Verschlüsselung und Zugriffsschutz auf Mehrbenutzer-PCs

Verschlüsselung und Zugriffsschutz auf Mehrbenutzer-PCs
Bild 1 von 4

Verschlüsselung und Zugriffsschutz auf Mehrbenutzer-PCs

© HAKINMHAN / Getty Images

Wenn Sie Ihren PC mit anderen Nutzern teilen, wissen Sie nie, ob Ihr virtueller PC wirklich sicher ist. Mit den geeigneten Tools können Sie ihn nicht nur sicher verschlüsseln, sondern sogar unsichtbar machen.

Sicherlich kennen Sie das Problem: Sie müssen sich beruflich oder privat mit anderen Nutzern einen Rechner teilen und möchten Ihren virtuellen PC vor anderen Mitnutzern noch besser schützen als nur mit den Mitteln des Betriebssystems. Nur Sie selbst dürfen den Zweit-PC nutzen und auf die Daten des virtuellen Rechners zugreifen. Virtualbox kennt dieses Szenario. Seit Version 6 kann das Tool entsprechend dem als AES bekannten Advanced Encryption Standard virtuelle Festplatten mit 128 und 256 Bit verschlüsseln.

Um die Verschlüsselung auf Ihrem virtuellen PC einzurichten, müssen Sie diesen zunächst beenden. Danach klicken Sie mit der rechten Maustaste auf das System und wählen "Ändern", um die Einstellungen zu ändern. Unter "Allgemein" und "Festplattenverschlüsselung" müssen Sie vor "Festplattenverschlüsselung" ein Häkchen setzen, um den Verschlüsselungsschutz zu aktivieren. Nachdem Sie ein Passwort festgelegt und wiederholt haben, ist der Schutz aktiv. Ab jetzt lässt sich Ihr virtueller PC nur noch starten, nachdem das Festplattenpasswort eingegeben wurde.

Virtuellen PC mit Veracrypt tarnen

Noch mehr Schutzfunktionalität als die Verschlüsselung in Virtualbox bietet Veracrypt für Windows 10. Das kostenlose Chiffrierungs-Tool versteckt Ihren virtuellen Windows-PC komplett in einem Container, der völlig unauffällig wirkt. Zur Tarnung enthält er ein paar unwichtige Dateien. Weder Kollegen noch Familienmitglieder erfahren von der Existenz der virtuellen Maschine.

So nutzen Sie mit Virtual Box virtuelle PCs:

  1. VirtualBox installieren

    Die Installation von VirtualBox wird durch das Herunterladen und Ausführen der Setup-Datei gestartet. Die Installation selbst läuft auf Englisch ab, beim späteren Gebrauch wird automatisch Deutsch als Nutzersprache gewählt. Über das Willkommensfenster wird das Fenster "Custom Setup" erreicht. Die hier vorgenommenen Einstellungen können unverändert übernommen werden. Falls gewünscht, besteht die Möglichkeit, über "Browse" den vorgegebenen Zielpfad anzupassen. In einem nächsten Schritt kann festgelegt werden, ob für VirtualBox eine Schnellstartverknüpfung angelegt werden soll. Anschließend muss die Frage "Proceed with installation now" positiv beantwortet werden. Während die Netzwerktreiber von VirtualBox installiert werden, steht die aktuelle Netzwerkverbindung einen Moment lang nicht zur Verfügung. Über "Install" wird nun die Installation in die Wege geleitet und über "Finish" abgeschlossen. Falls vor dem Feld "Start Oracle VM VirtualBox" ein Haken steht, wird das Programm unmittelbar nach der Installation gestartet. Auf diese Weise kann die Einrichtung eines virtuellen PCs direkt erfolgen.
  2. Das Einrichten eines virtuellen PCs

