nav nav

Automatisiertes verschlüsseltes Backup unter Windows

Bei Bekanntwerden der Verschlüsselungs-/Erpressungstrojaner (Teslacrypt, Locky) habe ich nach einer Möglichkeit gesucht, automatisiert (täglich) ein Backup in eine verschlüsselte Partition schreiben zu lassen.
Die Anleitung ist ein erstes funktionierendes Ergebnis der Versuche.

Es gibt eine Reihe von Programmen, die Backups – auch verschlüsselte – anlegen. Meine Anforderung ist aber, dass ich nicht auf das Backup-Programm angewiesen sein möchte, um mir einzelne Dateien zurückzuholen. Nach Öffnen der Backup-Partition sollen die Dateien in der gleichen Struktur vorliegen wie im Originalverzeichnis.

Anleitung zur Erstellung eines verschlüsselten Backups auf einer Partition des Windows-Rechners

Voraussetzungen für die Umsetzung

 

• Windows-System (Andere Systeme haben andere Batch-Programmsprachen)
• Mehrere Festplatten im Rechner, vielleicht auch mehrere Partitionen
• Administratorrechte
• Wenn du die Meldungen des Sicherheitscenters von Windows satt bist:
  Start -> Eingabe  'uac'
  UAC ganz ausschalten.
  Statt des UAC empfehle ich eine Firewall, die sich im Gegensatz zum UAC merken kann, welchen Programmen du die Erlaubnis zur Ausführung oder zum Internet-Kontakt gibst z.B. PrivateFirewall
• TrueCrypt 7.1.a herunterladen und installieren.
  Die spätere Version (7.2) enthält wahrscheinlich eine Sicherheitslücke. Alle nachfolgenden Programme wahrscheinlich auch, z.B. BitLocker.

Schritte:

 

• Lösche eine Partition, aus der du zuvor alle Daten woandershin kopiert hast.
  In der Datenträgerverwaltung: "Volume löschen"
• TC aufrufen.
• Create Volume
• Encrypt a non-system partition/drive
  (Erstelle keinen TC-Container, da dieser als Datei sichtbar irgendwo abgelegt wird – die kannn durch Trojaner verschlüsselt werden.)
• Standard TrueCrypt volume
• Select device -> die gelöschte Partition (notiere die Bezeichnung (etwa: \Device\Harddisk2\Partition2)
• Create encrypted volume and format it
  wähle z.B.
  AES
  SHA-512 oder andere
• Folge den weiteren Anweisungen

Batch-Datei

Erstelle mit einem Texteditor eine Datei mit Dateiendung .bat (z.B. backup.bat) und merke dir, wo du sie abgelegt hast.
Praktisch ist ein Verweis (Icon) auf dem Desktop. Damit kannst du jederzeit auf Knopfdruck ein Backup schreiben.
Mit Doppelklick wird die Datei ausgeführt; editieren lässt sie sich über Kontextmenü->Bearbeiten.
Die Partition kann von TC als z.B.
\Device\Harddisk2\Partition2
aufgerufen werden.
Leider nicht immer! Windows gibt den Festplatten und Partitionen ab und zu andere Nummern. Daher muss die verschlüsselte Partition in einer Batch-Datei mit vermuteten/ausprobierten Zahlen aufgerufen werden. Um Fehlermeldungen zu vermeiden gib dem TC-Aufruf noch die Parameter quiet und silent mit: /q /s
Hinter /l steht der Laufwerksbuchstabe, den die Partition erhalten soll.
Hinter /p steht das Passwort (in Klartext).
 

Angenommen, Dein TC-Programm liegt in
D:\Programme\TOOLS\TrueCrypt\

Ínhalt 'backup.bat':

@echo off

"D:\Programme\TOOLS\TrueCrypt\TrueCrypt.exe" /v \Device\Harddisk1\Partition1 /l v /p "##password##" /q /s
"D:\Programme\TOOLS\TrueCrypt\TrueCrypt.exe" /v \Device\Harddisk1\Partition2 /l v /p "##password##" /q /s
"D:\Programme\TOOLS\TrueCrypt\TrueCrypt.exe" /v \Device\Harddisk2\Partition1 /l v /p "##password##" /q /s
"D:\Programme\TOOLS\TrueCrypt\TrueCrypt.exe" /v \Device\Harddisk2\Partition2 /l v /p "##password##" /q /s

rem 3 Sekunden Pause zum Öffnen des Volumes
timeout /t 3

rem Wenn das Volume V: erfolgreich geöffnet wurde: 
if exist V:\ (
echo Starte Backup in verschüsselte Partition
xcopy D:\Dateien V:\Dateien /D/Y/S/C/I/R/H/EXCLUDE:C:\bat\backup_excludes.txt
rem hier können noch nach Belieben weitere xcopy-Zeilen eingetragen werden.

rem schließe das Volume wieder ab: 
rem d = dismount, v = Buchstabe des Volumes s.o. /f = force /q = quiet
D:\Programme\TOOLS\TrueCrypt\TrueCrypt.exe" /d v /f /q
)

exit

in der backup_excludes.txt können Dateien und Verzeichnisse ausgeschlossen werden:

.bak
.wbk
.xlk
.lck
desktop.ini
~
Thumb.db
_cache
\cache\
\trash\
\cookies\
\Recycle\
\Firefox\
\$RECYCLE.BIN\
\System Volume Information\

Automatisierung

Wenn alles funktioniert, öffne die Aufgabenplanung (task scheduler) über Systemsteuerung/Verwaltung und erstelle eine neue (einfache) Aufgabe.

• Name: z.B. tägliches Backup
• Trigger: täglich, Uhrzeit einstellen
• Aktion: Programm starten
• durchsuchen: die Batchdatei auswählen
• "Bei Klick auf Fertigstellen die Eigenschaften … öffnen
• Mit höchsten Privilegien ausführen

Ich wünsche dir Erfolg damit. Wenn du eine bessere/einfachere Möglichkeit für ein automatisiertes geschütztes Backup gefunden hast, schreibe mir bitte.

nach oben