Test BackOnTrack Home – Teil 2
Im ersten Teil dieses Berichts habe ich Sie durch die Installation und die Funktionen geführt. Den Teil finden Sie unter --> „Interne Links“.
Themen dieses Berichts (was Sie erwartet):
Allgemein
Überwachung der Daten im Einzelnen --> Ausnahmen / Unterschiede der Überwachung
Document Rollback --> Probleme / Dateiwiederherstellung
Document Archiv --> Problem Document Archiv
User Data
Restore --> Allgemein / Test
Funktionen unter einem eingeschränkten Benutzerkonto --> Restore / Allgemeine Funktionen unter einem eingeschränkten Benutzerkonto / Warnung „User Data“
Systemwiederherstellung nach umfangreichen Systemänderungen --> Allgemein / Testumfang / Testaufbau / Ergebnisse der Systemanalyse
Undo --> Undo Ergebniss
Passwortschutz --> Umfang / Ausnahmen
Vorschau Teil 3
Interne Links
Externe Links
Allgemein:
In diesem Teil werde ich die Funktionsweise anhand von gezielten Dateiänderungen und Testinstallationen prüfen. Ausserdem erfahren Sie die Vor- und Nachteile, sowie Alternativen zu BackOnTrack.
Überwachung der Daten im Einzelnen:
Es werden folgende Daten auf Änderungen überwacht:
Systemlaufwerk
Eigne Dateien
Registry
Ausnahmen:
Nicht überwacht werden weitere Festplatten.
Unterschiede der Überwachung:
Die Ordner „Eigene Dateien“ unterhalb der verschiedenen Benutzerprofile sind von der generellen „Restore“-Funktion ausgeschlossen. D.h. wird das System wieder hergestellt, sollen alle Daten innerhalb des Ordners „Eigene Dateien“ von einem „Restore“ ausgeschlossen sein.
Dafür werden aber die Daten innerhalb des Ordners „Eigene Dateien“ durch die spezielle Funktion „Document Rollback“ überwacht. d.h. es können verschiedene Versionen einer Datei wieder hergestellt werden.
Document Rollback:
Ein besonderes Feature von BackOnTrack ist Überwachung von Dokumenten im Ordner „Eigene Dateien“.
Diese Funktion ist nur unter folgenden Vorraussetzungen gegeben:
das Dokument befindet sich im Ordner „Eigene Dateien“, auf dem Desktop oder ein Ordner wurde als „User Data“ markiert
das Dokument ist ein Textdokument oder wurde mit Microsoft Office erstellt
das Dokument ist nicht grösser wie 30 MB
Die Funktion ist über einen Rechtsklick auf die entsprechende Datei und anschliessender Auswahl „BackOnTrack“ verfügbar:
Probleme:
Bei der Prüfung dieser Funktion bin ich auf das Problem gestossen, das Dateien die innerhalb kurzer Zeit mehrfach geändert werden nicht in der History von BackOnTrack erfasst werden. Als Beweis sehen Sie die folgenden zwei Screenshots. Bitte beachten Sie die geänderte Grössen- und Zeitangabe:
Dateiwiederherstellung:
Die Wiederherstellung klappte ohne Probleme. Es kann sogar ein neuer Dateiname gewählt werden, so dass die ursprüngliche Datei nicht überschrieben werden muss.
Document Archiv:
Diese Funktion hilft gelöschte oder umbenannte Dokumente zu finden und wieder herzustellen, sofern sie sich in dem Ordner „Eigene Dateien“ befinden, oder als „User Data“ markiert wurden.
Diese Funktion befindet sich unter: Start --> Alle Programme --> SystemOK --> BackOnTrack --> Document Archive.
Problem Document Archiv:
Beim Testen dieser Funktion bin ich auf eine Lücke gestossen. So lässt sich von einem eingeschränkten Benutzerkonto auf das Archiv „Eigene Dateien“ eines anderen Benutzers und sogar des Administrators zugreifen!!
So sieht man alle entsprechen von „BackOnTrack“ geschützten Dokumente. Allerdings ist es mir nicht gelungen die Dokumente zu öffnen oder an eine andere Stelle des Dateisystems zu kopieren (Überwachung der NTFS-Berechtigungen durch Windows verhindert dies). Allerdings lassen sich gespeicherte Versionen eines Dokuments eines anderen Benutzers löschen!
Diese Funktion lässt sich auch nicht in den Passwortschutz von „BackOnTrack“ integrieren (siehe auch den Abschnitt --> „Passwortschutz“!
User Data:
Man kann jederzeit gezielt Ordner ausserhalb der „Eigenen Dateien“ als „User Data“ markieren. Dazu klickt man einen Ordner mit rechts an --> wählt „BackOnTrack“ --> ändert den Status von „System Data“ nach „User Data“.
