Можно ли сделать резервную копию зашифрованного диска? – [решено]

Какого диска, чем зашифрованного? Если говорите о криптоконтейнере PGPdisk, просто скопируйте его файл на резервный носитель (предварительно размонтируйте его, unmount). Если же речь о диске, полностью зашифрованном с помощью PGP Whole Disk, то можете сохранить его образ — он останется зашифрованным.

Ситуация: шифрую весь диск с помощью PGP Whole Disk.
1. А если снимать образ прогой типа Acronis True Image – Какой образ я получу в итоге? То же ввесь зашифрованный?
2. Диск разбит прогой типа Partishion Magic, соответственно основной + пара логических дисков. И если я Acronis делаю отдельно образ основного и отдельно логического диска – возможно ли будет восстановить или только основной диск/раздела или только логический?

Проблема/задача в том, что Acronis True Image позволяет делать дифференциальные бэкапы дисков, а у меня как раз и надо бэкапить логический диск. Но не уверен что при использовании Whole Disk я смогу потом восставновить инфу или хотя бы просто вытащить её из бэкапа образа диска если она зашифрованна...
Хм, и как тогда бэкапить? Простым копированием файлов/папок? А если там стоит набор программ которые бессмысленно просто скопировать – то что можно в этом случае сделать? Только ли дифференциальное копирование всех дисков сразу? Да какую-нибудь базу данных порой надо бэкапить по несколько раз на день, но из-за ентого бэкапить всю систему?!

С уважением,
Юрий

Сам спросил – сам же и попробую ответить :-)
Начну с главного: после установки, вернее – после того как зашифровал диск с помощью PGP Whole Disk, Acronis True Image (9.0.0.2289 rus) не может создать образ диска!
Т.е. запускается, дает выбрать параметры, а практически в самом начале создания образа пишет что-то типа "не могу прочитать сектор 70265". И всё... Остается только нажать кнопку Отмена и выйти из Acronis...
На днях попробую более свежие версии Acronis, в т.ч. eng (они менее глючные), но сдается мне что енто системный глюк связанный именно с PGP Whole Disk...
И если всё так плачевно окажется, то даже не знаю что и делать... Риск и так велик остаться без информации, если вдруг PGP Whole Disk взглюкнёт, но и не возможность при этом делать нормальные бэкапы – это полная засада!
И не уверен что образ диска зашифрованного PGP Whole Disk можно будет снять загрузившись с чего-то типа BartPE, потому как я не знаю пока точно как в таком/подобном случае выглядит винт, вернее его файловая система и что будут думать такие внешне загруженные системы глядя на шифрованный винт... А самое главное: от самого факта/события загрузки с BartPE – не нарушатся/повалится ли PGP Whole Disk до такой степени, что переставет вообще грузиться...
У кого какие мысли/подозрения/знания – посоветуйте что делать и как предохраняться!

С уважением,
Юрий.

Риск и так велик остаться без информации, если вдруг PGP Whole Disk взглюкнёт, но и не возможность при этом делать нормальные бэкапы – это полная засада!

В дистрибутиве PGP поставляется утилита для создания Recovery Image. Если Вы предварительно запишите его на CD, то даже если система накроется медным тазом, сможете расшифровать жёсткий диск.

потому как я не знаю пока точно как в таком/подобном случае выглядит винт

Обратите внимание: для программы, снимающей дамп жёсткого диска (т.е. образ диска, а не файловой системы), должно быть всё равно, что вообще и в каком виде там записано. При снятии дампа программа посекторно считывает диск и записывает данные в файл. При сохранении резервной копии файловой системы программа считывает данные, согласно оглавлению ФС (т.е. сохраняет файлы, а не содержимое всех секторов), и если последняя зашифрована, то не может произвести резервирование.

Однако в случае посекторного резервирования оно должно производиться только при "закрытых" зашифрованных дисках. Иными словами, сама система должна расценивать такой диск просто битой/неотформатированной файловой системой. Этого можно добиться, если резервирующий агент запускается на предзагрузочном уровне с внешнего носителя (BartPE можно рассматривать как подобный вариант) или если сам резервируемый диск подключить к другой системе. Это, кстати, самый простой и гарантированно действенный метод.

