Willkommen Gast 

Infos ein-/ausblenden

Willkommen Gast! Um Beiträge zu verfassen musst Du registriert sein.





Seiten: [1] 2 3
Autor Thema:HLB auf Netzlaufwerk mit speziellen Rechten
ChristianS-
HC
Erfahrener
Beiträge: 99
Permalink
avatar
Beitrag HLB auf Netzlaufwerk mit speziellen Rechten
am August 16, 2016, 11:03
Zitat

Hallo zusammen,

ich wollte mal meinen Denkansatz teilen und würde mich über weitere Hinweise freuen.

Meine Backups spiele ich nachts automatisiert auf ein Netzlaufwerk. Die Daten sichere ich mit HLB, die Systemplatte per Acronis True Image. Das funktioniert soweit reibungslos.

Nun würde ich gerne verhindern, dass ein möglicher Verschlüsselungstrojaner auf das Backup zugreifen kann und möchte nur für die Backups spezielle User/Pass verwenden, so dass die normalen Clients nur noch Leserechte haben.

Für HLB sehe ich im Moment zwei Möglichkeiten:

a) Start des Backup-Jobs mit einem anderen User
b) Über Vorher/Nachher-Aufgaben ein Netzlaufwerk verbinden/löschen

Grundsätzlich funktioniert beides, allerdings habe ich fest gestellt, dass die Zugangsrechte bestehen bleiben, solange parallel ein beliebiges Explorer-Fenster geöffnet ist. Erst wenn dieses geschlossen wurde, hat der Client keine Schreibrechte mehr. Warum MS dies so gelöst hat, ist mir unklar, lässt sich jedoch auch manuell reproduzieren.

Ich könnte jetzt brutal per taskkill den Explorer neu starten, allerdings ist dies schon eine sehr harte Methode.

Alternativ könnte ich per ftp auf die Netzfreigabe zugreifen, das unterstützt HLB (im Moment) jedoch nicht.

Fällt Euch noch eine Alternative ein, an die ich bislang noch nicht gedacht habe?

Vielen Dank,
SHC

ChristianS-
HC
Erfahrener
Beiträge: 99
Permalink
avatar
Beitrag Re: HLB auf Netzlaufwerk mit speziellen Rechten
am August 16, 2016, 17:53
Zitat

Ich habe über den heutigen Tage noch weiter gelesen und gelern.

Offenbar hat das Verhalten nicht unbedingt etwas mit dem Explorer zu tun, sondern ist ein gewünschtes Verhalten von Windows (so lange bis man sich ab und wieder neu anmeldet). Ich konnte in einigen weiteren Tests nun auch feststellen, dass ich auch nach dem Schließen oder Abschießen des Explorers trotzdem noch auf die Freigabe zugreifen konnte.

Mein Workaround ist nun, dass ich mit Netzlaufwerken arbeite:

Vor dem Backup-Job:
- Netzlaufwerk verbinden (unter Nutzername mit Schreibrechten)

Nach dem BAckup-Job:
- Netzlaufwerk trennen
- Netzlaufwerk mit Standard-Benutzer verbinden (dieser hat nur Leserechte)
- Netzlaufwerk trennen

Nach dieser Aktion hat man auch über den direkten UNC-Zugriff über \\IP-Adresse\Freigabe keine Schreibrechte mehr.
Nicht schön, aber funktioniert.

SHC

madmax
Neuling
Beiträge: 3
Permalink
avatar
Beitrag Re: HLB auf Netzlaufwerk mit speziellen Rechten
am November 19, 2016, 23:52
Zitat

Moin,

ich mache mir auch gerade gedanken wegen möglicher Verschlüsselungstrojaner die auch vor den Backupdateien nicht halt machen. Bei mir ist das Setup jedoch etwas anders, da ich auf eine externe USB-Festplatte backuppe. Das Backup enthält sowohl Systemdateien die nur als Admin lesbar sind wie auch EFS verschlüsselte Dateien.

