WD Passport Essential SE: --> Vor Formatierung Schützen ?

[S3veny]

Moin,

Wollte mal fragen, ist es möglic:
Die Platte irgendwie intern per FW oder wie auch immer vor Formatierung zu Schützen ?
Also über jeglichen Weg, das die Platte es verweigert sich formatieren zu lassen ?

Beispiel nehmen wir Vollverschlüsselung mit TrueCrypt;
Wenn das virtuelle Laufwerk nicht eingebunden ist, fragt Windows nach Formatierung.
Befor ich da ausversehn mal JA anwähle, wollt ich die davor lieber bewahren...

Vielen Dank für Tipps.

 

[Rach78]

Nein jeder der physikalisch Zugang zu der Platte hat kann sie auch löschen/formatieren. Einzige möglichkeit wäre nen schreibschutz oder nen ATA Passwort vergeben

Wegen TrueCrypt könnte man zB die ganze Platte verschlüsseln und nicht nur eine Partition. Da Windows dann keine Paritition sieht fragt es auch nicht nach formatierung dieser.

Allerdings muss man dann aufpassen dass man die Platte nicht "Initialisiert" unter Datenträgerverwaltung

 

[S3veny]

Vielen Dank erstmal.

Schreibschutz gibt es ja leider nicht hardwareseitig für die WD oder ?
ATA Passwort ließe sich soweit ich weiß einrichten, aber in wie fern schütz das dann ?

Also wenn ich bei Truecrypt eine Platte komplett verschlüssele wird diese garnich erst angezeigt ?!
Mh okay, ich hatte es in erinnerung das die Platte dann als "unformatiert" angezeigt wird...

Was passiert denn dann bei der intialisierung denn genau ?


Vielleicht weitere Ideen was man da machen könnte ?
Mh sollte vielleicht mal general eingeführt werden;
Das sich Partitionen/Platten in MBR als "Geschützt" markieren lassen...

Viele Grüße.

 

[Rach78]

Was bringen "Markierungen" denn? Die helfen nicht weiter, wenn jemand formatieren will wird er dies immer können.

Also wenn ich bei Truecrypt eine Platte komplett verschlüssele wird diese garnich erst angezeigt ?!
Mh okay, ich hatte es in erinnerung das die Platte dann als "unformatiert" angezeigt wird...

Ist dann jedesmal so als ob du ne ganz neue Platte ins System einhängt. Da Windows keine Partitionen finden kann versucht es auch nicht zu formatieren. Dann einfach in TC mounten und fertig ist.

TA Passwort ließe sich soweit ich weiß einrichten, aber in wie fern schütz das dann ?

Habs noch net selber probiert bislang, soweit ich weiß werden dabei aber sämtliche Funktionen gesperrt bis jemand das korrkete Password eingibt. Also man hat (fast) keinen Zugriff mehr ohne das Passwort auf die Platte. Man kann sie weder beschreiben, lesen noch sonst was.

Was passiert denn dann bei der intialisierung denn genau ?

Dabei schreibt windows paar bytes an den anfang der platte. Problematisch ist dabei aber dass dabei der TC Header überschrieben wird und sich die Platte dann nicht mehr mounten lässt. Allerdings existiert am Ende der Platte noch nen Backup Header. Solange dieser noch Intakt ist oder man den Header irgendwie anders gesichert ist lässt sich das ganze wieder rückgängig machen.

Dennoch sollte man da etwas aufpassen

 

[Ernst@at]

Für den Hardwaremäßigen Schutz gegen Änderung gibt es Read-Only Adapter, welche keine Schreibbefehle durchlassen. Sind aber schweineteuer, soweit ich mich erinnere.
Die Frage ist, ob es Truecrypt stört, wenn der MBR modifiziert wird.
Da könnte man einfach einen Eintrag erstellen, der weder gelöscht noch formatiert werden kann und mit normalen Windows-Boardmitteln nicht zu entfernen ist.
Warum hier nicht schon längst einfach eine "Schutzpartition" wie sie bei GPT verwendet wird, angelegt wird, ist die Frage.

 

[S3veny]

Nein es geht hierbei ja um den Selbstschutz, weißt...
Also die Markierung soll dann dazu dienen, nicht versehentlich selbst zu formatieren.

Okay muss ich mal ausprobieren, wäre klasse wenns durch PW klappen könnte.
Ah ja ich glaub den Sicherungsheader kann man mit so einer "Rescue-Disk" ansprechen.

Werds mal testen, und dann berichten.
Danke dir nochmal.

