Personal Backup Version 5.9
	© 2001 − 2018, Dr. Jürgen Rathlev

Anleitungen für spezielle Probleme

Übersicht

• Schutz des Backups vor Schadprogrammen (Ransomware)
• Individuelle Wechselpläne gestalten
• Datensicherung unter Verwendung von Volumen-Schattenkopien (VSS)

Schutz des Backups vor Schadprogrammen (Ransomware)

In der letzte Zeit tauchen gehäuft Meldungen auf, die von Schadprogrammen berichten, die die Daten des Benutzers verschlüsseln, um ein Lösegeld zu erpressen (sog. Ransomware). Leider hilft bei derartigen Angriffen ein Backup auf einem internen Laufwerk wenig, da es dabei höchstwahrscheinlich ebenfalls verschlüsselt wird und somit im Schadensfall nicht zur Wiederherstellung der Daten verwendet werden kann.

Das z.Zt. grassierende Schadprogramm Locky verschlüsselt allerdings angeblich nicht alle Dateitypen. Die Angaben dazu sind leider nicht einheitlich. Nicht betroffen scheinen bislang offenbar gze-Dateien, wie sie von Personal Backup standardmäßig für die Datensicherung mit Verschlüsselung verwendet werden. Ein so erstelltes Backup sollte also unbeschädigt bleiben. Ungewiss ist allerdings, ob das so bleibt. Die Liste der betroffenen Dateitypen kann sich ändern. Man sollte sich jedenfalls nicht darauf verlassen und auch andere Maßnahmen durchführen.

Der beste Schutz ist, wenn auf die gesicherten Daten normalerweise nicht zugegriffen werden kann, z.B. wenn es sich auf einem nicht angeschlossenen externen Laufwerk befindet. Zur Datensicherung müsste dieses dann jedes Mal angeschlossen werden. Dies ist zwar wenig komfortabel, trotzdem sollte man diese Methode verwenden, um sich ein "Backup vom Backup" anzulegen. Dieses muss nicht täglich erfolgen, aber doch regelmäßig. Wer sich auch gegen andere Schäden (Brand, Einbruch, etc.) schützen will, lagert diesen Datenträger zusätzlich an einem sicheren Ort.

Aber auch für die tägliche Datensicherung gibt es sichere Lösungen, die sich für interne und dauernd angeschlossene externe Laufwerke eignen. Voraussetzung ist, dass diese in NTFS (Windows-Standard) formatiert sind. Der Zugriff darauf kann dann über die Benutzerberechtigungen gesteuert werden: Der angemeldete Benutzer erhält nur Leserechte auf das Backup-Verzeichnis, so dass kein Programm, das von ihm gestartet wird, schreibend auf dieses Verzeichnis zugreifen und dort etwas verändern kann. Für das Backup gibt es dann folgende Möglichkeiten:

• Es wird unter einem anderen Benutzerkonto, das die erforderlichen Schreibberechtigungen besitzt, ausgeführt (siehe unten unter 1. und 2.) oder
• die Rechte des Benutzers werden für das Backup vorübergehend um die erforderlichen Schreibberechtigungen erweitert (siehe unten unter 3.).

Wichtige Grundvoraussetzung: Der angemeldete Benutzer darf keine Administratorrechte haben. Leider wird dies bei der Windows-Installation (unverständlicherweise) nicht schon so eingerichtet. Man muss also die Einstellungen für die Benutzerkonten nachträglich verändern. Es wird folgende Konfiguration empfohlen:

1. Aktivierung des Standardadministratorkontos und Vergabe eines Kennworts
2. Hinzufügen eines weiteren Administratorkontos mit dem Kennwort des Benutzers zur zusätzlichen Sicherheit und zur Installation von Programmen
3. Herabstufung aller anderen Benutzer als Standardbenutzer.

Für alle normalen Arbeiten am Computer (Mail, Internet, Textbearbeitung, Fotobearbeitung, etc.) sind keine Administratorrechte erforderlich. Wenn ein Programm installiert werden muss, meldet sich automatisch die Windows-Benutzerkontensteuerung und fordert die vorübergehende Anmeldung mit einem Administratorkonto (siehe oben unter 2.) an.

