Berechtigungen setzen - Schutz vor Viren und Ransomware

Status
Für weitere Antworten geschlossen.

Hardler

Benutzer
Mitglied seit
04. Sep 2014
Beiträge
107
Punkte für Reaktionen
5
Punkte
18
Hallo,

habe eine DS 214+ und nutze diese um meine Fotos zu speichern. Hierfür habe ich einen gemeinsamen Ordner Fotos und einen gem Ordner Fotos_verkleinert. Im Ordner verkleinert befinden sich dieselben Fotos nur in verkleinerter Version (mit einen externen Programm) um auf diese von unterwegs per Smartphone zugreifen zu können.

Bisher habe ich beide Ordner unter Windows als Netzlaufwerk gemountet (als z. B. Fotoadmin) , die Originalen fotos vom pc in den Ordner Fotos kopiert und dann mit dem externen programm eine verkleinerte version in den Ordner Fotos _verkleinert erstellt. Die Ordnerstruktur (Unterordner,...) selber ist in beiden Ordner gleich.

Vom PC oder von unterwegs übers Smartphone kann ich auf beide Ordner zugreifen (über einen selber erstellten Adminbenutzer z. B. Hauptadmin; der standartadmin ist deaktiviert)
Fotostation möchte ich nicht nutzen.

Um die Daten vor allem vor Ransoftware zu schützen habe ich eine Lösung gefunden (finde den Tread leider nicht mehr), welche mir gut gefällt.
Bei dieser Lösung komme ich aber mit den Berechtigungen glaube ich nicht ganz zurecht bzw. bin mir nicht sicher ob es funktioniert.

Mein Plan:
-einen weiteren gem. Ordner z. B. "Tauschordner erstellen.
-einen weiteren Benutzer erstellen z. B. Tausch
-Berechtigung von Tausch nur Schreibberechtigung auf den Tauschordner
-Berechtigung für den Fotoadmin auf Fotos nur lesend und auf Fotos_verkleinert lesend und schreibend
-alle Berechtigungen für Hauptadmin

Folgendes vorgehen:
-Tauschordner als Benutzer Tausch unter Windows als Netzlaufwerk mounten
-Originale Fotos in Tauschordner kopieren
-Netzlaufwerk trennen
- als Hauptadmin an der DS anmelden und intern die Fotos vom Tauschordner in Ordner Fotos kopieren und ausloggen
-Als Fotoadmin den Ordner Fotos und Fotos_verkleinert unter Windows mounten und mit den externen Programm die verkleinerung durchführen

Zugriff vom Smartphone als fotoadmin


Ich hoffe ich konnte es einigermaßen verständlich formulieren. Kann sein, dass es etwas umständlich ist, aber mache es höchstens zwei oderdreimal im Monat.

Wäre das eine einigermaßen sichere Lösung?
Stimmen die Berechtigungen?


Vielen Dank
Viele Grüße
Hardler
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
tönt sehr kompliziert, aber wie das genau gegen Viren und Ransomeware helfen soll sehe ich nicht momentan.
Ransomware war schon da, aber das greift dann schön tief ins System, das wird sich von deinen User Rechten nicht zu sehr beeindrucken lassen.
Viren für Linux?, na ja, eher seltene Spezies. Wenn da eine irgendwie Malware Datei untergeschoben wird und du kopierst es einfach hin und her mir was auch immer einem Admin, macht das der Malware gar nichts aus, das kopiert sich einfach weiter und wenn du es dann mal wieder vielleicht auf einem Windows Rechner hast, ist es da egal wie du es vorher auf dem Linux hin und her geschoben hast.

Also mir schient es schon etwas übertrieben das Ganze.
 

Hardler

Benutzer
Mitglied seit
04. Sep 2014
Beiträge
107
Punkte für Reaktionen
5
Punkte
18
Ok, dachte mir das wäre die "ulitmative Lösung" ;-)
Ob es funktioniert oder nicht weiß ich jedoch nicht; dafür kenne ich mich viel zu wenig aus.
Ebenso wie es sich mit den Benutzerrechten verhält.