EDIT: @Ernst@at: Zusätzliches Problem:
Dann müsste ich jedes mal wenn ich was drauf kopiere, das ganze AN/AUS stellen.. :/
Oder funktioniert das auch in sofern, das nur das Formatieren "verboten" ist ?

 

[Ernst@at]

Der beste Selbstschutz gegen die eigene Dummheit heisst:

Sicherung, Backup

 

[Rach78]

Ich würde wie gesagt die Platte komplett verschlüsseln mit TC. Bei ner externen macht das ja durchaus Sinn und dann kann man sie auch nciht mehr "ausversehen" formatieren, denn dann müsste man erstmal die Platte initialisieren und ne Partition drauf erstellen, so etwas wird einem "ausversehen" wohl nicht passieren.

Außerdem kann man bei TC ja die Platte auch mit Schreibschutz dann mounten. Sobald sie eingebunden ist geht dann auch nix so schnell mehr

 

[Ernst@at]

@Ernst@at: Zusätzliches Problem:
Dann müsste ich jedes mal wenn ich was drauf kopiere, das ganze AN/AUS stellen.. :/
Oder funktioniert das auch in sofern, das nur das Formatieren "verboten" ist ?

Der Adapter steckt an der Platte und kann nur runtergenommen werden, es werden alle Schreibbefehle geblockt.

 

[Madnex]

Nein es geht hierbei ja um den Selbstschutz, weißt...
Also die Markierung soll dann dazu dienen, nicht versehentlich selbst zu formatieren.

Die einfachste Lösung wäre dann ganz einfach ein Konto mit beschränkten Benutzerrechten als Standard-Account zu benutzen. Dann musst du jedes Mal das Passwort eines Administratorkontos eingeben, wenn du irgendetwas formatieren möchtest. Das schützt dich allerdings nicht davor aus Versehen einzelne Daten zu löschen. Aber das war ja auch nicht die Frage.

 

[Rach78]

Ja wäre na möglichkeit. Aber ich find es schon irgendwie unschön vorallem an einem anderen PC wenn man da einen Datenträger anschließt mit ner verschlüsselten Partition dass Windows den gleich formatieren will.

Das ist wirklich mal schnelll passiert dass man Windows da vertraut und auf formatieren klickt

 

[Ernst@at]

scheint ein eingebauter Intelligenztest zu sein.

Ich hab das noch nicht selbst ausprobiert, aber angeblich dürfte ein nicht eingebundenes truecrypt-Volume im MBR eine Partition mit ID 0x06 (FAT-Partition) aufweisen.
Wenn Win die einbinden will, ist keine gültige FAT-Formatierung drauf(weil encrypted), deswegen will Win eine draufmachen(initialisieren).

Lösung:

Das Problem könnte gelöst werden, indem man da eine andere ID reinmacht.
z.B 0x64 bedeutet eine PC-ARMOUR encrypted partition Die lässt Win in Ruhe.
Besser noch 0x27, Windows RE hidden partition, die kann man nämlich nichtmal in der Win-Datenträgerverwaltung löschen

Machbar in Windows 7 in der command shell mit diskpart und nach select der Partition mit set id=64 oder 27

Sollte so funktionieren, welches Versuchskaninchen will es ausprobieren? Rückmeldungen erwünscht!

Ergänzung (12. November 2011)

Das schützt zwar bei Anschluss an intelligente Systeme, inwieweit das aber strohdumme Geräte wie zB TV mit USB-Anschluss davon abhält, eine FAT drüberzuformatieren, sollte man vorher ausprobieren, bevor man die Platte irrtümlich anschließt. Vor normaler NTFS-Partitionierung haben die ja auch keinen Respekt

 

[Rach78]

naja wobei es ja auch nicht so das gelbe vom Ei ist wenn auf der Platte quasi draufsteht "Achtung verschlüsselt"

Am besten ist doch immer noch dass wenn man gar nicht weiß ob wirklich nur Zufallszahlen drauf sind oder die Platte verschlüsselt ist

 

[Ernst@at]

Ob man das in der Datenträgerverwaltung erkennt oder nicht, sollte eigentlich egal sein, da der Inhalt der Platten innerhalb der Partition für Otto Normallo ohnehin nur aus böhmischen Dörfern besteht - verschlüsselt oder unverschlüsselt.
Es hilft aber ungemein, sie von einer z.B. neu angeschlossenen, noch nicht formatierten Platte unterscheiden zu können. Das sollte den Ausschlag für eine eindeutige Kennzeichnung geben und eine unüberwindbare Hürde gegen ein versehentliches Formatieren über die Datenträgerverwaltung darstellen.