Für die weitere Beschreibung wird angenommen, dass das Backup in ein Verzeichnis auf dem Laufwerk F: erfolgen soll, z.B. F:\Backup. Sie gilt natürlich in gleicher Weise auch für alle anderen Laufwerksbuchstaben. Wichtig für das Verständnis der Verfahrensweise ist außerdem die Tatsache, dass die Berechtigungen eines übergeordneten Verzeichnisses immer automatisch auf alle untergeordneten Objekte (Dateien und Unterverzeichnisse) vererbt werden. Im Beispiel übernimmt das Verzeichnis F:\Backup bei seiner Erstellung die Berechtigungen vom übergeordneten F:\. Da die Berechtigungen für F:\Backup und seine Unterverzeichnisse neu eingestellt werden sollen, muss für dieses Verzeichnis zunächst die Vererbung abgeschaltet werden. Wie das gemacht wird, ist im Folgenden genau beschrieben.

Es gibt verschiedene Verfahren für eine geschützte Datensicherung auf einem lokalen Laufwerk:

1. Automatische Backups mit der Windows-Aufgabenplanung
   Der Benutzer meldet sich unter einem Administratorkonto an (siehe oben) und legt das zu verwendende Backup-Verzeichnis F:\Backup an. Dann wird nur für die Ausführung des Backups über die Systemsteuerung - Benutzerkonten ein eigenes Benutzerkonto vom Typ Standardbenutzer mit Kennwort angelegt (z.B. mit dem Namen Backup). Wichtig ist, dass dieser Benutzer Lesezugriff auf alle zu sichernden Daten hat.
   Anschließend werden die Berechtigungen für das Zielverzeichnis angepasst:
   • Rechtsklick auf das Zielverzeichnis F:\Backup und Eigenschaften - Sicherheit auswählen
   • Klicken auf Erweitert und Berechtigungen ändern
   • Windows 7: Abwählen von Vererbbare Berechtigungen des übergeordneten Objektes einschließen und Auswählen von Hinzufügen in der anschließenden Abfrage und Klick auf OK
   • Windows 8 und 10: Klick auf Vererbung deaktivieren und in der anschließenden Abfrage Vererbte Berechtigungen in explizite Berechtigungen für diese Objekt konvertieren auswählen und 2 x OK
   • Auf der Seite Sicherheit auf Bearbeiten klicken
   • Einstellungen für SYSTEM und Administratoren beibehalten
   • Klick auf die Gruppe Benutzer, wenn diese noch nicht existiert, wird sie mit einem Klick auf Hinzufügen erzeugt. Die Berechtigungen werde auf Lesen, Ausführen und Ordnerinhalte anzeigen beschränkt. Es dürfen keine Berechtigungen zum Vollzugriff, Ändern und Schreiben eingetragen sein.
   • Klick auf die Gruppe Authentifizierte Benutzer (falls vorhanden) und Entfernen
   • Falls noch weitere Benutzerkonten eingetragen sind, müssen sie ebenfalls entfernt werden
   • Klick auf Hinzufügen, den Namen des neuen Benutzers Backup in das Feld eingeben und OK
   • In der Liste der Berechtigungen auf Ändern klicken und 2 x OK
   Einstellen der Berechtigungen für die zu sichernden Verzeichnisse:
   • Rechtsklick auf ein zu sicherndes Verzeichnis und Eigenschaften - Sicherheit auswählen
   • Auf Bearbeiten klicken
   • Klick auf Hinzufügen, den Namen des neuen Benutzers Backup in das Feld eingeben und 2 x OK
   Nach dem dies für alle zu sichernden Verzeichnisse gemacht wurde, wird das Backup in bekannter Weise für das o.g. Zielverzeichnis konfiguriert. Beim Abspeichern muss darauf geachtet werden, dass dies in ein Verzeichnis erfolgt, in das der Backupbenutzer schreiben darf. Dann wird der Auftrag in die Windows-Aufgabenplanung eingetragen (siehe hier), wobei unter Benutzerkonto der Name des neu angelegten Backup-Benutzers Backup und dessen Kennwort angegeben werden.
    
