Ein sicheres Datenversteck

Eine Funktion von Windows 7, die ich ganz gern nutze, sind die virtuellen Festplatten. Man kann damit eine Festplatte anlegen, die mit eigenem Laufwerksbuchstaben in Erscheinung tritt. Gespeichert ist die Festplatte in einer Datei mit Endung vhd, die man irgendwo auf einer physischen Partition liegen hat.

Nun fragt sich, wozu es nützen könnte, Dateien in einen Extra-Container zu packen. Nun, zum einen lassen sich diese vhd-Dateien auch in virtuellen Maschinen (Microsoft Virtual PC oder Sun/Oracle VirtualBox) mounten (siehe Virtuell ist essenziell). Zum anderen können die Festplatten mit dem ebenfalls in Windows 7 enthaltenen Verschlüsselungsmechanismus Bitlocker chiffriert werden.

Damit kann ich in meinem Rechner im Büro eine virtuelle Festplatte anlegen, die verschlüsselt einige private Daten enthält – also die Dinge, die meine Arbeitskollegen, die das Passwort für meinen Rechner kennen, nichts angehen. Denn wir haben zwar alle nur liebe, gute und diskrete Arbeitskollegen. Aber wir wissen alle ganz genau, dass Neugierde eine mächtige Naturgewalt ist.

Um eine verschlüsselte Festplatte einzurichten, geht man folgendermassen vor:

  • Man startet die Datenträgerverwaltung. Das tut man am einfachsten mit der Eingabe diskmgmt.msc in das Suchfeld des Windows-Startmenü.
  • In der Datenträgerverwaltung richtet man dann über Aktion > Virtuelle Festplatte erstellen eine neue virtuelle Festplatte ein. Meine Empfehlung: Eine feste Grösse wählen und die Festplatte gross genug machen. Die feste Grösse ist aus Performancesicht besser. Es ist aber auch möglich, eine dynamisch wachsende Ablage einzurichten.

    100527_datentraegerverwaltung.jpg

  • Das Erstellen kann je nach Grösse einige Zeit dauern. Wenn die Festplatte erzeugt wurde, muss sie initialisiert werden. Dazu markiert man den neuen Datenträger – wichtig ist, vorne auf den Bereich «Datenträger #» zu klicken – und betätigt den Befehl Aktion > Alle Aufgaben > Datenträgerinitialisierung. Ich wähle dann den Standard MBR in der Auswahl.
  • Nach dem Initialisieren wird der virtuelle Datenträger partitioniert. Dazu markiert man ihn wiederum und wählt den Befehl Aktion > Alle Aufgaben > Neues einfaches Volume. Man wählt allen Speicherplatz (weiter zu partitionieren scheint mir sinnlos), gibt einen Laufwerkbuchstaben an und verwendet als Dateisystem NTFS.
    Nun ist das Laufwerk fertig und erscheint im Windows Explorer.
  • Als nächstes wird es mit Bitlocker verschlüsselt. Man gibt im Suchfeld des Startmenü Bitlocker ein. Es erscheint eine Übersicht mit allen Laufwerken, in der man die neue virtuelle Festplatte lokalisiert und daneben auf Bitlocker aktivieren klickt.
  • Nun wählt man die Option Kennwort zum Entsperren des Laufwerks verwenden und vergibt ein möglichst starkes Passwort, das man sich natürlich auch merken können sollte. Windows will den Schlüssel nun speichern. Ich empfehle, die Schlüsseldatei hinterher gleich wieder zu löschen oder auf einem USB-Stick mit nach Hause zu nehmen. Auf dem Bürocomputer sollte man sie jedenfalls nicht lassen.
    Das Verschlüsseln dauert nun seine Zeit. Aber sobald es fertiggestellt ist, kann man das virtuelle Bitlocker-Laufwerk nutzen.

Man kann das Laufwerk automatisch im Windows-Explorer anzeigen lassen. Ich würde allerdings dazu raten, es nur bei Bedarf zu mounten. Denn man erspart sich das Eingeben des Passworts bei jedem Rechnerstart, und ausserdem ist es unauffälliger, wenn das fragliche Laufwerk in der Übersicht fehlt.

Das Einhängen oder Mounten des Laufwerks heisst im Windows-Jargon anfügen. Diese Aktion wird in der Datenträgerverwaltung ausgeführt. Der Befehl ist Aktion > Virtuelle Festplatte anfügen. Man wählt die vhd-Datei, worauf dann ziemlich unmittelbar Bitlocker auf den Plan tritt und nach dem Passwort für die Entsperrung fragt. Es gibt auch die Möglichkeit, Laufwerke automatisch zu entsperren, aber die in dem Szenario, bei dem es um den Schutz der Privatsphäre geht, komplett witzlos.

100527_bitlocker.jpg

Um das Laufwerk zu unmounten (oder unzumounten?), markiert man es in der Datenträgerverwaltung – wichtig ist wiederum, nicht die Partition rechts auszuwählen, sondern links den Bereich «Datenträger #» anzuklicken – und wählt Aktion > Alle Aufgaben > Virtuelle Festplatte trennen.

So weit, so gut. Das Mounten und Unmounten über die Datenträgerverwaltung ist einigermassen umständlich, weswegen ich empfehle, dafür zwei Batchdateien einzurichten. Die Batch-Datei VHD_mount.bat fügt das Laufwerk an, die Batch-Datei VHD_unmount.bat trennt sie wieder.

Für das Anfügen und Trennen via Befehlszeile bzw. Batch-Datei ist der Befehl diskpart zuständig. Diesen steuert man nicht über Parameter, sondern über ein Ding mit dem schönen Namen Datenträgerpartitionierungsskript.

Wir brauchen somit zwei Scripts, nämlich erstens das Script MountScript.txt, das folgenden Code enthält:

SELECT VDISK FILE="C:\Users\Matthias\Documents\VHD-Versteck\Container.vhd"
ATTACH VDISK

Und zweitens das Script mit dem Namen UnmountScript.txt:

SELECT VDISK FILE="C:\Users\Matthias\Documents\VHD-Versteck\Container.vhd"
DETACH VDISK

Was in den Batch-Dateien steht, lässt sich nun erahnen. In der Batch-Datei VHD_mount.bat ist folgender Befehl zu finden:

diskpart -s "C:\Users\Matthias\Documents\VHD-Versteck\MountScript.txt"

Und in der Batch-Datei VHD_unmount.bat gibt es diesen Befehl:

diskpart -s "C:\Users\Matthias\Documents\VHD-Versteck\UnmountScript.txt"

Damit die Benutzerkontensteuerung nicht zu aufdringlich wird, empfehle ich, im Startmenü je eine Verknüpfung zu VHD_mount.bat und VHD_unmount.bat anzulegen und die mit Admin-Rechten auszustatten. Dazu klickt man die Verknüpfung mit der rechten Maustaste an, wählt Eigenschaften aus dem Kontextmenü, klickt im Reiter Verknüpfung auf die Schaltfläche Erweitert und schaltet die Option Als Administrator ausführen ein.

Das wars schon. Wenn das man kein einfacher Trick war… naja, sagen wir lieber das:
Wenn das mal kein praktischer Trick war!

Autor: Matthias

Diese Website gibt es seit 1999. Gebloggt wird hier seit 2007.

Kommentar verfassen