Filesystemrechte: BSH als Admin laufen lassen? - Featurevorschlag
Verfasst: Fr 26. Feb 2016, 09:59
Hallo Alex,
zunächst mal Kompliment für eine wirklich tolle und brauchbare Software! Ich habe Dein "Backup Service Home 3" vor einiger Zeit auf dem Laptop meiner Tochter installiert und es läuft (nach einigen kleinen Anfangshürden) wirklich tadellos! :-)
In Zeiten von immer mehr Viren und Trojanern (z.B. der aktuelle Verschlüsselungstrojaner "Locky") hätte ich eine Frage bzw. Verbesserungsvorschlag, der wahrscheinlich ziemlich aufwändig umzusetzen ist (weil Du vermutlich an etlichen Stellen tiefgreifende Änderungen machen müsstest), den ich aber trotzdem mal zur Diskussion stellen möchte:
Der Account meiner Tochter besitzt aus naheliegenden Gründen keine Admin-Rechte, so dass ein Virus oder Trojaner zunächst mal nur im Standarduser-Kontext läuft und nur begrenzten Schaden anrichten kann. Aber auch das genügt schon... :-/ Falls nämlich die Sicherungsplatte dauerhaft angeschlossen ist (was bei einer stündlichen Sicherung ja quasi zwingend ist), wird ein Verschlüsselungstrojaner wie Locky früher oder später auch die Sicherungsverzeichnisse / -dateien verschlüsseln. - Und das war's dann mit dem Backup! :-/
Aus diesem Grund habe ich allen Backupverzeichnissen auf der externen Platte sämtliche Userrechte (Schreiben und auch Lesen) komplett entzogen, so dass man nur noch mit Adminrechten darauf zugreifen kann. Demzufolge benötigt jetzt aber auch BSH Adminrechte, um seine Sicherung durchzuführen bzw. um mit dem Backupbrowser in der Sicherung herumzustöbern.
Ich habe das nun (mehr schlecht als recht) so gelöst, dass ich ein Einzeiler-CMD-Skript in den Autostartordner des Standarduser-Accounts gelegt habe, welches BSH mittels "runas" als Administrator aufruft (inklusive des Parameters /savecred, damit sich Windows die Credentials "merkt" und die Frage nach dem Admin-Passwort nur einmal erscheint). Das funktioniert auch soweit, mit einigen verschmerzbaren Einschränkungen:
- Das Autostart-Häkchen in BSH habe ich deaktiviert, damit sich BSH hier nicht mit dem Autostart-Eintrag des CMD-Skripts in die Quere kommt.
- Ebenso habe ich das Autoupdate-Häkchen deaktiviert, weil ich vermute, dass zum Updaten sowieso Admin-Rechte benötigt werden und nach einem Update beim RunAs-Kommando evtl. eine erneute Frage nach dem Admin-Passwort erscheinen würde, welches meine Tochter nicht kennt.
- Außerdem "denkt" BSH natürlich jetzt, dass es als User "Administrator" läuft und möchte zunächst einmal den Administrator-Account sicher, was man natürlich leicht ändern kann.
- Zudem bekam ich dauernd Fehlermeldungen, dass diverse ntuser-Dateien (Registry?!) und eine Web...Cache-Datei nicht gesichert werden konnten. Ich vermute, das liegt daran, dass sich diese im Users-Verzeichnis meiner Tochter befinden (und von ihr geblockt werden), BSH aber im Admin-Userkontext (d.h. eines anderen Users läuft). In diesem Fall scheint auch Dein Sicherungsdienst nicht zu greifen...
Deshalb mein Vorschlag für eine zukünftige Version von BSH: Ideal im Hinblick auf die oben beschriebenen Probleme und Anforderungen wäre ein Sicherungsdienst, der mit Admin-Rechten läuft und nicht nur für die Sicherung **aller** Dateien zuständig, sondern für **alle** Dateizugriffe (z.B. auch für den lesenden Zugriff auf die Sicherungsdateien, falls der Backupbrowser genutzt wird, bzw. zur Konfiguration, welche Verzeichnisse überhaupt gesichert werden sollen). Gegebenenfalls auch kein **Dienst**, sondern ein anderes Konstrukt, ähnlich dem, wie ich es - etwas hemdsärmlig - mit dem RunAs-Skript realisiert habe.
Damit könnte man die Sicherungsordner **wirklich** abschotten gegenüber allen Änderungen, die ein Standarduser durchführen kann, so dass diese auch beim Einfangen eines Verschlüsselungstrojaners wie Locky geschützt wären.
Übrigens ist das ein Feature, was auch viele andere Sicherungsprogramme nicht besitzen... So muss z.B. der (kostenlose und ebenfalls sehr gute) "AOMEI Backupper" mit Adminrechten laufen, da er sonst nicht funktioniert. Für ein Programm, das aktiv für eine Sicherung gestartet werden muss, ist das noch tolerabel, aber ein Programm, welches timerbasiert sichern soll, (was bei AOMEI auch der Fall ist, zumindest gibt es entsprechende Optionen) sollte sich eigentlich selbst darum kümmern, dass es die notwendigen Rechte besitzt und sich nicht darauf verlassen, dass der User ständig als Admin angemeldet ist. (Das wäre ja fast schon sträflich leichtsinnig!)
