Hallo Alex,
zunächst mal Kompliment für eine wirklich tolle und brauchbare Software! Ich habe Dein "Backup Service Home 3" vor einiger Zeit auf dem Laptop meiner Tochter installiert und es läuft (nach einigen kleinen Anfangshürden) wirklich tadellos! :-)
In Zeiten von immer mehr Viren und Trojanern (z.B. der aktuelle Verschlüsselungstrojaner "Locky") hätte ich eine Frage bzw. Verbesserungsvorschlag, der wahrscheinlich ziemlich aufwändig umzusetzen ist (weil Du vermutlich an etlichen Stellen tiefgreifende Änderungen machen müsstest), den ich aber trotzdem mal zur Diskussion stellen möchte:
Der Account meiner Tochter besitzt aus naheliegenden Gründen keine Admin-Rechte, so dass ein Virus oder Trojaner zunächst mal nur im Standarduser-Kontext läuft und nur begrenzten Schaden anrichten kann. Aber auch das genügt schon... :-/ Falls nämlich die Sicherungsplatte dauerhaft angeschlossen ist (was bei einer stündlichen Sicherung ja quasi zwingend ist), wird ein Verschlüsselungstrojaner wie Locky früher oder später auch die Sicherungsverzeichnisse / -dateien verschlüsseln. - Und das war's dann mit dem Backup! :-/
Aus diesem Grund habe ich allen Backupverzeichnissen auf der externen Platte sämtliche Userrechte (Schreiben und auch Lesen) komplett entzogen, so dass man nur noch mit Adminrechten darauf zugreifen kann. Demzufolge benötigt jetzt aber auch BSH Adminrechte, um seine Sicherung durchzuführen bzw. um mit dem Backupbrowser in der Sicherung herumzustöbern.
Ich habe das nun (mehr schlecht als recht) so gelöst, dass ich ein Einzeiler-CMD-Skript in den Autostartordner des Standarduser-Accounts gelegt habe, welches BSH mittels "runas" als Administrator aufruft (inklusive des Parameters /savecred, damit sich Windows die Credentials "merkt" und die Frage nach dem Admin-Passwort nur einmal erscheint). Das funktioniert auch soweit, mit einigen verschmerzbaren Einschränkungen:
- Das Autostart-Häkchen in BSH habe ich deaktiviert, damit sich BSH hier nicht mit dem Autostart-Eintrag des CMD-Skripts in die Quere kommt.
- Ebenso habe ich das Autoupdate-Häkchen deaktiviert, weil ich vermute, dass zum Updaten sowieso Admin-Rechte benötigt werden und nach einem Update beim RunAs-Kommando evtl. eine erneute Frage nach dem Admin-Passwort erscheinen würde, welches meine Tochter nicht kennt.
- Außerdem "denkt" BSH natürlich jetzt, dass es als User "Administrator" läuft und möchte zunächst einmal den Administrator-Account sicher, was man natürlich leicht ändern kann.
- Zudem bekam ich dauernd Fehlermeldungen, dass diverse ntuser-Dateien (Registry?!) und eine Web...Cache-Datei nicht gesichert werden konnten. Ich vermute, das liegt daran, dass sich diese im Users-Verzeichnis meiner Tochter befinden (und von ihr geblockt werden), BSH aber im Admin-Userkontext (d.h. eines anderen Users läuft). In diesem Fall scheint auch Dein Sicherungsdienst nicht zu greifen...
Deshalb mein Vorschlag für eine zukünftige Version von BSH: Ideal im Hinblick auf die oben beschriebenen Probleme und Anforderungen wäre ein Sicherungsdienst, der mit Admin-Rechten läuft und nicht nur für die Sicherung **aller** Dateien zuständig, sondern für **alle** Dateizugriffe (z.B. auch für den lesenden Zugriff auf die Sicherungsdateien, falls der Backupbrowser genutzt wird, bzw. zur Konfiguration, welche Verzeichnisse überhaupt gesichert werden sollen). Gegebenenfalls auch kein **Dienst**, sondern ein anderes Konstrukt, ähnlich dem, wie ich es - etwas hemdsärmlig - mit dem RunAs-Skript realisiert habe.
Damit könnte man die Sicherungsordner **wirklich** abschotten gegenüber allen Änderungen, die ein Standarduser durchführen kann, so dass diese auch beim Einfangen eines Verschlüsselungstrojaners wie Locky geschützt wären.
Übrigens ist das ein Feature, was auch viele andere Sicherungsprogramme nicht besitzen... So muss z.B. der (kostenlose und ebenfalls sehr gute) "AOMEI Backupper" mit Adminrechten laufen, da er sonst nicht funktioniert. Für ein Programm, das aktiv für eine Sicherung gestartet werden muss, ist das noch tolerabel, aber ein Programm, welches timerbasiert sichern soll, (was bei AOMEI auch der Fall ist, zumindest gibt es entsprechende Optionen) sollte sich eigentlich selbst darum kümmern, dass es die notwendigen Rechte besitzt und sich nicht darauf verlassen, dass der User ständig als Admin angemeldet ist. (Das wäre ja fast schon sträflich leichtsinnig!)