    Beim Einrichten eines virtuellen PCs können Sie diesem ganz individuelle Einstellungen und Fähigkeiten zuweisen. Unter anderem entscheiden Sie über die Menge an verfügbarem Arbeitsspeicher und über die Größe der virtuellen Festplatte. Über das Feld "Neu" wird ein Assistent aktiviert, der Sie beim Einrichten des virtuellen PCs unterstützt. In einem ersten Schritt müssen dem neuen PC ein Name gegeben sowie ein Betriebssystem und die dazugehörige Version zugeordnet werden. In einem zweiten Schritt wird die Menge an verfügbarem RAM festgelegt. Für Windows XP und zahlreiche Linux-Versionen genügen 256 Megabyte Speicher, für Windows 7 und 8 werden hingegen 512 Megabyte Speicher benötigt. Ein zu hoher Wert führt allerdings dazu, dass aus dem zu geringen, verbleibenden RAM Daten in den Cache übermittelt werden. Das wirkt sich negativ auf die Performance und die Leistung des Rechners aus.
    Zusätzlich muss dem virtuellen PC eine Festplatte zugeordnet werden. Die Option "Festplatte erzeugen" kann direkt genutzt werden. Hierbei muss der voreingestellte Festplattentyp beibehalten und der Dialog "dynamisch alloziert" verwendet werden. Der angegebene Festplattenname kann ohne Weiteres beibehalten werden. Bei Windows 8 wurde eine Voreinstellung von 25 Gigabyte vorgenommen. Auf Wunsch kann dieser Wert per Schieberegler oder durch die Eingabe eines festen Wertes erhöht oder reduziert werden. Hierdurch verändert sich jeweils die Größe der virtuellen Festplatte. Über "Erzeugen" wird der Assistent beendet und der virtuelle Rechner endgültig erstellt.
  3. Die Vorbereitung von Laufwerken

    Die nächste Aufgabe besteht darin, den virtuellen Rechner auf die Installation eines Betriebssystems vorzubereiten. Zu diesem Zweck muss ein virtuelles CD-ROM-Laufwerk eingerichtet werden. Das geschieht, indem der virtuelle PC links ausgewählt und rechts unter "Details" auf "Massenspeicher" geklickt wird. In dem nun auftauchenden Fenster können die DVD- und CD-Laufwerke mühelos verwaltet werden. Je nachdem, ob das Betriebssystem von einer CD oder einer DVD geladen werden soll, muss das entsprechende Symbol ausgewählt werden. Zudem muss das tatsächliche Laufwerk angegeben werden, in dem sich die entsprechende CD oder DVD befindet. Natürlich ist es auch möglich, eine ISO-Image-Datei für die Installation des Betriebssystems zu nutzen. In diesem Fall müssen zunächst das CD-Symbol und anschließend das Feld "Medium für virtuelles CD/DVD-Medium auswählen" gewählt werden. Anschließend begeben Sie sich in das Verzeichnis, in dem sich die ISO-Datei befindet, und aktivieren diese.
  4. Die richtigen Netzwerkeinstellungen wählen

    Wenn Sie mit dem virtuellen Rechner ins Internet gehen oder auf Netzwerkressourcen Zugriff haben wollen, müssen Sie entsprechende Netzwerkeinstellungen vornehmen. Es ist möglich, einen virtuellen Rechner mit bis zu fünf virtuellen Netzwerkkarten zu versehen. Dabei können Sie zwischen verschiedenen Netzwerkmodi wählen oder einfach den voreingestellten NAT-Modus (Network-Address-Translation-Modus) bestehen lassen. Letzterer bietet dem virtuellen Rechner die Möglichkeit, mittels der IP-Adresse des Host-Computers ins Internet zu gehen. Der virtuelle Rechner wird dann zum Gast-PC und bekommt eine interne IP-Adresse zugewiesen. Ein Zugriff von außen auf die VM (Virtual Machine) ist jedoch nicht möglich. Das Vorgehen ist der Router-Technologie abgeguckt. Auch hier sind interne Kommunikationsprozesse möglich, ohne dass von außen auf die VM zugegriffen werden kann.
    Alternativ kann der Modus "Netzwerkbrücke" ausgewählt werden. Bei dieser Einstellung erfolgt die Verbindung zwischen Host- und Gast-PC mittels eines Switches. Andere Teilnehmer im Netzwerk erkennen den Gast-PC als eigenständiges System. Bei diesem Vorgehen wird die IP-Adresse dem Gast-PC von einem LAN-internen DHCP-Server zugewiesen. Der Modus "Host Only Adapter" erlaubt es dem Gast-PC, direkt auf die Netzwerkkarte des Host-PCs zuzugreifen und sich Zugriff auf die IP-Adresse zu verschaffen, die der Provider oder der Router dem Host zuweist.
  5. Die Installation von Windows