А вот пытаться сохранить дамп зашифрованного диска "изнутри" работающей системы действительно может не получиться (если только резервирующий агент не осуществляет доступ к диску в обход ОС, а это маловероятно). Сохранять так образ файловой системы можно (более того, это единственный способ резервирования зашифрованной ФС).

А самое главное: от самого факта/события загрузки с BartPE – не нарушатся/повалится ли PGP Whole Disk до такой степени, что переставет вообще грузиться...

BartPE вообще не задействует жёсткий диск системы (между прочим, его можно запускать даже на системах с совершенно отсутствующим винтом). Так что его запуск не затронет содержимое диска никоим образом.

SATva, спасибо за комментарий!
Теперь маленькие уточнения.
Вопрос с Acronis возник из-за того, что:
1. Создание образа диска- это самый простой и быстрый способ восстановить систему после любого краха. И в корпоративной среде – достаточно распрастраненный метод. Я могу, конечно, париться с бэкапом критичных папок/файлов на сетевой диск, но как-то не комильфо...
2. ...вытекает из первого: а как енто всё автоматизировать? Так, у меня сам Acronis по расписанию делал бэкапы образов (замечу – разные виды бэкапов!), а как это автоматизировать при помощи Recovery Image или тем паче – BartPE? Как я понимаю- тот же BartPE можно запустить только в ручном режиме, вернее- только ручками... И если у меня таких компов штук 20?

Вообщем, я попробую, конечно, PGP Recovery Image и посмотрю что он умеет. И если не получится автоматизировать сей процесс, то останется только снимать шифрование с диска, делать Acronis нормальный образ для возможности быстрого восстановления в случае "полной смерти" (потому как поторопился и после шифрования дисков зачем-то удалил бэкапы образов созданные Acronis до установки PGP Whole Disk), потом снова шифровать диск и настраивать отдельный бэкап критичных папок/файлов на сервер с помощью или того же Acronis или иных сторонних утилит.

...вытекает из первого: а как енто всё автоматизировать?

Наверно, это возможно, но сложно. Компы оставляются на ночь включёнными. Планировщик задач их ребутит в три часа, например. В BIOS'е выбрано "загружаться с CD". В сидюках лежат диски, которые автоматически запустят утилиту, делающую бэкап. После создания бэкапов компы выключаются. Утром приходят люди, загружаются в систему, запускается скрипт, который копирует бэкапы на сетевой диск или ещё куда-нибудь.
Проще – использовать не WholeDisk, а обычный PGPDisk. Его можно будет копировать, как любой другой файл.

Так, у меня сам Acronis по расписанию делал бэкапы образов (замечу – разные виды бэкапов!)

С зашифрованным диском не получится разных видов, только полная копия.

Lemtoks, или не совсем верный совет или уточняй его. Все забыли про масенький нюанс, а он может испоритить всю картину... У меня на компе всего ОДИН диск и он был разбит на три диска прогой Partishion Magic! Видимо именно из-за этого у меня зашифровался весь диск. А теперь вопрос- куда будет сливаться образ?! Верно – или никуда или нужен второй диск... Настроить тот же BartPE для подобного (копирование на второй винт автоматом или копирование по сети) сложно, проще или второй загрузочный диск в системе иметь или на крайняк при загрузке выбрать загрузку с USB-диска. А в моей ситуации так это (USB-диск) вообще идеальный и единственный вариант.
Правда остается еще возможность попробовать снести данные с третьего (как наименее используемого) диска, удалить его полностью из системы, расшифровать диск и потом уже Fdisk подцепить этот диск заново.
Короче, цель одна- чтобы Whole Disk не зашифровал этот третий диск. А уж на него (новый диск) поставить еще одну систему, да хоть Win98 (лишь бы дрова найти), поставить его основным загрузочным по умолчанию, установить Acronis и уже тогда делать Image диска закрытого Whole Disk... И можно даже достаточно просто настроить на авто-бэкап по расписанию или событию.
Ну или действительно – вставлять в комп второй диск и не париться с переразбивкой первого винта или тормозами подключения по USB...

