133720
Feb 03, 2023, updated at 14:57:10 (UTC)
6053
27
0
Datenträger sicher löschen
Hallo.
Ich brauche mal Hilfe.
Und zwar benötige ich einen bootbaren USB-Stick mit dessen Zweck ich anschließend die komplette Festplatte (SSD, M.2 usw.) überschreiben kann.
Wir haben hier Windows-Rechner im Einsatz. Teilweise mit Bitlocker verschlüsselt.
DBan habe ich getestet. Läßt sich unter UEFI scheinbar nicht starten.
Gibt es ein Linux Live-System in dem DBan schon drin ist. Alternativ ginge auch nwipe.
Es muss allerdings ein Gesamtkonstrukt sein mit auch ein nicht IT-Profi klar kommt. Stick rein booten Tool starten fertig.
Könnt ihr mir etwas empfehlen ?
Merci.
Ich brauche mal Hilfe.
Und zwar benötige ich einen bootbaren USB-Stick mit dessen Zweck ich anschließend die komplette Festplatte (SSD, M.2 usw.) überschreiben kann.
Wir haben hier Windows-Rechner im Einsatz. Teilweise mit Bitlocker verschlüsselt.
DBan habe ich getestet. Läßt sich unter UEFI scheinbar nicht starten.
Gibt es ein Linux Live-System in dem DBan schon drin ist. Alternativ ginge auch nwipe.
Es muss allerdings ein Gesamtkonstrukt sein mit auch ein nicht IT-Profi klar kommt. Stick rein booten Tool starten fertig.
Könnt ihr mir etwas empfehlen ?
Merci.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5821207466
Url: https://administrator.de/contentid/5821207466
Printed on: April 19, 2024 at 13:04 o'clock
27 Comments
Latest comment
Nutze Herstellertools, die secure erase bieten. Wenn du keine für eure Plattenhersteller findest, kaufe für 15 Dollars parted magic, das hat eine secure-erase-Funktion und kann uefi secure boot. Erspart Arbeit.
https://partedmagic.com/nvme-secure-erase/
https://partedmagic.com/nvme-secure-erase/
Also ich habe da eine eigene "Löschstation", sprich HD hinein, booten, erledigt.
Du willst zum PC und löschen? Gibt's da ein Linux, daß mit SecureBoot zurechtkommt? Ansonsten SecureBoot abdrehen .... ansonsten übers BIOS die Verschlüsselungssdchlüssel "entsorgen" und paßt.
Du willst zum PC und löschen? Gibt's da ein Linux, daß mit SecureBoot zurechtkommt? Ansonsten SecureBoot abdrehen .... ansonsten übers BIOS die Verschlüsselungssdchlüssel "entsorgen" und paßt.
Hallo Raucherbein,
schonmal DBAN UEFI Versionversucht?
Mit Rufus kann man daraus zumindest einen GPT kompatiblen Stick erzeugen, läuft laut Beschreibung jedoch nur auf 64-Bit Systemen.
Edit: Grad nochmal zum Thema nachgelesen, DBAN ist nur für HDD, SSD und NVME benötigen spezielle Löschtools, wie das bereits vorgeschlagene PartedMagic
hf, pantox
schonmal DBAN UEFI Versionversucht?
Mit Rufus kann man daraus zumindest einen GPT kompatiblen Stick erzeugen, läuft laut Beschreibung jedoch nur auf 64-Bit Systemen.
Edit: Grad nochmal zum Thema nachgelesen, DBAN ist nur für HDD, SSD und NVME benötigen spezielle Löschtools, wie das bereits vorgeschlagene PartedMagic
hf, pantox
Moin,
https://www.toolhouse.de/produkt/toolstarshredder/
kann HDDs und SSDs sowie NVMe's sicher löschen mit Zertifikat (Überschreiben, (Enhanced) Secure Erase), NVMe Erase etc etc...). Die Automatisierungen kannst Du dir vorher basteln, man muss dann "nur noch" auswählen und optional ein paar Felder ausfüllen. UEFI kann es. Da kannst Du dich austun, bis der Lesekopf ausgelutscht auf den Spindeln liegt (oder eben der Chip glüht..)
Schönes WE.
Trommel
https://www.toolhouse.de/produkt/toolstarshredder/
kann HDDs und SSDs sowie NVMe's sicher löschen mit Zertifikat (Überschreiben, (Enhanced) Secure Erase), NVMe Erase etc etc...). Die Automatisierungen kannst Du dir vorher basteln, man muss dann "nur noch" auswählen und optional ein paar Felder ausfüllen. UEFI kann es. Da kannst Du dich austun, bis der Lesekopf ausgelutscht auf den Spindeln liegt (oder eben der Chip glüht..)