    Beim Windows-Setup müssen die Einstellungen berücksichtigt werden, die Sie unter Schritt 3 vorgenommen haben. Wenn Sie einen bestimmten Installationsdatenträger für die Installation ausgewählt haben, muss dieser in das entsprechende Laufwerk eingelegt werden. Bei einem ISO-Setup sind keine weiteren Vorbereitungen erforderlich. Über die VirtualBox-Konsole kann der virtuelle Rechner nun aktiviert werden. Sobald das Booten des jeweiligen Datenträgers erfolgreich abgeschlossen wurde, beginnt die Installation. Diese läuft exakt wie bei einem normalen Rechner ab. Für den Datentransfer und die Einrichtung des Betriebssystems muss etwa eine halbe Stunde veranschlagt werden. Wenn es hierbei zu einer Fehlermeldung kommen sollte, muss der folgende Befehl in die Kommandozeile eingegeben werden:
    "%ProgramFiles%\Oracle\Virtual Box\VBoxManage.exe" setextradata "[Name des virtuellen PCs]" VBoxInternal/CPUM/CMPXCHG16B 1
    In die eckigen Klammern muss der exakte Name eingegeben werden, den Sie für den virtuellen PC vergeben haben. Jetzt beginnt das Booten der VM, und anschließend kann Windows ganz normal installiert werden. Hierbei muss das benutzerdefinierte Setup zum Einsatz kommen, damit Windows auf der virtuellen Festplatte eingerichtet werden kann.
  6. Gasterweiterungen verwenden

    Es müssen diverse Treiber und Add-Ons zum Einsatz kommen, um die Leistung des unter VirtualBox installierten Betriebssystems zu optimieren. Solche Erweiterungen sind als Gasterweiterungen bekannt. Unter anderem müssen im Gastsystem Grafik- und Maustreiber verwendet werden, um die Grafik und die Geschwindigkeit des Gast-PCs spürbar zu erhöhen. Bitte beachten Sie jedoch: Es ist nur dann möglich, Gasterweiterungen zu installieren und einzurichten, wenn der virtuelle PC gestartet ist. Im VM-Fenster gibt es das Feld "Geräte" und hierunter das Feld "Medium mit Gasterweiterungen einlegen". Wenn Sie hierauf klicken, werden Sie durch die komplette Einrichtung geführt und können diese anschließend abschließen. Sobald Windows neu gestartet wurde, muss die vorhandene Bildschirmauflösung an die neuen Einstellungen angepasst werden.
  7. Ordner mit Gastnutzern teilen

    Unter VirtualBox ist es möglich, Ordner anzulegen, um den Datenaustausch zwischen Host-PC und Gast-PC zu ermöglichen. Dazu muss der virtuelle PC deaktiviert sein. Jetzt kann in der VirtualBox-Konsole das Feld "Details" ausgewählt und anschließend auf den Textlink "Gemeinsame Ordner" geklickt werden. Falls das Gastsystem bereits im virtuellen Rechner arbeiten sollte, muss über das Feld "Geräte" der Punkt "Gemeinsame Ordner..." ausgewählt werden. Nun erscheint ein Fenster mit einem grünen Punkt. Sobald Sie auf diesen klicken, können Sie gezielt auswählen, welche Verzeichnisse von der Festplatte auf den Host-Rechner gelangen sollen. Hierfür muss über "Ordner-Pfad" der jeweilige Zielpfad der Verzeichnisse geändert werden. Anschließend ist es möglich, dem gemeinsamen Ordner einen eigenen Namen zu geben. Mit einem Haken bei "Nur lesbar" sorgen Sie dafür, dass der jeweilige Ordner mit einem zuverlässigen Schreibschutz versehen wird. Jetzt muss das Fenster geschlossen und das virtuelle Windows aufgerufen werden. Gehen Sie nun im Browser die folgenden Schritte "Netzwerk" -> "Computer" -> "VBOXSVR". In der Exploreransicht sehen Sie alle Ordner, die Sie freigegeben haben. Per Doppelklick lässt sich jeder hier angezeigte Ordner öffnen.
  8. Sicherheitsaspekte

