Synology DSM 6.0: Verschlüsselte Ordner erstellen
Pünktlich zur CeBIT 2016 in Hannover will Synology den DiskStation Manager 6.0 veröffentlichen. Der bringt einen ganzen Schwung von Neuerungen mit, die ich hier teilweise im Blog schon in gesonderten Beiträgen beschrieb. Was ich kurioserweise in den ganzen Jahren nie beschrieb, das ist die Verschlüsselung von Ordnern auf dem NAS (im Gegensatz zu verschlüsselten Backups, die ich das eine oder andere Mal beschrieb). Die Sache ist klar: vielleicht will man seine gemeinsamen Ordner verschlüsseln, damit die vielleicht sensiblen Daten im Falle eines Diebstahls nicht in falsche Hände geraten.
Der erste Schritt zur Erstellung eines AES-verschlüsselten Ordners unter DSM 6.0 ist der Besuch in der File Station. Hier lassen sich Ordner erstellen, aber auch gemeinsame, verschlüsselte Ordner. Unter „Erstellen > Neuen gemeinsamer Ordner erstellen“ geht die wilde Fahrt los. (Anmerkung: ja, man kann auch über „Systemsteuerung > Gemeinsame Ordner“ gehen.
Im nächsten Bildschirm geht es dann an das Eingemachte. Man kann dem Ordner einen Namen geben und ihn beschreiben. Solltet ihr mehr als ein Volume nutzen, könnt ihr noch das Ziel-Volume auswählen. Ebenfalls lässt sich der frische Ordner vor Nutzern ausblenden, die keine Berechtigung auf ihn haben. Der angemeldete Nutzer „Horst“ sieht den neuen Ordner also nicht, wenn die Rechte nur auf Peter und Paul ausgelegt sind. Ebenfalls kann man einen Papierkorb für Ordner aktivieren, in ihm sammeln sich gelöschte Dateien, anstatt im digitalen Nirwana zu verschwinden. Ein Zeitplan zur Leerung des Papierkorbs kann auch eingestellt werden.
Interessant ist der Punkt der Verschlüsselung. Hier muss ein Passwort vergeben werden. Hat man dieses erstellt und schließt den Vorgang ab, so wird der Ordner erstellt und eine Key-Datei kommt als Download zu euch. Diese solltet ihr tunlichst irgendwo sichern, falls euch aus Vergesslichkeitsgründen mal das Passwort abhanden kommt. Ohne Datei oder Passwort sind die Daten im verschlüsselten Ordner sinnlos. Achtet bei der Erstellung des Ordners auch darauf, dass ihr ihn beim Start automatisch einhängen könnt. Habt ihr dies nicht getan, so müsst ihr bei jedem Neustart des NAS den Ordner mit seinem Passwort einhängen.
Synology DSM Tipps & Tricks
Lasst ihr aber immer automatisch einhängen, so ist vielleicht das Nutzungsszenario „Gegen Diebstahl Daten sichern“ sinnlos, wenn der Angreifer vielleicht auch Zugriff auf euer Nutzerkonto oder einen PC hat. Solltet ihr mit einrechnen. Wenn schon sicher, dann bitte nicht nur das eine Gerät, sondern auch jenes, über welches zugegriffen wird.
Zu bedenken gibt es einiges: neben der erwähnten Schlüsselsache ist die Leistung eines verschlüsselten Ordners nicht so hoch, wie es bei den unverschlüsselten Ordnern ist. Ferner ist der Ordner nicht über das NFS-Protokoll erreichbar. Nach Erstellen des Ordners kommt besagtes Key-File als Download, zudem muss der Ersteller des Ordners noch Rechte auf den Inhalt des Ordners gewähren. Hier hat der Ersteller noch die Möglichkeiten, die erweiterten Berechtigungen zu vergeben, es lassen sich beispielsweise Dateien vor Veränderung oder dem Download schützen.
Am Ende habt ihr in der Systemsteuerung eine Übersicht über eure Ordner. Eingehangene Ordner werden dabei mit dem Symbol „offenes Schloss“ visualisiert. Verschlüsselte, nicht eingehangene Order haben das normale Schloss-Symbol und tauchen logischerweise nicht in der File Station auf. Innerhalb der Systemsteuerung kann der Ordner über das Kontextmenü eingehangen werden, zudem lassen sich noch die oben erwähnten Zeitpläne zur Leerung des Papierkorbs aktivieren.
