Ako a prečo zálohovať Active DirectoryHow and Why to Backup Active Directory

TL;DR – Rýchle zhrnutie: Zálohovanie Active Directory je kritické pre ochranu IT infraštruktúry. Veeam umožňuje zálohu AD databázy (NTDS.dit) s granulárnou obnovou objektov. Pravidlo 3-2-1, immutable storage a šifrovanie záloh pre ochranu pred ransomware.

Rýchle fakty o zálohovaní Active Directory:

Nástroj: Veeam Backup & Replication
Databáza: NTDS.dit
Obnova: Granulárna (účty, skupiny, GPO)
Pravidlo: 3-2-1 (3 kópie, 2 médiá, 1 offsite)
Ochrana: Immutable storage, šifrovanie AES-256
Testovanie: SureBackup

Zálohovanie Active Directory je jednou z najdôležitejších úloh v správe IT infraštruktúry. AD riadi autentifikáciu, autorizáciu, správu používateľov a zariadení. Bez funkčnej AD môže celá sieť prestať fungovať.

Prečo zálohovať Active Directory

Výpadky služieb – bez AD používatelia nemajú prístup k zdrojom
Strata údajov – poškodenie NTDS.dit databázy
Zvýšená zraniteľnosť – kompromitácia AD = prístup k celej sieti

Ransomware a Active Directory

Kybernetické útoky čoraz častejšie cielia na AD:

Rýchla obnova po útoku – bez platenia výkupného
Minimalizácia prestojov
Zachovanie dátovej integrity

Záloha AD vs záloha celého VM

Záloha AD databázy prináša výhody:

Granulárna obnova – jednotlivé účty, skupiny bez obnovy VM
Rýchlosť obnovy – rýchlejšia než kompletná VM obnova
Nižšia záťaž – menej úložného priestoru
Lepšia ochrana – jednoduchšie obnoviť iba AD databázu

Odporúčania pre zálohovanie AD

Pravidlo 3-2-1

3 kópie dát
2 typy médií (disk + cloud)
1 offsite kópia

Immutable storage

AWS S3 Object Lock
Veeam Hardened Repository
WORM úložisko

Šifrovanie

AES-256 bitové šifrovanie
Bezpečné uloženie kľúčov (HSM)

Veeam funkcie pre AD

Granulárna obnova – účty, skupiny, GPO
SureBackup – automatické testovanie záloh
Hardened Repository – immutable storage

Zhrnutie

Zálohovanie Active Directory je nevyhnutné pre:

Ochranu pred ransomware
Rýchlu obnovu po incidentoch
Granulárnu obnovu objektov
Kontinuitu podnikania

Často kladené otázky (FAQ)

Prečo je dôležité zálohovať Active Directory?

Active Directory je srdcom Windows infraštruktúry. Riadi autentifikáciu všetkých používateľov a zariadení. Bez funkčnej AD prestane fungovať celá sieť – e-mail, súborové servery, aplikácie.

Čo je NTDS.dit?

NTDS.dit je databázový súbor Active Directory obsahujúci všetky objekty domény – používateľov, skupiny, počítače, GPO. Nachádza sa v C:\Windows\NTDS\ na doménových kontroléroch.

Aký je rozdiel medzi zálohou AD a VM?

Záloha AD databázy umožňuje granulárnu obnovu objektov a je rýchlejšia. Záloha celého VM je komplexnejšia, ale pomalšia na obnovu. Ideálne je kombinovať obe metódy.

Ako Veeam zálohuje Active Directory?

Veeam môže zálohovať AD ako súčasť VM zálohy alebo pomocou Application-Aware Processing, ktoré zabezpečí konzistenciu AD databázy. Veeam Explorer for AD umožňuje granulárnu obnovu.

Čo je pravidlo 3-2-1 v zálohovaní?

Pravidlo 3-2-1: 3 kópie dát, 2 rôzne typy médií (napr. disk a cloud), 1 kópia offsite. Rozšírená verzia 3-2-1-1-0 pridáva 1 immutable kópiu a 0 chýb pri verifikácii.

Ako často zálohovať Active Directory?

Odporúča sa zálohovať AD minimálne raz denne. Pri kritických prostrediach častejšie (každých 4-6 hodín). Dôležité je mať zálohy staršie ako tombstone lifetime (60-180 dní).

Martin Hasin

CEO at mhite S.R.O. | martin.hasin@gmail.com | Website | + posts

Odborník na kybernetickú bezpečnosť, správu Azure Cloud a VMware onprem. Využíva technológie, ako Checkmk a MRTG, na monitorovanie siete a zvyšovanie efektívnosti a bezpečnosti IT infraštruktúry. Kontakt: hasin(at)mhite.sk