Truecrypt-Partitionen und Windows-Freigaben
Mit Truecrypt können unter Windows ganze Festplattenpartitionen verschlüsselt werden. Allerdings gehen (Netzwerk-) Freigaben auf diesen Datenträgern nach jedem "Trennen" der verschlüsselten Partition (z.B. beim Herunterfahren von Windows) verloren und müssen nach dem nächsten Systemstart neu erstellt werden.
Man kann sich jedoch ein kleines Batchskript schreiben, welches bei jedem Systemstart die verschlüsselte Partition mountet und die Freigaben danach neu einrichtet.
Das Mounten der verschlüsselten Partition kann im Batchskript einfach so erfolgen:
"C:\Programme\TrueCrypt\truecrypt" /q /v \Device\Harddisk1\Partition2 /l Z: > c:\loginlog.txt
Im Beispiel wird die 2. Partition der Festplatte 1 als Laufwerk "Z:" eingebunden. Die Ausgaben werden zur späteren Analyse in die Datei "C:\loginlog" geschrieben. Der korrekte Datenträgerpfad kann in Truecrypt unter "Datenträger..." gefunden werden.
Zur Einrichtung der Freigaben per Kommandozeile gibt es mehrere Möglichkeiten. Zum einen liegt jedem Windows 2000/XP/Vista das Werkzeug "net" bei:
net share /CACHE:None p2p=Z:\p2p /remark:"p2p (encrypted)" >> c:\loginlog.txt
Der Ordner "p2p" wird per "net" freigegeben.
Diese Methode hat jedoch den Nachteil, daß die Freigaben mit Lese- und Schreibrechten für alle Benutzer erstellt werden. Einzig unter Windows Vista beherrscht das "net"-Tool die kontrollierte Vergabe von Schreibrechten (zusätzlicher Parameter "GRANT"). Andererseits sollte man die Rechte statt auf Freigabeebene sowieso besser im NTFS-Dateisystem einstellen.
Um die Rechtevergabe direkt in der Freigabe zu setzen, kann man das Microsoft-Tool "RMTSHARE" aus der MS-Toolsammlung für Domänenadminis (sic!) nutzen. Je Ordnerfreigabe sollte dann eine Zeile der folgenden Art im Batchskript angelegt werden:
rmtshare \\server\p2p=Z:\p2p /REMARK:"p2p (encrypted)" /GRANT shareAdmins:f /GRANT Everyone:r >> c:\loginlog.txt
Im Beispiel wird das Verzeichnis "p2p" auf "server" freigegeben. Dabei bekommt die Nutzer(gruppe) "shareAdmins" volle Zugriffsrechte ("f"), die Nutzer der Gruppe "Everyone" (deutsch "Jeder") dürfen nur lesen ("r").
Die erzeugte Batchdatei kann einfach in den Autostartordner verlinkt werden und wird so bei jeder Anmeldung des entsprechenden Benutzers ausgeführt. Leider muss bei dieser Art der Einbindung ein Nutzer am System angemeldet werden. Ein funktionierende Einbindung per GPO (Editor: "gpedit.msc") ist mir nicht gelungen.
Links: (1, 2)
Man kann sich jedoch ein kleines Batchskript schreiben, welches bei jedem Systemstart die verschlüsselte Partition mountet und die Freigaben danach neu einrichtet.
Das Mounten der verschlüsselten Partition kann im Batchskript einfach so erfolgen:
"C:\Programme\TrueCrypt\truecrypt" /q /v \Device\Harddisk1\Partition2 /l Z: > c:\loginlog.txt
Im Beispiel wird die 2. Partition der Festplatte 1 als Laufwerk "Z:" eingebunden. Die Ausgaben werden zur späteren Analyse in die Datei "C:\loginlog" geschrieben. Der korrekte Datenträgerpfad kann in Truecrypt unter "Datenträger..." gefunden werden.
Zur Einrichtung der Freigaben per Kommandozeile gibt es mehrere Möglichkeiten. Zum einen liegt jedem Windows 2000/XP/Vista das Werkzeug "net" bei:
net share /CACHE:None p2p=Z:\p2p /remark:"p2p (encrypted)" >> c:\loginlog.txt
Der Ordner "p2p" wird per "net" freigegeben.
Diese Methode hat jedoch den Nachteil, daß die Freigaben mit Lese- und Schreibrechten für alle Benutzer erstellt werden. Einzig unter Windows Vista beherrscht das "net"-Tool die kontrollierte Vergabe von Schreibrechten (zusätzlicher Parameter "GRANT"). Andererseits sollte man die Rechte statt auf Freigabeebene sowieso besser im NTFS-Dateisystem einstellen.
Um die Rechtevergabe direkt in der Freigabe zu setzen, kann man das Microsoft-Tool "RMTSHARE" aus der MS-Toolsammlung für Domänenadminis (sic!) nutzen. Je Ordnerfreigabe sollte dann eine Zeile der folgenden Art im Batchskript angelegt werden:
rmtshare \\server\p2p=Z:\p2p /REMARK:"p2p (encrypted)" /GRANT shareAdmins:f /GRANT Everyone:r >> c:\loginlog.txt
Im Beispiel wird das Verzeichnis "p2p" auf "server" freigegeben. Dabei bekommt die Nutzer(gruppe) "shareAdmins" volle Zugriffsrechte ("f"), die Nutzer der Gruppe "Everyone" (deutsch "Jeder") dürfen nur lesen ("r").
Die erzeugte Batchdatei kann einfach in den Autostartordner verlinkt werden und wird so bei jeder Anmeldung des entsprechenden Benutzers ausgeführt. Leider muss bei dieser Art der Einbindung ein Nutzer am System angemeldet werden. Ein funktionierende Einbindung per GPO (Editor: "gpedit.msc") ist mir nicht gelungen.
Links: (1, 2)
techomatic - 2008-09-01 16:51