Noch einmal kurz zum Key-File. Hat man das Passwort vergessen, so ist diese Datei mehr als sinnvoll – doch wie hängen wir den verschlüsselten Ordner in unser System ein? Ganz einfach. Im Menü zum Einhängen eines verschlüsselten Ordners kann man auswählen, dass man einen Schlüssel importieren möchte. Macht man dies, so muss eben nicht das Passwort eingegeben werden.
Und sonst?Immer dran denken bei der Planung und Einrichtung: Ein initial erstellter Ordner ohne Verschlüsselung kann hinterher nicht mehr verschlüsselt werden. Umgekehrt übrigens auch so. Solltet ihr einen eingehängten Ordner mittels Cloud Sync bei Dropbox, OneDrive, Google Drive oder anderen sichern, so bedenkt: die Dateien landen dort ebenfalls unverschlüsselt, weil der Ordner zum Zeitpunkt des Sync halt offen ist – ihr solltet da dann vielleicht zu eine, verschlüsselten Cloud Sync greifen, wie ich hier beschrieb.
Servus, mittlerweile bin ich mit der Synology-Software so langsam überfordert bzw. finde nichts mehr auf Anhieb, da es mir zu unübersichtlich geworden ist. Es sind einfach zu viele Einstellungen oder es liegt am Informationsdesign sowie vielleicht an der deutschen Übersetzung, da ich mit der englischen besser klar komme.
Habe mir einen neuen Router (Asus rt-ac88) gegönnt, und bin fasziniert wie intuitiv und übersichtlich hier alles ist. Hatte zuvor den Netgear R8000 + AP Netgear R7500 und es liegen Welten zwischen der Software von Asus- Merlinwrt und Netgear.
Habe einfach mal meine Backup-Festplatte von der Synology an den Asus Router angeschlossen und bin begeistert. Samba, Benutzerkonten & Rechte, FTP, DYnDns, NFTS, Medienserver … funktioniert alles einwandfrei und schneller (Download 93MB/s – Upload 78MB/s). Ich komme mit der NAS-Funktion im Router besser klar und ich werde am kommenden Wochenende meine Synology DS 215j bei Ebay versteigern. Werde jedoch noch ne Woche lang testen, ob mir etwas fehlen wird.
@Caschy, nutze bei meiner DS5.2 schon lange die verschlüsselten Ordner, finde das ne gute Sache, musste aber oft feststellen das vieles nicht geht wenn verschlüsselt wird.
Du sagtest das nun CloudSync läuft, das ist neu, geht auf verschlüsselten Ordnern nicht bei DS5.x
Wie schaut es „Datei Versionen“ aus, habe deinen Beitrag gelesen, aber der bezog sich auf unverschlüsselte ordner., geht dies nun auch bei DS6 mit verschlüsselten Ordner? Wäre für mich interessant für Locky Schutz.
Habe leider keine Liste mit nicht nutzbaren funktionen bei Verschlüsselung gefunden.
Ich hab noch nicht ganz verstanden, was mir die verschlüsselten Ordner denn bringen.
Angenommen, mein NAS wird gestohlen, sind dann meine Daten nicht bereits durch mein NAS-Konto gesichert, oder kommt man ohne Benutzerkonto an die Daten so einfach ran?
Wenn man die verschlüsselten Ordner automatisch einhängen lässt, dann ist das vermutlich genauso unsicher wie unverschlüsselte Ordner, falls jemand Zugang zum Benuterkonto erhält.
Wenn du deine Daten nicht verschlüsselst kann man die Festplatte einfach ausbauen und auslesen ohne NAS Konto.
Wenn du das PW automatisch einhängst bringt es auch nicht viel.
Du könntest aber ein Script schreiben, dass z.B. Die verschlüsselten Ordner mountet wenn ein bestimmter usb stick steckt auf dem sich die keyfile befindet. Sprich usb Stick raus Daten sicher 🙂
Ahh ok, ich hätte gedacht ohne Benutzerkonto kommt man da nicht ohne weiteres ran. Das btrfs-Dateisystem ist vermutlich auch kein Hindernis?
