Schutz vor Ransomware

Status
Für weitere Antworten geschlossen.

ceee

Benutzer
Mitglied seit
29. Sep 2011
Beiträge
75
Punkte für Reaktionen
6
Punkte
8
Okay, verstehe, ich müsste also meinen Backup-Job, den ich unter <jetzt> HyperBackup angelegt habe auf der Kommandozeile nachbauen mit den entsprechenden Optionen. Kann ich auch irgendwie auf den bestehenden Job zugreifen und ihm die entsprechende Option migeben?
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.681
Punkte für Reaktionen
2.084
Punkte
829
Ist mir nicht bekannt. Ich mach das komplett mit zwei eigenen Shell-Skripten (Beispiel, das unter DSM 5 läuft).
 

snowbeachking

Benutzer
Mitglied seit
26. Dez 2011
Beiträge
155
Punkte für Reaktionen
0
Punkte
16
Hallo,

es ist schon spät und irgendwie stehe ich auf dem Schlauch. Aber verstehe ich es richtig, dass man mit Hyper Backup und Smart Recycle auf ne zweite DS vor Ransomware gefeit ist?
Vielen Dank für die Erhellung im Voraus.

Grüße.
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.681
Punkte für Reaktionen
2.084
Punkte
829
Du bist (derzeit) mit einem Backupverfahren gefeit, das versioniert arbeitet und nicht auf ein zugreifbares Netzlaufwerk schreibt. Das gilt für HyperBackup aber auch für andere Datensicherungsverfahren von Synology, die auf eine zweite DS schreiben.
 

tale

Benutzer
Mitglied seit
25. Nov 2014
Beiträge
55
Punkte für Reaktionen
0
Punkte
0
Hallo allerseits,

bin nun auch auf DSM6 gewechselt und hochgradig verwirrt bezüglich des Verhaltens von Hyper Backup.

Unter DSM 5.2 wurden lokale Backups entweder in "Gemeinsame Ordner" (unversioniert) oder "direkt" auf das Volume (versioniert) geschrieben. Gegen Ransomware hatte ich mich daher so beholfen, dass ich einem Ordner im Fall 1 nach dem Anlegen der Backup Task die Zugriffsrechte aller Benutzer auf den Ordner entzogen hatte => das Backup funktionierte dennoch (mit Systemrechten?) und der Ordner war von außen nicht zu sehen. Im Fall 2 war nichts zu tun, denn die DB war von außen nie zu sehen.

Bei Hyper Backup ist nun die DB normal im Ordner abgelegt. Kein Problem dachte ich: Einfach wieder die Benutzerrechte nach dem Anlegen des Backups entfernen und die Task läuft dann zeitgesteuert wieder mit Systemrechten durch... Pustekuchen!

Erkenntnis 1: Das Backup funktioniert nur dann, wenn der jeweilige Benutzer auch Zugriffsrechte auf den Ordner hat.

Ok, dachte ich, mache ich halt nen Umweg:
1. Einen zweiten "Admin"-Benutzer B nur für Backup-Angelegenheiten angelegt
2. Der Gruppe "Admin" Zugriff auf den Ordner gewährt, aber meinem normalen (Admin-)Benutzer den Zugriff gezielt verwehrt
3. Die Backup-Task als B eingerichtet => geht.
4. Als normaler Benutzer angemeldet und in Hyper Backup geschaut: Wird alles i.O. angezeigt.
5. Backup gestartet => geht nicht

Erkenntnis 2: Das Backup funktioniert offenbar nicht mit den Rechten desjenigen, der das Backup anlegt, sondern desjenigen, der das Backup ausführt.

Aber dann frage ich mich: Mit welchen Rechten wird denn nun dann das zeitgesteuerte Backup ausgeführt?

Und: Lässt sich mit Hyper Backup (und lokaler Sicherung) überhaupt noch derselbe Grad der Abkapselung erreichen?

(Ja, ich weiß, dass nur ein remote-Backup ordentliche Sicherheit gewährt, aber in DSM5.2 war ich mit dem Kosten-Nutzen-Faktor eigentlich zufrieden... und ein externes LW habe ich auch, nur wird das nicht so regelmäßig aktualisiert)

Danke für die Hilfe!
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Falls es noch keiner gepostet hat:
Windows Script Host deaktivieren und man hat erstmal Ruhe: http://heise.de/-3180711
 
Zuletzt bearbeitet:

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Und wenn das Teil nur den Registry Eintrag löscht ist der Schutz doch wieder Geschichte ..
Die werden immer wieder einen Weg finden.
 