 

[Rach78]

Ist dennoch ein gewisses Sicherheitsrisiko, auch wenn die Verschlüsselung an sich sehr sicher ist und eh niemand in absehbarer Zeit knacken wird.

An nen Safe auch wenn er absolut sicher ist, hängste ja auch kein Zettel dran mit "Achtung hierdrin befinden sich geheime Daten" Wäre im Grunde aber das gleiche als auf ner HDD nen Hinweis zu hinterlassen dass dort verschlüsselte Daten liegen

Daher ist das Maximum an Sicherheit gegeben wenn man als "unwissender" gar nicht sagen kann ob da nun wirklich verschlüsselte Daten liegen oder nur Zufallszahlen.

Genau aus dem Grund wird ja auch die ganze Platte vollgeschrieben beim verschlüsseln und nicht nur der Bereich der grade Daten enhält. Würde man dies nicht tun könnte man zumindest als Angreifer schonmal sagen dass an bestimmten Stellen mit hoher Warscheinlicheit Daten liegen, und wo alles "0" ist eben nicht.

Daher finde ich ne Kennung die auf nen verschlüsseltes Volume hindeutet eher weniger klug.

Es ist auf jedenfall nen Vorteil deswegen ob man der Platte die verschlüsselung ansehen kann oder nicht (auf der TC Seite steht genau dazu auch etwas) Dass Windows dann formatieren will ist leider die konequenz daraus aber auch nicht so einfach abstellbar.

Einzig sinnvolle ist daher die gesamte Platte zu verschlüsseln. So kann man der Platte dann auch nichtmal ansehen dass ne Partition drauf ist.

 

[Ernst@at]

Aus Sicht der Daten ist das größte Sicherheitsrisiko die Dummheit des Eigentümers.
Nachdem die Hype ja schon Blüten treibt, und offenbar jede Hausfrau ihre Kochrezepte und die Photos ihrer Liebsten per Truecrypt gegen Spionage schützt, obwohl die per Facebook öffentlich publiziert werden, wird der Verlust der Daten schmerzhafter sein als dieses Risiko zu akzeptieren. Hauptsache Truecrypt, aber keine Sicherung...
Derartige Hochsicherheitsüberlegungen erfordern dann aber - wenn schon, denn schon - auch begleitende Maßnahmen - Einbruchsichere Türen und Fenster, Alarmanlage, Feuerlöschanlage und Zutrittskontrolle, am besten noch ein Atomschlagsicherer Bunker im Keller. Auslagerung der Sicherheitskopien bei entsprechenden Anbietern, welche diese wöchentlich mit gepanzertem Wagen und bewaffneten Securities austauschen.
Zufrieden?

 

[Rach78]

Nunja ich habe lediglich drauf hingewiesen. Wieso man dies nun ins lächerliche führen musst erschließt sich mir überhaupt nicht.

Wer sensible Daten hat der möchte diese vor den Blicken unbefugter schützen, daher verschlüsselt man sie. Ich finde es aber dumm die Daten auf der einen Seite zu verschlüsseln, dann aber die Hinweise auf die Daten noch da zu lassen.

Ihr kleb auch kein Zettel an meine Platten mit "Achtung hier liegen sensible Daten" und sag dann "ist verschlüsselt, kann eh nichts passieren"

Mein Hinweiß ist obendrein auch kostenlos umsetzbar deine ganzen anderen "Ideen" nicht.

Und dass jede Hausfrau ihre Köchenrezepte schon verschlüsselt halte ich auch für quasch.

Aus Sicht der Daten ist das größte Sicherheitsrisiko die Dummheit des Eigentümers.

Wie schon von mir angemerkt, ich denke ne Platte zu initialisieren und ne neue Partition drauf zu erstellen, wird wohl eher nicht so schnell passieren wie das formatieren. Das passiert nichtmal eben so, bei ner verschlüsselten Parittion wird mir dies aber vorgeschlagen.

Idiotensicher kann man so etwas hier eh nicht machen. Auch die mehrfachen Abfragen sind nicht die Lösung für sämtliche Probleme. Was nützt einem so etwas wenn man 3mal bestätigen muss ob die Platte formatiert werden soll, danach aber merkt, dass man das Laufwerk D statt E formatiert hat.

