Windows Server Backup vs Veeam vs Acronis [2026]

Tracisz dane = tracisz firmę. To nie metafora — to wynik badań. Według raportu IBM Cost of a Data Breach 2024 średni koszt naruszenia danych w Europie przekroczył 4,5 miliona dolarów. Dla polskiego MŚP nawet ułamek tej kwoty oznacza koniec działalności. Ransomware zaatakował w 2024 roku co czwartą firmę na świecie, a czas przestoju po ataku wyniósł średnio 21 dni. Dwadzieścia jeden dni bez dostępu do serwera plików, bazy SQL, systemu ERP. Czy Twoja firma przetrwa trzy tygodnie bez danych?

Dobry backup serwera Windows to nie koszt — to polisa ubezpieczeniowa. Problem polega na tym, że większość firm albo nie robi backupu wcale, albo robi go źle: kopiuje dane na dysk podłączony do tego samego serwera, który właśnie zaatakował ransomware, albo przez lata nie testuje przywracania i odkrywa, że kopie są bezużyteczne, dopiero w chwili awarii.

W tym artykule porównujemy trzy główne narzędzia do backup firmy opartej na Windows Server: wbudowany Windows Server Backup, branżowy standard Veeam Backup & Replication oraz zintegrowane rozwiązanie Acronis Cyber Protect. Wyjaśniamy strategię backup 3-2-1, różnicę między RPO i RTO, oraz przedstawiamy realne koszty w perspektywie 3-letniej dla środowiska pięciu serwerów. Na końcu dowiesz się, które rozwiązanie pasuje do Twojego budżetu i wymagań — bez marketingowego żargonu.

Windows Server Backup — darmowy, wbudowany i poważnie ograniczony

Windows Server Backup (WSB) to rola systemowa dostępna bezpłatnie w każdej wersji Windows Server od 2008 R2. Instaluje się ją przez Server Manager w kilka minut, nie wymaga żadnej dodatkowej licencji i potrafi wykonać pełną kopię systemu, wybranych woluminów lub tylko System State. W środowisku z jednym serwerem, bez maszyn wirtualnych i bez SQL Servera, może faktycznie wystarczyć.

Rzeczywistość produkcyjna jest jednak inna. Windows Server Backup ma szereg ograniczeń architektonicznych, które Microsoft sam dokumentuje, choć nie afiszuje się nimi w materiałach sprzedażowych.

Co działa w Windows Server Backup:

• Pełna kopia bare-metal (do odtworzenia całego serwera na nowym sprzęcie)
• Kopia wybranych woluminów z wykorzystaniem VSS (Volume Shadow Copy Service)
• Backup System State — niezbędny do odtworzenia kontrolera domeny Active Directory
• Harmonogramowanie przez GUI lub polecenie wbadmin
• Cel backupu: lokalny dysk, wolumin sieciowy (UNC), dysk zewnętrzny

Gdzie Windows Server Backup poważnie zawodzi:

• Hyper-V na klastrach CSV — WSB nie obsługuje backupu maszyn wirtualnych przechowywanych na Cluster Shared Volumes. W środowisku z klastrem Hyper-V jest praktycznie bezużyteczny.
• Brak przywracania pojedynczej VM — przywrócenie jednej maszyny wirtualnej wymaga odtworzenia całego woluminu hostującego pliki VM. Jeśli na dysku masz 10 VM, a chcesz przywrócić jedną, masz problem.
• VM z dynamicznymi dyskami — muszą być backupowane w trybie offline, co oznacza przerwę w działaniu.
• VM z więcej niż dwoma checkpointami — backup nie powiedzie się w standardowym trybie.
• Brak immutable storage — kopie zapasowe WSB można zaszyfrować lub usunąć tak samo jak każdy inny plik. Ransomware, który dotarł do serwera z kopiami, zniszczy je równie skutecznie jak dane produkcyjne.
• Brak deduplikacji repozytorium — WSB nie kompresuje ani nie deduplikuje danych kopii zapasowej na poziomie repozytorium. Każda pełna kopia zajmuje tyle miejsca, ile dane na dysku źródłowym.
• Brak centralnego zarządzania — każdy serwer zarządza się osobno, brak widoku zbiorczego dla wielu hostów.
• RPO praktyczne: 24 godziny — WSB nie obsługuje backupu przyrostowego co 15–30 minut. W praktyce harmonogram to jedno lub kilka okien dziennie.

