Mehrbenutzerfähigkeit

Mehrbenutzerfähigkeit für größere Verfahren

 

X-Ways Forensics und X-Ways Investigator bieten seit v17.5 erweiterte Unterstützung für eine arbeitsteilige Auswertung durch mehrere Ermittler im selben Fall, wobei die Software diese Benutzer anhand ihrer Benutzerkonten in Windows unterscheidet und ihre Ergebnisse getrennt verwaltet. Die Benutzer können dieselben Asservate desselben Falls gleichzeitig öffnen. Mit v17.5 und neuer erzeugte oder geöffnete Fälle können nicht mit älteren Versionen geöffnet werden. Maximal werden 255 Benutzer pro Fall unterstützt. Benutzer werden intern anhand Ihrer Windows-Benutzerkonten erkannt.

 

Mehrere Benutzer können dieselben Asservate im selben Fall gleichzeitig zur Untersuchung öffnen. Mit demselben Fall ist dieselbe Falldatei gemeint, keine Kopie, gespeichert in einem gemeinsam genutzten Verzeichnis im Netzwerk oder auf einem Terminal-Server. X-Ways Forensics ist dafür verantwortlich, Berichtstabellenverknüpfungen, Kommentare und das Hinzufügen von Dateien zum Datei-Überblick zu synchronisieren und Benutzer auf Zugriffskonflikte hinzuweisen, bevor diese eintreten, oder sie in den meisten Situationen ganz zu vermeiden.

 

Alle relevanten Optionen zu diesem Thema lassen sich erreichen durch einen Klick auf den Schalter namens „Mehrbenutzer-Optionen“ im Eigenschaftsfenster des Falls. Insbesondere können Sie beim Erzeugen eines Falls (dann und nur dann) X-Ways Forensics dazu veranlassen, nicht zwischen verschiedenen Benutzern zu unterscheiden. Das kann nützlich sein, wenn Sie wissen, daß nur Sie den Fall bearbeiten werden und Sie ihn auf verschiedenen Computern bearbeiten werden, auf denen Sie lokale Windows-Benutzerkonten mit unterschiedlichen SIDs unterhalten, so daß Sie immer als derselbe Benutzer behandelt werden. Auch nützlich, wenn mehrere Ermittler denselben Fall zu unterschiedlichen Zeiten bearbeiten sollen und dabei all ihre Ergebnisse direkt miteinander teilen möchten, wie es in X-Ways Forensics vor v17.5 üblich war.

 

Eine weitere Option koordiniert bestimmte Zugriffe auf Datei-Überblicke (Hinzufügen von Dateien sowie Editieren von Kommentaren und Metadaten) sorgfältiger. Kann die Verwendung des Programms beschleunigen, wenn ausgeschaltet. Das Ausschalten dieser Synchronisation ist empfehlenswert nur für Fälle, die definitiv nur von 1 Benutzer zur gleichen Zeit bearbeitet werden.

 

Report table associations and comments of different examiners can optionally be visually distinguished, by showing the creating examiner's initials (default), or alternatively other abbreviations of their names or (if no abbreviation is specified) their complete usernames. Examiners can choose whether or not they get to see report table associations of other users or only their own associations (or, if half checked, only their own associations plus those of unknown users). The same file can be associated with the same report table only by 1 examiner. X-Ways Forensics imports and shows newly created report table associations of simultaneous other users in shared analysis mode when re-opening an evidence object or when case auto-save interval elapses or when manually invoking the Save Case command. The option to show initials for report table associations is represented as a 3-state checkbox. If half-checked, it has an effect on the directory browser only, not for the Export List or Recover/Copy command for example and not in the case report. It is not possible to remove report table associations of other examiners in shared analysis mode, only in normal mode.

 

X-Ways Forensics remembers the "tagged", "already viewed" and "excluded" status of files separately for each examiner. You can choose to adopt the "already viewed" status of files in volume snapshots from all other examiners when opening evidence objects. That is useful if the goal is to avoid duplicate work, if you do not wish to review files that were reviewed by any of your colleagues already. Please note that individual file statuses ("tagged", "already viewed" and "excluded") as well as search hits of other users are lost if one examiners removes items from the volume snapshot.