Dies hat zur Folge, das dieser Ordner nicht mehr von einer Systemwiederherstellung durch „BackOnTrack“ betroffen ist. Gleichzeitig werden aber die Dateien auf Änderungen überwacht (siehe dazu Document Rollback).
Restore:
Allgemein:
Ein Restore beruht auf dem Snapshot. Man muss also zuerst einen Snapshot erstellen, bevor man einen Restore durchführen kann (Einzelheiten finden Sie im Teil 1 unter --> „Interne Links“)
Ausserdem kann immer nur ein Snapshot gemacht werden! Wird ein zweiter Snapshot angelegt, wird der erste überschrieben!
Weiterhin kann nur das Systemlaufwerk mit Aussnahme der Ordner „Eigene Dateien“ und der als „User Data“ definierten Ordner wieder hergestellt werden.
Test:
Zum Test wurden diverse Textdokumente in verschiedenen Ordnern angelegt. Der Ordner, welcher als „User Data“ definiert wurde ist blau markiert. Die zweite Festplatte ist gelb markiert. Die Ergebnisse nach dem Restore finden sie hinter --> aufgelistet:
C:\Dokumente und Einstellungen\All Users\Gemeinsame Dokumente --> Datei vorhanden
C:\Dokumente und Einstellungen \All Users\Desktop --> Datei vorhanden
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien --> Datei vorhanden
C:\Dokumente und Einstellungen\Administrator\Desktop --> Datei vorhanden
C:\Dokumente und Einstellungen\Benutzer\Eigene Dateien --> Datei gelöscht
C:\Dokumente und Einstellungen\Benutzer\Desktop --> Datei gelöscht
C:\Programme\Test --> Datei gelöscht
C:\Windows --> Datei gelöscht
C:\Programme\Test User Data --> Datei vorhanden
D:\Test --> Datei vorhanden
Nach diesem Testergebniss scheint die Funktion „Restore“ weitestgehend korrekt zu funktionieren. Allerdings verwundert, warum die Textdokumente des Kontos „User“ gelöscht wurden, wo dieses doch ebenfalls geschützt sein soll!
Aus diesem Grund habe ich den Test noch mal direkt unter dem Konto „User“ getestet.
Funktionen unter einem eingeschränkten Benutzerkonto:
Restore:
Für den „Restore-Test“ unter einem eingeschränkten Benutzerkonto wurden wiederum (nach dem Erstellen eines Snapshots) Textdokumente in die verschiedenen Bereiche unter „Eigene Dateien“ erstellt:
C:\Dokumente und Einstellungen\Benutzer\Eigene Dateien --> Datei vorhanden
C:\Dokumente und Einstellungen\Benutzer\Desktop --> Datei vorhanden
Es werden entsprechend den Testergebnissen die Konten nur korrekt geschützt, wenn der entsprechende User die Änderungen durchführt.
Allgemeine Funktionen unter einem eingeschränkten Benutzerkonto:
Alle sonstigen Funktionen machen auch unter einem eingeschränkten Benutzerkonto keine Probleme.
Warnung „User Data“:
Beim Testen ist mir eine gravierende Schwäche aufgefallen, die Beachtung finden sollte!
Auch unter einem eingeschränkten Benutzerkonto können Ordner als „User Data / System Data“ definiert werden. Dies stellt schon eine gewisse Problematik dar, schliesslich können so normale Benutzer die komplette Sicherheit, die ein „Restore“ bietet unterlaufen! D.h. im Einzelnen:
Ein Benutzer kann für ALLE Ordner, auf welche er NTFS-Schreibrechte hat auch die „BackOnTrack“ Funktion „User Data / System Data“ ändern!
Ein Benutzer kann sogar einen Ordner, der von einem Administrator als „User Data“ definiert wurde (also bei einem Restore geschützt wird) in einen „System Data“-Ordner abändern!
Dies stellt in meinen Augen eine gefährliche Lücke dar!
Die Änderungen „User Data / System Data“ lässt sich nur durch Aktivierung des Passwortschutzes verhindern (siehe auch den Abschnitt --> „Passwortschutz“).
Systemwiederherstellung nach umfangreichen Systemänderungen:
Allgemein:
Die bisherigen Wiederherstellungen dienten nur der Basis-Funktionsprüfung und sollten keine Lösung dieser Art vor Probleme stellen. Wie sieht es allerdings bei umfangreichen Systemänderungen aus? Diese Frage soll der folgende Test beantworten.