Microsoft sam potwierdza w dokumentacji, że nowoczesny backup Hyper-V oparty na Resilient Change Tracking (RCT) i WMI API jest "bardziej skalowalny" niż hostowy VSS, na którym opiera się WSB. To czytelny sygnał: wbudowany backup jest narzędziem dla małych środowisk, nie dla infrastruktury produkcyjnej.

Werdykt dla Windows Server Backup: Odpowiedni dla firmy z 1–2 serwerami fizycznymi, bez Hyper-V w skali, bez klastrów, z prostymi wymaganiami RPO rzędu 24 godzin i budżetem zerowym. W każdym innym przypadku to nie backup — to złudne poczucie bezpieczeństwa.

Veeam Backup & Replication — branżowy standard, darmowy do 10 workloadów

Veeam Backup & Replication jest od lat de facto standardem w backupie środowisk wirtualnych. Firma Veeam, przejęta przez Insight Partners, ma ponad 550 000 klientów na świecie. Jej architektura, skalowalność i ekosystem integracji nie mają sobie równych w segmencie SMB i niższego enterprise.

Community Edition — darmowy start bez karty kredytowej

Veeam Community Edition to w pełni darmowa licencja — bez limitu czasowego, bez wymogu rejestracji karty płatniczej. Obejmuje ochronę do 10 workloadów: mogą to być maszyny wirtualne VMware vSphere, Hyper-V, serwery fizyczne Windows i Linux, stacje robocze lub instancje w chmurze publicznej. Dla firmy z jednym hostem Hyper-V hostującym 8–10 VM to kompletne, produkcyjne rozwiązanie bez żadnych kosztów licencyjnych.

Co obejmuje Community Edition:

• Backup i przywracanie VM (VMware vSphere, Microsoft Hyper-V)
• Backup serwerów fizycznych Windows i Linux (agent Veeam)
• Backup i replikacja do drugiej lokalizacji
• VeeamZIP — jednorazowa kopia VM do archiwizacji
• Instant VM Recovery — uruchomienie VM bezpośrednio z pliku backupu w minutach
• Application-aware processing — spójny backup SQL Server, Active Directory, Exchange
• Integracja z Windows VSS dla consistent backup baz danych
• Backup do lokalnego repozytorium, NAS, S3-compatible cloud storage
• Podstawowe raportowanie i powiadomienia e-mail

Czego nie ma w Community Edition:

• Brak Veeam ONE (monitoring i analityka) — dostępny tylko w płatnych edycjach
• Brak SureBackup (automatyczne testowanie poprawności kopii)
• Brak DataLabs (testowanie backupu w izolowanym środowisku)
• Brak wsparcia technicznego Veeam — tylko forum społeczności
• Brak zaawansowanych funkcji compliance i raportowania regulacyjnego

Veeam i ochrona przed ransomware — Hardened Repository

Jedną z kluczowych przewag Veeam nad Windows Server Backup jest wsparcie dla immutable backup repository. Veeam implementuje to przez tzw. Hardened Linux Repository — dedykowany serwer Linux z systemem plików XFS, na którym pliki kopii zapasowych są chronione flagą immutability przez zdefiniowany okres. Nawet jeśli atakujący przejmie serwer Veeam, dane w Hardened Repository pozostają nienaruszone.

Architektura bezpieczeństwa Veeam w 2025–2026 obejmuje:

• Immutable backup na Linux XFS — pliki kopii nie mogą być zmodyfikowane ani usunięte do czasu wygaśnięcia okna immutability
• Single-use credentials — dane logowania użyte przy konfiguracji repozytorium nie są przechowywane po wdrożeniu
• Inline Scan — analiza entropii danych podczas backupu w celu wykrycia szyfrowania przez ransomware
• Veeam Threat Hunter — skanowanie kopii sygnaturami malware (płatne edycje)
• YARA rules — skanowanie backupów regułami YARA przed przywróceniem
• Object Lock w S3 — immutability kopii przechowywanych w chmurze kompatybilnej z S3

Veeam cena — model licencjonowania 2026

Historyczny model licencji wieczystych per-socket nie jest już dostępny dla nowych klientów Veeam. Od 2024 roku nowe wdrożenia opierają się wyłącznie na subskrypcji:

