How To: Erstellung einer Notfall-CD mit DriveLock und Windows PE

Datensicherheit ist das Eine = Verschlüsselung. Doch was tun im Disasterfall, wenn Windows nicht mehr startet oder die Festplatte defekt ist? Hierzu gibt es eine neue einfache Variante ein Windows PE zu erstellen und mithilfe einer Wiederherstellungsdatei auf die verschlüsselte Partition des Rechners zuzugreifen. Dieser Artikel beschreibt das Vorgehen (Gültig ab Version DriveLock 7.1).  

1. Wiederherstellungsdatei .DKE erzeugen

Hierzu benötigen Sie folgende Informationen / Zertifikate:

  • DLFdeMaster.pfx (mit privatem Schlüssel)
  • Das Kennwort mit dem der o.g. private Schlüssel geschützt ist
  • Backup.zip des betroffenen Rechners / Beim Einsatz des DES-Servers erfolgt die Auswahl über den Rechnernamen
  • DriveLock MMC

Über die DriveLock MMC das Wiederherstellungsverfahren starten: image Dort werden die Art der Wiederherstellung abgefragt, in diesem Fall möchten wir den Disk key wiederherstellen (für die Wiederherstellungsdaten wählen Sie bitte die für Sie korrekte Umgebung): image Anschließend werden noch Key und Kennwort abgefragt. Außerdem wird der Pfad zur Erstellung der DKE (Disc Key Encrypted) und dessen Kennwort festgelegt. Die DKE-Datei ist nur für den jeweils ausgewählten Rechner gültig und enthält nur den Disc Key in verschlüsselter Form. Für die eigentlich Wiederherstellung benötigt man nur diese Datei und nicht mehr die Hauptzertifikate.  

2. Wiederherstellungstools erzeugen

Stellen Sie als erstes die von Ihnen eingesetzte FDE-Version fest. Entweder lokal über “dlfdecmd showstatus” oder über das Reporting vom DriveLock Control Center – Helpdesk. Die Tools erzeugen Sie wieder über die DriveLock MMC, hierzu wird die exakt installierte Version benötigt, die Sie zuvor ausgelesen haben. Bestandteil davon ist der Verschlüsselungstreiber, der in dem Windows PE installiert wird. Somit kann später on-the-fly auf den Datenträger zugegriffen werden, ohne vorher komplett entschlüsseln zu müssen. image

3. Windows PE Image erstellen

Da die Microsoft Lizenzbestimmungen es verbieten, dass wir ein fertiges Windows PE Image ausliefern, können wir Ihnen nur ein Werkzeug mitgeben, mit der die Erstellung einfacher geht. Erstellen müssen Sie das Image selbst. Hierzu benötigen Sie das kostenlose WAIK von Microsoft: http://www.microsoft.com/download/en/details.aspx?id=5753  In dem zuvor erstellten Tools Verzeichnis liegt eine CreatePE.vbs (ab Version FDE 6.1.0). Auf einem Rechner, wo das Microsoft WAIK installiert ist, rufen Sie das Skript wie folgt auf (das erstellt dann ein Windows PE Image inkl. der von DriveLock benötigten Tools): cscript.exe CreatePE.vbs /Path:<Temp Verzeichnis> /Tools:<DriveLock disk recovery tools Verzeichnis> plus optional /DKE:<Pfad zur DKE Datei> image Am Ende erhalten Sie ein ISO-Image was im o.a. Temp Verzeichnis erstellt wurde. Diese benötigen Sie für den nächsten Schritt (also z.B. auf CD brennen oder auf bootbarem USB-Stick).

4. Wiederherstellung durchführen

Die eigentliche Wiederherstellung ist jetzt nur noch ein Kinderspiel. Starten Sie von der zuvor erstellten ISO-CD. Über das Tool X:DriveLockpeprep.exe muss jetzt noch die DKE-Datei eingebunden werden. Wurde die DKE Datei über das Skript mit im ISO integriert, liegt diese im gleichen Verzeichnis wie peprep: X:DriveLockpeprep.exe /inj <Ihre DKE Datei.dke>  Ansonsten kann man sich auch bequem ein Netzlaufwerk mappen und die DKE-Datei einbinden (seit FDE 6.0.1), wie im folgenden Beispiel: net use z: <Server inkl. Freigabe> x:DriveLockpeprep.exe /inj z:<Ihre DKE Datei.dke> image Nun können Sie direkt auf Ihre Laufwerke zugreifen. Diese haben i.d.R. die Laufwerksbuchstaben C: oder D: Tool zum Thema Partitionierung und Laufwerksbuchstaben ist diskpart Die wichtigsten Befehle auf der Kommandozeile:

  • dir – Zeigt Verzeichnisinhalt an
  • cd – Wechselt das Verzeichnis, z.B. cd Windows wechselt in das Windows Verzeichnis; cd.. ein Verzeichnis höher; cd Root Verzeichnis
  • copy – Kopiert eine Datei oder Verzeichnis
  • xcopy – Kopiert ein Verzeichnis
  • diskpart – Partitionierung auf Kommandozeile
  • net use * – Netzlaufwerk verbinden
0 0 votes
Article Rating
Teilen

Autor: Dennis Hobmaier

Dennis Hobmaier ist Consultant - Digital Workspace bei Insight Technology Solutions GmbH. Er hat über 15 Jahre Erfahrung in IT-Enterprise Umgebung aller Größenordnungen und bedient Kunden aus den unterschiedlichsten Branchen. Als MCSE SharePoint hat er tiefgreifende Kenntnisse in den Bereichen Microsoft Active Directory, Windows, Azure, SharePoint und Office 365. Gerne teilt er seine Projekterfahrung mit Ihnen.

Subscribe
Notify of
guest

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .

0 Comments
Inline Feedbacks
View all comments