Der Gedanke war bzgl. Ransomeware, dass diese im Ordner Tauschordner die Daten gar nicht lesen kann (weil nur mit Schreibrechten auf den Ordner zugegriffen werden kann) und somit auch die Dateien nicht verschlüsseln kann.

Wenn ich die Daten "NAS-intern" vom Tauschordner in den Ordner Foto schiebe kann die Ransomeware auf die Datei "von außen" auch nicht zugreifen und verschlüsseln.

Wenn ich dann als "Fotoadmin" die Ordner Fotos und Fotos_verkleinert mounte kann Ransomeware zwar auf die Daten Fotos_verkleinert zugreifen und theoretisch auch verschlüsseln. Die Dateien im Ordner Fotos aber nicht, da hier nur Leserechte vorhanden sind und keine Schreibrechte um die Datei zu verändern (verschlüsseln).

Diese Dateien im Ordner Fotos_verkleinert könnte ich aber ohne weiteres durch die noch vorhandenen Originaldateien im Ordner Fotos wieder erstellen.

Das war mein Gedanke. Das Ransomeware die Berechtigungen nicht viel interessieren wußte ich nicht.



Grundsätlich möchte ich aber erwähnen, dass ich auf die bisherige Weise keine Probleme hatte und ich normalerweise auch nicht auf Seiten bin, wo man sich solche "Störenfriede" einfangen kann.
Bei Emails könnte es aber durch Unachtsamkeit doch mal vorkommen.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
funktionieren tut es sicher, nur ist nicht ersichtlich wozu.
Die bisher für Synology gemachten Ransomware haben sich um solche Berechtigungen nicht gekümmert. So was ist nicht von Anfängern gemacht. Das nimmt sich die root Rechte und kann alles ändern nach belieben.
 

Hardler

Benutzer
Mitglied seit
04. Sep 2014
Beiträge
107
Punkte für Reaktionen
5
Punkte
18
Gibt es dann eine Möglichkeit die Daten zu schützen außer Backups auf externe Festplatten (was ich zusätzlich sowieso mache)?
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
8.468
Punkte für Reaktionen
1.396
Punkte
288
@ottosykora es geht da wohl auch eher darum, um die Daten auf dem NAS vor auf den PCs wütender Ransomware zu schützen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
@synfor - danke für den Einwurf.
Ransomware/Malware ist ein vielschichtiges Problem. Nur weil es für einen Teil davon schwieriger ist sich zu schützen sollte man nicht gleich komplett darauf verzichten. Zudem gibt es auch verschieden große Wahrscheinlichkeiten welche Daten wo angegriffen werden (können).
Der wahrscheinlichste und offentsichtlichste Einfallpunkt sind die Client Systeme (USB-Angriff, email attachments, drive-by-downloads, fileless infections, etc)
Gerade für diese Angriffe hilft eine Rechte-basierte Trennung des Zugriffs auf die NAS (Netzwerkfreigaben) durchaus, wenn der Client überhaupt nur Schreibrechte auf Zwischenlager hat und nur Leserechte auf die "Produktiv"-Daten.
Damit sich eine Infektion nicht schleichend über das Zwischenlager ausbreitet (eine händische Kontrolle, dass alle Daten die aus dem Zwischenlager weiter bearbeitet werden nicht "infiziert" sind könnte schierig sein) hilft dann die Dateiversionierung auf der NAS und das versionierte Backup auf andere Online (andere DS, externe Cloud,..) oder Offline Medien (normal abgetrennte USB-Platte vor Ort oder woanders). Diese Backup laufen zudem unter anderen Benutzern.
Bzw. man hat ein Pull-Backup, dass die Daten von außerhalb der DS die Verbindung zum NAS initiiert und die Daten holt (dann sind auch die Zugangberechtigungen für das Backup nicht auf der NAS gespeichert).
Selbst wenn also eine Ransomware auf der Synology selbst ankommen würde (durch Angriffe/Lücken des Webservers oder der Synology Web-Anwendungen) hätte diese keine Kenntnis vom externen versionierten Backup.
Die Ransomware müsste also fast schon beliebig lange unerkannt bleiben um sie hier durch alle Ebenen zu propagieren und alle vorhandenen Versionen / Systeme zu infizieren.
Das ist zwar nicht unmöglich aber beliebig unwahrscheinlich. Zumindest seine Daten im "Klartext" in einem der Backups noch zu haben ist also möglich / extrem wahrscheinlich (darum geht es ja am Ende, die mögliche Lebens- und Arbeitsgrundlage zu erhalten).
Nicht zuletzt weil der Aufwand fast nicht lohnt außer man wollte gezielt alle Daten zerstören. Und wenn ich es eher auf den Dateninhalt (als dessen erpresserische Verschlüsselung) abgesehen habe bin ich ebenfalls schon deutlich vorher am Ziel.
 