• VUL (Veeam Universal License) — licencja per workload, chroni VM, serwery fizyczne i obciążenia w chmurze w jednym SKU
• Subskrypcja 1/3/5 lat — dostępna przez autoryzowanych partnerów, bez publicznego MSRP
• Edycje: Data Platform Foundation (backup), Advanced (backup + analytics), Premium (pełna platforma z AI)

Veeam nie publikuje cennika publicznego — wszystkie wyceny odbywają się przez sieć partnerską. Orientacyjne ceny rynkowe dla 5 serwerów (10 VM) w subskrypcji 3-letniej Foundation wynoszą 8 000–14 000 zł netto, a Advanced 14 000–22 000 zł netto. Liczby te należy traktować orientacyjnie i zawsze weryfikować u partnera Veeam.

Werdykt dla Veeam: Najlepszy wybór dla firm z środowiskiem Hyper-V lub VMware. Darmowa Community Edition wystarczy dla do 10 VM. Bogaty ekosystem, Instant VM Recovery i Hardened Repository to przewagi, których Windows Server Backup nie zaoferuje nigdy.

Acronis Cyber Protect — backup połączony z aktywną ochroną przed ransomware

Acronis Cyber Protect to inne podejście do tematu. Zamiast rozdzielać backup i bezpieczeństwo na dwa osobne produkty, Acronis integruje obydwa w jednej konsoli i jednym agencie. To odpowiedź na rzeczywistość 2026 roku, w której ransomware atakuje nie tylko serwery produkcyjne, ale celowo szuka i niszczy kopie zapasowe przed zaszyfrowaniem danych.

Co wyróżnia Acronis na tle konkurencji

Aktywna ochrona AI przed ransomware — agent Acronis monitoruje procesy systemowe w czasie rzeczywistym i wykrywa wzorce charakterystyczne dla ransomware (masowe szyfrowanie plików, modyfikacje MBR, ataki na usługi VSS). Po wykryciu zagrożenia automatycznie zatrzymuje proces, przywraca zaatakowane pliki z lokalnej kopii i wysyła alert. Ta ochrona działa niezależnie od backupu — nawet jeśli ostatni backup był 12 godzin temu.

Scentralizowana konsola zarządzania — wszystkie serwery, stacje robocze i maszyny wirtualne zarządzane z jednego panelu webowego (on-premise lub Acronis Cloud). Dla administratora zarządzającego infrastrukturą 5–20 serwerów to ogromna oszczędność czasu w porównaniu do konfiguracji per-host charakterystycznej dla WSB.

Kluczowe funkcje Acronis Cyber Protect dla Windows Server:

• Backup Windows Server — pliki, woluminy, bare-metal, System State
• Application-aware backup: Active Directory, SQL Server, Exchange, SharePoint
• Backup maszyn wirtualnych Hyper-V i VMware
• Instant Restore — uruchomienie serwera z backup jako VM w ciągu minut
• Granularne przywracanie obiektów AD (użytkownicy, grupy, GPO) bez odtwarzania całego DC
• Ochrona przed ransomware i cryptojacking w czasie rzeczywistym
• Skanowanie malware w kopiach zapasowych przed przywróceniem (Secure Restore)
• Immutable storage — kopie niemodyfikowalne zarówno lokalnie jak i w Acronis Cloud
• Integracja z Azure, AWS, Acronis Cloud jako cel backupu offsite
• Vulnerability Assessment — automatyczne sprawdzanie podatności systemu

Model licencjonowania Acronis 2026

Acronis oferuje przejrzysty, publiczny cennik — to wyraźna przewaga nad Veeam w procesie budżetowania. Dostępne plany dla środowisk serwerowych:

Ceny dotyczą jednej instancji (serwer fizyczny lub VM host). Dla 5 serwerów w planie Standard koszt roczny to orientacyjnie 1 750–2 700 zł netto, a w trzyletnim horyzoncie 5 000–8 000 zł netto, nie wliczając przestrzeni w Acronis Cloud.

Ważna uwaga: magazyn Acronis Cloud jest licencjonowany osobno — cena zależy od wybranej pojemności (GB). Backup lokalny (na własnym NAS lub serwerze repo) jest bez dodatkowych opłat za storage.