2. Start des Backups von Hand unter einem anderen Benutzerkonto
   Die aktuelle Personal-Backup-Version 5.8 enthält das Zusatzprogramm PbStarter, mit dem die Konfiguration von Backups, die unter einem anderen Benutzerkonto durchgeführt werden, sehr komfortabel eingerichtet werden kann (ausführliche Beschreibung).
   Eine andere Möglichkeit ist die Verwendung des Windows-Befehls RunAs, über den ein Programm unter einem anderen Benutzerkonto gestartet werden kann. Dazu wird, genauso wie weiter oben beschrieben, zunächst ein neues Benutzerkonto nur für die Datensicherung eingerichtet und die Einstellungen der Berechtigungen für das Zielverzeichnis entsprechend angepasst. Bei der Konfiguration des Backups muss darauf geachtet werden, dass das Abspeichern des Auftrags inn ein Verzeichnis erfolgt, in das der Backupbenutzer schreiben darf.
   Dann öffnet man die Windows-Eingabeaufforderung oder tippt die Taste Windows + R und gibt folgende Zeile ein:
   

   Windows 32-bit oder Windows 64-bit mit Personal Backup 64-bit:

   runas /user:Backup "%ProgramFiles%\Personal Backup 5\PersBackup.exe /i:pb <Auftrag>"
   

   Windows 64-bit mit Personal Backup 32-bit:

   runas /user:Backup "%ProgramFiles(x86)%\Personal Backup 5\PersBackup.exe /i:pb <Auftrag>"
   

   Dabei steht <Auftrag> für den vollständigen Pfad des auszuführenden Backup-Auftrags. Nach Eingabe des Kennworts für den Benutzer (hier Backup) wird Personal Backup unter diesem Konto gestartet und der angegebene Auftrag geöffnet. Das Backup startet man durch Klick auf die Schaltfläche Starten.
   Zur Vereinfachung kann man die o.g. Zeile auch in eine Batch-Datei einfügen und das Backup darüber starten. Bei Hinzufügen der Befehlszeilenoption /force wird das Backup sofort, ohne das Programmfenster zu öffnen, gestartet. Ein Hilfsprogramm, mit dem dieses Verfahren noch mehr vereinfacht werden kann, ist in Vorbereitung.
   Wichtiger Hinweis: Dieses Verfahren eignet sich nicht für ein automatisches Backup.
    
3. Start des Backups von Hand oder über eine Desktopverknüpfung mit Änderung der Berechtigungen
   In diesem Fall erfolgt das Backup über das Konto des angemeldeten Benutzers. Dieser darf aus den oben genannten Gründen für das Zielverzeichnis normalerweise nur Leserechte besitzen. Ausschließlich für die Zeit des Backups werden diese vorübergehend hochgestuft, so dass er dort auch schreiben kann. Ein kleines Problem dabei ist, dass dabei vor und nach dem Backup wegen der Vererbung (s.o.) die Berechtigungen aller Dateien im Backupverzeichnis jeweils geändert werden müssen. Bei sehr vielen Dateien benötigt das eine gewisse Zeit. Die weitere Verfahrensweise ist ähnlich, wie unter 1. beschrieben.
   Der Benutzer bleibt unter seinem normalen Konto angemeldet und legt das zu verwendende Backup-Verzeichnis F:\Backup an. Anschließend werden die Berechtigungen für das Zielverzeichnis angepasst:
   • Rechtsklick auf das Zielverzeichnis F:\Backup und Eigenschaften - Sicherheit auswählen
   • Klicken auf Erweitert und Berechtigungen ändern
   • Windows 7: Abwählen von Vererbbare Berechtigungen des übergeordneten Objektes einschließen und Auswählen von Hinzufügen in der anschließenden Abfrage und Klick auf OK
   • Windows 8 und 10: Vererbung deaktivieren und in der anschließenden Abfrage Vererbte Berechtigungen in explizite Berechtigungen für diese Objekt konvertieren auswählen und Klick auf OK
   • Klicken auf Bearbeiten
   • Einstellungen für SYSTEM und Administratoren beibehalten
   • Klick auf die Gruppe Benutzer, wenn diese noch nicht existiert, wird sie mit einem Klick auf Hinzufügen erzeugt. Die Berechtigungen werde auf Lesen, Ausführen und Ordnerinhalte anzeigen beschränkt. Es dürfen keine Berechtigungen zum Vollzugriff, Ändern und Schreiben eingetragen sein.
   • Klick auf die Gruppe Authentifizierte Benutzer (Falls vorhanden) und Entfernen
   • Falls noch weitere Benutzerkonten eingetragen sind, müssen sie ebenfalls entfernt werden
   • Klick auf Hinzufügen, den Namen des angemeldeten Benutzers in das Feld eingeben und OK
   • Entfernen der Häkchen bei Vollzugriff und Ändern und 2 x OK
   Anschließend wird das Backup in bekannter Weise für das o.g. Zielverzeichnis konfiguriert. Zum Anpassen der Berechtigungen vor und nach dem Backup muss die Option Externe Programme verwendet werden. Es werden dort folgende Befehlszeilen eingetragen:
   Vor dem Backup:
   %sysdir%\icacls.exe %dest% /grant:r %username%:(OI)(CI)M
   Nach dem Backup:
   %sysdir%\icacls.exe %dest% /grant:r %username%:(OI)(CI)RX
   Nach dem Abspeichern des Backupauftrags kann dieser von Hand oder über eine Desktopverknüpfung gestartet werden.
   Wichtiger Hinweis: Dieses Verfahren eignet sich nicht für ein automatisches Backup beim Abmelden oder Herunterfahren, da in diesem Fall die Ausführung von externen Programmen vom Windows-System verhindert wird. Als Alternative bietet es sich an, den Computer nicht über Windows-Start - Herunterfahren auszuschalten, sondern über eine Desktop-Verknüpfung auf Personal Backup. Dort wird dann als Aktion nach dem Backup Ausschalten ausgewählt. Eine zeitgesteuertes automatisches Backup oder ein automatisches Backup beim Anmelden sind dagegen möglich.