TanteEmma

Gesperrt
Mitglied seit
04. Apr 2016
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
Wer so absichert, der verwendet auch keinen Admin-Account für die alltägliche Arbeit am Rechner und ohne kann der normale Benutzer bzw. eingefangene Schadsoftware den Schlüssel auch gar nicht einfach löschen.

Das mag insgesamt sicherlich alles kein 100%-Schutz sein, aber gerade so kleine Sachen sind es, womit man dann doch gleich eine ganze Ecke sicherer ist, als die restliche Masse bzw. Opfer mit 08/15-Default-Konfiguration. Wir leben noch in einer Zeit, wo die Sekretärin jeden Link anklicken, eine Bewerbung.exe von Seite XY laden und auf dem Firmen-System starten kann.
 

AlbertDunker

Benutzer
Mitglied seit
15. Mai 2016
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Hallo allerseits,

in sämtlichen Foren steht, dass es keinen wirklichen Schutz vor Ransomeware gibt, sondern die einzige Maßnahme das Backup der Daten ist. Ich kann nur für mich sprechen, wenn ich im Umgang mit verdächtigen Mails, Internetseiten oder Meldungen sehr vorsichtig bin. Das gilt jedoch nicht für alle meine Kollegen. Genau aus diesem Grund habe ich eine DS216 zugelegt in der Hoffnung, dass die DS216 die Daten vom Server täglich sichert und mit Hyper Backup ich auf wochenlange Dateiversionen zurückgreifen kann. Die Idee war, dass ich an der DS einen Benutzer anlege, der auf eine entsprechende Netzwerkfreigabe (z.B.: \\SERVER\DATA$\ ) Zugriff hat und diese Daten dann lokal auf die interne Platte sichert. eine Ransomware hätte keine Chance die Daten auf der DS zu sehen. Nun muss ich feststellen, dass Hyper Backup scheinbar nur ein Backup-Programm ist, dass die Daten der interne Festplatte des DS sichert oder einer entfernten DS. Als Lösung sagt synology soll mann die Cloud Station Share Sync verwenden soll. Aber da habe ich wieder das viel diskutierte Problem, dass ich über das Netzwerk direkten Zugriff auf die DS habe.
Was hat das mit der Remote-Backup Lösung auf sich? Funktioniert das mit einer DS216 und wenn ja, wie? Ich habe gesehen, dass die DS216 rsync unterstützt. Das setzt dann aber auch voraus, dass der rsync Dienst auf dem Windows Server (2008 R2 64 bit) läuft. Das wäre ein Lösungsansatz (cycwin).
I.d.R. merkt man doch im Laufe des Tages, wenn Dateien ganzer Verzeichnisse nicht mehr geöffnet werden können. Dann zieht mann den Netzwerkstecker der DS und fertig. Selbst wenn ich es erst am nächsten Tag merke und über Nacht die verschlüsselten Dateien mitgesichert werden, kann ich damit leben, da i.d.R. die Dateien umbenannt werden, wenn sie verschlüsselt wurden. Also stehen die Originale noch als Backup zur Verfügung. Selbst wenn die Dateien nicht umbenannt, sondern nur verschlüsselt werden, habe ich ja noch meine älteren Versionen der Dateien. Aber dass eine Schadsoftware direkten Zugriff über die Freigabe der DS auf die Daten bekommt will ich nicht.

OK, ist jetzt ein bisschen viel Text geworden, aber dieser und andere thread zeigen, dass scheinbar nicht nur ich mir diese Gedanken mache.
Wer kann mir etwas mehr über die "Remote-Backup Lösung" bzw. rsync sagen?

Danke im Voraus!

Albert
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Die Sicherung läuft jeden Tag in den Tagesordner = Mo in Mo, Di in Di usw. Ende Woche sichert sich die Wochensicherung in den Monatsordner. Somit habe ich immer 30 Tage im Klartext.
Einmal im Monat kommt die aktuellste Tagessicherung noch auf eine USB HD, die natürlich danach wieder getrennt wird. Dies nur für den schlimmsten Fall.