Schönes WE.
Trommel
Hi,
Das von @DerWoWusste vorgeschlagene partedmagic ist eine gute Wahl, erfordert aber manuelle Einstellungen des Users und es gibt kein wirkliches Reporting, d.h keine Kontrolle über Erfolg oder Nichterfolg der Löschung.
Als funktionierendes Tool kann ich dir Blancco Disk Eraser nennen, hier sind "nur" ein paar Voreinstellungen zu machen, dann ist <Stick rein booten Tool starten fertig> erfüllt. die Verantwortlichen haben dann auch Zugriff auf die Reports.
Wenn du mehr darüber wissen willst: PM an mich
Zu Blancco Drive Eraser gibt es noch Alternativen: Certus, Securaze, toolstarshredder etc. da fehlt mir aber die Erfahrung.
Gruß
CH
Es muss allerdings ein Gesamtkonstrukt sein mit auch ein nicht IT-Profi klar kommt. Stick rein booten Tool starten fertig.
Gibt es leider nicht (für kleines Geld).Das von @DerWoWusste vorgeschlagene partedmagic ist eine gute Wahl, erfordert aber manuelle Einstellungen des Users und es gibt kein wirkliches Reporting, d.h keine Kontrolle über Erfolg oder Nichterfolg der Löschung.
Als funktionierendes Tool kann ich dir Blancco Disk Eraser nennen, hier sind "nur" ein paar Voreinstellungen zu machen, dann ist <Stick rein booten Tool starten fertig> erfüllt. die Verantwortlichen haben dann auch Zugriff auf die Reports.
Wenn du mehr darüber wissen willst: PM an mich
Zu Blancco Drive Eraser gibt es noch Alternativen: Certus, Securaze, toolstarshredder etc. da fehlt mir aber die Erfahrung.
Gruß
CH
keine Kontrolle über Erfolg oder Nichterfolg der Löschung.
Wie soll die denn aussehen? Vertrauen muss man in jedem Fall drauf, nachprüfen ist nicht möglich.
Hallo
Toolhouse macht das. Mit anerkanntem Zertifikat. Und das kann im betrieblichen Umfeld entscheidend sein.
MfG,
MacLeod
Toolhouse macht das. Mit anerkanntem Zertifikat. Und das kann im betrieblichen Umfeld entscheidend sein.
MfG,
MacLeod
Danke für die Rückmeldungen.
Die BIOS-Einstellungen sollen so belassen werden.
Ebenso soll keine Festplatte ausgebaut werden.
Die kostenpflichtigen Modelle sehen entweder unseröis aus, weil keine Preise angegeben sind oder sind anderes gammelig.
Meine Idee war eine Live-Linux System auf einen USB-Stick bereit zu stellen. Damit sollte es dann auch keine kompatibilitätsprobleme mit BIOS oder UEFI oder sonst etwas geben.
Hat da jemand Erfahrung ?
Die BIOS-Einstellungen sollen so belassen werden.
Ebenso soll keine Festplatte ausgebaut werden.
Die kostenpflichtigen Modelle sehen entweder unseröis aus, weil keine Preise angegeben sind oder sind anderes gammelig.
Meine Idee war eine Live-Linux System auf einen USB-Stick bereit zu stellen. Damit sollte es dann auch keine kompatibilitätsprobleme mit BIOS oder UEFI oder sonst etwas geben.
Hat da jemand Erfahrung ?
Die kostenpflichtigen Modelle sehen entweder unseröis aus, weil keine Preise angegeben sind oder sind anderes gammelig.
Erklär mir da mal bitte. Meine Links: https://partedmagic.com/store/ und https://partedmagic.com/nvme-secure-erase/
1Zitat von @DerWoWusste:
Die kostenpflichtigen Modelle sehen entweder unseröis aus, weil keine Preise angegeben sind oder sind anderes gammelig.
Erklär mir da mal bitte. Meine Links: https://partedmagic.com/store/ und https://partedmagic.com/nvme-secure-erase/Na is halt "gammelig"
Trommel
Zitat von @133720:
Die BIOS-Einstellungen sollen so belassen werden.
Ebenso soll keine Festplatte ausgebaut werden.
Die BIOS-Einstellungen sollen so belassen werden.
Ebenso soll keine Festplatte ausgebaut werden.
Wenn da jetzt der USB-Boot verboten ist, was z.B. bei uns der Fall ist, dann kann der User nichts machen. 🤣
Zitat von @5175293307:
Hauptsache es macht seine Sache gründlich, da braucht man doch keine fancy GUI !