Hardler

Benutzer
Mitglied seit
04. Sep 2014
Beiträge
107
Punkte für Reaktionen
5
Punkte
18
Ja, mir geht es hauptsächlich die Daten auf der NAS zu schützen. Die meiste Zeit ist es ausgeschaltet.

@Fusion
Danke für die ausführliche Antwort.
Heiß das, das mein "Plan" so funktioniert, um zumindest einen "Grundschutz" zu haben oder sollte ich noch etwas ändern?

Was meinst du mit einer Dateiversionierung auf der NAS?
Bisher habe ich mein Backup nur auf eine externen Festplatte durchgeführt.
Das Backup machte ich bisher filebasierend nach der alten Methode und inkrementell. Hat das einen Nachteil? Mir wäre aber filebasierend lieber und würde es so gerne beibehalten.

Bisher habe ich diese Backupfestplatte mit einer zweiten Festplatte synchronisiert. Dabei habe ich beide Fesplatten am WindowsPC angeschlossen (über esata Schacht) und mit dem Programm Alwaysync die Daten synchronisiert.
Ist das eine weitere Sicherheitslücke und sollte es so nicht mehr durchführen?
Lieber in einen zeitlichen Abstand für das Backup die Festplatte wechseln? mal auf die eine, das nächste mal auf die andere?

Mit einem versionierten Backup wird das so sowieso nicht mehr möglich sein. oder?
Habe die Versionierung bisher vermieden, da ich davor "Angst" habe alle Daten zu verlieren, wenn ich eine Version verliere oder bei der versionierung etwas schief geht.
Werde aber wahrscheinlich nicht herum kommen mich damit auseinander zu setzen.

Sollte ich die Daten doch zusätzlich in einer Cloud sichern oder sind die Daten dort vor z. b. Ransoftware azch nicht sicher?

Kann man sagen wie lange es dauert, bis eine Ransomware "das Arbeiten" beginnt? Vor allem auch, weil ja mein NAS die meiste Zeit ausgeschalten ist. Könnte ja die Datein im Tauschordner eine Zeit lang in "Quarantäne" behalte bevor ich die Daten in der Ordner Fotos verschiebe.

Wäre schön, wenn ich nochmal Tipps bekomme würde.
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Dein genauen Plan müsste ich nochmal durchsehen für einen Kommentar.

Bei Ein-Versions-Backups mit inkrementeller Sicherung vertraust du darauf, dass du persönlich schnell genug erkennst, sollte eine Ransomware die Quelldateien überschrieben haben, und das Backup anstatt 5GB jetzt plötzlich mal wieder mit 300GB neue Daten auf die Backup Platte schreibt. Die Daten die bis zur Erkenntnis geschrieben sind sind auch Quelle und Ziel verloren und nur in einer weiteren Kopie erhalten. Solange du es also erkennst, wenn es mit einer Platte passiert ist und du die Platten im Wechsel benutzt hast du noch die andere Platte. Welche Version anfälliger ist für Fehler (Backupplatten abwechselnd, oder das Backup vom Backup) ist schwer zu sagen. Wenn dabei aber immer auch der WindowsPC der potentiell befallen ist zum Einsatz kommt ist es vermutlich fast egal, wenn die Ransomware dann die angeschlössene Platte selber direkt überschreibt oder einfach löscht.