Wie und mit welchem Paket kann man das bewerkstelligen? Ich bin auch nach der Suche um Sicherungen in versch. Ordner (Mo-So) sichern zu lassen. Abhängig vom jeweiligen Tag an welchen die Sicherung gefahren wird. Time Backup finde ich nicht mehr. Und mit Hyper Backup kann man soc ein Konzept auch nicht aufbauen. Zumindest nicht nach meinen Kenntnisen. Schenkt mir bitte die Erleuchtung :)

Gruß Rednag
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.681
Punkte für Reaktionen
2.084
Punkte
829
Falls Du mit DSM 6 arbeitest, findest Du das Time Backup Paket in der DSM6-pat-Datei, die Du z.B. mit 7-zip öffnen kannst.
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.959
Punkte für Reaktionen
8
Punkte
58

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Danke für die Links. Ich habs damit gefunden.
EOL...Das heißt ich sattle damit auf ein totes Pferd oder wie?
Will ungern mich da reinarbeiten und mühsam ein tragfähiges Backup-Konzept erstellen um in ein paar Wochen festzustellen, daß dieses Programm demnächst eingestellt wird.

Gruß Rednag
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.681
Punkte für Reaktionen
2.084
Punkte
829
Für mich persönlich ist Time Backup nach wie vor das bessere Produkt, aber neu einarbeiten musst Du Dich natürlich nicht, da Synology nicht davon abzubringen ist, ein versioniertes Backup, das wie Time Backup die Daten ins Filesystem schreibt, auszumustern.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Wie und mit welchem Paket kann man das bewerkstelligen?

Geht zumindest unter DSM 5.2 mit der regulären Sicherung. Einfach für jeden Tag einen eigenen Sicherungsjob anlegen. :)
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
@Puppetmaster,

danke. Auf die Idee bin ich auch schon gekommmen. Das müsste dann aber auch unter DSM 6.0 gehen.
 

tale

Benutzer
Mitglied seit
25. Nov 2014
Beiträge
55
Punkte für Reaktionen
0
Punkte
0
Ich habe mit dem Support von Synology eine für mich akzeptable Lösung für dieselbe Ausgangsbasis (Post #85) gefunden. Ich werde diese hier kurz beschreiben, vielleicht kann der eine oder andere was damit anfangen.

Mein eigener Alltagsbenutzer "{Alltag}" hat Admin-Rechte und kann damit normalerweise im Netzwerk vom PC aus alle Shares sehen. Das betrifft natürlich auch die Zielverzeichnisse für HyperBackup-Tasks, was es anfällig für PC-seitige Ransomware macht.

Daher habe ich...
1. ...einen neuen (normalen) Benutzer "{CloudBackupUser}" angelegt
2. ...ein neues Share "[CloudBackup]" so angelegt, dass einzig {CloudBackupUser} darauf Zugriff hat (auch mein Adminnutzer darf nicht!)
3. ...die Anwendung "Cloud Station Backup" auf dem PC installiert und als Zugangsdaten/Ziel {CloudBackupUser}, sowie [CloudBackup] eingetragen

Dadurch kann schon mal ein auf dem PC hausendes Programm keine Zugriffe durch führen. Versionierung hätte ich über die Cloud Station prinzipiell auch, aber das ganze recht unbequem. Also habe ich die Versionierung hierfür deaktiviert und führe ein richtiges, zeitgesteuertes Hyper Backup von [CloudBackup] auf ein weiteres, internes Share "[Backup]" durch.

Damit nun auch [Backup] vor Zugriff über den PC geschützt ist, muss etwas umständlich vorgegangen werden:

4. Weiteren Benutzer "{BackupUser}" vom Typ Admin erstellen (oder dem vorherigen {CloudBackupUser} Adminrechte geben)
5. Den Ordner [Backup] so einrichten, dass Admins im Allgemeinen zugreifen können, jedoch der normale Nutzer {Alltag} NICHT!
6. Nun in DSM als {BackupUser}/{CloudBackupUser} einloggen und mit den Adminrechten eine neue, passende Hyper Backup Task mit zeitgesteuertem Start erstellen

Warum so kompliziert?
Hyper Backup Aufgaben laufen bei manuellem Start mit den Rechten desjenigen, der das Backup startet. Bei zeitgesteuerten Starts zählt jedoch die Berechtigung von demjenigen, der die Aufgabe angelegt hat.
Wenn alles richtig ist, sollte also bei Ausführung der neuen Task mit {Alltag} ein Fehler ("Privilegien nicht ausreichend" oder so ähnlich) erscheinen. Die automatische Ausführung funktioniert aber trotzdem.

