Cloud Station Cloudstation EFS Verschlüsselung einzenler Ordner

[Bodoman]

Hallo liebe Gemeinde,

ich habe folgende Situation

MacBook -> BootCamp
PC --> Windows10

Ich habe einen Gemeinsamen Ordner für die Cloudstation. Synchronisieren funktioniert perfekt.

Auf dem Mac habe ich einen Ordner mit EFS verschlüsselt unterhalb des Stammverzeichnisses der Cloudstation. Wenn ich jetzt mit dem Mac dort eine Datei reinkopiere wird diese verschlüsselt. Diese gelangt dann auch unverschlüsselt auf den anderen PC.
Nur wenn ich auf dem PC eine Datei erstelle kommt die zwar auf dem Macbook an, aber wird nicht verschlüsselt. Sollte aber da ich ja gesagt habe Ordner, Unterordner und Dateien bei der Aktivierung von EFS.

Nur weiß ich gerade nicht wo ich da ansetzen soll, ist das eher ein Fehler von Windows oder von der DSM ? Warum wird das Attribut nicht auf verschlüsselt gesetzt.

Würde das überhaupt auf diesem Wege funktionieren ? Für einen kleinen Tipp wäre ich dankbar. Weil Bitlocker fällt aus, wegen dem Bootcamp inkompatibel. Das gleiche verhalten kann ich auch mit Windows 7 und anderer Synology´s nachstellen, also ist nicht Gerätespezifisch.

Vielen Dank im voraus

 

[patba]

Hallo zusammen,

ich habe genau das gleiche Problem (allerdings unter Windows 10) und war deshalb in den letzten Tagen mit dem Support von Synology in Kontakt.

Zunächst nochmal eine genaue Definition des Problems:
Das Stammverzeichnis von Cloudstation Drive auf dem PC ist unverschlüsselt (in meinem Fall meine gesamten Dokumente)
Ein Unterverzeichnis ist verschlüsselt. (in meinem Fall ein Ordner mit sensiblen Daten)
Kopiert man unter Windows eine Datei in dieses verschlüsselte Verzeichnis oder legt eine neu an, so wird diese verschlüsselt.
Schreibt jedoch Cloudstation Drive eine Datei in dieses Verzeichnis, so wird diese nicht verschlüsselt.

Das ganze kommt sogar noch schlimmer:
Wenn eine bereits verschlüsselte Datei auf die NAS synchronisiert wird, dann dort bearbeitet wird, und dann ins verschlüsselte Verzeichnis zurücksynchronisiert wird, so ist die Datei danach unverschlüsselt.

Für's Verständnis noch: Auf der NAS selbst werden die Daten unverschlüsselt abgelegt. Wenn sie von dort auf einen zweiten PC synchronisiert werden, geschieht das auch unverschlüsselt.
Das ist für mein Verständnis auch gut so. Man sollte für jeden PC individuell vestlegen können, ob verschlüsselt wird oder nicht.

Meine weiteren Tests haben ergeben, dass sich Cloudstation Drive allein am Verschlüsselungsattribut des Stammverzeichnisses orientiert:
- ist das Stammverzeichnis unverschlüsselt, so werden auch in allen Unterverzeichnissen die Dateien unverschlüsselt abgelegt, selbst wenn ein Unterverzeichnis als "verschlüsselt" definiert ist.
- Ist das Stammverzeichnis verschlüsselt, so werden auch in allen Unterverzeichnissen die Dateien verschlüsselt abgelegt, selbst wenn ein Unterverzeichnis als "unverschlüsselt" definiert ist.

Der Support von Synology hat mit bestätigt, dass das so ist.
Man werde für zukünftige Updates prüfen, das zu ändern.
Man hat sogar nochmals nach meinen Anregungen dazu gefragt.

Konkret habe ich folgendes geantwortet:

1. Cloud station drive should NOT sync the EFS encryption attribute from one computer to the other.
One should have the possibility to have the files encrypted on one PC and not-encryted on the other.
Cloud station drive ist doing like this at the moment, so this is fine.
Ideally, one should have the option (within the sync rules) to select whether the encryption attribute is synced from one PC to the other or not.

2. Cloud station drive should respect the EFS encryption attribute of each folder on the indiviual PC when copying files from "outside" to this folder. At the moment, only the encryption attribute of the main (root) sync folder is respected, but not the encryption attribute of the individual subfolder. I consider this to be a security vulnerability, because the normal user might rely on the encryption properties he has set in Windows.



Patrick