Datensicherheit: Teil 8 - Truecrypt-verschlüsselte Systempartitionen mit Trueimage

Ich verschlüssel alle meine Laufwerke, und mußte ich bis Anfang Februar noch darauf verzichten auch meine Systempartition zu verschlüsseln, so unterstützt Truecrypt diese Funktion mittlerweile auch. Dadurch wird das Backup-Prozedere ein wenig komplexer.

Als Backupprogramm benutze ich von Acronis _Trueimage Home_ in der Version 10. Das bietet volle XP/Vista-Unterstützung, hat eine Installations-CD von der man booten kann, erstellt bootbare Medien und bringt sogar (und das ist cool) ein Plugin für BartPE mit. Auch unterstützt werden Wechselmedien über USB und Firewire usw - sogar FTP-Backups sind möglich. Zusätzlich bietet die Version 10 gegenüber 11 den Vorteil daß man sie noch wesentlich günstiger bekommt. Für eine ungebrauchte Version 10 habe ich 27 € bei Amazon bezahlt.

Eingebaut in meinem System sind zwei Festplatten: Auf der ersten Festplatte habe ich zwei Partitionen, C und D, wo Windows drauf liegt und von gebootet wird. Diese Festplatte habe ich mit der Option _encrypt system drive_ verschlüsselt. Meine zweite Festplatte, E, entschlüssel ich erst im Windows-Betrieb, dort wurde _non-system encryption_ angewählt.

Systempartition sichern

sektorbasiert

Um die Systempartition / -festplatte zu sichern, wählen wir die sektorbasierte Sicherung "Meinen Computer". Da die Festplatte noch vor dem Booten von Windows entschlüsselt wird, erscheinen die Daten darauf auch hardwarenahen Anwendungen wie z.B. Diskeditoren oder eben Trueimage als ganz normale, entschlüsselte Festplatte. Als Ziellaufwerk wähle ich eine (ebenfalls zuvor per Truecrypt entschlüsselte) Backup-Festplatte an, die im normalen Betrieb nicht angeschlossen ist! Das wären auch schon die zwei Hauptfehler, die es zu vermeiden gilt: 1. Die Backupplatte sollte natürlich auch verschlüsselt sein (mit BartPE und eingebundenem Truecrypt kein Hindernis bei der Wiederherstellung) und 2. Die Backupplatte im normalen Betrieb nicht mitlaufen lassen.

Systempartition wiederherstellen

Tritt der Fall ein und man möchte gesicherten Daten der Systempartition zurückspielen auf die Haupt-Festplatte, gibt es zwei Szenarien, wenn die Verschlüsselung aufrecht erhalten werden soll:

mount pre-boot

  • Man benutzt BartPE oder ein zweites Windows etc. und mountet die Systemplatte mit der Option _Mount partition using system encryption without pre-boot authentication_, dann kann man die Daten von der Backupplatte direkt zurückschaufeln ohne sie nachträglich erneut verschlüsseln zu müssen. Da Trueimage bei der sektorbasierten Sicherung ja auch den MBR speichert, müsste die Festplatte sich danach auch wieder ganz normal booten lassen.

  • Man benutzt z.B. eines der erstellten Medien zum booten und spielt die Daten unverschlüsselt zurück. Danach in Windows einfach wieder neu verschlüsseln.

Nicht-Systempartition sichern

dateibasiert

Anders als bei der _on-boot-authentication,_ werden Nicht-Systempartitionen erst nach dem Start von Windows entschlüsselt. Greift nun eine hardwarenahe Anwendung auf die Festplatte zu, sieht sie nur (den verschlüsselten) Datenmüll. Daher können wir hier die sektorbasierte Sicherung nicht anwenden und greifen zur Dateibasierten Sicherung "Meine Daten" (dank Shadow Copy hat dies keine Nachteile, selbst bei geöffneten Dateien). Dort einfach das komplette Laufwerk auswählen und, je nach Geschmack, z.B. die Ordner Recycler und "System Volume Information" ausklammern - das muß jeder für sich wissen.

Nicht-Systempartition wiederherstellen

Das sollte nun die leichtere Übung sein, da dies im laufenden Windows unter bereits entschlüsselten Laufwerken erfolgen kann. Im Normalfall war diese Partition ja nicht für das Booten notwendig. Zum wiederherstellen einfach die Zielpartition mit Truecrypt entschlüsseln und die Sicherungsdaten darauf zurückspielen.

Trueimage in BartPE einbinden

BartPE unterstützt das einbauen eigener Software in das CD-Windows. Hat man Trueimage mit dem BartPE-Plugin installiert, findet sich im Programmordner von Trueimage ein Ordner namens BartPE. Diesen habe ich in das Plugins-Verzeichnis von BartPE kopiert und noch nach _xacronis_ umbenannt.

Truecrypt in BartPE einbinden

Um Truecrypt einzubinden, musste ich mir selber eine Lösung basteln, da ich nichts auf der Pluginseite gefunden habe.

  1. Im Plugins-Ordner von BartPE einen Unterordner namens _truecrypt_ erstellen.

  2. In den Ordner _truecrypt_ wechseln und einen Unterordner _files_ erstellen

  3. Aus dem Truecrypt Installations-Verzeichnis die 4 Dateien "truecrypt format.exe", "truecrypt.exe, "truecrypt.sys" und "truecrypt-x64.sys" in den Ordner _files_ kopieren.

  4. Plugindateien herunterladen und in das eben erstellte Verzeichnis _truecrypt_ bei den BartPE-Plugins entpacken

Letzendlich

Nun sollte man eine bootfähige CD mit BartPE erstellen können. Innerhalb dieser Umgebung kann man alle Medien entschlüsseln, verschlüsseln, sichern und wiederherstellen. Trueimage kann ich nur empfehlen. Gerade unter der Verwendung von BartPE ist auch exotischen Raidcontrollern oder SATA-Controllern nichts mehr entgegenzusetzen - Treiber lassen sich schließlich auch in BartPE einbinden. Durch die verwendete Komprimierung von Trueimage kann ich auf Backup-Festplatten gleicher Größe wie die Original-Festplatte oftmals 2-4 Versionen von Backups unterbringen. Das kommt natürlich auf Datenmenge und Datenart an. Auch der Datenumzug auf Festplatten anderer Größe bereitet keine Sorgen, sogar die Partitionsaufteilung wird von Trueimage angepaßt - vorrausgesetzt die Festplatte ist nicht schlicht zu klein für die Datenmenge. Und wie immer der Vorteil der Verschlüsselung; alte Festplatten können ohne vorheriges aufwendiges Löschen entsorgt oder zum Support geschickt werden.