M 6.44 Datensicherung unter Windows NT
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Benutzer
Unter Windows NT kann die Datensicherung mit dem zum System gehörigen Dienstprogramm NTBACKUP.EXE durchgeführt werden, wobei zu beachten ist, dass dieses Programm nur Sicherungen auf Band unterstützt und auch nicht in der Lage ist, die Sicherungsbänder zu verschlüsseln, so dass diese gesichert aufbewahrt werden müssen.
Bei der Durchführung der Datensicherung sind die folgenden Punkte zu beachten:
- Für die Datensicherung sind Zugriffsrechte auf das Windows-Systemverzeichnis %SysRoot%\SYSTEM32 (in der Regel \WINNT\SYSTEM32) notwendig, da NTBACKUP dort temporäre Dateien und Log-Dateien anlegt.
- Die Sicherungssoftware ist in der Lage, die Registrierung des lokalen Rechners zu sichern. Dies sollte in regelmäßigen Abständen und nach größeren Änderungen der Konfiguration durchgeführt werden.
- In regelmäßigen Abständen (nach jeweils etwa 20 Nutzungen) sollten zur Datensicherung verwendete Viertelzoll-Bänder durch Wahl der Option "Band spannen" sauber aufgewickelt werden, um lockere Stellen und dadurch mögliche Beschädigung des Bandes durch Abrieb zu vermeiden. 4 mm (DAT-) und 8 mm (Video 8-) Bänder erfordern diese Maßnahme nicht; die entsprechende Operation steht für diese Bänder nicht zur Verfügung.
- Bei Angabe der Option "Band löschen" sollte "Sicheres Löschen" gewählt werden, wenn schutzwürdige Daten auf dem Band waren, da hiermit die alten Daten überschrieben werden. Sofern diese Option nicht gewählt wird, bleibt der größte Teil der ursprünglich auf diesem Band gespeicherten Daten erhalten und kann ohne großen Aufwand wieder rekonstruiert werden.
- Bei der Durchführung der Sicherungsoperation ist unbedingt die Möglichkeit zu nutzen, eine Protokolldatei anzulegen. Nach Abschluss der Operation ist die Protokolldatei daraufhin zu überprüfen, ob alle zu sichernden Daten auch tatsächlich gesichert werden konnten oder ob während der Sicherung Fehler aufgetreten sind. Dabei ist die Option "Alle Angaben protokollieren" empfehlenswert, da man damit auch feststellen kann, ob alle zu sichernden Daten gesichert wurden und ob überhaupt die Verzeichnisse in die Datensicherung einbezogen wurden, die gesichert werden sollen.
- Bei der Wiederherstellung gesicherter Dateien wird deren Zugriffsschutz ebenfalls wiederhergestellt, sofern diese Dateien in einem Verzeichnis wiederhergestellt werden, das keine explizite Zugriffskontrolle für die darin gespeicherten Dateien vorgibt. Ist jedoch eine solche Vorgabe im Verzeichnis spezifiziert, so wird diese übernommen, und die ursprüngliche Zugriffskontrollinformation wird ignoriert.
- Die Auswahl der zu sichernden Dateien und Verzeichnisse kann unter der graphischen Bedienoberfläche nicht gespeichert werden. Um regelmäßig dieselben Verzeichnisse zu sichern, können Skripten angelegt werden; diese sind jedoch nicht für Dateiauswahl geeignet.
Wegen der durch das Dienstprogramm NTBACKUP.EXE gegebenen Einschränkungen sollte für umfangreichere Installationen bzw. bei hohen Verfügbarkeitsanforderungen zusätzliche Software zur Durchführung von Datensicherungen eingesetzt werden. Bei der Auswahl derartiger Sicherungssoftware sollte darauf geachtet werden, dass sie die folgenden Anforderungen erfüllt:
- Die eingesetzten Dateisysteme, also FAT, NTFS und ggf. auch HPFS sollten bei der Sicherung und Wiederherstellung unterstützt werden.
