Okt 26, 2009 von Nils
Systempartition unter Windows 7 verschlüsseln
Dank der kostenlosen Software TrueCrypt ist es möglich einzelne Container, Partitionen oder gesamte Datenträger zu verschlüsseln. Dies Option bietet zwar auch das neue Windows 7, dafür aber längst nicht so professionell. Da ich am Wochenende eh meinen Rechner neu aufgesetzt habe, wollte ich in diesem Zuge auch für ein Stückweit mehr Sicherheit auf meinem System sorgen. Hierfür wollte ich auch direkt meine gesamte Systempartition von Windows 7 entsprechend verschlüsseln.
Auch für diese Option ist TrueCrypt bestens geeignet. Hierfür wird ein eigener Menüpunkt bereitgestellt, welcher es ermöglicht, die gesamte Festplatte oder lediglich die Partition, auf der das System installiert ist, zu verschlüsseln. Da ich für Windows 7 kein entsprechendes Tutorial gefunden habe, bin ich nach einer Anleitung von fixmbr für Windows XP vorgegangen. Da diese allerdings schon etwas veraltet ist, stelle ich hier mal eine neuere Version zur Verfügung.
Vorweg kann allerdings schon erwähnt werden, dass diese Anleitung nicht nur für Windows 7 gilt, sondern auch auf alle Vorherigen Betriebssysteme aus dem Hause Microsoft angewendet werden kann. Zudem bitte nicht über die Screenshots von Windows XP wundern. Ich selbst habe die gleichen Schritte zwar zuvor unter Windows 7 durchgeführt, bin aber erst später auf die Idee gekommen ein Tutorial für den Vorgang zu schreiben. Ist die Partition allerdings erst einmal verschlüsselt, so kann der Wizard nicht erneut geöffnet werden 
Obwohl der eigentliche Vorgang innerhalb von TrueCrypt schon sehr gut erläutert wird und man im Prinzip auch nicht viel falsch machen kann, schadet es dennoch nicht zuvor ein Backup der Systempartition zu erstellen. Sollte irgendetwas schief gehen, kann jederzeit das Backup zurückschreiben werden. Hierfür kann ich das Open Source Projekt Clonzilla empfehlen, mit welchem ihr sehr einfach eure Windows Partition als komprimiertes Image sichern könnt.
Nun aber zur eigentlichen Anleitung. Sofern noch nicht installiert, kann man die Software TrueCrypt auf der Projektseite herunterladen. Nach einer kurzen Installation kann das Programm auch schon eingesetzt werden. Als erstes ist der entsprechende Punkt im Menü auszuwählen, in unserem Fall also “Encrypt System Partition\Drive”.
Anschließend sollte auch schon ein Wizard erscheinen, der uns ab sofort durch die nächsten Schritte führt. Als erstes wird gefragt, ob normal oder versteckt verschlüsselt werden soll. Hier belassen wir die Standardeinstellung.
Als nächstes wird ausgewählt, ob nur die Systempartition oder direkt die ganze Festplatte, auf der sich das System befindet, verschlüsselt werden soll.
Hier gibt es einen kleinen Punkt, der bei Windows 7 zu beachten ist. Wird die ganze Festplatte verschlüsselt, so bezieht dies auch die kleine 100MB Partition mit ein, die bei der Windows 7 Installation mit angelegt wird. Auf dieser befinden sich wichtige Daten für den Bootvorgang. Dies stellt zwar eine Besonderheit dar, spricht aber natürlich nicht dagegen, diese auch gleich mit zu verschlüsseln. In meinem Fall habe ich mich allerdings für die erste Option entschieden. Alle folgenden Schritte sind aber bei beiden Optionen genau gleich.
Anschließend fragt TrueCrypt, ob es sich um ein Single- oder Multi-boot System handelt. Hier einfach den zutreffenden Punkt auswählen.
Im nächsten Schritt muss eine Verschlüsslungsmethode ausgewählt werden. Hier empfiehlt es sich zunächst mit Hilfe des Benchmarks zu testen, welche die beste Performance bietet.
Dies sollte in der Regel AES sein. Da es sich um die Systempartition handelt, sollte hier auch die schnellste Methode gewählt werden, damit nicht Einbußen bei der Performance in Kauf genommen werden müssen.