Vielleicht findest Du ja mal Zeit und Muse, darüber nachzudenken... Ich bin mir allerdings bewusst, dass es ziemlich aufwändig sein dürfte, sämtliche Dateizugriffe daraufhin umzubiegen, dass sie in einem eigenen Programm/Dienst/Thread ausgelagert sind, welcher mit Adminrechten läuft. Bis dahin bin ich mit meiner oben beschriebenen Lösung ebenfalls "glücklich und zufrieden"! :-)
Viele Grüße
Olli
Filesystemrechte: BSH als Admin laufen lassen? - Featurevorschlag
-
- Newbie
- Beiträge: 1
- Registriert: Fr 26. Feb 2016, 08:49
Re: Filesystemrechte: BSH als Admin laufen lassen? - Featurevorschlag
Hallo Olli,
vielen Dank für deinen ausführlichen Beitrag.
In der Tat ist das eines der größeren Probleme von BSH, die ich auch gerne schon länger mal abgehakt hätte. Allerdings, wie du richtig erkannt hast, ist das ein größeres Unterfangen. Da ich damals schon bei der Planung des Nachfolgers genau diese Dinge berücksichtigt hatte, wollte ich in der aktuellen Version nichts mehr groß ändern. Leider habe ich aber mangels Zeit aktuell keine Aussicht, dass der Nachfolger mal irgendwann erscheint und dieses Problem, wie vermutlich auch einige weitere, angeht.
Der Weg den du aktuell mit den Kommandozeilenparametern gehst, scheint mir in der Tat der derzeit einzige mögliche zu sein, wenn auch kompliziert. Aber solange er läuft, sollte das eigentlich kein Problem sein. Eventuell noch bei der Wiederherstellung: dort könnte es (müsste man mal ausprobieren) sein, dass die Dateien dann nach Wiederherstellung auch dem Administrator-Benutzer gehören, was dann Zugriffsprobleme geben würde.
vielen Dank für deinen ausführlichen Beitrag.
In der Tat ist das eines der größeren Probleme von BSH, die ich auch gerne schon länger mal abgehakt hätte. Allerdings, wie du richtig erkannt hast, ist das ein größeres Unterfangen. Da ich damals schon bei der Planung des Nachfolgers genau diese Dinge berücksichtigt hatte, wollte ich in der aktuellen Version nichts mehr groß ändern. Leider habe ich aber mangels Zeit aktuell keine Aussicht, dass der Nachfolger mal irgendwann erscheint und dieses Problem, wie vermutlich auch einige weitere, angeht.
Der Weg den du aktuell mit den Kommandozeilenparametern gehst, scheint mir in der Tat der derzeit einzige mögliche zu sein, wenn auch kompliziert. Aber solange er läuft, sollte das eigentlich kein Problem sein. Eventuell noch bei der Wiederherstellung: dort könnte es (müsste man mal ausprobieren) sein, dass die Dateien dann nach Wiederherstellung auch dem Administrator-Benutzer gehören, was dann Zugriffsprobleme geben würde.
Alexander Seeliger
{Support}
{Support}
Re: Filesystemrechte: BSH als Admin laufen lassen? - Featurevorschlag
Eine mögliche Strategie ist auch mit dem BSH automatisch auf eine externe Platte zu sichern (ganz normal mit Userrechten) und zum Schutz vor Verschlüsslungs- oder anderen Schädlingen die Sicherungen (ich würde sie von BSH verschlüsseln lassen) in einen Cloudspeicher schreiben zu lassen.Dann würde schlimmsten Falls auch irgendwann die von Schadsoftware verschlüsselten Daten hochgeladen werden aber da nichts überschrieben wird hat man immer noch die Sicherungen.
Wichtig ist nur, dass das Hochladen nicht über ein Laufwerksmapping gemacht wird, denn sonst ist ja auch der CloudSpeicher in Gefahr. Eine Möglichkeit ist Crashplan. Da gibt es auch eine kostenlose Version und man kann auch statt in den USA auf den Rechnern bei Freunden sichern und umgekehrt.
Wichtig ist nur, dass das Hochladen nicht über ein Laufwerksmapping gemacht wird, denn sonst ist ja auch der CloudSpeicher in Gefahr. Eine Möglichkeit ist Crashplan. Da gibt es auch eine kostenlose Version und man kann auch statt in den USA auf den Rechnern bei Freunden sichern und umgekehrt.
.
Gruß m-s
Gruß m-s