 

Search hits and search terms are stored on a per-user basis as well. The first examiner opening an older case with v17.5 or later will absorb the search hits and search terms that were stored in the case by v17.4 or earlier. The "Multi-user support options" dialog window contains a button that allows you to import the search hits and search terms of another user. An option is available to limit the import of another user's search hits to search hits that are marked as notable or to that user's manually defined search hits (so-called user search hits). Another option allows to take away the search hits from the other user when importing them. Useful if the other user is going to resume his work later and will want to import your search hits back when he or she is taking over again, to avoid duplications of search hits, because your search hits include his or her hits already after you have imported them.

 

To view all the results of a colleague (report table associations, search hits, tag marked, already viewed status of files, exclusion status of files), you can open the case in read-only mode as him or her. For that, try the "Options..." checkbox when opening a case. You may prevent your colleagues from opening the case in read-only mode as you.

 

The "Options..." checkbox allows you to open a case in any of the following three modes:

 

If the same user wishes to open the same case (the same copy) in more than 1 instance of the program simultaneously, that user has two options. Either

 

The aforementioned "Options..." checkbox allows you at any time to open the case as your alter ego, not only when opening the same case in a second instance of the program. It also allows you to open a case in shared analysis mode if it is not open anywhere else at the moment.

 

Multiple users running searches, creating report table associations, entering or editing comments, editing extracted metadata, tagging files, excluding files, marking files as already viewed is all supported for the same evidence object at the same time. Removing items from a volume snapshot while the evidence object is open somewhere else, however, is forbidden and will be refused by the program. The goal of the multi-user coordination in v17.5 and later is to support concurrent analysis/review work by multiple examiners. Removing files from a volume snapshot is not considered ordinary review/analysis work. Volume snapshot refinements should be done systematically in advance.

 

The initials of the examiner who has attached files to the volume snapshot or manually carved files in v17.5 and later can be seen in square brackets next to the filename, so that it is easy to tell who has introduced such files to the case.

 

Technical changes to the way how multiple simultaneously users are coordinated are reserved. To be on the safe side, please make sure that simultaneous users are running the same version of the software.

 

Last not least v17.5 allows you to review the processing history of a case in its properties. This reveals which versions were used on it (recorded only by v17.3 SR-10 and later, v17.4 SR-4 and later and v17.5 and later) and by which users (recorded only by v17.5 and later).

 

You may turn off "Coordinate processing by simultaneous users more carefully" for some performance benefits there is only user of a case at a time.

 

There is an option to always suggest shared analysis mode when opening a case. That mode can be useful even for the first of many simultaneous users that open the same case because only in that mode newly created report table associations are shared out to other simultaneous users at regularly intervals (depending on the case auto-save option).

 

Weitere Möglichkeiten zur verteilten Auswertung

 

Option 1: Mehrere Anwender von X-Ways Forensics können gleichzeitig in ihrer jeweils eigenen Kopie desselben Falls arbeiten (immer sowohl die .xfc-Datei kopieren als auch das zugehörige Unterverzeichnis) und ihre Ergebnisse untereinander austauschen oder alle Ergebnisse in der Hauptkopie des Falls zusammenfassen, indem sie Berichtstabellenverknüpfungen (d. h. ihre Kategorisierung aller relevanten Dateien und E-Mails) exportieren und importieren.

 

Option 2: Potentiell relevante Dateien werden aus den Originalasservaten in mehrere Datei-Container kopiert. Diese Container werden dann von verschiedenen Ermittlern gleichzeitig in neu erstellten Fällen (in X-Ways Forensics oder X-Ways Investigator) ausgewertet. Auch sie können ihre Berichtstabellenverknüpfungen exportieren, woraufhin sie wieder im Originalfall importierbar sind.

