ActiveImage Protectorの保存先隔離機能について

ActiveImage Protector (以降一部 AIP と略す)には、ランサムウェアの対策として保存先隔離機能が実装されており、4種類の設定方法があります。この記事では、AIP2022 バージョン 6.5.0.7616を使用し、これらの機能の動作仕様と注意点について簡単に説明します。

スケジュール作成時の保存先の指定画面で、保存先隔離オプションの有効化が可能です。
1) バックアップ後にドライブレターを解除する
2) バックアップ後に 保存先 をオフラインにする
3) バックアップ後に 保存先 のリムーバブル USB HDD を取り外す
4) バックアップ後に 指定したネットワークを無効にする

動作仕様の概要は、AIPがバックアップを実行する時間のみ、保存先の使用を有効にして、保存先へバックアップを実施します(“3)”を除く)。そのため、取り扱いには十分にご注意頂きご利用下さい。

この記事では、保存先として下記を使用しています。
1)、2)、3)では、ローカルI:ドライブのフォルダー(USB HDD)。
4)は、「イーサネット」という名前のデバイスを使用して共有フォルダーを作成し参照。

1) バックアップ後にドライブレターを解除する

このオプションは、タスク実行後、保存先フォルダーが存在するドライブレターを自動で解除(削除)します。

タスク実行中はアクセス可能な状態です。

タスク完了後、ドライブレターが削除されます。

この状態から、スケジュールにより次のタスクが動作するとき、自動的にドライブレターを当ててからタスク処理を行います。タスクが完了したら、ドライブレターを解除します。この処理により、タスク動作時以外に、エクスプローラなどから、対象のドライブレター内のデータ改竄を抑制します。

また、通常は例えば、中のデータを変更するため、ディスクの管理から保存先のドライブレターを手動で割り当てても、スケジュールの動作に影響はありません。

注意点:
何らかの理由により、ディスクへの排他アクセスなどで、ドライブレターが自動で削除されない場合は、ディスクの管理から手動でドライブレターの作成、削除が可能かどうかをご確認ください。

2)バックアップ後に 保存先 をオフラインにする
このオプションは、タスク実行後、保存先フォルダーが存在するハードディスクをオフラインにします。

タスク実行中は1)と同じです。タスク完了後、下記のようになります。

この状態から、スケジュールにより次のタスクが動作するとき、自動的にオンラインにしてからタスク処理を行います。タスクが完了したら、オフラインにします。この処理により、タスク動作時以外に、エクスプローラなどから、対象のドライブレター内のデータ改竄を抑制します。

注意点:
*対象ディスクを、ディスクの管理から手動でオンラインに変更しても動作に影響ありません。
*システムドライブを含む場合、OSの仕様上オフラインにすることができません。
*USBフラッシュメモリなどのリムーバブルディスクを保存先とした場合は、OSの仕様上オフラインにすることができません。

3) バックアップ後に 保存先 のリムーバブル USB HDD を取り外す
このオプションは、タスク実行後、保存先フォルダーが存在するハードディスクに対して、OS上から安全な取り外しを行います。

タスク実行中は1)と同じです。
タスク完了後、下記のようになり、OS上では対象のデバイスが接続されていない状態になります。

注意点:
このオプションでは、自動で再接続を行うことができないため、データ改竄防止の点では強力ですが、次のタスク以降も、保存先が見つからない -403 エラーが発生します。

バックアップを成功させるためには、手動で下記のいずれかを実施し、OS上でデバイスが認識できるようにして下さい。
・USB HDDケーブルの抜き差し、またはUSB フラッシュメモリの抜き差しを行う。
・OSを再起動する

尚、1)、2)、3)の運用中、タスクが -301で終了し続けた場合、ヘルプを参照ください。エラーが解決できない場合、スケジュールを再作成してエラーの解決を試みて下さい。

4) バックアップ後に 指定したネットワークを無効にする
このオプションは、タスク実行後、保存先として使用しているネットワークデバイスを無効にします。

タスク実行中は、ネットワークが有効です。

タスク完了後、指定したネットワークデバイスが無効になります。

この状態から、スケジュールにより次のタスクが動作するとき、自動的にネットワークを有効にしてからタスク処理を行います。タスクが完了したら、デバイスを無効にします。

注意点:
このオプションで指定したネットワークデバイスは、タスク実行中以外は常に無効となります。メインのネットワークとして使用している場合、お取り扱いには十分にご注意ください。

現状、このオプションは少し不安定です。環境によっては、有効にならないことが有り、タスクが -403で失敗することがあります。

05/31/2022 04:00:02.748 Target location \\XXXXXXXXX\network not found. Level = ERROR[1231]

05/31/2022 04:00:02.748 #### ERROR CheckTarget() @ AgentBasedBackup.cpp(434): -403 Level = ERROR[1231]

この記事で使用しているバージョン以降で安定性の改善を予定しています。

現状での代替策は
・タスク開始前に手動で対象のネットワークデバイスを有効化しておく。
・Windowsスケジュールタスクなどに、下記コマンドを実行するようにしておく。
> netsh interface set interface name=“イーサネット” admin=enable

*管理者権限で下記ネットワーク有効化のコマンドをコマンドプロンプトから実行。
*ネットワークを無効にする場合、 enable を disable に変更することで可能。

まず、事前にバッチの作成、管理者権限で実行し、動作確認を行います。
その時、コマンドで、下記エラーが発生する場合があります。

イーサネット という2バイト文字がUTF-8で引っかかるようです。メモ帳でバッチファイルを開いて、ファイルを保存する時に、文字コードをANSIに変更し保存します。
作成したバッチを使用し、管理者権限で正常にバッチが動作し、対象のネットワークインターフェースが有効になります。

タスクスケジューラに登録して使用する場合、Windows検索ボックスで スケジューラ と入力するなどしてタスクスケジューラを開きます。基本タスクの作成で、バッチを参照してタスクスケジュールライブラリに登録します。登録したら、管理者権限でバッチを実行するため、タスクをダブルクリックで開き、「最上位の特権で実行する」のチェックを入れて保存します。例えば、作成したバッチをAIPのタスクが開始する3分前などに実行させるようにして運用します。
*弊社ではタスクスケジューラのトラブルシュートは行っていません。

その他:
2022年9月末にて販売を終了します ActiveImage Protector 2018 Update Server for RDX は、ActiveImage Protector 2022 Serverに統合されます。for RDX のRDXイジェクト機能は、AIPコンソールの [環境設定] > [一般設定] – [RDX オプションを有効にする] を有効にすることで使用可能です。

上記をオンにして適用すると、保存先隔離オプションの設定画面の部分がRDXイジェクト画面に切り替わります。

統合についての詳細は、ブログ記事「ActiveImage Protector とRDXについて」をお読みください。

Support T.