Synology WriteOnce, Dateien vor Änderungen schützen

Ob unerlaubter Zugriff, unbeabsichtigtes Löschen oder Ransomware-Angriff; die Integrität von Daten zu schützen ist in der IT ein ständiges Thema. Um dieses Ziel zu erreichen, gibt es viele Maßnahmen, die zu treffen sind; über Backups, Zugriffskontrollen und Eingabevalidierung.
Für einige Synology NAS-Geräte gibt es die WriteOnce Funktion um das Ändern und Löschen von Dateien zu verhindern (eine Liste der Modelle, auf denen diese Funktion verfügbar ist, finden Sie hier). WriteOnce basiert auf der WORM Technologie (Write Once, Read Many), Dateien die einmal auf einen WORM-Speicher geschrieben wurden sind unabänderbar und unlöschbar. Es gibt allerdings Abstufungen, die es zum Beispiel erlauben, Dateien nur für eine bestimmte Zeit in dieser Form zu schützen.
Schauen wir uns als die WriteOnce-Funktion von Synology also einmal an.

Einen WriteOnce Ordner erstellen

Um die WriteOnce Funktion zu nutzen, müssen einige Voraussetzungen erfüllt sein:
-Das NAS Modell muss die Funktion unterstützen (siehe Link oben)
-Der Ordner muss auf einem btrfs-Dateisystem angelegt werden
-Die Funktion kann nur bei neu erstellten Ordnern aktiviert werden.

Wir erstellen also wie gewohnt einen neuen Freigegebenen Ordner über die Systemsteuerung. Die Papierkorb Funktion können Sie ausschalten, da sie für geschützte Ordner nicht verfügbar ist. Nachdem wir der Freigabe einen Namen gegeben haben, können wir im nächsten Fenster „Zusätzliche Sicherheitsmaßnahme aktivieren“ den Punkt „Diesen freigegebenen Ordner mit WriteOnce schützen“ auswählen.

Danach kann man zwischen den Modi „Compliance“ oder „Enterprise“ wählen.
Der „Compliance“ Modus lässt kein löschen des Ordner zu, durch niemanden, auch nicht mit Administratorberechtigungen. Dateien in diesem Ordner lassen sicher erst löschen, wenn die festgelegte Vorhaltezeit verstrichen ist.
Im Gegensatz dazu erlaubt der „Enterprise“ Modus das Löschen durch Administratoren. Dieser Modus stellt einen Kompromiss zwischen Datensicherheit und administrativem Zugriff dar.

Den Modus können Sie im Nachgang nicht mehr ändern, Sie sollten daher vorher schon überlegen welcher Modus für Ihre Zwecke der richtige ist.
Anschließend können Sie die Automatische Sperre konfigurieren, wenn Sie nichts einstellen, müssen Sie die Dateien im Ordner manuell sperren. Die Vorhaltezeit müssen Sie in beiden Fällen definieren.

Die Automatische Sperre konfigurieren


Der Timer für die automatische Sperre legt fest, dass Dateien, die in der angegebenen Zeit nicht geändert wurden, gesperrt werden. Alternativ können Sie Dateien auch sofort werden.
Die Aufbewahrung definiert die Dauer der Sperre. Läuft die Sperre ab, können Sie die Datei wieder löschen. Für Dateien bei denen das nachträgliche Anfügen erlaubt wurde, ist auch das wieder möglich. Anderweitig können keine Änderungen durchgeführt werden.
Das bringt uns zu Sperrstatus. Den Sperrstatus können Sie auf „unveränderlich“ setzten oder auf „Nur anfügen“. Letzteres erlaubt es der Datei Änderungen hinzuzufügen ohne den original Inhalt zu ändern.
Danach können Sie noch die Daten-Prüfsumme aktivieren und ggf. ein Ordnerkontingent festlegen.

Fazit

Die WriteOnce Funktion bietet eine gute Möglichkeit wichtige Dateien vor unbefugtem Zugriff zu schützen. Das Aufbewahrungszeit wird dabei unabhängig von der Systemzeit berechnet, sodass man die Sperre durch das Ändern der Systemzeit nicht umgehen kann.
Dies kann allerdings auch zu Abweichungen zwischen Ablauf der Sperre und dem ursprünglich geplanten Ablauf führen, wenn das Gerät zum Beispiel für einige Zeit ausgeschaltet ist.
Wenn Sie Fragen haben oder eine Beratung wünschen, sprechen Sie uns gerne an.
Weitere Informationen über Synology Systeme und wie wir sie einsetzen finden Sie auf unserer Webseite.
Oder besuchen Sie unseren Blog für weitere interessante und hilfreiche Artikel.