    Eine große Stärke virtueller PCs besteht darin, dass der Ist-Zustand eines Systems 1:1 abgebildet und als Sicherungspunkt abgespeichert werden kann. So ist es bei Bedarf jederzeit möglich, den Ausgangszustand eines PCs wiederherzustellen. Mittels VirtualBox kann eine beliebige Zahl solcher Sicherungspunkte erstellt werden, die zu jedem gewünschten Zeitpunkt aufgerufen werden können. Um einen Sicherungspunkt zu erstellen, müssen Sie sich zunächst ins Hauptmenü von VirtualBox begeben. Hier muss dann der virtuelle PC ausgewählt werden, für den ein Sicherungspunkt angelegt werden soll. Anschließend muss die vorhandene Registerkarte "Sicherheitspunkte" geöffnet werden. Hier befindet sich ein Kamerasymbol, auf das Sie klicken müssen. Anschließend kann ein Name für den zu erstellenden Sicherungspunkt ausgewählt werden. Gerade dann, wenn Sie mit mehreren Sicherungspunkten arbeiten und immer wieder neue Snapshots erstellen, ist eine nachvollziehbare, konkrete Benennung wichtig, um den Überblick zu behalten. Anschließend müssen die Einstellungen mittels "Ok" bestätigt werden.
    In VirtualBox ist es möglich, jeden abgespeicherten Sicherungspunkt wieder aufzurufen und somit die zu diesem Zeitpunkt vorhandenen Einstellungen wiederherzustellen. Zu diesem Zweck muss der jeweilige Eintrag ausgewählt und mit der rechten Maustaste angeklickt werden. Daraufhin öffnet sich ein Menü, in dem der Unterpunkt "Sicherungspunkt wiederherstellen" zu finden ist. Wenn Sie hierauf klicken, aktiviert sich der jeweilige Sicherungspunkt. Dabei ist zu berücksichtigen, dass es eine Menge Speicherplatz kostet, wenn alle jemals erstellten Sicherungspunkte dauerhaft behalten werden und verfügbar sein sollen. Daher ist es ratsam, regelmäßig zu prüfen, ob ein bestimmter Sicherungszustand noch benötigt wird. Falls sich bestimmte Sicherungspunkte als überflüssig erweisen sollten, wird der Speicher durch das Löschen dieser Punkte spürbar erleichtert. Hierfür muss der jeweilige Eintrag in der Liste ausgewählt und mittels "Sicherungspunkt löschen" entfernt werden. Somit steht nun wieder mehr Platz auf der entsprechenden Festplatte zur Verfügung.

Im Mittelpunkt der Verschlüsselungssoftware steht ein verschlüsselter Datentresor, den Veracrypt erstellt. Das Besondere daran ist: Er besitzt zwei Datenbereiche und zwei Zugangspasswörter. Der äußere Bereich dient ausschließlich der Tarnung. Von dem geheimen inneren, als Versteck genutzten Datenbereich haben nur Sie Kenntnis. Mit dem ersten Schlüssel lässt sich also nur der äußere Tresor öffnen. Sie geben ihn vorzugsweise dann ein, wenn Kollegen, der Chef oder Freunde in Ihrer Nähe sind und Blickkontakt zum Bildschirm haben. Mit diesem Schlüssel wird nur der Zugang zu den Tarndaten freigeschaltet. Der innere Datenbereich respektive Container, der den virtuellen "Geheim"-PC enthält, bleibt Dritten vollkommen verborgen. Nur wenn Sie den zweiten Schlüssel eintippen, bekommen Sie Zugang zum inneren Container, in dem sich die virtuelle Maschine befindet. Nach Nutzungsende können Sie Ihren virtuellen PC mit ein paar Klicks rasch wieder auskoppeln, um ihn wieder unsichtbar zu machen.

Dualen Datentresor mit Veracrypt-Container erstellen

Bevor Sie den Container erstellen, müssen Sie das Tool Veracrypt zunächst installieren und starten. Bei "Volumen erstellen" erscheint ein Assistent, der bei der Erstellung der Containerdatei behilflich ist. Hier müssen Sie "Eine verschlüsselte Containerdatei" auswählen und dann auf "Weiter" klicken. Gehen Sie zu "Verstecktes Veracrypt-Volume" und dann zu "Kompletter Modus". Hier können Sie bei "Datei" einen Speicherort für die zu erstellende Containerdatei auf Ihrem Rechner festlegen. Bei "Dateiname" sollten Sie einen unverfänglichen Namen eingeben wie etwa "Windows10-Backup.ZIP". Navigieren Sie zu "Speichern" und setzen Sie ein Häkchen bei "Verlauf nicht sichern". Gehen Sie dann auf "Weiter".

Für den äußeren Datenbereich sollten Sie eine Größe von mindestens 20 GB festlegen. Der Speicherplatz wird später von den Tarndateien im äußeren Container und dem virtuellen PC im inneren Datenbereich gemeinsam genutzt. Nun müssen Sie für den äußeren Bereich mit den unwichtigen Dateien das Passwort festlegen und bestätigen. Danach müssen Sie die Computermaus bewegen, um Zufallszahlen zu generieren. Sobald der Balken grün eingefärbt ist, bestätigen Sie mit "Formatieren".

