Les sauvegardes automatiques sont crutiales pour la sécurité aujourd’hui car elles représentent en effet généralement la dernière ligne de défense.
La règles pour une bonne backup, quelque soit le système est la règle de 3-2-1 (3 copies au total, sur au minimum 2 supports différents dont 1 hors-site). Certains étendent même cela jusqu’a 3-2-1-1-0 (3 copies, 2 supports différnets, 1 hors site, 1 offline, et 0 erreurs car vérification régulières du bon fonctionnement des backups).
Généralement sur Windows ce sont des systèmes de backup externes qui sont utilisés tel que Veritas Backup-Exec ou Veeam Backup. Nous ne les verrons pas ici. Nous allons simplement nous contenter de configurer des backups simples avec les outils déjà existants dans Windows, cela reste cependant très limité pour un usage réel.
Ici nous allons nous concentrer sur la mise en place de Shadow Copies et de Windows Server Backup. La combinaison des deux nous permet d’avoir un minimum de sécuirté.
Mise en place de Shadow Copies
Les Shadow Copies sont une sorte de système de versions pour les fichiers. Elles permettent ainsi de prendre des copies régulières de fichiers afin de pouvoir revenir en arrière, un peu comme pour Git.
L’avantage des shadow copies est que les utilisateur·ice·s peuvent eux-même aller revenir en arrière sur leurs propre fichiers.
Pour activer les shadow copies, il faut ouvir l’explorateur de fichiers puis faire aller dans “This PC”, faire un clic droit sur le disque et cliquer sur Configure Shadow Copies puis sur Security.
Ensuite on peut alors sélectionner le disque sur lequel les copies se feront, l’espace maximum alloué aux shadow copies et la programmation de ces dernières (quand dans la journée et quels jours se feront les copies).
Une fois les copies définies, elles peuvent alors être accédée en faisant un clic droit sur un fichier, puis Properties > Previous Versions.
Toute modification de disque ou d’emplacement de shadow copies nécessite une désactivation au préalable, cependant toute désactivation supprimera toutes les anciennes versions des fichiers.
Sauvegarde de l’active directory
Pour faire une sauvegarde de l’active directory, on peut faire :
ntdsutil snapshot "active instance ntds" create quit quitPour pouvoir définir cela comme une tâche régulière, il faut mettre cette commande dans une nouvelle tâche créée à l’aide de l’utilitaire Task Manager…
Ensuite pour voir toutes les sauvegardes précédentes on peut faire :
ntdsutil snapshot "list all" quit quitEnfin pour pouvoir monter une ancienne sauvegarde on peut faire, à savoir qu’il faut remplacer NUM_OF_SNAPSHOT par le numéro de la snapshot à restaurer ainsi que PATH_OF_THE_MOUNTED_SNAPSHOT par le chemin de la snapshot commençant par C:\$SNAP répondu par la commande.
ntdsutil snapshot "list all" "mount NUM_OF_SNAPSHOT" quit quit
dsamain -dbpath 'PATH_OF_THE_MOUNTED_SNAPSHOT\Windows\NTDS\ntds.dit' -ldapport 10289Enfin on peut alors charger cette snapshot en allant dans l’outil “Active Directory Users and Computers”, puis faire un clic droit sur le premier élément, puis Change Domain Controller et sélectionner “This domain controller or ad lds instance” et ajouter l’adresse localhost:10289.
Il est alors normalement possilbe d’exporter la liste de tous les éléments afin de pouvoir l’importer pour de bon dans le vrai répertoire. Cependant je n’ai jamais réussi à le faire.
Une fois que l’on en a fini avec la snapshot, on peut alors fermer la fenêtre et fermer le serveur en faisant CTRL+C. Ensuite on peut unmount la snapshot en faisant :
ntdsutil snapshot "unmount *" quit quitUtilisation et configuration de Windows Server Backup
Server Backup devrait avoir été installé plus tôt via Add roles and features et est accessible depuis le panel d’administration serveur dans Tools > Windows Server Backup.
Pour configurer une backup régulière on peut alors l’ouvrir et aller dans Local Backup > Backup Schedule on peut alors suivre les étapes qui mènent à la configuration de la sauvegarde automatique.
Il est possible de configurer une sauvegarde vers différents types de supports, disque dur réservé à la sauvegarde, un volume (disque dur NTFS connecté au serveur) ou encore un partage réseau en copie unique. Normalement aussi un cloud Azure mais je ne sais pas comment.
C’est depuis ce même utilitaire qu’il est possible de restaurer certaines backups. Cependant pour les backups s’opérant sur tout le volume (y compris l’installation Winwdows), il faut redémarrer le serveur, faire F8 durant le démarrage, choisir l’option “Repear Computer”, entrer le mot de passe configuré lors de l’installation de l’active directory puis aller dans “Troubleshoot”, “System image recovery” et choisir l’image depuis le dossier.
Comment ajouter un nouveau disque à la machine virtuelle
Eteindre la machine, aller dans les parmaètres de la VM et ajouter un nouveau disque.
Ensuite redémarrer l’ordinateur, ouvrir l’application “Disk Management”, faire un clic droit sur le disque 1 et faire “Initialize disk”, puis sélectionner GPT. Enfin faire un clic droit sur la grande zone non allouée du disque et choisir “Add new simple volume”.
A cette étape on peut alors configurer le nom du volume, la lettre à laquelle il est associé, et son type “NTFS”. Il devriat alors immédiatement apparaître dans l’explorateur de fichiers Windows.
Configurer finement l'exécution des backups
Une fois configurée avec l’outil Windows Server Backup, il faut utiliser le logiciel “Task Manager” et retrouver la tâche
Microsoft-Windows-WindowsBackup, cliquer dessus, puis aller dans l’ongletTriggerpour aller configurer l’heure plus finement (par exemple “Tous les mercredi seulement à 11h25”).