 

[Ernst@at]

Ich wollte damit Deine Idee nicht ins lächerliche ziehen, sondern die allgemeine Handhabung durch den Kakao.
Wir befinden uns hier nicht in einem Forum, wo Administratoren ihre Erfahrungen austauschen, sondern wo Hinz&Kunz und Tante Jetti Fragen stellen, die sie bewegen.
Natürlich ist dieser Sicherheitsaspekt im Standardrepertoire eines Securityspezialisten zu finden.
Der User im Consumerbereich kann aber Datensicherheit nicht einmal von Sicherheit vor fremden Zugriff unterscheiden, was zum traurigen Umstand führt, dass jeder zweite Truecrypt-Fan keine Sicherungskopie seiner Daten hat, wie man an den vielen verzweifelten Themen im Datenrettungsforum leicht ablesen kann.
Denn auch ein vollverschlüsseltes Volume("Jetzt sind meine Daten sicher!") ersetzt kein Backup.

Einzig sinnvolle ist daher die gesamte Platte zu verschlüsseln. So kann man der Platte dann auch nichtmal ansehen dass ne Partition drauf ist.

Das ist im kommerziellen Bereich zB auf einem Fileserver durchaus richtig, dass ein Privatnutzer terabyteweise sensible Daten daheim herumliegen hat, kann ich mir nur schwer vorstellen.
Ein verschlüsselter Ordner mit unverfänglichem Namen ist besser versteckt als die Nadel im Heuhaufen.

An nen Safe auch wenn er absolut sicher ist, hängste ja auch kein Zettel dran mit "Achtung hierdrin befinden sich geheime Daten"

Auf der Platte bzw. am PC ist das ja auch nicht von Außen ersichtlich. Um festzustellen, dass da eine WIN RE hidden Partition drauf ist, muss man Zugang zum PC und zum System haben; von dieser Info kann man außerdem nicht auf Encryption schliessen, das ist einfach ein böhmisches Dorf selbst für Fortgeschrittene.

Wie schon von mir angemerkt, ich denke ne Platte zu initialisieren und ne neue Partition drauf zu erstellen, wird wohl eher nicht so schnell passieren wie das formatieren. Das passiert nichtmal eben so, bei ner verschlüsselten Parittion wird mir dies aber vorgeschlagen.

Du scheinst Dich nicht in den unbedarften Benutzer reinversetzen zu können, welcher durch das popup völlig überrascht wird und es zudem vielleicht noch nie gesehen hat.
Unabsichtlich Enter zu drücken, kann schneller passieren, als einem lieb ist, wenn man gerade ein Word-File oder ein Mail schreibt.

Mein Hinweiß ist obendrein auch kostenlos umsetzbar deine ganzen anderen "Ideen" nicht.

Ich wüsste nicht, was ein diskpart auf der Befehlszeile mehr kosten sollte außer etwas Überwindung.

 

[Rach78]

Du scheinst Dich nicht in den unbedarften Benutzer reinversetzen zu können, welcher durch das popup völlig überrascht wird und es zudem vielleicht noch nie gesehen hat.

Nunja dennoch behaupte ich einfach mal ist ne mit TC verschlüsselte Partition schneller neu formatiert, als dass man ne Platte neu initialisiert.

Wenn du eine komplett verschlüsselte Platte einhängst wird lediglich der Treiber geladen. Du MUSST erstmal aktiv werden und die Platte initialisieren. Ich bau zwar nicht so oft neue Platten ein aber ich meine da kommt dann nicht automatisch die Frage danach, wo hingegen sie bei nur ner verschlüsselten Partition schon kommt. Aus dem Grund finde ich schon das verschlüsselt der Platte sinnvoller, da man in meinen Augen ne verschlüsselte Partition 100mal eher ausversehen formatiert als die Schritte die man unternehmen muss damit ich bei ner Verschlüsselten Platte Datenverlust erleide.

Zu guter letzt ist TC auch nicht umbedingt das ideale Tool für blutige Anfänger und erfordert schon eine gewisse Einarbeitung.

Wenn man einfach mal lerning by doing einsteigt wird man eher seine Daten verlieren als dass man irgendein mehr an Sicherheit erreicht.

Genau das hatte ich ja auch gesagt. Nicht mehr und nicht weniger

 

[Ernst@at]

Hier kollidieren einfach zwei Welten:
das Symptom der digitalen Degeneration: die unwillkommenen MS-Benutzerbevormundung und
das TC-Design, welches glaubt, sich technisch über jedwede Normierung der Datenträgerkennung hinwegsetzten zu müssen.
Will man unbedingt beide verheiraten, muss man eben ein wenig tricksen(was der TE ja explizit angefragt hat) oder lieber das Risiko in Kauf nehmen.
Alternativ die Finger von einem der beiden lassen.