Vielleicht findest Du ja mal Zeit und Muse, darüber nachzudenken... Ich bin mir allerdings bewusst, dass es ziemlich aufwändig sein dürfte, sämtliche Dateizugriffe daraufhin umzubiegen, dass sie in einem eigenen Programm/Dienst/Thread ausgelagert sind, welcher mit Adminrechten läuft. Bis dahin bin ich mit meiner oben beschriebenen Lösung ebenfalls "glücklich und zufrieden"! :-)
Viele Grüße
Olli
zunächst mal Kompliment für eine wirklich tolle und brauchbare Software! Ich habe Dein "Backup Service Home 3" vor einiger Zeit auf dem Laptop meiner Tochter installiert und es läuft (nach einigen kleinen Anfangshürden) wirklich tadellos! :-)
In Zeiten von immer mehr Viren und Trojanern (z.B. der aktuelle Verschlüsselungstrojaner "Locky") hätte ich eine Frage bzw. Verbesserungsvorschlag, der wahrscheinlich ziemlich aufwändig umzusetzen ist (weil Du vermutlich an etlichen Stellen tiefgreifende Änderungen machen müsstest), den ich aber trotzdem mal zur Diskussion stellen möchte:
Der Account meiner Tochter besitzt aus naheliegenden Gründen keine Admin-Rechte, so dass ein Virus oder Trojaner zunächst mal nur im Standarduser-Kontext läuft und nur begrenzten Schaden anrichten kann. Aber auch das genügt schon... :-/ Falls nämlich die Sicherungsplatte dauerhaft angeschlossen ist (was bei einer stündlichen Sicherung ja quasi zwingend ist), wird ein Verschlüsselungstrojaner wie Locky früher oder später auch die Sicherungsverzeichnisse / -dateien verschlüsseln. - Und das war's dann mit dem Backup! :-/
Aus diesem Grund habe ich allen Backupverzeichnissen auf der externen Platte sämtliche Userrechte (Schreiben und auch Lesen) komplett entzogen, so dass man nur noch mit Adminrechten darauf zugreifen kann. Demzufolge benötigt jetzt aber auch BSH Adminrechte, um seine Sicherung durchzuführen bzw. um mit dem Backupbrowser in der Sicherung herumzustöbern.
Ich habe das nun (mehr schlecht als recht) so gelöst, dass ich ein Einzeiler-CMD-Skript in den Autostartordner des Standarduser-Accounts gelegt habe, welches BSH mittels "runas" als Administrator aufruft (inklusive des Parameters /savecred, damit sich Windows die Credentials "merkt" und die Frage nach dem Admin-Passwort nur einmal erscheint). Das funktioniert auch soweit, mit einigen verschmerzbaren Einschränkungen:
- Das Autostart-Häkchen in BSH habe ich deaktiviert, damit sich BSH hier nicht mit dem Autostart-Eintrag des CMD-Skripts in die Quere kommt.
- Ebenso habe ich das Autoupdate-Häkchen deaktiviert, weil ich vermute, dass zum Updaten sowieso Admin-Rechte benötigt werden und nach einem Update beim RunAs-Kommando evtl. eine erneute Frage nach dem Admin-Passwort erscheinen würde, welches meine Tochter nicht kennt.
- Außerdem "denkt" BSH natürlich jetzt, dass es als User "Administrator" läuft und möchte zunächst einmal den Administrator-Account sicher, was man natürlich leicht ändern kann.
- Zudem bekam ich dauernd Fehlermeldungen, dass diverse ntuser-Dateien (Registry?!) und eine Web...Cache-Datei nicht gesichert werden konnten. Ich vermute, das liegt daran, dass sich diese im Users-Verzeichnis meiner Tochter befinden (und von ihr geblockt werden), BSH aber im Admin-Userkontext (d.h. eines anderen Users läuft). In diesem Fall scheint auch Dein Sicherungsdienst nicht zu greifen...
Deshalb mein Vorschlag für eine zukünftige Version von BSH: Ideal im Hinblick auf die oben beschriebenen Probleme und Anforderungen wäre ein Sicherungsdienst, der mit Admin-Rechten läuft und nicht nur für die Sicherung **aller** Dateien zuständig, sondern für **alle** Dateizugriffe (z.B. auch für den lesenden Zugriff auf die Sicherungsdateien, falls der Backupbrowser genutzt wird, bzw. zur Konfiguration, welche Verzeichnisse überhaupt gesichert werden sollen). Gegebenenfalls auch kein **Dienst**, sondern ein anderes Konstrukt, ähnlich dem, wie ich es - etwas hemdsärmlig - mit dem RunAs-Skript realisiert habe.
Damit könnte man die Sicherungsordner **wirklich** abschotten gegenüber allen Änderungen, die ein Standarduser durchführen kann, so dass diese auch beim Einfangen eines Verschlüsselungstrojaners wie Locky geschützt wären.
Übrigens ist das ein Feature, was auch viele andere Sicherungsprogramme nicht besitzen... So muss z.B. der (kostenlose und ebenfalls sehr gute) "AOMEI Backupper" mit Adminrechten laufen, da er sonst nicht funktioniert. Für ein Programm, das aktiv für eine Sicherung gestartet werden muss, ist das noch tolerabel, aber ein Programm, welches timerbasiert sichern soll, (was bei AOMEI auch der Fall ist, zumindest gibt es entsprechende Optionen) sollte sich eigentlich selbst darum kümmern, dass es die notwendigen Rechte besitzt und sich nicht darauf verlassen, dass der User ständig als Admin angemeldet ist. (Das wäre ja fast schon sträflich leichtsinnig!)
Vielleicht findest Du ja mal Zeit und Muse, darüber nachzudenken... Ich bin mir allerdings bewusst, dass es ziemlich aufwändig sein dürfte, sämtliche Dateizugriffe daraufhin umzubiegen, dass sie in einem eigenen Programm/Dienst/Thread ausgelagert sind, welcher mit Adminrechten läuft. Bis dahin bin ich mit meiner oben beschriebenen Lösung ebenfalls "glücklich und zufrieden"! :-)
Viele Grüße
Olli