С уважением,
Юрий

SATtva!
Не сумел найти PGP Recovery Image о которой Ты упоминал выше, поэтому просьба чуть подробнее про эту утилиту: где именно её взять и как пользоваться?

В установочной директории PGP находятся два файла: bootg.iso (для записи на CD) и bootg.img (для записи на дискету). Это не утилита, а резервные образы для восстановления функции Whole Disk Encryption на повреждённом загрузочном диске. Т.е. Вы записываете, скажем, bootg.iso на CD, а если вдруг зашифрованный загрузочный диск окажется повреждён, что приведёт к неработоспособности компа, Вы запускаете его с этого резервного CD и получаете возможность расшифровать диски. Короче, это вообще не средство резервного копирования и отношения к ним не имеет.

SATtva, а записывать bootg.iso на CD-DVD до того как загрузочный диск зашифрован или уже после? Или без разницы?
Смысл вопроса в том, что если bootg.iso универсальнй модуль, то тогда достаточно его записать на диск один раз и можно использовать на разных компах?
Вообще странно... Мне казалось, что если зашифрованный диск получит повреждение, то всё, без вариантов на восстановление. А тут оказывается, что есть возможность расшифровать даже поврежденный контейнер... У него что – есть избыточная информация для восстановления как, например, в WinRAR?! Или bootg.iso помагает в ограниченных случаях связанных с узким перечнем проблем? А тогда в каких именно?

а записывать bootg.iso на CD-DVD до того как загрузочный диск зашифрован или уже после? Или без разницы?

Всё равно. Но есть важный нюанс: файл образа должен быть только из дистрибутива данной или более поздней версии! Иными словами, если Вы зашифровали диск с помощью PGP 9.5, а "спасательный CD" создали на основе bootg.iso из поставки PGP 9.0.2, то его использование сделает файловую систему полностью неработоспособной: диск придётся форматировать.

Вообще странно... Мне казалось, что если зашифрованный диск получит повреждение, то всё, без вариантов на восстановление. А тут оказывается, что есть возможность расшифровать даже поврежденный контейнер... У него что – есть избыточная информация для восстановления как, например, в WinRAR?!

Во-первых, зашифрованный раздел (диск) и криптоконтейнер (файл) — это совсем разные вещи. В контейнере PGPdisk есть две служебные области, повреждение которых в большинстве случаев полностью выводить его из строя. Губительны и некоторые другие происшествия.

С диском ситуация иная. Он шифруется посекторно от начала до конца. Повреждение в некотором секторе диска как правило локализовано только этим сектором. Так что можете хоть половину шифртекста переписать — к существенным проблемам это не приведёт. Шифртекст криптоконтейнеров также достаточно устойчив к повреждениям. Конечно, если Вы и перепишите шифртекст, то при расшифровании в этих секторах получится мусор, и если данные сектора содержали таблицу файловой системы, от неё, конечно, станет мало проку.

Или bootg.iso помагает в ограниченных случаях связанных с узким перечнем проблем? А тогда в каких именно?

Исключение из описанных выше ситуаций представляет зашифрованный загрузочный раздел. Он шифруется не "от и до". Небольшая область диска остаётся открытой, и в неё помещается загрузчик Bootguard, который и просит ввести пароль при запуске системы (далее его исполняемый код размещается в памяти и производит низкоуровневое зашифрование/расшифрование записываемых/считываемых данных). Разумеется, если окажутся повреждены сектора диска, содержащие Bootguard, компьютер станет неработоспособным.

Образ bootg.iso как раз и содержит вариант Bootguard, запускаемый с внешнего носителя. Таким образом, даже при повреждении основной копии на диске Вы всё равно сможете запустить систему или расшифровать диски ПК.

Ок, более-менее понятно становится... Кстати, SATtva, я не верно выразился сказав

есть возможность расшифровать даже поврежденный контейнер...

Естетсвенно, я имел ввиду диск! Но тем не менее такая ошибка даже к лучшему, потому что узнал дополнительную инфу :-)

Теперь что касается снятия образа зашифрованного диска...
В случае если в системе установлен только один винт – Whole Disk шифрует его весь и мне не удалось разбить области винта даже при помощи fdisk таким образом, чтобы хоть одну область не зацепил Whole Disk при шифровании. Напомню, я хотел на такую незашифрованную область поставить другую систему + Acronis True Image, сделать их загружаемыми по умолчанию и автоматизировать процесс создания образа...

К сожалению у меня под руками сейчас только ноутбук, а на него второй винт не воткнешь :-) чтобы посмотреть как поведет себя Whole Disk в таком случае. Но сдается мне что именно такой вариант прокатит в плане возможности автоматизации процесса. А пока... Пока только в случае одного винта в системе получается снимать образ с помощию загрузочного CD-диска Acronis на внешний USB-винт... Понятно, что автоматизацией тут и не пахнет, но уже легче что ещё есть вариант с bootg.iso...

Правда сейчас идейка одна промелькнула, может и прокатит... Смысл в том, что у меня сейчас винт разбит на диски C и D (в сумме примерно 20 гигов) и некоторая область осталась вообще не использованной (примерно 40 гигов). Сейчас Whole Disk криптует диски C и D, а вот потом я посмотрю что удастся сделать с незадействованной сейчас областью винта. По идее – она тоже должна быть зашифрованной, но стоит проверить... Может удастся тем же fdisk переформатировать незадействованный, но защищенный (?!) раздел так, чтобы на дисках C и D защита осталась, а вот остальная область была доступной... Что из этого получится- обязательно расскажу...

Рассказываю. Финал – BSD! :-)

А теперь по порядку... Зашифровал диск и перезагрузился. Через Управление в Винде (менеджер дисков) подцепил незадействованную область и создал новый раздел. Тут первый Упс! – он тут же вошел в область накрытую Whole Disk (по крайней мере так это было видно через PGP Desktop).

Ладно, перезагружаемся и загружаюсь с помощью Hirens BootCD, а потом под DOSом этот новый большой раздел (кстати, разбитый винт виден отдельными частями!!!, но типа недоступен ни один из них) удаляю/создаю/форматирую еще раз и снова перезагружаюсь.

Пароль PGP принимает нормально, начинается загрузка Винды и практически тут же второй Упс!- выдает BSD (что-то типа того, что найдено новое оборудование и Винда не может быть загружена посему. Типа – просьба через БИОС отключить новое оборудование и попытаться хотя бы через Safe Mode загрузиться...). Понятно, что диагноз окончателен (ну нет нового оборудования, не могу я в ноут его так просто вставить, а удаление с помощью Hirens BootCD этого нового раздела вообще на фиг – не помагает ) и остается только из Бэкапа полностью восстанавливать диски С и D.

Так что предварительный вывод следующий: при наличии одного винта в системе автоматизировать процесс создания образа диска зашифрованного с помощью PGP Whole Disk не получается, ибо нет возможности создать незакрытую Whole Disk партицию на винте... Решение проблемы – или наличие второго винта в системе (лично не пробовал, но судя по косвенным данным ДОЛЖНО получиться) или загрузка полного варианта Acronis True Image с CD-диска и слив создаваемого Бэкапа на подключаемый USB-винт, благо Acronis нормально такие винты поддерживает... Правда в этом случае ни о какой автоматизации речи и быть не может.

Я почему-то в начале этот вопрос не задал, но сейчас интересно, а какая у Вас версия PGP? Последняя 9.5.x умеет работать с логическими разделами (более ранние версии действительно шифровали диск целиком или вообще отказывались работать на размеченных), вроде бы даже поддерживает мультизагрузочные системы, хотя сам я это не проверял. Может быть Вам стоит обновить программу и попробовать зашифровать только один раздел ещё раз?

У меня было таже. Ну её нафик эту венду. BSD – наше всё. Выбирайте OpenBSD и будет вам счастие.