Individuelle Wechselpläne gestalten

Das Programm bietet die Möglichkeit, Daten täglich in Form von Wechselplänen, d.h. ein komplette und mehrere differenzielle oder inkrementelle Sicherungen im Wechsel vorzunehmen (siehe auch die Hinweise dazu bei Wikipedia). Das kann entweder über die interne automatische Datensicherung oder mit dem Hilfsprogramm Wechselpläne einrichten und der Windows-Aufgabenplanung gemacht werden.

Daneben lassen sich über die Windows-Aufgabenplanung, die sehr vielfältige Einstellungsmöglichkeiten für den Zeitpunkt der Ausführung erlauben, aber auch nahezu beliebige andere Wechselpläne realisieren. Das soll hier an einem Beispiel erläutert werden.

Beispiel für einen Wechselplan mit mehreren Sicherungen pro Tag

Es soll an jedem Wochentag um 8:00 eine Komplettsicherung ausgeführt werden und danach um 11:00, 14:00 und 17:00 jeweils eine differenzielle Sicherung gestartet werden. Die Sicherungen sollen erst nach einer Woche wieder überschrieben werden. Das Ziel ist eine externe Festplatte mit dem Namen Backup.

1. Es wird ein Backupauftrag für die Komplettsicherung mit folgenden Einstellungen erstellt:
   Ziel: :Backup:\Bu-%dow%\Full
   Zu sichernde Verzeichnisse: Den Wünschen entsprechend auswählen
   Einstellungen zum Backup-Ziel: In Einzeldateien und Getrennte Verzeichnisse (empfohlen)
   Dateien komprimieren: ja (empfohlen)
   Backup-Modus: Entweder Alles neu oder Aktualisieren mit Archivbit benutzen und zurücksetzen
   Im ersten Fall wird das Zielverzeichnis vor jedem Backup gelöscht und dann werden alle Dateien neu kopiert, was u.U. sehr lange dauern kann. Im zweiten Fall werden nur neue und geänderte Dateien kopiert, was erheblich schneller geht. Allerdings bleiben im Ziel Dateien, die auf der Quellseite inzwischen gelöscht wurden, erhalten, so dass zu empfehlen ist, zusätzlich die Synchronisation einzuschalten.
   Auf Wunsch können noch weitere Einstellungen, z.B. Verschlüsselung oder Mail-Versand vorgenommen werden. Zuletzt wird der Auftrag unter einem geeigneten Namen (z.B. Bu-Full) gespeichert.
2. Es wird ein Backupauftrag für die Differenzielle Sicherung mit den gleichen Einstellungen wie oben erstellt, außer den folgenden:
   Ziel: :Backup:\Bu-%dow%\D-%hour%
   Backup-Modus: Differenziell
   Auch dieser Auftrag wird gespeichert (z.B. Bu-Diff).
3. Komplettsicherung in den Windows-Aufgabenplaner eintragen:
   Es wird der Komplett-Auftrag (Bu-Full) geöffnet und im Aufgabenplaner-Assistenten (im Programmfenster ganz oben rechts) durch Klick auf die Schaltfläche Neues Backup .. in die Windows-Aufgabenplanung eingetragen: Tägliche Ausführung um 8:00.
4. Differenzielle Sicherung in den Windows-Aufgabenplaner eintragen:
   Der differenzielle Auftrag (Bu-Diff) wird geladen und wie oben der Windows-Aufgabenplanung hinzugefügt: Tägliche Ausführung 11:00 und in den Erweiterten Einstellungen als Wiederholungsintervall alle 3 Stunden und als Dauer 10 Stunden eintragen.

