Thematisch zum Thema Veeam Hardening passend, sollte ich die Veeam Backup & Replication Console von einem Backup Server deinstallieren. So kann bspw. verhindert werden, dass bei einem unberechtigten Zugriff auf den Veeam Backup Server, die Veeam Console oder auch die Veeam PowerShell Module für die Manipulation der Backup Repositories und -Daten verwendet werden kann. Auch wieder kein 100% Schutz, aber ein Fallstrick mehr, den ein vermeintlicher Angreifer zu nehmen hat. Leider gestaltete sich das gar nicht so einfach, denn die Konsole kann nicht einfach über die grafische Oberfläche Oberfläche, also „Windows Programme und Features“ deinstalliert werden und auch das Veeam Setup hilft hier nicht weiter.
Die Lösung ist relativ simpel, wenn man sie kennt. Man startet zunächst eine administrative CMD und lässt sich alle Programme, inkl. Ihrer „Identifying Number“ in ein Textfile schreiben. Ich habe dafür auf C: einen Ordner „tmp“ angelegt. Diese Nummer werden wir nämlich im nächsten Schritt brauchen. Also:
wmic product list brief > C:\tmp\installed.txt
Die Datei sieht bei einem Veeam v12 Server dann in etwa so aus… (zur besseren Lesbarkeit hier in Excel geöffnet und alle anderen Programme außer Veeam entfernt)
Im nächsten Schritt kopiert man sich die Identifying Number der Veeam Backup & Replication Console aus dem Textfile und deinstalliert diese mit dem Befehl
msiexec /x {3A15F9E8-BD07-4A61-9A0D-C29B8369A662} (die Nummer bitte aus Eurem Output File hernehmen…)
Ups… Also erstmal noch die 7 erwähnten Veeam Explorer deinstallieren…
also in meinem Fall…
msiexec /x {AA27A99E-3CA4-4DE5-8E1A-FC16C4BB03AE}
msiexec /x {6376F1DB-08FA-4CC4-A23F-4E72A055B7F6}
msiexec /x {50EB9BB4-D1B2-4E9A-9859-7EB2C46894B0}
msiexec /x {A7A864AC-D944-4BDE-9992-93336D0D5BCA}
msiexec /x {A275E9F0-95B7-4684-9DFC-1965338212BD}
msiexec /x {E4386118-1C85-425C-A598-57E53EF6867F}
msiexec /x {90C6B036-9A91-4728-8378-DE4E4A187EE4}
und immer wieder…
Jetzt aber…
msiexec /x {3A15F9E8-BD07-4A61-9A0D-C29B8369A662}
Nachdem die Explorer deinstalliert wurden und auch die Veeam Console entfernt ist, muss diese natürlich auf einem anderen System installiert werden, um den Backup Server Veeam wieder verwalten zu können.
Veeam Power Shell Module mit installierter Veeam Console…
und dann ohne…
Kleiner Tipp: Ein späteres Veeam Update muss natürlich wieder direkt auf dem Backup Server installiert werden und die o.g. Schritte ebenfalls wiederholt werden. Veeam aktualisiert also nicht „nur“ die installierten Dienste bei einem Update, sondern installiert auch alle „fehlenden“. Somit muss das Hardening nach einem Update erneut durchgeführt werden. Wer weiß, vielleicht stellt Veeam diese Funktion irgendwann über den Installer bereit.