windows:datenträger-schreibgeschützt-verwenden-bzw.-automount-einstellen

Datenträger schreibgeschützt verwenden / automatisches Einhängen einstellen

Datenträger schreibgeschützt zu verwenden ist in manchen Szenarien wichtig, z.B. beim Restore von Vmware-VMFS-Partitionen mit Veam oder bei forensischen Aufgaben. Wobei eine forensische Beweisführung unter Windows nicht möglich ist da auch die readonly Option auf den Datenträger geschrieben werden muss im forensischen Anspruch nicht erlaubt ist. Im Falle von VMFS schreibt Windows eigenständig Signaturen in Datenträger hinein, die die Erkennung von VMWare stört 1).

Einschränkungen:

  1. nach Modifikationen mit dem ntfs-3g-Treiber von Linux ist das schreibgeschützte Einhängen nicht möglich
  2. funktioniert nicht auf allen Windows-Versionen: erst ab Vista und ggf. bei manchen nicht (Windows 8.1)
  3. die Einstellung setzt sich nach Installation von Servicepacks u. U. zurück

:!: Funktioniert ab Windows Vista.

Vorbereitung: „cmd“ starten - diskpart (fragt nach Rechten, mountvol scheitet sonst mit Zugriff verweigert)„

Methode mountvol:

  • automount abschalten:
    mountvol /N
  • automount anschalten:
    mountvol /E 

oder mit diskpart:

  • Status anzeigen:
    diskpart automount
  • oder Registry-Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MountMgr\NoAutoMount mit Wert 1 (automount abgeschaltet) oder fehlend bzw. 0 (automount aktiviert)
Optionen von „diskpart automount“
enable schaltet automount EIN
disable schaltet automount AB
scrub entfernt Einträge für Datenträger die nicht mehr im System vorhanden sind. Verhindert das schon einmal vorhandene Datenträger wieder automatisch ihren alten mountpoint bekommen.
noerr für Skripting: nach fehlerhaften Befehlen weiter Befehle annehmen, ansonsten beendet sich diskpart mit einem Fehlercode.

regedit starten und folgenden Schlüssel suchen:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect (Falls er nicht vorhanden ist, muss er neu erstellt werden - Typ DWORD): Der Wert muss 1 sein.

Quelle: https://www.petri.com/configure_usb_disks_to_be_read_only_in_xp_sp2

Diese Einstellung ist permanent gültig, d.h. sie muss wieder abgeschaltet werden falls nicht mehr benötigt

  1. cmd starten
  2. diskpart
  3. list volume
  4. select volume X

    (X ist die gewünschte Nummer aus dem vorherigen Befehl)

  5. readonly-bit permanent setzen
    att vol set readonly
  6. readonly-bit löschen
    att vol clear readonly
  7. readonly-bit überprüfen:
    detail vol

Anschließend kann das volume nur schreibgeschützt eingehangen werden.