Weiss jemand wie da das beste Vorgehen ist?

Könnte das funktionieren:
- Backup-User anlegen der zur Admin-Gruppe gehört.
- Backup Verzeichnis AUSSCHLISSLICH für Backup-User schreibbar machen.
- EFS Verschlüsselungszertifikat bei Backup-User Importieren.
- Hardlinkbackup nur noch von Backup-User ausführen lassen.

Wirkt ziemlich umständlich, oder?

Gruß Max

PeterP
Neuling
Beiträge: 16
Permalink
avatar
Beitrag Re: HLB auf Netzlaufwerk mit speziellen Rechten
am November 24, 2016, 09:52
Zitat

Zitat von ChristianSHC am August 16, 2016, 11:03
a) Start des Backup-Jobs mit einem anderen User

Warum verfolgst du diesen Ansatz eigentlich nicht?
Scheint in meinen Augen der sinnvollste zu sein.

ChristianS-
HC
Erfahrener
Beiträge: 99
Permalink
avatar
Beitrag Re: HLB auf Netzlaufwerk mit speziellen Rechten
am November 24, 2016, 15:31
Zitat

Wenn man den Backup-Job mit einem anderen User anlegt, muss man den Job zwingend über die Aufgabenplanung starten. Sonst wird der Benutzername nicht berücksichtigt. Das macht es etwas unpraktisch, da man das schnell wieder vergisst.

SHC

lupinho
Administrator
Beiträge: 713
Permalink
avatar
Beitrag Re: HLB auf Netzlaufwerk mit speziellen Rechten
am November 24, 2016, 15:40
Zitat

Hä? Das verstehe ich nicht! Es gibt doch die Felder "Benutzername" und "Kennwort". Die sind doch genau dafür da, das Backup unter dem angegebenen User zu starten...

ChristianS-
HC
Erfahrener
Beiträge: 99
Permalink
avatar
Beitrag Re: HLB auf Netzlaufwerk mit speziellen Rechten
am November 24, 2016, 18:06
Zitat

Hallo,
wenn ich dort Benutzername und Passwort eintrage und das Backup manuell starte, werden z.B. die Namenseinstellungen für das Backup nicht übernommen.

Statt z.B.
2016-09-24_02-30_Backup_Daten_HD_xyz
erscheint dann nur
2016-09-24_02-30_

Nur wenn ich den Backup-Auftrag über die Aufgabensteuerung starte, ist die Benennung korrekt.

Mache ich da etwas falsch?

Vielen Dank,
SHC

lupinho
Administrator
Beiträge: 713
Permalink
avatar
Beitrag Re: HLB auf Netzlaufwerk mit speziellen Rechten
am November 24, 2016, 21:56
Zitat

Hmm... die Benennung des neuen Backupsatzes ist ja nichts, das in der HBD-Datei persistiert wird, die gibt man jedes Mal ein (gedacht dafür, besondere Backups zu benennen). Das geht aber auch per Kommandozeile - und damit auch per Planung. Allerdings müsste man das manuell in die geplante Aufgabe eintragen. Das macht aber eigentlich auch keinen Sinn, weil dann ja jedes durchgeführte Backup denselben Namen hätte; so war das nicht gedacht.
Wenn Du generell die Benennung der Backupsätze ändern willst, dann mach das im Backup unter "Optionen" "Benutzerdefinierte Backupsatz-Namensregel" diese Regel wird mit persistiert und zieht auch, wenn Du das Backup unter einem anderen Benutzer ausführst (im Gegensatz zur benutzerspezifischen Backupsatz-Namensregel in den Einstellungen!).

ChristianS-
HC
Erfahrener
Beiträge: 99
Permalink
avatar
Beitrag Re: HLB auf Netzlaufwerk mit speziellen Rechten
am November 25, 2016, 11:08
Zitat

Hallo,

ich versuche mal meine Gedanken und Schwierigkeiten so genau wie möglich aufzuschreiben.

