Magnet OUTRIDER mit Windows-To-Go bootfähig machen
Eine der häufigsten Anfragen zu Magnet OUTRIDER ist die nach einem bootfähigen Gerät, sodass Sie bei ausgeschalteten Maschinen in eine sichere Umgebung booten und das Werkzeug (und andere Werkzeuge wie Magnet ACQUIRE) nutzen können. Da OUTRIDER windowsgestützt ist, können wir es nicht für Sie auf einem bootfähigen USB-Laufwerk mit kostenlosem Linux-Betriebssystem vorpacken, aber das können Sie mit wenigen Schritten selbst tun, indem Sie eine Software namens Windows-To-Go zu Hilfe nehmen.
Sie benötigen:
- Ihren OUTRIDER-Dongle und/oder ein schnelles USB3-Laufwerk (am besten SSD)
- Beachten Sie: Damit die Methode gut funktioniert, sollte Windows-To-Go auf einem sehr schnellen Gerät installiert sein. Der OUTRIDER-Dongle von Magnet Forensics ist zwar ein höchst schnelles USB3-Flash-Laufwerk, aber Flash-Laufwerke sind allgemein nicht für diese Umgebung geeignet. Wenn Sie alles auf einem Laufwerk benötigen (empfohlen), sollten Sie die reine Softwarelizenz für OUTRIDER erwerben und sie auf Ihrem eigenen schnellen USB/SSD-Laufwerk lizenzieren.
- Rufus (kostenloses und quelloffenes USB-Werkzeug)
- Eine ISO-Datei von Windows 10 (wenn Sie keine haben, finden Sie sie hier:https://www.microsoft.com/en-ca/software-download/windows10)
In Ihrem Unternehmen sollten Sie außerdem die korrekte Microsoft-Lizenzierung haben.
Zu Beginn müssen wir einen kurzen Blick auf Windows-To-Go werfen. Was ist das eigentlich? Auf dieser Seite erhalten Sie einen vollständigen Überblick direkt von Microsoft.
Windows-To-Go ist im Wesentlichen ein Windows-Arbeitsbereich, der von einem USB-Laufwerk gebootet werden kann und daher sehr mobil ist. Vorsichtshalber sei dazu gesagt, dass Windows-To-Go ab der Version 2004 von Windows 10 nicht mehr von Microsoft unterstützt wird. Mit Rufus können Sie Windows-To-Go weiterhin nutzen, es wird jedoch nicht mehr offiziell angeboten. Manch einer fühlt sich damit vielleicht unwohl, aber wenn man bedenkt, wie viele Leute immer noch WinPE/WinFE einsetzen und die weitaus engeren Grenzen dieser Umgebungen berücksichtig, wirkt diese Option viel moderner.
Fangen wir an!
- Der erste Schritt ist die Sicherung aller Dateien Ihres OUTRIDER-Dongles in ein Verzeichnis auf Ihrem Computer (z.B. ein Ordner auf dem Desktop) – kopieren Sie alle Dateien und Verzeichnisse vom Dongle hinein.
- Als Nächstes laden Sie Rufus (https://rufus.ie/) herunter, falls Sie das noch nicht getan haben. Für die nächsten Schritte brauchen Sie außerdem die ISO-Datei Windows 10.
- Starten Sie Rufus und setzen Sie die folgenden Optionen:
- Gerät Dies muss auf Ihren OUTRIDER-Dongle bzw. Ihr externes Laufwerk zeigen
- Boot-Auswahl: Festplatte oder ISO-Abbild
- Klicken Sie neben dieser Option auf die Taste SELECT und wählen Sie Ihre ISO-Datei mit Windows 10
- Bildoption: Windows To Go
- Datenträgername: Win2Go (oder etwas anderes, das ihn klar als Windows-To-Go-USB kennzeichnet)
- Alles andere können Sie auf den Standardwerten belassen, es sei denn, Sie kennen Rufus schon gut und benötigen eine individuelle Anpassung. Ihr Rufus-Fenster sollte in etwa so aussehen:
- Klicken Sie auf START und lassen Sie Rufus das Seine tun. Bei der Aufforderung, die Installationsversion von Windows auszuwählen, ist Windows 10 Pro die wahrscheinlich beste Option für Sie.
(Dieser Teil kann nun eine Weile dauern, also wäre jetzt Gelegenheit für einen Kaffee oder Tee. ) - Sobald Rufus beendet ist, öffnen Sie den Windows Explorer und das gewählte Laufwerk. Sie sollten eine Dateistruktur sehen, die in etwa so aussieht:
- Wir erstellen einen Ordner im Hauptverzeichnis des Laufwerks mit dem Namen „Tools“.
- Wenn Sie das Win-to-Go-Laufwerk mithilfe des OUTRIDER-Dongles angelegt haben, erstellen Sie in diesem Verzeichnis ein Unterverzeichnis mit dem Namen „OUTRIDER“ und kopieren alle Dateien und Verzeichnisse hinein, die Sie in Schritt 1 vom OUTRIDER-Dongle kopiert haben. Von hier an nutzen Sie OUTRIDER, wenn Sie sich in der gebooteten Umgebung befinden. Andernfalls fahren Sie mit 6b fort – Sie nutzen OUTRIDER von Ihrem OUTRIDER-Dongle aus.