Auf dem Zieldatenträger erhält man dann folgende Verzeichnisstruktur:
Sieben Verzeichnisse Bu-Mo, Bu-Di, Bu-Mi, ..., Bu-So und in jedem davon die Unterverzeichnisse Full (für das Komplettbackup) und D-11,D-14 und D-17 (für die differenziellen Backups).

Datensicherung mit Vers. 5.6 unter Verwendung von Volumen-Schattenkopien (VSS)

Personal Backup Vers. 5.6. bietet erstmals die Möglichkeit, die seit Windows XP unter dem NTFS-Dateisystem verfügbaren Schattenkopien von blockierten Dateien für die Datensicherung zu verwenden. Es wird dazu aber ein Hilfsprogramm benötigt (im Gegensatz zu den Versionen ab 5.7, in die VSS integeriert ist):
Entweder Volume Shadow Copy Simple Client (Windows XP, 7 und 8) oder Vs-Toolkit (Windows 7 und 8).

Vorbereitung:

1. Herunterladen von vscsc oder VS-Toolkit als Zip-Datei
2. Entpacken der benötigten Version (32 oder 64 Bit, Windows XP oder Windows 7) in ein geeignetes Verzeichnis, z.B. E:\Programs\Vss.
3. Erstellen eines Backup-Auftrags (z.B. BuAppData.buj) zum Sichern eines Verzeichnisses (oder auch mehrerer, aber alle auf dem gleichen Laufwerk), z.B. C:\Users\<Name>\AppData
4. Erstellen einer Batch-Datei (BuAppData.bat), über die das Backup vom Programm vscsc gestartet wird:

     @echo off
     call "%ProgramFiles%\Personal Backup 5\Persbackup.exe" /f BuAppData.buj /repl:C=%1

5. Erstellen einer Batch-Datei (StartBuAppData.bat) zum Starten des Backup-Prozesses mit Schattenkopie:

     @echo off
     e:\Programs\Vss\vscsc.exe -exec=BuAppData.bat C:

   bzw.

     @echo off
     e:\Programs\Vss\vstoolkit.exe -exec=BuAppData.bat C:

Verfahrensweise:

StartBuAppData.bat kann entweder direkt aus dem Windows-Explorer oder über eine geeignete Desktopverknüpfung gestartet werden. In beiden Fällen muss dies über einen Rechtsklick und die Option Ausführen als Administrator erfolgen, auch wenn man als Benutzer mit administrativen Rechten angemeldet ist.

Das Programm vscsc, bzw. vstoolkit legt zunächst einen Schnappschuss des angegebenen Laufwerks (hier C:) an. Dieser wird mit einem internen virtuellen Laufwerksnamen verknüpft, z.B. \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyxx.

Dieser Name wird an die Batch-Datei BuAppData.bat übergeben und dort für %1 in die Befehlszeile zum Starten von Personal Backup eingesetzt. Die Option /repl:C=.. bewirkt, dass Personal Backup vor dem Kopieren der Dateien in allen Quellverzeichnissen die Laufwerksbezeichnungen C: durch den neu erzeugten Namen für den Schnappschuss ersetzt. Damit können dann auch die blockierten Dateien ohne Fehler kopiert werden.

Nach dem Backup wird der angelegte Schnappschuss von vscsc automatisch wieder gelöscht.