Hauptsache es macht seine Sache gründlich, da braucht man doch keine fancy GUI !
Fair enough ! Wenn der Endnutzer damit klar kommt . Wobei ich trotzdem auf ein Protokoll bestehen würde...
Er hat ja auch nach einem Linux mit DBan o.ä. gefragt, das hatte ich etwas überlesen, von daher passt die Rückmeldung schon. Die anderen Lösungen sind aber sicher auch zielführend ... Schönen Montag
Trommel
Das Windows eigene CMD Tool cipher macht gute Dienste.
learn.microsoft.com/de-de/windows-server/administration/windows-commands/cipher
Gruß Nebellicht
learn.microsoft.com/de-de/windows-server/administration/windows-commands/cipher
cipher /W: G: Gruß Nebellicht
Ich schließe das Thema mal und probier es in einem Linux-Forum.
Der Moderator hat mein anderen Thema im Linux-Channel geschlossen. Doppelpost usw.
Ich möchte das Ganze auch nicht überstrapazieren.
Danke und tschö.
Der Moderator hat mein anderen Thema im Linux-Channel geschlossen. Doppelpost usw.
Ich möchte das Ganze auch nicht überstrapazieren.
Danke und tschö.
Ich möchte das Ganze auch nicht überstrapazieren.
Auf Rückfragen antworten sollte noch drin sein.1Zitat von @133720:
Ich schließe das Thema mal und probier es in einem Linux-Forum.
??Ich schließe das Thema mal und probier es in einem Linux-Forum.
Hallöchen, auch wenn das Thema vielleicht beendet ist,
wäre es nicht eine Möglichkeit die Festplatten mit Diskpart und "clean /all" zu löschen? Setzt die Festplatte auch wieder auf null.
https://www.diskpart.com/de/articles/diskpart-clean-all.html
Vielleicht hilft es.
Ich wünsch euch was!
wäre es nicht eine Möglichkeit die Festplatten mit Diskpart und "clean /all" zu löschen? Setzt die Festplatte auch wieder auf null.
https://www.diskpart.com/de/articles/diskpart-clean-all.html
Vielleicht hilft es.
Ich wünsch euch was!
Zitat von @ShutterJx:
wäre es nicht eine Möglichkeit die Festplatten mit Diskpart und "clean /all" zu löschen? Setzt die Festplatte auch wieder auf null.
Nein, wegen der Arbeitsweise einer NVME, keine wasserdichte Option.wäre es nicht eine Möglichkeit die Festplatten mit Diskpart und "clean /all" zu löschen? Setzt die Festplatte auch wieder auf null.
Zitat von @5175293307:
Nein, wegen der Arbeitsweise einer NVME, keine wasserdichte Option.
Nein, wegen der Arbeitsweise einer NVME, keine wasserdichte Option.
Kannst du da mal bitte interessehalber ein Link dazu schicken? Weil beim besten Willen, ich finde nichts dazu, dass sich bei NVMEs die nullen wieder umschreiben lassen oder ähnliches..
Weil SSDs im Gegensatz zu klassischen HDDs (ohne Flasherweiterung) sogenannte Spare Areas/Over-Provisioning nutzen um Daten abseits des für das OS sichtbaren Speichers abzulegen (z.B. fürs wear leveling) und diesen Speicher kann Diskpart nicht erreichen, es können dort also durchaus noch sensible Daten verbleiben, die sich auslesen lassen wenn man kein secure erase durchführt. Bei einem secure erase wird im Gegensatz zu diskpart auch dieser "Ersatzspeicher" sicher gelöscht.
https://www.thomas-krenn.com/de/wiki/Solid-State_Drive#:~:text=Die%20Gr% ....
https://www.thomas-krenn.com/de/wiki/SSD_Over-Provisioning_mit_hdparm
https://www.thomas-krenn.com/de/wiki/Solid-State_Drive#:~:text=Die%20Gr% ....
https://www.thomas-krenn.com/de/wiki/SSD_Over-Provisioning_mit_hdparm
Zitat von @5175293307:
Weil SSDs im Gegensatz zu klassischen HDDs (ohne Flasherweiterung) sogenannte Spare Areas/Over-Provisioning nutzen um Daten abseits des für das OS sichtbaren Speichers abzulegen (z.B. fürs wear leveling) und diesen Speicher kann Diskpart nicht erreichen, es können dort also durchaus noch sensible Daten verbleiben, die sich auslesen lassen wenn man kein secure erase durchführt. Bei einem secure erase wird im Gegensatz zu diskpart auch dieser "Ersatzspeicher" sicher gelöscht.