Mit Versionierung kannst du auch die externen Platten betrieben, eben nur nicht mehr auf dem Weg am PC wie aktuell.
Wenn du die Platten also im Wechsel von der DS per USB befüllen läßt muss die Ransomware dann schon auch die NAS / Betriebssystem selbst befallen haben um die Backup-Daten direkt zu gefährden.
Eine "Klartext"-Sicherung von den Daten auf dem NAS kannst du ja trotzdem weiterhin noch vorhalten (da bist du auch nicht der einzige der einem erprobten Dateisystem mehr vertraut als einer versionierten Datenbank / Black Box und weiterer Software)

Vor allem würde ich schauen dass die Netzwerkfreigaben mit denen du arbeitest mit Drive oder Snapshot & Replication versioniert sind (snapshots nicht einblenden). Dann kannst du beim Befall des Windows PC und wenn dieser die Netzwerkfreigaben verschlüsselt mit etwas Glück (außer die Zeitspanne bis zur Erkenntnis war länger als die Versionen zurück reichen) einfach dort wieder auf eine alte Version gehen und musst gar nicht auf das Backup zugreifen. Den Windows PC muss man natürlich frisch aufsetzen davor.
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Eine kleine Randinfo: wenn datenbankbasierte Sicherung (also die mit Versionierungen) auf externe HDD abgelegt wird, lässt sich das mit HyperBackup Explorer (Download auf synology.com) öffnen - bisschen umständlich, daher ist die filebasierte Sicherung nicht schlecht. Wie oben erwähnt ist es eben nicht sicher vor Ransom & Co.

Ich selbst habe beide Varianten der Sicherungen (externe HDD = filebasiert, 2. DS = datenbankbasiert inkl. Versionierungen und nur 1 User mit stark eingeschränkten Rechten hat darauf Zugriff und das nur von der DS aus!) inne.
 

Hardler

Benutzer
Mitglied seit
04. Sep 2014
Beiträge
107
Punkte für Reaktionen
5
Punkte
18
Hätte nicht gedacht das das Thema Bachup so kompliziert sein kann. Für mich als sozusagen "Endanwender".

@Fusion
Was meinst du bzw. bedeutet Netzwerkfreigaben versionieren?
Welche Netzwerkfreigaben sind hier gemeint?

@TeXniXo
Denke ich werde es aus so versuchen.

Ich muss also zwei Backup-Aufgaben anlegen?

Ich kann doch auch anstatt einer zweiten DS (ist mir eigentlich zu teuer) auch eine zweite externe Festplatte verwenden?

Wird das Backup dann nacheinander gemacht?
Also Backup über USB auf die erste Festplatte filebasierend dann Festplatte wechseln und gleich danach zweites Backup datenbankbasiert (versioniert) starten. habe dann sozusagen zweimal den gleichen Stand.
Oder zwischen den beiden Backups einpaar Tage/Wochen warten?

Sicherungsrotation aktivieren?
"von früheren Versionen" oder "smart Recycle"?
Wieviel Versionen sind sinnvoll?

Sorry wegen den vielen Fragen. Möchte nach Möglichkeit nichts falsch machen.
Evtl hilft ja dieser möglicher Lösungsweg ja auch anderen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Hatte ich doch geschrieben.
Du verwendest doch sicher SMB/CIFS für die Einbindung von Netzwerkfreigaben am Client.
Die Netzwerkfreigaben sind ja nichts anderes als die "Gemeinsamen Ordner" auf der NAS.
Andere Netzwerkfreigaben gibt es ja nicht.
Diese Ordner kann man in "Drive" oder "Snapshot & replication" auf der NAS versionieren.
 

Hardler

Benutzer
Mitglied seit
04. Sep 2014
Beiträge
107
Punkte für Reaktionen
5
Punkte
18
Ja, ich binde unter Windows mit dem Datei Explorer bei Bedarf (nicht automatisch) den/die Gemeinsamen Ordner Fotos und Fotos_verkleinert als Netzlaufwerk ein (um es in meinen Worten zu sagen ;-) ).