 

Beide Befehle, der Export und der Import von Berichtstabellen, können im Kontextmenü des Fallbaums gefunden werden. Das Exportieren wird auf der Fall- und Asservatebene unterstützt, das Importieren auf der Fallebene. Die Namen der Ermittler können in die Namen der Berichtstabellen aufgenommen werden, wenn am Ende ersichtlich sein soll, wer welcher Verknüpfung vorgenommen hat. Bitte beachten Sie, daß Sie Berichtstabellenverknüpfungen nicht mehr in den Originalfall importieren können, wenn Sie in der Zwischenzeit einen neuen Datei-Überblick erstellt haben oder Objekte aus dem Datei-Überblick entfernt haben, denn dann ist nicht mehr garantiert, daß die internen IDs der Dateien gleich bleiben und eine sichere Zuordnung möglich ist. Das Importieren funktioniert nur, wenn man in dasselbe Asservat importiert, aus dem auch exportiert wurde. Gemeint ist Asservat in einem Fall in X-Ways Forensics/Investigator oder in einer Kopie desselben Falls. Daß es ggf. dasselbe Image in einem anderen Fall ist, hilft nicht und kann X-Ways Forensics/Investigator nicht wissen. Auch wenn es derselbe Fall ist, gibt es ein Problem, wenn man das Image aus dem Fall zwischendurch entfernt und dann später wieder hinzugefügt hat. Dann ist es für X-Ways Forensics wie ein neues Asservat. Man kann jedoch auch von einem Container in einem neuen Fall aus exportieren (z. B. beim Anwender von X-Ways Investigator) und wieder in das ursprüngliche Asservat im Originalfall, aus dem die Dateien im Container ursprünglich stammen, importieren (z. B. beim Anwender von X-Ways Forensics), weil im Container Informationen zur Identifizierung des ursprünglichen Asservats enthalten sind.

 

Verteilte Erweiterung von Datei-Überblicken

 

X-Ways Forensics erlaubt es, die Datei-Überblicke verschiedener Asservate desselben Falls unter Einsatz mehrerer Rechner im selben Netz gleichzeitig zu erweitern, um durch Parallelisierung Zeit zu sparen.

 

Jeder Benutzer/Computer öffnet dieselbe .xfc-Falldatei (dieselbe Kopie auf demselben Computer). Alle teilnehmenden Benutzer/Computer oder alle bis auf einen (die Hauptinstanz) müssen den Fall als teilweise schreibgeschützt öffnen, d. h. nur verteilte Auswertearbeit und Datei-Überblicks-Erweiterungen erlaubend. Das können Sie erreichen, indem Sie in dem Dialogfenster zum Öffnen des Falls „Optionen...“ ankreuzen, oder Sie werden ohnehin automatisch danach gefragt, wenn Sie den Fall öffnen, wenn dieser bereits in einer anderen Sitzung als nicht schreibgeschützt geöffnet ist (d. h. in der Hauptinstanz). Andere Instanzen sehen die Ergebnisse der Erweiterung spätestens, wenn diese abgeschlossen ist und das Asservat erneut geöffnet wird. Der Fall braucht dazu nicht erneut geöffnet zu werden.

 

Es besteht die Möglichkeit, einzelne Asservate (nicht nur den ganzen Fall) gezielt so zu öffnen, daß der Datei-Überblick als schreibgeschützt behandelt wird, über einen gesonderten Befehl im Kontextmenü des Asservats im Falldatenfenster. Bitte beachten Sie, daß dies überhaupt nichts damit zu tun hat, wie das Asservat selbst (der Datenträger oder das Image) gehandhabt wird. X-Ways Forensics ändert niemals die Daten in Sektoren von Datenträgern oder interpretierten Images, wenn diese als Asservat geöffnet werden. Nur der Datei-Überblick, d. h. die Datenbank mit Informationen über alle gefundenen Dateien und Verzeichnisse, ist entweder schreibgeschützt oder, und das ist der Normallfall, änderbar.