- Ein wichtiger Schritt ist die schnelle Bearbeitung der Registrierung, damit interne Laufwerke nicht automatisch online geschaltet werden. Dadurch bleiben sie offline und unzugänglich, bis sie manuell online geschaltet werden, was im Schreibschutzmodus möglich ist. Sie benötigen die folgenden Befehle, wobei Sie „X“ durch den Laufwerksbuchstaben Ihres Windows-To-Go-Laufwerks ersetzen müssen.
reg load HKLM\WINTOGO_SYSTEM X:\Windows\System32\Config\SYSTEM
reg add HKLM\WINTOGO_SYSTEM\ControlSet001\Services\partmgr\Parameters /v SanPolicy /t REG_DWORD /d 4 /f
reg unload HKLM\WINTOGO_SYSTEM
Hinweis: Lesen Sie hier mehr über den SanPolicy-Schlüssel. Sie können oben „/d 4“ in „/d 3“ ändern, wenn alles standardmäßig offline bleiben soll.Brauchen Sie allerdings ein zweites USB-Laufwerk (wie den OUTRIDER-Dongle, wenn Sie ihn nicht beim USB-Laufwerk mit Windows-To-Go verwendet haben), wird es nicht automatisch gemountet, daher müssen Sie das manuell mit dem Windows-Diskpart- Dienstprogramm erledigen.
Als Nächstes werfen wir den USB-Stift sicher aus und stecken ihn in einen Computer ein, auf dem wir einen Inbetriebnahme-Boot durchführen können. Damit schließt die Installation von Windows-To-Go auf dem USB-Laufwerk ab und wir können jede Software einstellen, die in dieser Umgebung erhältlich sein soll. Da OUTRIDER keine Installation erfordert, läuft es schon beim Erststart.
Je nach der Version von Windows 10 auf der unter Rufus eingesetzten ISO-Datei unterscheiden sich die Einrichtungsbildschirme leicht: Sie sehen ähnlich aus wie bei einer Neuinstallation von Windows auf einem Computer.
Sobald das abgeschlossen ist, werden Sie angemeldet und können nun Windows nutzen wie gewohnt und Programme installieren und laufen lassen (die bei späteren Starts mit Windows-To-Go auf dem USB-Stift bestehen bleiben). Beachten Sie, dass das USB-Laufwerk mit Windows-To-Go Ihr „C:\“-Laufwerk ist, und wenn keine anderen externen Laufwerke angeschlossen sind, sehen Sie auch keine anderen Laufwerke. Alle internen Laufwerke werden auf „offline“ gesetzt, d. h., dass auf sie nicht zugegriffen werden kann, und einliegende Datenträger werden nicht abgerufen. Hinweis: Wichtig ist, dass die Laufwerke als „schreibgeschützt“ markiert werden, wenn sie mit einem Werkzeug wie dem Windows-Dienstprogramm „diskpart“ online gestellt werden, damit die automatisch zugewiesenen Laufwerkspartitionen auch nur einen Lesezugriff erhalten..
Das war’s! Sie haben nun ein USB-Laufwerk, von dem Sie booten und mit dem Sie OUTRIDER oder andere Werkzeuge nutzen können, wenn Sie einen ausgeschalteten Computer vorfinden.
Scannen von Laufwerken mit OUTRIDER in einer Windows-To-Go-Umgebung
Wenn Sie OUTRIDER in einer Windows-To-Go-Umgebung starten, erfasst das Programm, dass es in dieser Umgebung läuft, und bietet einen einfachen Laufwerksmanager an, der Laufwerke schreibschützen kann. Wird der folgende Bildschirm angezeigt, sehen Sie eine Taste „Laufwerksmanager“, die normalerweise nicht sichtbar ist:
Wenn Sie auf diese Taste klicken, wird das Fenster „Laufwerksmanager“ angezeigt:
Alle Laufwerke, die nicht von OUTRIDER genutzt werden, werden in diesem Fenster mit ihrem Online-/Offline- und ihrem Schreibschutzstatus angezeigt. Wenn Sie ein Laufwerk auswählen und auf die Taste „Ausgewähltes Laufwerk einhängen (schreibgeschützt)“ klicken, wird das Windows-Werkzeug „diskpart“ gestartet, damit das Laufwerk als schreibgeschützt eingehängt wird. Wenn das Einhängen abgeschlossen ist, finden Sie eine Meldung wie diese:
Klicken Sie auf „OK“ und schließen Sie das Fenster des Laufwerksmanagers, damit die eingehängten Laufwerke sichtbar werden. Wählen Sie von dort aus die erforderlichen Laufwerke und fahren mit der Konfiguration Ihres OUTRIDER-Scans auf reguläre Weise fort.
Haftungsausschluss technische Beratung
Magnet Forensics widmet sich der Kommunikation mit der DFIR-Community über Blogs und Informationsschriften. Doch technologische Probleme korrekt anzugehen beinhaltet oft zahlreiche Variablen, die unabhängige Einschätzung und Strategien für die jeweiligen spezifischen Umstände voraussetzen. Da Magnet Forensics keinen Einblick in alle Variablen in einer spezifischen Situation hat, dient dieser Blog/diese Informationsschrift informationellen Zwecken und sollte nicht als professioneller Rat gesehen werden, in dem Techniken oder Technologien für Ihre spezifische Situation empfohlen werden. Wir übernehmen keine Haftung für Auslassungen, Fehler oder Ungenauigkeiten in diesem Blog/dieser Informationsschrift oder jegliche ergriffene Maßnahmen, die darauf bauen.