Renseignements principaux[modifier]

• VEEAM-EM
• 10.13.102.114/24
• Outil d'audit de Veeam Backup & Replication
• virtualisée sur cluster VMware (voir infos VCenter)

Accès au serveur[modifier]

• En RDP pour les utilisateurs de Veeam Enterprise Manager en utilisant leur compte username.vem et un OTP fortitoken
• En console sur le vCenter avec le compte administrateur (identifiants dans KeePassX du campus, sur Mars) et un OTP fortitoken (au coffre)

Accès restreint en RDP aux IP des administrateurs de la solution.

En cas de dysfonctionnement des VM FortiAuthenticator, la connexion reste possible pendant 7j :

• 1. Sélectionner le domaine "."
• 2. La mention Offline Tokens apparaît alors suivie de la date d'expiration des tokens offline
• 3. Se connecter normalement en renseignant login, mot de passe et OTP

Connexion à Veeam Enterprise Manager[modifier]

Veeam Enterprise Manager est accessible avec un compte local username.vem à l'adresse :

https://veeam-em:9443

Veeam Enterprise Manager dispose d'une Base de données SQL Server Express locale.

Pour y accéder :

• 1. Lancer SSMS (SQL Server Management Studio)
• 2. Entrer le nom de l'instance VEEAM-EM\VEMSQL
• 3. Se connecter avec les identifiants du compte administrateur de la machine (compte sa désactivé) en sélectionnant Windows Authentication
• 4. La base de données se nomme VeeamBackupReporting

 Maintenance[modifier]

Mises à jour[modifier]

Veeam Enterprise Manager doit être mis à jour après le serveur Veeam Backup & Replication.

Veeam fournit un fichier ISO permettant de procéder à la mise à jour de Veeam Enterprise Manager à cette adresse : https://www.veeam.com/download-version.html

Problèmes connus[modifier]

Lors de l'installation/mise à jour de Veeam Enterprise Manager, le fichier situé dans C:\VBRCatalog\Replication\InConnectors peut parfois être vide ce qui empêche la bonne exécution du service Veeam Backup Catalog. Il suffit de supprimer ce fichier vide pour qu'un nouveau soit créé lors de la prochaine tâche de synchronisation de Veeam Backup Catalog.

Erreur affichée dans la section Configuration → Session : Proxy [EmToCatalogCredentials]: unable to call method. All attempts have failed

Voir https://community.veeam.com/blogs-and-podcasts-57/quicktip-error-in-enterprise-manager-during-catalog-replication-meta-file-error-2152

Script OutADSetup[modifier]

Le script se trouve dans le dossier Documents du répertoire personnel du compte administrateur de la machine. Il permet de configurer les éléments suivants :

• Utilisateurs locaux
• Entrées DNS
• Règles FW
• Stratégie de sécurité locale
• Stratégie AppLocker
• SWMB
• Nom d'hôte
• RDP
• FAC Agent
• Agent WAPT

Pour connaître les options disponibles, entrer :

OutADSetup -?

Le script est également accessible sur Mars dans S\SSI\Machines_hors_AD

Ajout d'un utilisateur[modifier]

1. Utiliser le script OutADSetup avec l'option -Users pour :

• Créer un compte local avec un login username.vem et un mot de passe fort (64 caractères avec minuscules, majuscules, chiffres et caractères spéciaux)
• Ajouter l'utilisateur aux groupes Utilisateurs du Bureau à distance et Veeam Enterprise Manager
• Ajouter une règle de firewall autorisant le RDP vers le Veeam Enterprise Manager depuis l'IP du futur administrateur

2. Ajouter ces 3 tâches programmées en copiant celles d'un utilisateur existant et en adaptant la section Utiliser le compte d'utilisateur suivant pour exécuter cette tâche :

• Kill Veeam Enterprise Manager - username
• Start Veeam Enterprise Manager - username
• Restart Veeam Enterprise Manager - username

3. Créer l'utilisateur sur la VM FortiAuthenticator en lui assignant un OTP fortitoken.

Configuration Réseau[modifier]

Pare-feu[modifier]

En entrée :

• MS-MPI
• Ping depuis VLAN SSI
• RDP depuis les IP des des administrateurs de la Veeam Console
• F-secure
• Protocoles relatifs à Veeam

En sortie :

• FortiAuthenticator
• Activation License KMS
• MS-MPI
• Ping Veeam Backup & Replication
• Proxy F-secure
• Ports de Veeam Enterprise Manager
• WAPT
• F-Secure
• Protocoles relatifs à Veeam

DNS[modifier]

Fichier hosts comprenant les noms d'hôtes suivants :

• linwapt.ad.dr13.cnrs.fr
• proxy-fsecure.dr13.cnrs.fr
• veeam.ad.dr13.cnrs.fr

Configuration logicielle[modifier]

WAPT[modifier]

Les mises à jour Windows Update sont assurées par WAPT.

Les paquets suivants sont installés via WAPT :

• Disable IPv6
• Fsecure
• Firefox
• FAC Agent

Installation manuelle[modifier]

• Veeam Enterprise Manager
• SSMS (SQL Server Management Studio)
• SQL Server 2022 Express (Version gratuite)

Politique de sécurité[modifier]

Stratégie locale de sécurité[modifier]

Voir fichier secpol-custom.ps1 pour de plus amples informations sur la stratégie locale de sécurité appliquée.

Ce dernier se trouve sur Mars dans S\SSI\Machines_hors_AD.

AppLocker[modifier]

La stratégie AppLocker est définie pour restreindre l'exécution des programmes aux utilisateurs de Veeam Enterprise Manager. Ces derniers n'ont accès qu'à l'explorateur de fichiers, aux exécutables Veeam et à Firefox.

SWMB[modifier]

Une tâche programmée SWMB est exécutée toutes les heures pour s'assurer de la bonne application des mesures de sécurité supplémentaires appliquées à la machine.

Le Preset appliqué OutAD-Server se trouve sur Mars dans S\SSI\Machines_hors_AD.

RDP[modifier]

En cas d'inactivité, la session RDP est déconnectée au bout de 10 minutes.

Lors de la déconnexion d'une session utilisateur, cette dernière reste ouverte durant 1 minute.

Une tâche programmée tue l'ensemble des processus Firefox dès la déconnexion pour éviter de les laisser ouverts durant cette minute.