Werdykt dla Acronis: Najlepszy wybór dla firm, które chcą jednego produktu do backupu i bezpieczeństwa. Granularne przywracanie AD, aktywna ochrona przed ransomware i przejrzysty cennik to główne atuty. Słabsza od Veeam elastyczność w skomplikowanych środowiskach wirtualnych z dużą liczbą VM.

Strategia backup 3-2-1 — fundament bezpieczeństwa danych w firmie

Strategia backup 3-2-1 to minimum obowiązujące każdą firmę, bez wyjątku. Sformułował ją fotograf Peter Krogh w 2009 roku, ale jej logika jest ponadczasowa i potwierdzona przez każdy poważny standard bezpieczeństwa informacji, w tym ISO 27001 i NIST Cybersecurity Framework.

Zasada 3-2-1 w praktyce:

• 3 kopie danych — oryginalne dane produkcyjne plus dwie niezależne kopie zapasowe
• 2 różne typy nośników — np. dysk wewnętrzny serwera (lub SAN) plus dedykowane repozytorium NAS lub taśma
• 1 kopia poza lokalizacją lub immutable — kopia w chmurze, w drugiej lokalizacji firmy lub na nośniku z włączoną immutability (Object Lock S3, Veeam Hardened Repo, Acronis Cloud z immutable storage)

W 2026 wiele organizacji stosuje rozszerzoną zasadę 3-2-1-1-0:

• 3 kopie, 2 nośniki, 1 offsite, 1 kopia air-gapped lub immutable, 0 błędów weryfikacji — każda kopia musi przejść automatyczne testy integralności

Jak wdrożyć 3-2-1 z Veeam lub Acronis

Wariant z Veeam:

1. Kopia #1 — lokalne repozytorium: Veeam Backup Repository na dedykowanym serwerze NAS lub Windows Server, backup co 1–4 godziny (incremental), raz w tygodniu pełna kopia syntetyczna.
2. Kopia #2 — Hardened Linux Repository: Kopia na dedykowanym serwerze Linux z XFS i włączoną immutability na 14–30 dni. Nawet w razie przejęcia serwera Veeam przez atakującego — kopie są nienaruszalne.
3. Kopia #3 — offsite / chmura: Veeam Capacity Tier do S3-compatible storage (Wasabi, Cloudflare R2, AWS S3 Glacier) z włączonym Object Lock. Kopia raz na dobę lub raz w tygodniu, retencja 30–90 dni.

Wariant z Acronis:

1. Kopia #1 — lokalny backup destination: Backup na NAS lub dedykowany dysk, co 1–4 godziny, format Acronis TIB/TIBX.
2. Kopia #2 — drugie lokalne repozytorium: Backup do drugiej lokalizacji lub drugiego NAS w biurze, raz dziennie.
3. Kopia #3 — Acronis Cloud: Automatyczna replikacja do Acronis Cloud z włączonym immutable storage, retencja 30 dni.

Najczęstszy błąd przy wdrożeniu 3-2-1 — backup na dysk USB podłączony do chronionego serwera lub NAS w tej samej sieci LAN bez segmentacji. Ransomware zaszyfruje dysk USB i NAS w tej samej minucie co dane produkcyjne. Kopia "offsite" musi być naprawdę odizolowana — czy to fizycznie, czy przez immutability.

Drugi błąd: nigdy nie testowane przywracanie. Backup, którego nie testujesz regularnie, nie jest backupem — to archiwum, z którego możesz nie skorzystać gdy będzie potrzebne. Veeam SureBackup i Acronis Recover Drill automatyzują ten proces, uruchamiając VM z backupu w izolowanym środowisku i weryfikując ich poprawność bez ingerencji administratora.

Co backupować w środowisku Windows Server — kompletna lista

Najczęstszy błąd w strategii backupu to kopiowanie "wszystkiego" bez priorytetyzacji lub odwrotnie — kopiowanie tylko wybranych folderów z pominięciem krytycznych komponentów systemowych. Poniżej kompletna lista z wyjaśnieniem, dlaczego każdy element jest ważny i jak go właściwie backupować.