Jetzt muss noch ein Passwort bestimmt werden, welches ab sofort vor jeden Systemstart eingegeben wird um die Partition einzubinden. Natürlich sollte dies nicht zu kurz sein und Sonderzeichen enthalten, sonst bringt auch die Verschlüsslung herzlich wenig
Habt ihr euch für ein starkes Passwort entschieden, so sammelt TrueCrypt zufällige Werte, welche anhand der Bewegung eures Mauszeigers innerhalb des Dialogfensters ermittelt werden. Hier also einfach die Maus eine Zeit lang im Fenster hin und her bewegen.
Anschließend werden die daraus generierten Schlüssel präsentiert.
ist dieser Schritt bestätigt, so fordert die Software dazu auf, eine Rettungs CD zu erstellen. Die entsprechende ISO-Datei stellt das Programm zur Verfügung. Unter Windows 7 kann dies direkt mit Hilfe der mitgelieferten Systemtools auf eine CD gebrannt werden. Sollte anschließend irgendetwas schief gehen, so kann das System noch mit Hilfe dieser CD gerettet werden, vorausgesetzt man hat nicht das Passwort wieder vergessen
Erst wenn die CD gebrannt und anschließend nochmal von TrueCrypt überprüft wurde, gelangt man zum nächsten Schritt.
Hier wird der so genannte “Wipe Mode” ausgesucht. Ausreichend sollte hierbei das dreifache Überschreiben der Daten sein, was aber gleichzeitig den eigentlichen Vorgang der Verschlüsslung deutlich verzögert. Würde man die Daten nicht vorher noch mit Nullen überschreiben, so könnten diese theoretisch noch im Nachhinein durch aufwändige Wiederherstellungsmethoden sichtbar gemacht werden. Im Endeffekt sollte an diesem Punkt also jeder selbst entscheiden, wie weit er es mit der Datensicherheit treiben möchte
Jetzt sind wir auch schon fast am Ende angelangt. Was folgt, ist ein kleiner Test, ob die Passwortabfrage vor dem Bootvorgang auch funktioniert. Hierfür muss logischerweise einmal kurz der Rechner neugestartet werden.
Im Foto erkennt man den Dialog zur Passworteingabe, der ab jetzt vor jedem Systemstart auftauchen wird.
Zurück im Windows System meldet sich nun TrueCrypt wieder zurück und beginnt mit der Verschlüsslung der Platte. Screenshot technisch jetzt übrigens wieder im Windows 7 Stil
Dies geschieht “On the Fly”, also während des Betriebs von Windows.
Ist dieser Vorgang abgeschlossen, so habt ihr erfolgreich eure Systempartition unter Windows verschlüsselt.
Ich hoffe ich konnte mit dieser kleinen Anleitung aufzeigen, dass eine Verschlüsslung der Systempartition bei weitem nicht so aufwändig ist, wie man es zunächst vermutet. Ich habe insgesamt (vorheriges Backup nicht mit eingerechnet) etwa 2 Stunden dafür benötigt. Die meiste Zeit beansprucht hierbei natürlich die Verschlüsslung selbst. Wie lang diese dauert, hängt von der Leistung des Rechners und der Größe der Festplatte bzw. Partition ab.
Ähnliche Beiträge:
Sehr guter Artikel, danke! Ich hab bisher immer gezögert diesen Schritt zu tun, werds aber nun vielleicht doch probieren. Eine Frage hätte ich: Ich bilde mir ein im TrueCrypt Tutorial gelesen zu haben, dass eine verschlüsselte Partition einen neuen Laufwerksbuchstaben bekommt. Wie ist das nun bei Verschlüsselung der Systempartition, bleibt Laufwerk C das Laufwerk C?
Der Laufwerksbuchstabe bleibt auch nach der Verschlüsselung erhalten. Ansonsten würden ja auch jegliche Verknüpfungen nicht mehr funktionieren
Brauchst wirklich nicht zu zögern. Bei mir hat der ganze Vorgang wirklich problemlos funktioniert.
Zwar ist TrueCrypt komfortabler, aber beim Verschlüsseln der Systempartition auch bedeutend unsicherer als das in Windows 7 eingebaute Bitlocker.
Es wird zwar noch diskutiert, in wie weit der ‘evil-maid’-Angriff ohne weiteres durchführbar ist, jedoch gibt es ihn und ist für jedermann downloadbar.
Ich denke, ich werde meine Systempartition demnächst mit Bitlocker und den Rest mit TrueCrypt oder DiskCryptor verschlüsseln.
Und noch eine Frage: Wenn ich die Option “Gesamtes Laufwerk auf der Windows installiert ist verschlüsseln” wähle, was passiert mit den anderen Partitionen auf diesem phyikalischen Laufwerk? Windows ist auf C installiert, auf dem gleichen phyikalischen Laufwerk befinden sich aber noch die Partitionen D und F. Werden die mitverschlüsselt? Behalten die ihre Laufwerksbuchstaben?
Das heißt wenn ich das ganze Laufwerk verschlüssle wo Windows drauf ist, dann werden alle Partitionen die sonst noch drauf sind mitverschlüsselt und auch mit der Pre-Boot-Authentification wieder freigegeben? Der Laufwerksbuchstaben bleibt ebenfalls gleich?
Wenn TrueCrypt ne neue Version rausbringt, was ja sehr häufig passiert, kann man dann so ohne weiteres updaten oder musst dann wieder ein neuer Bootloader geschrieben werden usw.?
@Torsten: Ob Bitlocker nun wirklich sicherer ist mag ich nicht zu beurteilen. Erwähnen sollte man aber auf jeden Fall noch, dass für den von dir genannten “evil-maid-Angriff” immer direkter Zugriff auf die PC Hardware gegeben sein muss.
Selbst wenn dein rechner modifiziert wurde, sind deine Daten nicht direkt zugänglich. Erst in dem Moment, in dem du dein Passwort eingibst, kann dieses bei vorheriger Modifikation abgefangen werden.
@Daniel: Die anderen Partitionen werden hierbei auch komplett verschlüsselt. Die Laufwerksbuchstaben sollten auch hier erhalten bleiben.
Was passiert eigentlich wenn ich nach dem Verschlüsseln der Systempartition im laufenden Windows Betrieb ein Image derselben anlage – z.B. mit Snapshot. Enthält das Image dann entschlüsselte oder verschlüsselte Daten und kann es wieder mit einem bootfähigen Medium wie BartPE zurückgespielt werden?
@ Daniel :
Zwar ist der Beitrag ein wenig älter. Aber dennoch möchte ich hoffentlich richtig antworten.
Wenn du ein Image von Windows heraus erstellst (also, wenn Windows selbst läuft) Dann wird ein Image erstellt, welches NICHT verschlüsselt ist.
Machst du allerdings ein Partitionsabbild von einer Live-CD so wird diese verschlüsselt sein.
Wie das beim zurückspielen der ersten Methode aussieht, weiß ich nicht. Aber sollte eigentlich laufen. Hoffentlich. Bei der 2. Variante sollte es keine Probleme geben. Da von einer Live-CD ein Image erstellt wurde und dieses 1zu1 wieder von der Live-CD zurück gespielt wird.
Also … mit einer Live-CD gibt es keine Probleme.
Wenn man aber aus einem laufendem Windows ein Images macht, dieses Image per Live-CD zurückspielen will, kann ich nichts zu sagen. Selbst in einer Virtuellen Umgebung habe ich es noch nicht probiert.
@ Drink:
Ich hab diese Varianten inzwischen alle ausprobiert und setze erfolgreich Variante 1 ein. Der Nachteil von Variante 2 sind die großen Imagefiles, weil nicht mehr filebasiert gesichert werden kann, sondern die ganze Partition (es ist ja alles verschlüsselt und quasi nur “Müll”). Ich hab nur ein Imageprogramm gefunden, welches es ermöglicht auf eine eingebundene TrueCrypt Systempartition in einer Live-CD ein Image zurückzuspielen. Eine eingebundene Partition entspricht ja keiner physikalischen Partition, deswegen bieten wohl die meisten Imageprogramme diese Partition gar nicht als Zielpartition zur Auswahl an! Es funktioniert aber mit Drive Snapshot!
Done. Vielen Dank für das Tutorial.
Btw 15 Hours, 320GB HDD. Wovon aber nur ca. 140GB belegt sind.
@ach1m: Ah, freut mich
Mein System war damals grad frisch aufgesetzt. Deshalb ging das bei mir natürlich etwas schneller