Klicken Sie dann mit der Maus auf "Äußeres Volume öffnen". Es erscheint ein Explorer-Fenster, das den äußeren Datenbereich zeigt. Öffnen Sie jetzt ein weiteres Explorer-Fenster. Aus diesem ziehen Sie x-beliebige Fotos und Office-Dokumente ins Fenster mit dem äußeren Datenbereich.

Inneren Datenbereich einrichten

Nun wird der innere Datenbereich in Veracrypt angelegt. Die vorgeschlagenen Verschlüsselungsangaben sollten Sie dabei übernehmen. Bei Größe raten wir, einen Wert anzugeben, der etwas unter der vom Assistenten angezeigten Maximalkapazität liegt. Durch die Bestätigung mit "Ja" wird das zweite Passwort festgelegt. Damit schützen Sie die Eingangstür zur geheimen virtuellen Maschine.

Die Einbindung des Veracrypt-Containers in Windows geschieht über einen freien Laufwerksbuchstaben, den Sie im Veracrypt-Fenster markieren müssen. Anschließend müssen Sie auf Datei gehen, die zuvor erstellte Container-Datei auswählen und auf die Schaltfläche "Einbinden" klicken. Danach werden Sie von Veracrypt nach dem Passwort gefragt. Je nachdem, welches Passwort Sie eingeben, bindet das Programm entweder den äußeren Datenbereich, der die Tarndateien enthält oder den inneren Datenbereich ein. Da Letzterer ja die virtuelle Maschine, die Sie nun einrichten möchten, enthält, geben Sie natürlich das für diesen Bereich erstellte Passwort ein.

Danach müssen Sie Virtualbox starten und auf "Neu" gehen. Hier können Sie Ihren virtuellen Windows-PC so anlegen, wie Sie es wünschen. Die virtuelle Platte wird auf dem Veracrypt-Laufwerk gespeichert. Hierzu müssen Sie auf den Laufwerksbuchstaben gehen, der in Veracrypt dem Container zugeordnet wurde.

Aus dem Veracrypt-Container: Start des virtuellen PCs

In zwei Schritten wird der virtuelle PC im Veracrypt-Container hochgefahren: Zuerst müssen Sie Ihr Geheimpasswort in Veracrypt eingeben und den inneren Bereich als Laufwerk einbinden. Anschließend kann der virtuelle PC in Virtualbox gestartet werden.

Um den Container für den inneren Datenbereich einzubinden und wieder auszuklinken, müssen Sie das Veracrypt-Fenster vor einer Nutzung der virtuellen Maschine und danach öffnen. Der Zugriff auf die virtuelle Festplatte durch Virtualbox ist erst nach der Zuweisung eines Laufwerkbuchstabens für die Containerdatei und der Passworteingabe für den inneren Datenbereich möglich. Nur so kann der virtuelle Windows-PC gestartet werden.

Nachdem Sie den virtuellen PC heruntergefahren haben, sollten Sie aus Gründen der Sicherheit etwa 30 Sekunden lang warten. Die Zeit ist ausreichend, damit das Betriebssystem der virtuellen Maschine sämtliche erforderlichen Daten in die "innere" Containerdatei schreiben kann. Damit sich anschließend die Containerdatei aus Windows ausklinken kann, müssen Sie im Fenster von Veracrypt auf die Schaltfläche "Trennen" klicken.

Einen kleinen Schönheitsfehler gibt es bei der Verwendung von Veracrypt dennoch. Die virtuelle Festplatte wird zwar unsichtbar, kann aber durch die doppelte Funktion der Containerdatei nicht aufgefunden werden. Der Name, den Sie dem virtuellen PC gegeben haben, bleibt jedoch im Hauptfenster von Virtualbox dauerhaft sichtbar. Der Versuch, in Virtualbox die virtuelle Maschine bei ausgedocktem Veracrypt-Container zu starten, endet mit einer Fehlermeldung. Aus dem Grund sollten Sie den virtuellen PC am besten mit einem neutralen Namen tarnen.

Quelle: In Zusammenarbeit mit PC-Welt
Top-Themen
Mit einer ab Dezember gültigen Gesetzesänderung steigt der Druck auf die Internetanbieter, den Verbrauchern die ...mehr
Gerade in der Vorweihnachtszeit begeben sich viele Menschen auf Schnäppchenjagd im Internet. Doch was günstig scheint, ...mehr
Am Freitag steigt erneut der alljährliche Black Friday. Viele Shops und Unternehmen bieten Sparaktionen zum ...mehr
Anzeige
gekennzeichnet mit
JUSPROG e.V. - Jugendschutz
freenet ist Mitglied im JUSPROG e.V.