'nosuid, nodev, nofail, noauto' Äquivalent in Windows?

0

Daher mache ich die forensische Toolvalidierung mit mehreren Tools und Betriebssystemen. Ich habe unter Linux mit dd begonnen und die anderen beiden Tools, die ich verwenden muss, sind FTK Imager und ProDiscover. beide Windows-basierte Programme. Das Problem ist, dass ich keinen Schreibblocker habe. Was wäre das Äquivalent von 'nosuid, nodev, nofail, noauto' in Windows?

Andrew Polemeni
quelle
Ähm, aber die Optionen, nach denen Sie fragen, sind nicht mit einem "Schreibblocker" vergleichbar.
Grawity

Antworten:

0

https://digital-forensics.sans.org/blog/2010/12/17/digital-forensics-configure-windows-investigative-workstations/

Machen Sie USB-Geräte schreibgeschützt

Eine weitere Registrierungsänderung kann vorgenommen werden, um Windows anzuweisen, neu angeschlossene USB-Geräte als schreibgeschützte Geräte zu behandeln, um versehentliches Schreiben zu verhindern. Ich befürworte nicht, dass dies einen physischen Schreibblocker ersetzen sollte - tatsächlich gibt es mehrere Berichte, dass Windows diese Einstellung nicht beachtet und das Schreiben auf einige USB-Geräte zulässt (obwohl ich dieses Verhalten nicht direkt beobachtet habe). Diese Einstellung kann jedoch als Teil eines angemessenen mehrschichtigen Ansatzes implementiert werden, um nachzuweisen, dass Sie alle möglichen Schritte unternommen haben, um versehentliches Schreiben auf angehängte Beweise usw. zu verhindern.

Um diese Funktion zu implementieren, müssen Sie wie folgt einige Änderungen an Ihrer Registrierung vornehmen:

Öffnen Sie die Registrierung, und navigieren Sie zu HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control. Erstellen Sie einen neuen Schlüssel mit dem Namen "StorageDevicePolicies", falls er noch nicht vorhanden ist. Wenn es noch nicht vorhanden ist, erstellen Sie ein neues Dword mit dem Namen "WriteProtect" und setzen Sie den Wert auf 1 (wobei 1 bedeutet, dass das Betriebssystem neu angeschlossene USB-Geräte als schreibgeschützte Geräte behandelt und 0 bedeutet, dass Schreibvorgänge zulässig sind). Deaktiviere automount

Windows stellt neu angeschlossene Speichergeräte gerne für Sie bereit, was eine schlechte Sache sein kann. Ich möchte lieber explizit definieren, welche Speichergeräte auf meiner Forensik-Workstation bereitgestellt werden. So deaktivieren Sie die Automount-Funktion über eine Eingabeaufforderung (mit erhöhten Rechten, wenn Sie Windows 7 / Vista verwenden):

Führen Sie diskpart aus und geben Sie an der Eingabeaufforderung Folgendes ein: automount disable oder führen Sie den eigenständigen Befehl mountvol / N aus, oder setzen Sie HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ MountMgr \ NoAutoMount in der Registrierung auf 1 (dieser Eintrag ändert sich entsprechend, wenn Sie verwenden einen der zuvor genannten Befehle.

Andrew Polemeni
quelle