Optional kann nun noch ein weiterer Schritt erfolgen, falls ein eigener Benutzer [BackupUser] angelegt worden ist:
7. {BackupUser} kann zur Sicherheit auch deaktiviert werden => das zeitgesteuerte Backup läuft dennoch

Ergebnis:
* Dateien auf dem PC werden bei jeder Änderung auf das NAS gesichert (Cloud Station Backup)
* Dateien werden intern versioniert auf ein anderes Share (kann auch remote sein) zeitgesteuert gesichert (Hyper Backup)
* Beide Shares sind vor Zugriffen (z.B. durch Ransomware) von anderen Netzwerkteilnehmern aus geschützt
(Der Vollständigkeit halber: Im ersten Fall könnte eine Malware die Zugangsdaten theoretisch irgendwie aus dem Cloud Client lesen. Für [Backup] sind allerdings keine Daten auf dem PC zu finden)


Trotzdem sind zusätzlich natürlich noch externe Backups dringend zu empfehlen!
 

felve

Benutzer
Mitglied seit
15. Aug 2012
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Hi,
(Der Vollständigkeit halber: Im ersten Fall könnte eine Malware die Zugangsdaten theoretisch irgendwie aus dem Cloud Client lesen. Für [Backup] sind allerdings keine Daten auf dem PC zu finden)
Kommt die Malware nicht trotzdem auf die DS? Wenn Du Dir die Malware in einem zu syncenden Verzeichnis einfängst hast Du sie doch dann trotzdem auf der DS bzw. das Ergebnis (also die unbrauchbaren Dateien); da brauch sie doch nicht mal Zugangsdaten auslesen; oder mach ich da einen Denkfehler?
Ich zerbrech mir nämlich auf schon nen paar tage den Kopf, was die beste Strategie ist.....

Viele Grüße
Felix
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
Ich habe nicht alle Beiträge hier gelesen.

Meiner Meinung nach ist - falls Ransom infiziert wurde - die größte Gefahr die Abwesenheit des Benutzers selbst und die DS noch läuft. Oft merken die Benutzer tagelang nicht davon und schon sind die Malwares überall verstreut - auch auf Backupplatten usw.

Da nützen die diversen Accounts in diesem Fall nur bedingt.
 

tale

Benutzer
Mitglied seit
25. Nov 2014
Beiträge
55
Punkte für Reaktionen
0
Punkte
0
Hi,

Kommt die Malware nicht trotzdem auf die DS? Wenn Du Dir die Malware in einem zu syncenden Verzeichnis einfängst hast Du sie doch dann trotzdem auf der DS bzw. das Ergebnis (also die unbrauchbaren Dateien); da brauch sie doch nicht mal Zugangsdaten auslesen; oder mach ich da einen Denkfehler?

Hallo Felix,

zunächst müsste man unterscheiden: Läuft (und verschlüsseltet) die Malware direkt auf meinem NAS? Dann hat man nun ordentliche Probleme und ehrlich gesagt wäre das auch bei mir ein GAU. Allerdings habe ich noch eine externe Backupplatte im Büro, die nur alle paar Wochen daheim angeschlossen wird.

Anders sieht die Welt jedoch aus, wenn die Malware auf dem Client läuft und nur die Daten verschlüsselt werden...
Du hast natürlich Recht: Werden die synchronisierten Daten auf dem PC verschlüsselt, so landen diese natürlich auch auf dem NAS im Cloud-Ordner. Von dort werden sie versioniert weiter in das Backup-Share gesichert. Aber da letzteres komplett vom PC entkoppelt ist (durch spezielle Benutzeraccounts), kann eine Malware die Versionsdatenbank nicht verschlüsseln und diese unbrauchbar machen. Im Notfall kann ich mir also einen früheren, unverschlüsselten Stand der Daten zurückholen.

Würde ich ohne den Zwischenschritt mit der Cloud Stations sichern wollen, wüsste mein PC um den Zugang zum Backup-Share und somit könnte eine Malware die Versionsdatenbank unbrauchbar machen.

Schönen Gruß,
tale
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat