VHDs automatisch einbinden und die Verschlüsselung mit BitLocker

Oktober 24, 2009 Kategorie: Backup & Security, Windows, geschrieben von: caschy

Seit Windows 7 bin ich echter Fan von VHDs. Kleiner Exkurs für die, die nicht wissen was das ist: eine Datei, die sich einfach verhält wie eine Festplatte. Nicht mehr, nicht weniger. Man kann also ganz easy im Computer-Management eine virtuelle Festplatte anlegen und ins System einhängen. Hat dann beispielsweise den Buchstaben X:, die Datei liegt aber auf C:. Hat man dann vielleicht noch Windows 7 Enterprise oder Ultimate, dann kann man diese auch ganz einfach per Bitlocker verschlüsseln. Eine virtuelle Festplatte wird dann mittels BitLocker to go verschlüsselt (siehe auch: Portable BitLocker, wie man seinen USB-Stick verschlüsselt).

Nun haben VHDs einen großen Nachteil. Standardmäßig verschwinden sie nach einem Reboot aus dem Arbeitsplatz. Man müsste sie erst wieder über die Datenträgerverwaltung einhängen – doch es geht auch einfacher.

Folgende Fragen wird dieser Beitrag beantworten: Wie erstelle ich eine VHD? Wie verschlüssle ich eine VHD mit BitLocker? Wie binde ich eine VHD automatisch ein?

Fangen wir mal mit dem absoluten Urschleim an. Wer bereits weiß wie man eine VHD erstellt, der kann weiter nach unten springen.

Bei der Erstellung von VHDs führen viele Wege nach Rom, ich stelle mal wirklich die einfachste vor. Macht einen Rechtsklick auf euren Arbeitsplatz und wählt “Verwalten”. Besucht den Punkt “Datenträgerverwaltung” und wählt unter “Aktion”, dass ihr eine neue VHD anlegen wollt.

Diesen Datenträger müsst ihr nun initialisieren und formatieren. Lässt sich beides per Rechtsklick auf die VHD in der Datenträgerverwaltung bewerkstelligen.

Das war also Part 1 des Beitrags. Ihr wisst nun, wie man eine VHD erstellt. Nach der Formatierung taucht (sofern ihr einen Laufwerksbuchstaben vergeben habt) die VHD im Arbeitsplatz auf. Von hier aus könnt ihr sie per Kontextmenü mit BitLocker verschlüsseln. Wie das geht hatte ich ja bereits hier beschrieben. Wer nur einen PC hat und nicht zwingend TrueCrpyt nutzt kann ruhig BitLocker nutzen. Finde ich legitim.

Nun aber zum eigentlichen Problem: VHDs sind nach jedem Reboot getrennt, Einstellungsmöglichkeiten gibt es da (soweit ich weiss) keine. Bene und ich haben Ewigkeiten über diese Problematik gelabert und herausgekommen ist ein Tool, mit dem ihr VHDs per Kontextmenü mounten könnt (unabhängig von VHD Attach). Das funktioniert auch bisher soweit, als das man VHDs via Kontextmenü mounten kann. Nur leider wird bisher der vorgegebene Zielbuchstabe nicht auf allen Systemen übernommen.Dauert also noch ein bisschen bis zum Release.

Wem es reicht, dass eine VHD den nächsten freien Buchstaben bekommt, der muss einfach zum automatischen Einbinden eine Batch erstellen.

Besser gesagt sind es zwei Dateien. Die erste ruft diskpart mit der jeweiligen Parameter-Datei auf. Sehr verworren, aber bedankt euch bei Microsoft. Die erste Datei ist dann zum Beispiel eine mount_vhd.cmd mit folgendem Inhalt:

diskpart -s mountvhd.txt

Die mountvhd.txt muss dann folgenden Inhalt haben:

select vdisk file=”C:\Users\caschy\Desktop\Test.vhd”
attach vdisk

Wichtig ist hier der volle qualifizierte Pfad zur VHD. Den kann man ganz einfach in die Zwischenablage kopieren indem man per gedrückter Shift-Taste einen Rechtsklick auf die VHD macht und “Als Pfad kopieren” wählt. Das Aushängen der VHD erfolgt auch nach diesem Schema. Ausser, dass in der Datei statt attach vdisk detach vdisk stehen muss.

Natürlich ist die erste Einrichtung ein wenig umständlich. Wenn man aber alles geschnallt hat, dann sollte das in wenigen Augenblicken von der Hand gehen. Per Batch-Datei hat man zudem noch einen schönen Automatismus drin, der das Mounten von VHDs vereinfacht.

Mein Fazit: VHDs und das Erstellen von solchen ist schon aus Backupzwecken sinnvoll. Schließlich kann man so auf Software wie Acronis TrueImage verzichten (siehe Kostenloses und vollautomatisches Backup für Windows 7). Des Weiteren kann man VHDs wunderbar in reinen Windows-Umgebungen nutzen um Daten zu verschlüsseln (per BitLocker, sofern man Windows 7 Enterprise oder Ultimate sein Eigen nennt). Übrigens, wer per BitLocker verschlüsselte Laufwerke (verschlüsselte USB-Sticks) auch unter XP / Vista nutzen will, der sollte das erforderliche BitLocker to Go Lesetool von Microsoft auf den betreffenden Maschinen installieren.

Wenn du hier neu bist, dann abonniere am besten den RSS-Feed um auf dem Laufenden zu bleiben. Über 15.000 Abonnenten können nicht irren :)

Trackbackadresse dieses Beitrags

26 Kommentare zu “VHDs automatisch einbinden und die Verschlüsselung mit BitLocker”

Kleinenbroicher ( @kleinenbroicher) sagt

Moin,

hat das Vorteile gegenüber dem Einsatz von TrueCrypt, wenn ich die Laufwerke eh verschlüsseln will?

VG,
Kleinenbroicher

Kommentar am 24. Oktober 2009 um 08:16 geschrieben.

caschy sagt

Geht ja nicht nur um Verschlüsselung hier, sondern generell. In deinem Falle: nein

Kommentar am 24. Oktober 2009 um 08:19 geschrieben.

Roland ( @taunusrider17) sagt

ich weiß nicht warum, aber bei mir funzt das net. hab alles so gemacht wie beschrieben und auch jeden Tippfeheler ausgeschlossen.
diskpart ruft er auf, dann kommt ganz kurz ein weiteres Konsollenfenster und das wars. Wenn ich das “manuell” macht gehts.
Hab ich was übersehen ????
Gruße Roland

Kommentar am 24. Oktober 2009 um 09:44 geschrieben.

caschy sagt

WAS funktioniert nicht?

Kommentar am 24. Oktober 2009 um 09:49 geschrieben.

Roland ( @taunusrider17) sagt

Die vhd wird nicht eingebunden!
Hab mir aber gerade mal das Tool: Vhd Attach installiert.
Damit läufts einwandfrei

Kommentar am 24. Oktober 2009 um 09:51 geschrieben.

Blauvogel sagt

Man kann statt einem Laufwerksbuchstaben auch einen Bereitstellungspunkt (mount point) verwenden. Vorteil: die virtuelle Festplatte ist nach jedem Verbinden (attach) unter dem gleichen Pfad ansprechbar.

Dazu einmal manuell in der Datenträgerverwaltung (diskmgmt.msc) Rechtsklick auf die eingebundene virtuelle Festplatte und “Laufwerksbuchstaben und -pfade ändern…” wählen. Nun auf “Hinzufügen” und “In folgendem leeren NTFS-Ordner bereitstellen:” klicken. “Durchsuchen” ermöglicht nicht nur die Auswahl sondern auch das Erstellen eines Ordners.

Der Laufwerksbuchstabe kann auf dem gleichen Weg entfernt werden.

Beim nächsten Einhängen, also wenn ihr Caschys Skript wieder ausführt, werden die gleichen Verhältnisse wieder hergestellt. Jedenfalls solange, wie nicht

DISKPART AUTOMOUNT SCRUB

aufgerufen wird.

Für die Kommandozeilenfetischisten: Das kann man auch alles mit dem Kommando DISKPART erledigen, siehe ASSIGN und REMOVE.

Kommentar am 24. Oktober 2009 um 10:24 geschrieben.

mandy sagt

sehr interessant finde ich persönlich ja vor allem auch noch für die Phase des Umstiegs die Möglichkeit, ein Image von XP zu erstellen, dass man dann immer mal bei Bedarf in Win7 einbinden kann, um doch noch einmal alte Relikte rauszuziehen. Dazu eignet sich Disk2VHD von Sysinternals (nicht auf der WSCC enthalten) http://technet.microsoft.com/e.....us%29.aspx
Quelle: “Blog-Nachbar” Björn: http://blog.buerstinghaus.net/.....-disk2vhd/

Kommentar am 24. Oktober 2009 um 10:49 geschrieben.

caschy sagt

Jojo – kleines Beispiel zu diesem Tool: ich habe zwei 500er Platten, C und D. C ist mit 30 GB belegt und auf D sind 200 GB frei. Nun sollte man der Meinung sein, dass das Tool die VHD auf D ablegen kann, oder? Nö, macht es aber nicht: There is not enough space on the target volume.

Kommentar am 24. Oktober 2009 um 10:53 geschrieben.

Toddi sagt

Ich muss bei meinem Home Premium 64bit erst die Computerverwaltung beenden und neu starten, nach dem ich die VHD erstellt habe, sonst kann ich mit der VHD nichts machen.
Danach geht dann auch das Formatieren, vergeben eines Laufwerkbuchstaben.

Wie nutzt man das dann fürs Windows Backup?
Ich hätte dann ja eine VHD in einer VHD, wie komme ich an die ran, wenn Windows zum Beispiel nicht mehr läuft?

Kommentar am 24. Oktober 2009 um 13:17 geschrieben.

caschy sagt

Steht doch alles in verlinkten Beitrag, oder?

Kommentar am 24. Oktober 2009 um 13:20 geschrieben.

Adrian Sauer sagt

Danke für die wertvolle Info. Kannste ich so noch nicht.

Gruß

Kommentar am 24. Oktober 2009 um 15:47 geschrieben.

cekay sagt

Wenn ich mich nicht ganz irre dann lassen sich VHDs in der Ultimate oder Enterprise Version auch direkt schon in das Bootmenü von Windows 7 integrieren, somit kann man dann auch von einem VHD booten. Das sollte man vielleicht in dem kleinen VHD Kurs erwähnen.
Danke für die Mühe die du dir gemacht hast.

Kommentar am 24. Oktober 2009 um 16:21 geschrieben.

Toddi sagt

> Steht doch alles in verlinkten Beitrag, oder?

In welchem?

Kommentar am 24. Oktober 2009 um 17:24 geschrieben.

Phil sagt

Danke Caschy!
Das werde ich mir auch genauer ansehen.

Kommentar am 24. Oktober 2009 um 17:31 geschrieben.

k0k0 sagt

@Toddi: Wieso willst Du von einer VHD (her)aus eine VHD erstellen? Kopier doch einfach die VHD (das ist ungemountet/nicht eingebunden – aus der Sicht des Host-OS – schließlich eine gewöhnliche Datei) wenn Du diese sichern willst.

Kommentar am 24. Oktober 2009 um 17:55 geschrieben.

Toddi sagt

Weil man beim Windows Backup keine Pfade und Namen angeben kann.
Eine VHD wäre eine Möglichkeit das zu umgehen. Da kann ich einen Namen vergeben und einen gewünschten Speicherort.
Haken an der Sache: Es befindet sich dann eine VHD in einer VHD.

Kommentar am 24. Oktober 2009 um 21:30 geschrieben.

Patrick sagt

@cekay

Kannst du vielleicht kurz erkären wo/wie das mit dem Bootmenü geht? Dank dir.

Kommentar am 24. Oktober 2009 um 21:45 geschrieben.

Alonso sagt

Moinsen!

Ob man XP oder Linuxe in eine VHD installieren kann und über den BootMananger von Windows7 booten kann? Schon probiert bzw. gehört, ob es geht? Installieren geht bestimmt, aber Booten?

Kommentar am 26. Oktober 2009 um 12:19 geschrieben.

evil sagt

angenommen ich donk hab das passwort vergessen, (verdammt)
was mach ich n nu?mein usb is so sicher das nichma ich drankomme!
meine ganzen daten sind jetzt da drauf und ich komm nich mehr dran
schlau wie ich bin hab ichs auch nich aufgeschrieben oder anderweitig abgesavet.
HILFEEEEEEEEEE!!!!! meine ganzen zugangsdaten und passwörter sind da drauf .

Kommentar am 30. Oktober 2009 um 11:34 geschrieben.

R2D2 sagt

Hallo, folgendes Szenario. Ich habe eine komplette Partition verschlüsselt, nicht die Bootpartition.
So wenn ich meinen PC hochfahre ist diese Partition verschlüsselt bis ich diese entsperre (weil ich zb. von dieser Partition ein Dokument brauche). Kann man diese Partition nun wieder sperren ohne den PC neu zu starten ???

Grüße R2D2

Kommentar am 4. November 2009 um 00:08 geschrieben.

Bene sagt

@R2D2: Kommandozeile -> manage-bde -lock Laufwerksbuchstabe:

Kommentar am 4. November 2009 um 07:36 geschrieben.

R2D2 sagt

@Bene

You are my Hero !!

Ich kann dir garnicht sagen wie lange ich danach gesucht habe.

DANKE, DANKE, DANKE

Kommentar am 4. November 2009 um 18:43 geschrieben.

kingofcomedy sagt

@caschy: ich habe wohl mitbekommen dass es Bene gesundheitlich nicht gut geht (alles Gute an dieser Stelle), aber habt ihr vielleicht trotzdem weiter an Eurem Tool gebastelt?

Kommentar am 7. März 2010 um 18:28 geschrieben.

leosmutter sagt

Wenns jemand braucht… Ich habe mir gerade etwas mit AutoIt gebastelt um meine Bitlocker-VHD zu mounten:

AutoIt-Mounter

Einfaches Ding aber es erfüllt seinen Zweck.

Kommentar am 13. Juni 2010 um 10:50 geschrieben.

Nine sagt

Hier ein Beispiel für eine BCD-Datei.
Ich habe einfach mal die Kommandozeilenausgabe von bcdedit in eine Datei umgeleitet. Im Boot-Menü stehen mir jetzt 3 Optionen zur Auswahl. Ich benötige zum Beispiel verschiedene Installationen für verschiedene Aufgaben. Die erste (default)-Option ist eine Win7-Instanz, die sich komplett in einer VHD-Datei befindet. Will ich verhindern, daß die Installation verändert werden kann, brauche ich nur die VHD-Datei mit einer Kopie derselben auszutauschen. Bit-Locker könnte beim Booten Probleme bereiten.
Man sollte zudem auch noch beachten, daß man die Partition, auf der sich die VHD-Datei befindet und zusätzlich die gemountete VHD-Datei ordentlich defragmentiert. Das bringt zusätzliche Performance. Einen Performanceverlust durch die Verwendung einer VHD-Installation kann ich nicht feststellen.
Meine beiden anderen Optionen befinden sich auf normalen Partitionen. So genug gelabert! Hier die BCD-Datei:

##ANFANG##

Windows-Start-Manager
———————
Bezeichner {bootmgr}
device boot
description Windows Boot Manager
locale de-DE
inherit {globalsettings}
default {default}
resumeobject {88b48709-d025-11df-bae6-00248c48a9b2}
displayorder {default}
{current}
{0223d820-d00d-11df-b2e6-00248c48a9b2}
toolsdisplayorder {memdiag}
timeout 30

Windows-Startladeprogramm
————————-
Bezeichner {default}
device vhd=[C:]VHDSEVENwin7.vhd
path Windowssystem32winload.exe
description Seven-VHD
locale de-DE
inherit {bootloadersettings}
recoverysequence {88b4870b-d025-11df-bae6-00248c48a9b2}
recoveryenabled Yes
osdevice vhd=[C:]VHDSEVENwin7.vhd
systemroot Windows
resumeobject {88b48709-d025-11df-bae6-00248c48a9b2}
nx OptIn

Windows-Startladeprogramm
————————-
Bezeichner {current}
device partition=C:
path Windowssystem32winload.exe
description Microsoft Windows 7
locale de-DE
osdevice partition=C:
systemroot Windows
resumeobject {4f284cd6-d020-11df-8c38-806e6f6e6963}
sos No
debug No

Windows-Startladeprogramm
————————-
Bezeichner {0223d820-d00d-11df-b2e6-00248c48a9b2}
device partition=F:
path Windowssystem32winload.exe
description se7en
locale de-DE
osdevice partition=F:
systemroot Windows
resumeobject {c1fc5a1a-d43b-11df-9ff9-806e6f6e6963}
sos No
debug No

##ENDE##

Coole Seite hier übrigens!

Gruß nine

Kommentar am 5. November 2010 um 02:03 geschrieben.

Nine sagt

Das war natürlich blöd jetzt. Ich hatte einen Rechtschreibfehler gefunden und den Text bearbeitet. Jetzt viel mir auf, daß alle Backslashes aus dem Text entfernt wurden. Vielleicht kann das ja mal jemand fixen und meinen vorigen Beitrag einfach löschen. Wenns geht danach dann auch diesen Abschnitt hier. Ich schreib den Text jetzt einfach nochmal. Hoffe es geht jetzt.

##ANFANG##

Windows-Startladeprogramm
————————-
Bezeichner {default}
device vhd=[C:]\VHD\SEVEN\win7.vhd
path \Windows\system32\winload.exe
description Seven-VHD
locale de-DE
inherit {bootloadersettings}
recoverysequence {88b4870b-d025-11df-bae6-00248c48a9b2}
recoveryenabled Yes
osdevice vhd=[C:]\VHD\SEVEN\win7.vhd
systemroot \Windows
resumeobject {88b48709-d025-11df-bae6-00248c48a9b2}
nx OptIn

Windows-Startladeprogramm
————————-
Bezeichner {current}
device partition=C:
path \Windows\system32\winload.exe
description Microsoft Windows 7
locale de-DE
osdevice partition=C:
systemroot \Windows
resumeobject {4f284cd6-d020-11df-8c38-806e6f6e6963}
sos No
debug No

Windows-Startladeprogramm
————————-
Bezeichner {0223d820-d00d-11df-b2e6-00248c48a9b2}
device partition=F:
path \Windows\system32\winload.exe
description se7en
locale de-DE
osdevice partition=F:
systemroot \Windows
resumeobject {c1fc5a1a-d43b-11df-9ff9-806e6f6e6963}
sos No
debug No

##ENDE##

Coole Seite hier übrigens!

Gruß nine

Kommentar am 5. November 2010 um 04:52 geschrieben.