Wenn ich die verschlüsselten Ordner automatisch einhänge, muss ein Dieb zumindest noch mein PW vom Benutzerkonto kennen, d.h. dadurch gibt es ja bereits einen gewissen Schutz?
Ich habe an meinem NAS ein Kensington-Schloss dran, aber da Synology diese Schnellwechselrahmen verbaut, sind die Festplatten ja mit einem Handgriff draußen 🙂
Wir ist einfach nicht klar warum Synology keine komplette Verschlüsselung des NAS anbietet. Die dann selbstverständlich auch Versionierung unterstützt. Des Weiteren sollten funktionieren wie automatisches einhängen von USB Stick mit Keyfile Standard sein.
Ich bin auch etwas darüber enttäuscht das keine Volume Verschlüsselung geht bzw. das die Verschlüsselten Ordner nicht über NFS erreichbar sind. Hier müsste Syology dringend nacharbeiten. Wollte mir eigentlich die DS216+ holen, neben Btrfs auch eine sehr schnelle Verschlüsselungseinheit, aber wenn ich nicht so Verschlüsseln kann wie gedacht ist das Gerät doch ziemlich witzlos, da reicht wirklich auch eine DS216j aus
ACHTUNG: Es gibt noch eine weitere Einschränkung, die zwar auf einem der Screenshots ersichtlich, aber nicht weiter erwähnt wird. Und in den Synology-Foren existiert eine Reihe von Usern, die sich genau darüber beschweren: Bei einer Verschlüsselung dürfen die Datei- und Ordnernamen 143 englische oder 43 asiatische Zeichen nicht überschreiten!
Eine ziemlich komische Sache Begrenzung und warum Synology keine Volumen-Verschlüsselung unterstützt, wo so etwas nicht vorkommen sollte, ist echt ein grosses Rätsel. Bei QNAP kann man schon lange ganze Volumen verschlüsseln und gut ist. Hatte gehofft Synology bessert IM DSM6.0 nach, aber anscheinend keine Priorität dort?
@robert
du hast recht und somit ist die ordnerbasierte verschlüsselung fast unsinnig. scheint aber niemand darauf hinzuweisen ausser ein paar forenteilnehmer. so wirds dann auch mit der verbesserung durch synology länger dauern bis die laufwerksverschlüsselung kommt. bei qnap geh beides
Verschlüsselung nutzt nichts, wenn man mit dem Reset-Knopf einfach das admin Passwort zurücksetzen kann. Es ist mir ein Rätsel, warum Synology dies ermöglicht.
Gibt es hier eine Einstellung, die dies verhindert?
Das Admin-Passwort wird zwar zurückgesetzt, allerdings wird bei Verwenden der Reset-Taste auch gleichzeitig die Option „Beim Start automatisch bereitstellen“ deaktiviert.
https://www.synology.com/de-de/knowledgebase/DSM/tutorial/General/What_is_the_RESET_button_on_the_Synology_product_for
Damit kommt ein Dieb, der das komplette NAS klaut, auch dann nicht an die entschlüsselten Daten, wenn du die Option „Beim Start automatisch bereitstellen“ aktiviert hattest.
Versuche schon den ganzen Tag mich in die Materie einzuarbeiten..puuh…
Naja so langsam steig ich durch.
3 Fragen hätte ich aber noch:
1. Angenommen der Dieb holt die Platte aus der Synology. Kommt er dann an die eingehängten (verschlüsselten) Ordner?
2. Ich würde gerne verschiedene Gemeinsame Ordner für verschiedene User per Cloud Station Drive ansteuern lassen, quasi als Dropbox Ersatz. Sehe ich es richtig, dass ich mit der Client Software nur eine Syncro-Verbindung gleichzeitig fahren kann?
3. Ist der Verschlüsselungs-Key auch für die User relevant, die ausschließlich die Synology per Cloud Station Drive befüllen. Oder brauche nur ich als admin ihn, der den Ordner erstellt hat? hab da gewisse Verständnisprobleme…