Allgemein
Wenn ich einen Backup-Auftrag mit Ziel im LAN über einen anderen Benutzer starte, bleiben die Benutzerrechte bis zur nächsten Ab-/Anmeldung bzw. Neustart erhalten. D.h. ein möglicherweise eingefangener Trojaner kann dann auf das Backup schreibend zugreifen. Dies ist scheinbar ein gewünschtes Verhalten von Windows.
Unterbinden lässt sich dies nur, wenn man nach dem Backup ein

Abweichender Benutzer, was ändert sich?
Der abweichende Nutzer muss auch tatsächlich auf dem Computer angelegt sein. Es reicht nicht aus die Zugriffsinformationen (Benutzer/Passwort) anzugeben.

Man kann den abweichenden Benutzer nur zusammen mit einer Uhrzeit auswählen. Im Zweifel muss 'einmalig' und ein Datum in der Vergangenheit wählen.

Sobald man einen anderen Benutzer verwendet, funktionieren die Mail-Einstellungen nicht mehr. D.h. man muss einmalig den Computer unter dem fremden Benutzer starten, HLB starten, die Mail-Einstellungen setzen und wieder abmelden.

Die Backup-Namensregel wird ebenfalls in den Einstellungen des jeweiligen Benutzers hinterlegt (gerade erst bemerkt), daher also auch die Namens-Schwierigkeiten. Email und Namenseinstellungen unter "Einstellungen" oben rechts.

Benennung
Hier weiß ich noch nicht, was ich falsch mache. Meine Benennung verschwindet immer mal.

In den allgemeinen Einstellungen:

Image

ChristianS-
HC
Erfahrener
Beiträge: 99
Permalink
avatar
Beitrag Re: HLB auf Netzlaufwerk mit speziellen Rechten
am November 25, 2016, 11:13
Zitat

Hallo,

ich versuche mal meine Gedanken und Schwierigkeiten so genau wie möglich aufzuschreiben.

Allgemein
Wenn ich einen Backup-Auftrag mit Ziel im LAN über einen anderen Benutzer starte, bleiben die Benutzerrechte bis zur nächsten Ab-/Anmeldung bzw. Neustart erhalten. D.h. ein möglicherweise eingefangener Trojaner kann dann auf das Backup schreibend zugreifen. Dies ist scheinbar ein gewünschtes Verhalten von Windows.
Unterbinden lässt sich dies nur, wenn man nach dem Backup ein

Abweichender Benutzer, was ändert sich?
Der abweichende Nutzer muss auch tatsächlich auf dem Computer angelegt sein. Es reicht nicht aus die Zugriffsinformationen (Benutzer/Passwort) anzugeben.

Man kann den abweichenden Benutzer nur zusammen mit einer Uhrzeit auswählen. Im Zweifel muss 'einmalig' und ein Datum in der Vergangenheit wählen.

Sobald man einen anderen Benutzer verwendet, funktionieren die Mail-Einstellungen nicht mehr. D.h. man muss einmalig den Computer unter dem fremden Benutzer starten, HLB starten, die Mail-Einstellungen setzen und wieder abmelden.

Die Backup-Namensregel wird ebenfalls in den Einstellungen des jeweiligen Benutzers hinterlegt (gerade erst bemerkt), daher also auch die Namens-Schwierigkeiten. Email und Namenseinstellungen unter "Einstellungen" oben rechts.

Benennung
Hier weiß ich noch nicht, was ich falsch mache. Meine Benennung verschwindet immer mal.

In den allgemeinen Einstellungen-Ausführungsoptionen:
Image

In den Optionen des Auftrags graut sich die Einstellung immer wieder aus:
Image

Der Name verschwindet auch nach jedem Speichern/Schließen/Öffnen:
Image

Vielen Dank!
SHC

Seiten: [1] 2 3
Mingle Forum by cartpauj
Version: 1.0.34 ; Die Seite wurde geladen in: 0.097 Sekunden.