Mich hat der Ausdruck Netzwerkfreigaben durcheinander gebracht. Sorry dafür. Wie bereits geschrieben bin ich lediglich Endanwender und verstehe die Zusammenhänge nicht sofort (manchmal gar nicht ;-) )


Bzgl. "Drive" und "Snapshot & replication" muss ich erst nachlesen was dies genau bedeutet. Kannte bisher nur das Hyper Backup und dss "alte Backup"
 

Hardler

Benutzer
Mitglied seit
04. Sep 2014
Beiträge
107
Punkte für Reaktionen
5
Punkte
18
Hallo,
aus Zeitgründen bin ich leider mit meinem "Problem" nicht weitergekommen. Zwischendrin habe ich es zwar hin und wieder versucht, hatte aber Probleme mit den Berechtigungen.
Jetzt möchte ich es nochmal anpacken.


Wie im Eröffnungsthread geschrieben möchte ich einen Netzwerkordner (Name ist Tauschordner) als eine Art "Zwischenlager" nutzen um die Möglichkeit für Ransomware zu verringern vom PC aus auf das NAS zu gelangen.


Der Netzwerkorder soll vom PC aus nur Beschrieben werden können. Dafür habe ich einen Benutzer "Tausch" angelegt und als Berechtigungen nur Lesen genehmigt. Löschen habe ich auch deaktiviert.
Bei dieser Konfiguration kann ich vom PC aus den Netzwerkordner nicht mounten. Es kommt die Fehlermeldung, dass ich hierfür keine Berechtigungen habe.
Erst wenn ich zusätzlich unter Lesen "Ordner durchqueren/Dateien ausführen" und GLEICHZEITIG "Ordner auflisten/Daten lesen" aktiviere kann ich den Ordner mounten.
Aber gerade Lesezugriff möchte ich vermeiden.

Was mache ich falsch? Oder ist es nicht möglich einen Ordner zu mounten auf den nur das Schreiben möglich ist und nicht das Lesen?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Genau, das ist nicht möglich. Ohne etwas zu sehen kann man auch nichts dorthin schreiben.

Verstehe auch nicht, wie du vermeiden willst, dass Ransomware vom PC auf das NAS kommt, wenn du vom PC aus dort schreiben kannst.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
@synfor - auch unter Windows ist für c:/Windows/temp mindestens die Berechtigung für "Ordner durchsuchen / Datei ausführen" nötig. Die zugreifenden Prozesse im Benutzerkontext können also durchaus "sehen", nur dem Benutzer wird halt nichts angezeigt.
Wieso Windows für lokale und Netzwerkordner da eventuell verschiedene Berechtigungen braucht müsst ihr wen anderen Fragen.
 

Hardler

Benutzer
Mitglied seit
04. Sep 2014
Beiträge
107
Punkte für Reaktionen
5
Punkte
18
Der Gedanke bzgl Ransomware ist (habe es in einen anderen Thread gelesen, finde ihn aber nicht mehr), das in das "Zwischenlager" Daten (hauptsächlich Bilder) vom Win PC aus geschrieben werden.
Danach logge ich mich direkt in Synology mit einer anderen Kennung und anderen Berechtigungen ein und verschiebe die Daten in den eigentlichen "Bilderordner".
Auf den Bilderordner habe ich vom PC aus nur lesende Berechtigung.
Ausführlicher hätte ich es im Eröffnungsthread geschrieben.

Ich verstehe aber nicht, warum man bei den Berechtigungen den lesenden Zugriff zwar deaktivieren kann, aber es dann nicht funktioniert?

Bei den Auswahlmöglichkeiten stört mich die Berechtigung "Dateien ausführen" und "Daten lesen". Ordner durchqueren" und "Ordner auflisten" würde ja auch reichen. Aber na gut, die Auswahl ist halt nicht vorgesehen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
ich habe dieses "Problem" einfacher gelöst.
Die Syno geht nachts schlafen. Mit dem morgendlichen Aufwachen wird per eSATA (USB geht auch) das externe Laufwerk gemountet. Dann startet die Datensicherung.
Am Ende des Sicherungsprozesses wird der externe Datenträger wieder dismounted, kann also von keiner Schadsoftware gefunden werden. Da das alles in sehr frühen Morgenstunden passiert sehe ich auch keine Gefahr, dass ein im LAN befindlicher PC in dieser Zeit Zugriff zur Syno hat.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat