process (processname.exe) creating verification file as process is not Macrium certified

320

EVT_MIG_BLOCKED

_FILE_ACCESS

Warning

Blocked unauthorised process (processname.exe) accessing file (\\?\Volume{6a2d53fe-c79a-11e1-b189-806e6f6e6963}\Folder\filename.mrimg)

330

EVT_MIG_USER

_PROTECTED_VOLUME

Informational

User has enabled Image Guardian on volume
(\\?\Volume{6a2d53fe-c79a-11e1-b189-806e6f6e6963}\)

340

EVT_MIG_USER

_DISABLED_VOLUME

Informational

User has disabled Image Guardian on volume
(\\?\Volume{6a2d53fe-c79a-11e1-b189-806e6f6e6963}\)

500

EVT_MIG_ERROR

_BAD_EVENT

Error

Error could not open Image Guardian verification event. Error code = 123

510

EVT_MIG_ERROR

_PROTECTING_VOLUME

Error

Error protecting volume (\\?\Volume{6a2d53fe-c79a-11e1-b189-806e6f6e6963}\). Error
code = 123

520

EVT_MIG_ERROR

_UNPROTECTING_VOLUME

Error

Error unprotecting volume (\\?\Volume{6a2d53fe-c79a-11e1-b189-806e6f6e6963}\).
Error code = 123

Quando
un processo non autorizzato tenta di scrivere, eliminare o rinominare un file di backup di Macrium, l’azione sarà bloccata e verrà generato un errore di Windows Event 320

Abilitazione e Diabilitazione di MIG su Volumi NTFS

MIG può essere abilitato o disabilitato su qualsiasi volume NTFS utilizzando il menu ‘Azioni’ nella finestra
principale di Macrium Reflect.

L’icona dello scudo MIG indica che il volume è protetto:

Protezione Automatica

Si noti che se l’opzione “Proteggi automaticamente le unità di backup locali” è stat selezionata nella finestra di dialogo delle impostazioni di MIG, i volumi non protetti saranno automaticamente protetti nel momento in cui sarà eseguito il primo backup del volume, o al riavvio (se il volume contiene il percorso di una destinazione di backup salvato in una definizione di backup).