- Es sollte möglich sein, Sicherungen automatisch zu vorwählbaren Zeiten bzw. in einstellbaren Intervallen durchführen zu lassen, ohne dass hierzu manuelle Eingriffe (außer dem eventuell notwendigen Bereitstellen von Sicherungsdatenträgern) erforderlich wären.
- Es sollte möglich sein, einen oder mehrere ausgewählte Benutzer automatisch über das Sicherungsergebnis und eventuelle Fehlermeldungen per E-Mail oder ähnliche Mechanismen zu informieren.
- Die Sicherungssoftware sollte die Sicherung des Backup-Mediums durch ein Passwort, oder noch besser durch Verschlüsselung unterstützen. Weiterhin sollte sie in der Lage sein, die gesicherten Daten in komprimierter Form abzuspeichern.
- Durch Vorgabe geeigneter Include- und Exclude-Listen bei der Datei- und Verzeichnisauswahl sollte genau spezifiziert werden können, welche Daten zu sichern sind und welche nicht. Es sollte möglich sein, diese Listen zu Sicherungsprofilen zusammenzufassen, abzuspeichern und für spätere Sicherungsläufe wieder zu benutzen.
- Es sollte möglich sein, die zu sichernden Daten in Abhängigkeit vom Datum ihrer Erstellung bzw. ihrer letzten Modifikation auszuwählen.
- Die Sicherungssoftware sollte die Erzeugung logischer und physischer Vollkopien sowie inkrementeller Kopien (Änderungssicherungen) unterstützen.
- Die Sicherung sollte auch auf Festplatten und Netzlaufwerken erfolgen können.
- Die Sicherungssoftware sollte in der Lage sein, nach der Sicherung einen automatischen Vergleich der gesicherten Daten mit dem Original durchzuführen und nach der Wiederherstellung von Daten einen entsprechenden Vergleich zwischen den rekonstruierten Daten und dem Inhalt des Sicherungsdatenträgers durchzuführen.
- Bei der Wiederherstellung von Dateien sollte es möglich sein auszuwählen, ob die Dateien am ursprünglichen Ort oder auf einer anderen Platte bzw. in einem anderen Verzeichnis wiederhergestellt werden. Ebenso sollte es möglich sein, das Verhalten der Software für den Fall zu steuern, dass am Zielort schon eine Datei gleichen Namens vorhanden ist. Dabei sollte man wählen können, ob diese Datei immer, nie oder nur in dem Fall, dass sie älter als die zu rekonstruierende Datei ist, überschrieben wird, oder dass in diesem Fall eine explizite Anfrage erfolgt.
Zusätzlich zur Durchführung der normalen Datensicherungen ist es empfehlenswert, die aktuelle Systemkonfiguration nach jeder größeren Änderung mit dem Dienstprogramm RDISK in den Rettungsverzeichnis %SystemRoot%\REPAIR (z. B. \WINNT\REPAIR) sowie auf eine Notfalldiskette zu sichern, um sie bei eventuellen Inkonsistenzen wiederherstellen zu können (siehe auch M 6.42 Erstellung von Rettungsdisketten für Windows NT). Dabei ist zu beachten, dass die aktuellen Sicherheitseinträge der Registrierung (in den Bereichen SECURITY und SAM) nur dann gesichert werden, wenn RDISK mit dem Parameter /s aufgerufen wird. Dies kann jedoch dazu führen, dass die Sicherung nicht mehr auf eine Diskette paßt, wenn auf dem betreffenden System eine größere Anzahl von Benutzerprofilen definiert ist.
Eine Sicherung der Registrierung ist auch mit dem Dienstprogramm REGBACK.EXE des Windows NT Resource Kits möglich; die Wiederherstellung erfolgt in diesem Fall mit dem Dienstprogramm REGREST.EXE des Windows NT Resource Kits.
Ergänzende Kontrollfragen:
- Sind alle Daten eines Rechners gesichert?
- Wird der Datensicherungsvorgang dokumentiert?
- Ist der Datensicherungsvorgang konform zu einem vorhandenen Datensicherungskonzept?