Active Directory — backup Active Directory to priorytet absolutny

Backup Active Directory wymaga wykonania kopii System State, nie zwykłej kopii plików. System State na kontrolerze domeny obejmuje:

• Bazę danych AD DS — plik ntds.dit w folderze %SystemRoot%\NTDS
• Folder SYSVOL z profilami GPO i skryptami logowania
• Rejestr systemowy
• Boot files i COM+ Class Registration Database

Polecenie Windows Server Backup: wbadmin start systemstatebackup -backupTarget:F:

Veeam i Acronis automatyzują ten proces z pełnym wsparciem aplikacyjnym. Co więcej, obydwa produkty umożliwiają granularne przywracanie obiektów AD — odzyskanie skasowanego użytkownika, grupy zabezpieczeń lub obiektu GPO bez konieczności odtwarzania całego kontrolera domeny. To krytyczna funkcja, której nie ma ani w Windows Server Backup, ani w natywnym narzędziu ADUC z Recycle Bin.

Rekomendacja dla Active Directory: Backup System State co najmniej raz na dobę, kopia co 4 godziny w środowiskach z częstymi zmianami (nowi pracownicy, zmiany haseł). Minimum 2 kontrolery domeny (DC) — nigdy jeden DC w produkcji.

SQL Server — pełna kopia + logi transakcyjne

Backup SQL Server za pomocą narzędzi "świadomych aplikacji" (application-aware) to jedyna właściwa metoda. Prosty backup pliku MDF/LDF z działającego serwera SQL bez zatrzymania usługi daje niespójną kopię — baza może być w środku transakcji.

Prawidłowy backup SQL Server obejmuje:

• Pełny backup baz użytkownika (full backup) — raz na dobę lub kilka razy w tygodniu
• Różnicowy backup (differential) — co kilka godzin
• Backup logów transakcyjnych (transaction log backup) — co 15–60 minut dla baz w modelu FULL lub BULK_LOGGED
• Backup systemowych baz: master, msdb, model

Veeam i Acronis obsługują backup SQL Server przez VSS Writer, zapewniając spójność transakcyjną bez ręcznej konfiguracji agentów SQL. Veeam dodatkowo umożliwia granularne przywracanie na poziomie bazy lub wybranych tabel bez przywracania całego serwera.

Hyper-V — maszyny wirtualne jako jednostka backupu

W środowiskach Hyper-V właściwym obiektem backupu jest maszyna wirtualna jako całość, nie jej pliki składowe. Backup pliku VHDX z działającej VM jest identycznym błędem jak backup MDF SQL — kopia jest niespójna.

Prawidłowy backup Hyper-V:

• Backup VM przez API Hyper-V z użyciem RCT (Resilient Change Tracking) — obsługuje Veeam i Acronis
• Incremental backup oparty na RCT — tylko zmienione bloki od ostatniej kopii, dramatycznie mniejszy rozmiar i czas backupu
• Backup konfiguracji VM: pliki XML z ustawieniami maszyny
• Backup wszystkich VM na hoście lub wybranych według polityki

Windows Server Backup nie obsługuje backupu VM na CSV. Veeam Community Edition w pełni obsługuje Hyper-V z RCT i umożliwia Instant VM Recovery — przywrócenie VM bezpośrednio z pliku backupu bez kopiowania danych, w ciągu 2–5 minut.

File Shares i dane użytkowników

Udziały sieciowe (DFS, CIFS/SMB) to najczęstszy cel ataku ransomware. Atakujący uzyskuje dostęp przez przejęte konto użytkownika z prawem zapisu do share i szyfruje wszystkie pliki w całym drzewie katalogów. Bez kopii zapasowej i bez immutability — wszystkie pliki są stracone.

Backup file shares — najlepsze praktyki:

• Backup na poziomie woluminu (szybciej) lub na poziomie pliku (możliwość granularnego przywracania)
• Retencja wersji — co najmniej 30 dni, żeby móc przywrócić pliki sprzed infekcji ransomware
• Snapshot woluminu przez VSS — powiązanie z backupem zapobiega utracie pliku w trakcie kopiowania
• Powiadomienia alertowe przy nagłym wzroście liczby zmodyfikowanych plików (sygnał ransomware) — dostępne w Acronis i Veeam ONE

System State — nie tylko dla DC

System State backup jest wymagany nie tylko dla kontrolerów domeny. Na każdym serwerze Windows zawiera rejestr systemowy, certyfikaty, boot files i dane COM+. W przypadku korupcji systemu plików lub awarii po aktualizacji systemowej backup System State umożliwia przywrócenie serwera bez reinstalacji Windows i rekonfiguracji wszystkich usług.