Weil SSDs im Gegensatz zu klassischen HDDs (ohne Flasherweiterung) sogenannte Spare Areas/Over-Provisioning nutzen um Daten abseits des für das OS sichtbaren Speichers abzulegen (z.B. fürs wear leveling) und diesen Speicher kann Diskpart nicht erreichen, es können dort also durchaus noch sensible Daten verbleiben, die sich auslesen lassen wenn man kein secure erase durchführt. Bei einem secure erase wird im Gegensatz zu diskpart auch dieser "Ersatzspeicher" sicher gelöscht.
Okay danke erstmal für die Info, wieder was gelernt. Allerdings habe ich dazu auch noch was gefunden, wo mich interessieren würde, was du dazu sagst:
"So banal ist ein Secure Erease nicht, dabei wird ein Passwort vergeben und wenn das BIOS die ATA Sicherheitsfunktionen einfriert um Schädlingen keine Chance zu geben, was auch sinnvoll ist, muss man die SSD kurz stromlos machen um dieser Sperre wieder aufzuheben. Daher empfehle ich lieber das Überschreiben mit DISKPART, welches Teil von Windows ist und auch auf den Installations- und Recoverymedien ist. Die kann man booten und dann Shift+F10 drücken um eine Eingabeaufforderung zu erhalten. Steckt die SSD in einem Rechner der Windows hat, dann öffnet man eine cmd.exe und gibt dort ein:
diskpart
list disk
select disk x (x steht für die Nummer des Laufwerks aus list disk, die richtige Platte sollte an der Kapazität erkennen sein, sonst andere Platten besser vorher abklemmen um Datenverlust zu vermeiden)
clean all
exit
clean statt clean all löscht nur alle Partitionierungsinformationen, clean all überschreibt alle adressierbaren LBAs der SSD mit 00 und dauert entsprechend länger, man kann danach auch nichts mehr widerherstellen. Selbst die Reste die noch irgendwo in der Spare Area stecken kann ein User nicht mehr auslsen, weil man an diese nicht mehr ran kommen kann und der Controller beim Auslesen der LBAs immer nur 00 zurückgeben wird. Man müsste schon die NANDs ablöten und auslesen und dazu noch hoffen, dass die Idle-GC diese ja nun ungültigen Datenreste nicht auch schon gelöscht hat. Problematisch sind bei Diskpart nur HPAs, da diese nicht überschrieben werden, aber wer nutzt schon eine HPA und schreibt dann da noch sensible Daten rein?"
Quelle: https://www.hardwareluxx.de/community/threads/ssd-richtig-l%C3%B6schen.1 ...
Nutzer: "Holt"
weil man an diese nicht mehr ran kommen kann
Das ist eben falsch gedacht. Ein Profi kommt da eben sehr wohl dran.In diesem Beitrag geht es ja um "sicher" löschen. Ein clean all als Allheilmittel alleine genutzt bringt es also nicht "wasserdicht" zu Stande.
Meine Devise, Speicher den ich mir kaufe verlässt mein Haus niemals mehr, und wird an seinem Lebensende mit Thermit endgültig terminiert sofern er irgendwann mal sensible Daten beherbergt hat.
Nungut, dann weiß ich vorerst bescheid. Ich danke für die Infos ;)
Schönen Tag noch!
Schönen Tag noch!
Ich lösche alle Partitionen auf dem zu löschenden Laufwerk und verschlüssele anschließend das komplette Laufwerk mit VeraCrypt. Was Spare Areas und Over-Provisioning betrifft: Da beim Verschlüsseln Daten auf das Laufwerk geschrieben werden, müsste sich der Inhalt in den Spare Areas doch auch ändern, wenn ich das richtig verstehe.
Zitat von @chriscar:
Da beim Verschlüsseln Daten auf das Laufwerk geschrieben werden, müsste sich der Inhalt in den Spare Areas doch auch ändern, wenn ich das richtig verstehe.
Nein nicht zwingend, das bestimmt der Controller selbst was da landet. Es bleibt halt immer ein Rest-Risiko das dort doch noch etwas sensibles verbleibt, auch wenn das Risiko gering ist das sich damit noch etwas anfangen lässt.Da beim Verschlüsseln Daten auf das Laufwerk geschrieben werden, müsste sich der Inhalt in den Spare Areas doch auch ändern, wenn ich das richtig verstehe.
Bei einem SecureErase/Sanitize wird übrigens zusätzlich der sogenannte FTL (FileTranslationLayer) zurückgesetzt der die Zuordnung von logischen zu physischen Zellen übersetzt.
Mehr Stoff zum Lesen
https://www.google.com/search?q=Secure+erase+flash+filetype%3Apdf
2
