Ich habe mit dem Support von Synology eine für mich akzeptable Lösung für dieselbe Ausgangsbasis (
Post #85) gefunden. Ich werde diese hier kurz beschreiben, vielleicht kann der eine oder andere was damit anfangen.
Mein eigener Alltagsbenutzer "{Alltag}" hat Admin-Rechte und kann damit normalerweise im Netzwerk vom PC aus alle Shares sehen. Das betrifft natürlich auch die Zielverzeichnisse für HyperBackup-Tasks, was es anfällig für PC-seitige Ransomware macht.
Daher habe ich...
1. ...einen neuen (normalen) Benutzer "{CloudBackupUser}" angelegt
2. ...ein neues Share "[CloudBackup]" so angelegt, dass einzig {CloudBackupUser} darauf Zugriff hat (auch mein Adminnutzer darf nicht!)
3. ...die Anwendung "Cloud Station Backup" auf dem PC installiert und als Zugangsdaten/Ziel {CloudBackupUser}, sowie [CloudBackup] eingetragen
Dadurch kann schon mal ein auf dem PC hausendes Programm keine Zugriffe durch führen. Versionierung hätte ich über die Cloud Station prinzipiell auch, aber das ganze recht unbequem. Also habe ich die Versionierung hierfür deaktiviert und führe ein richtiges, zeitgesteuertes Hyper Backup von [CloudBackup] auf ein weiteres, internes Share "[Backup]" durch.
Damit nun auch [Backup] vor Zugriff über den PC geschützt ist, muss etwas umständlich vorgegangen werden:
4. Weiteren Benutzer "{BackupUser}" vom Typ Admin erstellen (oder dem vorherigen {CloudBackupUser} Adminrechte geben)
5. Den Ordner [Backup] so einrichten, dass Admins im Allgemeinen zugreifen können, jedoch der normale Nutzer {Alltag} NICHT!
6. Nun in DSM als {BackupUser}/{CloudBackupUser} einloggen und mit den Adminrechten eine neue, passende Hyper Backup Task mit zeitgesteuertem Start erstellen
Warum so kompliziert?
Hyper Backup Aufgaben laufen bei manuellem Start mit den Rechten desjenigen, der das Backup startet. Bei zeitgesteuerten Starts zählt jedoch die Berechtigung von demjenigen, der die Aufgabe angelegt hat.
Wenn alles richtig ist, sollte also bei Ausführung der neuen Task mit {Alltag} ein Fehler ("Privilegien nicht ausreichend" oder so ähnlich) erscheinen. Die automatische Ausführung funktioniert aber trotzdem.
Optional kann nun noch ein weiterer Schritt erfolgen, falls ein eigener Benutzer [BackupUser] angelegt worden ist:
7. {BackupUser} kann zur Sicherheit auch deaktiviert werden => das zeitgesteuerte Backup läuft dennoch
Ergebnis:
* Dateien auf dem PC werden bei jeder Änderung auf das NAS gesichert (Cloud Station Backup)
* Dateien werden intern versioniert auf ein anderes Share (kann auch remote sein) zeitgesteuert gesichert (Hyper Backup)
* Beide Shares sind vor Zugriffen (z.B. durch Ransomware) von anderen Netzwerkteilnehmern aus geschützt
(Der Vollständigkeit halber: Im ersten Fall könnte eine Malware die Zugangsdaten theoretisch irgendwie aus dem Cloud Client lesen. Für [Backup] sind allerdings keine Daten auf dem PC zu finden)
Trotzdem sind zusätzlich natürlich noch externe Backups dringend zu empfehlen!