RPO i RTO — jak definiować cele odtwarzania i wybrać właściwe narzędzie

Dwa skróty, które powinien znać każdy, kto decyduje o strategii backupu w firmie: RPO i RTO. Bez ich zrozumienia niemożliwe jest ani prawidłowe zaprojektowanie strategii backupu, ani sensowne porównanie narzędzi.

RPO — Recovery Point Objective

RPO (Recovery Point Objective) to maksymalna akceptowalna utrata danych wyrażona w czasie. Pytanie brzmi: "Ile danych możemy stracić w najgorszym przypadku?"

Jeśli backup wykonywany jest raz na dobę o godzinie 23:00, a awaria nastąpi o 22:55, stracisz prawie 24 godziny pracy. RPO w tym scenariuszu wynosi 24 godziny. Dla bazy SQL obsługującej zamówienia online — to katastrofa. Dla archiwum dokumentacji technicznej — być może do zaakceptowania.

RTO — Recovery Time Objective

RTO (Recovery Time Objective) to maksymalny akceptowalny czas przywrócenia systemu do działania po awarii. Pytanie brzmi: "Jak długo możemy nie działać?"

RTO determinuje nie tylko narzędzie backupu, ale też architekturę całej infrastruktury. Osiągnięcie RTO = 15 minut dla serwera SQL wymaga nie tylko szybkiego backupu, ale też Instant VM Recovery lub replikacji w trybie hot standby.

Wpływ wyboru narzędzia na RTO:

• Windows Server Backup: RTO typowo 2–8 godzin. Przywrócenie z kopii bare-metal wymaga uruchomienia środowiska WinPE, zlokalizowania kopii i ręcznego przeprowadzenia procesu. W przypadku przywrócenia kontrolera domeny dochodzi czas replikacji AD.
• Veeam — Instant VM Recovery: RTO 2–10 minut. VM uruchamiana jest bezpośrednio z pliku backupu na hoście Hyper-V lub VMware, bez kopiowania danych. Produkcja wraca w minuty, a w tle odbywa się pełna migracja Storage vMotion na docelowy datastore.
• Acronis — Instant Restore: RTO 2–5 minut dla VM, 5–20 minut dla serwerów fizycznych przywracanych jako VM (P2V). Mechanizm analogiczny do Veeam — system startuje z obrazu backupu.

Dla firm z wymaganiem RTO poniżej 1 godziny Windows Server Backup praktycznie odpada. Osiągnięcie RTO = 15 minut wymaga Veeam lub Acronis z odpowiednio skonfigurowanym Instant Recovery.

Analiza kosztów — 3-letnie TCO dla środowiska 5 serwerów

Porównanie kosztów backupu bez uwzględnienia wszystkich składowych TCO (Total Cost of Ownership) prowadzi do błędnych decyzji. Poniższa tabela zestawia realne koszty trzyletnie dla typowego środowiska MŚP: 5 serwerów Windows (w tym 1 DC, 1 SQL, 1 serwer plików, 2 serwery aplikacji), z których 3 działają jako maszyny wirtualne Hyper-V na jednym hoście.

Uwaga: podane kwoty to orientacyjne szacunki rynkowe dla Polski na rok 2026. Faktyczne koszty zależą od wynegocjowanych warunków z partnerem, wybranego kanału sprzedaży i kursu EUR/PLN. Przed zakupem zawsze należy uzyskać wycenę od autoryzowanego resellera.

Kluczowy wniosek z tabeli TCO: Veeam Community Edition i Windows Server Backup mają zbliżone koszty bezpośrednie (niemal zerowe), ale różnią się radykalnie poziomem ochrony. Acronis Cyber Protect jest tańszy niż Veeam w wersji płatnej i oferuje wbudowaną ochronę przed malware — dla firm bez dedykowanego zespołu bezpieczeństwa to ważna przewaga. Veeam w wersji płatnej uzasadnia wyższy koszt w środowiskach z dużą liczbą VM i wymaganiami SLA.

Ochrona przed ransomware — jak backup stał się linią obrony

Ransomware w 2026 roku to nie przypadkowy wirus — to wyspecjalizowane narzędzie przestępcze z jasną strategią. Nowoczesne grupy ransomware takie jak LockBit, BlackCat czy Cl0p przed zaszyfrowaniem danych spędzają średnio 21 dni w sieci ofiary, mapując infrastrukturę, eskalując uprawnienia i — co najważniejsze — lokalizując i niszcząc kopie zapasowe. Backup podłączony do sieci produkcyjnej, do której atakujący ma dostęp, zostanie zniszczony razem z danymi.

Właśnie dlatego immutability nie jest opcją — to obowiązek.

Jak każde z narzędzi chroni przed ransomware

Windows Server Backup — ochrona: minimalna

WSB nie oferuje żadnej natywnej ochrony przed zniszczeniem kopii przez ransomware. Kopie przechowywane na dysku podłączonym do sieci są narażone w takim samym stopniu jak dane produkcyjne. Jedyną formą ochrony jest fizyczne odizolowanie nośnika (dysk offline, taśma wyjęta z napędu) — ale wymaga to manualnej interwencji i jest sprzeczne z automatyzacją.

Veeam — ochrona: zaawansowana, ale wymaga konfiguracji

• Hardened Linux Repository z immutability XFS — kopie są niemodyfikowalne przez zdefiniowany okres (np. 30 dni), nawet z uprawnieniami root
• Object Lock w S3 — kopie w chmurze z włączonym WORM (Write Once Read Many)
• Inline entropy scan — wykrywa backupowane dane, które wyglądają jak zaszyfrowane (sygnał aktywnego ransomware)
• Secure Restore — skanowanie backupu antywirusem przed przywróceniem (wymaga zewnętrznego silnika AV)
• Single-use credentials dla Hardened Repo — eliminuje ryzyko przejęcia repozytorium przez skradzione hasła

Ważna uwaga: wszystkie zaawansowane funkcje bezpieczeństwa Veeam są dostępne w Community Edition z wyjątkiem Veeam Threat Hunter i rozbudowanego YARA scanning — te wymagają płatnych edycji. Hardened Repository i Object Lock działają już w CE.

Acronis — ochrona: kompleksowa, zintegrowana, prosta w konfiguracji

• Aktywna ochrona AI — monitoruje procesy w czasie rzeczywistym i zatrzymuje ransomware zanim zaszyfruje dane
• Automatyczne przywracanie plików — zaatakowane pliki są natychmiast przywracane z lokalnej kopii
• Ochrona shadow copies — Acronis aktywnie broni kopii VSS przed usunięciem przez ransomware (typowa taktyka — usunięcie shadow copies przed szyfrowaniem)
• Secure Restore — skanowanie backupu własnym silnikiem antymalware przed przywróceniem
• Immutable cloud backup — kopie w Acronis Cloud z włączonym WORM
• Forensic Backup — opcja zbierania danych do celów kryminalistycznych w momencie incydentu

Kluczowa różnica między Veeam a Acronis w kontekście ransomware: Veeam chroni kopie zapasowe (nie pozwala ich zniszczyć), ale nie chroni aktywnie danych produkcyjnych w czasie rzeczywistym. Acronis robi obydwie rzeczy jednocześnie. Dla firm bez dedykowanego rozwiązania EDR/XDR to istotna przewaga Acronis.

Praktyczna architektura ochrony przed ransomware — rekomendacja na 2026

Minimalna architektura odporności na ransomware dla polskiego MŚP:

1. Backup lokalny co 1–4 godziny na NAS w odizolowanym VLAN backupowym (bez dostępu z sieci użytkowników)
2. Immutable copy na Hardened Linux Repository (Veeam) lub Acronis Cloud z WORM — retencja minimum 30 dni
3. Offsite copy w chmurze z Object Lock (S3) lub Acronis Cloud — retencja 60–90 dni
4. Regularne testy przywracania — minimum raz na kwartał, preferowane automatyczne (SureBackup / Acronis Recover Drill)
5. Oddzielne konto admina backupu — nigdy to samo konto AD co do zarządzania serwerami produkcyjnymi

Który backup wybrać dla firmy — ostateczne rekomendacje

Po przeanalizowaniu funkcji, kosztów i architektury bezpieczeństwa każdego z trzech rozwiązań czas na konkretne rekomendacje — bez dyplomatycznego "to zależy".

Wybierz Windows Server Backup, jeśli:

• Masz 1–2 serwery fizyczne bez Hyper-V w skali produkcyjnej
• Budżet na backup wynosi dosłownie zero złotych
• RPO 24 godziny i RTO kilka godzin są akceptowalne
• Nie przechowujesz danych krytycznych dla ciągłości biznesu
• Akceptujesz brak ochrony przed ransomware w warstwie backupu

W każdym innym scenariuszu Windows Server Backup jest ryzykiem, nie rozwiązaniem.

Wybierz Veeam Community Edition, jeśli:

• Masz do 10 VM Hyper-V lub VMware
• Potrzebujesz Instant VM Recovery (RTO w minutach)
• Masz zasoby IT do samodzielnej konfiguracji Hardened Repository na Linuksie
• Akceptujesz brak wsparcia technicznego Veeam
• Chcesz ochrony klasy enterprise bez kosztów licencji

Wybierz Veeam Data Platform (płatny) jeśli:

• Masz powyżej 10 VM lub serwery fizyczne wymagające backupu
• Potrzebujesz SureBackup (automatyczne testy integralności)
• Wymagasz SLA i wsparcia technicznego 24/7
• Środowisko obejmuje VMware vSphere z zaawansowanymi wymaganiami
• Masz środowiska hybrydowe (chmura + on-premise)

Wybierz Acronis Cyber Protect, jeśli:

• Chcesz jednego produktu zamiast backup + osobny antywirus + osobny EDR
• Cenisz prostotę zarządzania przez centralną konsolę
• Chcesz aktywnej ochrony przed ransomware w czasie rzeczywistym
• Masz mieszane środowisko (serwery fizyczne, VM, stacje robocze)
• Potrzebujesz granularnego przywracania obiektów AD bez pełnej ekspertyzy technicznej
• Przejrzysty publiczny cennik jest ważny w procesie budżetowania

Połączenie Veeam + Acronis to nie rzadkość w bardziej wymagających środowiskach: Veeam do backupu VM z Instant Recovery, Acronis do ochrony serwerów fizycznych i stacji roboczych ze zintegrowanym antimalware. Obydwa rozwiązania współistnieją bez konfliktu i razem realizują strategię 3-2-1.

Licencje Windows Server w KluczeSoft

Właściwa strategia backupu zakłada, że chronisz serwery z legalnym i aktywnym oprogramowaniem. Wygasła licencja Windows Server oznacza brak aktualizacji bezpieczeństwa — a każda niezałatana luka to potencjalny wektor ataku ransomware, który potem backupujesz razem z malwarem.

W KluczeSoft oferujemy oryginalne, aktywowane klucze licencyjne Microsoft w konkurencyjnych cenach:

• Windows Server 2022 Standard — 2990 zł
• Windows Server 2022 Datacenter — 4990 zł
• SQL Server 2022 Standard — 2999 zł

Windows Server 2022 Datacenter jest szczególnie interesujący dla środowisk Hyper-V: nielimitowana wirtualizacja (nieograniczona liczba VM na hoście) sprawia, że koszt licencji zwraca się szybko przy większej liczbie maszyn wirtualnych. Windows Server 2022 Standard pokrywa maksymalnie 2 VM na hosta przy 16 rdzeniach fizycznych.

SQL Server 2022 Standard jest właściwym wyborem dla większości firm — obsługuje do 24 rdzeni i 128 GB RAM pamięci buforowej, co wystarcza dla większości obciążeń produkcyjnych ERP i CRM. Wersja Enterprise jest potrzebna tylko przy bardzo dużych bazach danych lub konieczności zaawansowanych funkcji BI.

Podsumowanie: Backup serwera Windows to nie opcja — to obowiązek każdej firmy, która przechowuje cokolwiek wartościowego na swoich serwerach. Windows Server Backup jest punktem startowym, nie docelowym. Veeam Community Edition oferuje możliwości klasy enterprise bez kosztów licencji — dla firm do 10 VM to najlepsza bezpłatna opcja na rynku. Acronis Cyber Protect jest optymalnym wyborem dla firm, które chcą prostoty i zintegrowanej ochrony. Niezależnie od wybranego narzędzia — wdróż strategię 3-2-1, włącz immutability i testuj przywracanie regularnie. Backup, który nie jest testowany, nie istnieje.