Testumfang:
Um möglichst umfangreiche Änderungen zu provozieren wurde die Agnitum Outpost Firewall Pro 4.0 in der neuesten Version installiert. Dieses Programm eignet sich aufgrund folgender Details:
Umfangreiche Systemänderungen
Umfangreiche Änderungen in der Registry
Installation von Kerneltreibern
Umfangreiche und systemnahe Selbstschutzfunktion (inkl. Passwortschutz)
Testaufbau:
Der Testaufbau folgt folgender Chronologie:
zuerst wurde mit „RegSeeker“ die Registry nach falschen Einträgen durchsucht und notiert
im zweiten Schritt wurde ein Snapshot erstellt
im dritten Schritt wurde die Agnitum Outpost Firewall Pro installiert
im vierten Schritt wurde der Selbstschutz von Agnitum Outpost Firewall Pro auf den höchsten Schutz gestellt und alle verfügbaren Updates geladen
im fünften Schritt wurde eine Systemwiederherstellung durchgeführt
im sechsten Schritt folgte eine umfangreiche Systemanalyse nach Resten der Agnitum Outpost Firewall Pro Installation
Ergebnisse der Systemanalyse:
Überprüfung mit RegSeeker:
es wurden keine weiteren Fehler in der Registry festgestellt
Manuelle Prüfung der Registry nach Einträgen. Dabei wurden folgende Reste gefunden:
HYKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Compatibility\Outpost mit dem Typ „REG_SZ“ und dem Wert „0x00000000“
HYKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ModuleCompatibility\Outpost mit dem Typ „REG_SZ“ und dem Wert „0x0002“
HYKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\AppPatches\Outpost\Standard mit dem Typ „REG_SZ“ und dem Wert „nicht gesetzt“
HYKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\AppPatches\Outpost – 2 Unterordner mit weiteren 2 Registry-Schlüsseln
HYKEY_LOCAL_MACHINE\System\ControlSet002\Control\Session Manager\AppPatches\Outpost\Standard mit dem Typ „REG_SZ“ und dem Wert „nicht gesetzt“
HYKEY_LOCAL_MACHINE\System\ControlSet002\Control\Session Manager\AppPatches\Outpost – 2 Unterordner mit weiteren 2 Registry-Schlüsseln
HYKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppPatches\Outpost\Standard mit dem Typ „REG_SZ“ und dem Wert „nicht gesetzt“
HYKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppPatches\Outpost – 2 Unterordner mit weiteren 2 Registry-Schlüsseln
Manuelle Prüfung des Dateisystems:
es wurden keine Dateireste gefunden
Prüfung mit IceSword:
es wurden keine Reste gefunden
Somit scheint die Systemwiederherstellung noch nicht perfekt zu funktionieren, da immerhin 11 Einträge in der Registry übrig geblieben sind. Zur Sicherheit möchte ich betonen, das es sich bei diesem virtuellen System um einen totalen Neuaufbau gehandelt hat. Es war also zu keiner Zeit eine Firewall installiert.
Undo:
Natürlich sollte in diesem Zusammenhang auch die „Undo“-Funktion geprüft werden – also das Rückgängig machen einer Systemwiederherstellung. Für diesen Test wird versucht, ob die vorab installierte Agnitum Outpost Firewall wieder korrekt funktioniert.
Undo Ergebniss:
Die Agnitum Outpost Firewall Pro wurde ohne Fehler wieder hergestellt. Es traten keine Probleme auf und alle Updates und auch der Passwortschutz waren wieder wie im Ursprung vorhanden. Auch die Windows Ereignisanzeige zeigte keinerlei Fehler an.
Passwortschutz:
Als letzter Punkt soll der Umfang des Passwortschutzes beleuchtet werden.
Umfang:
Start des Hauptprogramms (und damit alle über das Hauptprogramm verfügbare Funktionen)
Änderungen am Status „User Data / System Data“
Aussnahmen:
Vom Passwortschutz ausgenommen ist folgende Funktion:
Document History
Vorschau Teil 3:
Im dritten und letzten Teil werde ich die Vor- und Nachteile von BackOnTrack benennen. Ausserdem werden Vergleiche angestellt und Alternativen genannt.
Interne Links:
Vorstellung BackOnTrack – Teil 1: http://www.security-dome.eu/BackOnTrack_Home-Test1.html
Test BackOnTrack – Teil 2: dieser Bericht
Zusammenfassung und Alternativen zu BackOnTrack – Teil 3: http://www.security-dome.eu/BackOnTrack_Home-Test3.html
Externe Links:
BackOnTrack Informationen und Download: http://www.roxio.de/deu/products/backontrack/standard/overview.html
Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter --> http://www.security-dome.eu/forum/pA/
Autor: Frank Richter
Copyright: Frank Richter – securITy-dome.eu
Erstellungsdatum: 14.08.07
Letzte Aktualisierung: 14.08.07