Sie fragen – wir antworten!
Festplattengröße beschränkt
#£Nachdem das Laufwerk in meiner externen Festplatte ausgefallen war, wollte ich dort ein neues einbauen – dann aber gleich mit höherer Kapazität. Doch mein WD My Book Essential scheint nur maximal 4 TByte große Platten zu akzeptieren. Warum ist das so und gibt es Abhilfe?
¶¢WD setzt bei diesen externen Festplatten einen Zusatz-Chip ein, der die maximale Kapazität beschränkt. Er ist auf der Platine über seine Bezeichnung Pm25LD020 zu identifizieren, gelegentlich kommt wohl auch ein W25X20CL von Winbond zum Einsatz. Er teilt dem USB-SATA-Wandler nicht nur die maximal unterstützte Kapazität mit, sondern auch den Namen des Gerätes. Diesen Chip kann man getrost lahmlegen, indem man die Spannungsversorgung über Pin 8 mit einem scharfen Messer unterbricht. Achtung: Bei Chips zählt man von der Markierung aus gegen den Uhrzeigersinn, Pin 8 liegt der Markierung gegenüber.
Bei unserem Gehäuse ließ sich nach der Operation auch eine 8-TByte-Platte mit ihrer vollen Kapazität formatieren. Einziger Wermutstropfen: Das Laufwerk meldet sich nicht mehr als WD-Laufwerk, daher funktionieren die von WD bereitgestellten Tools wie das Backup-Programm nicht mehr. Nach unserer Einschätzung klappt die Operation auch mit anderen externen 3,5-Zoll-Laufwerken von WD – sofern der genannte Chip auf der Platine zu finden ist. (ll@ct.de)
MacPorts: Paketinstallation gescheitert, Festplatte voll
#£Ich nutze auf meinem Mac den optionalen Paketmanager MacPorts. Nun ist die Installation eines sehr umfangreichen Pakets gescheitert, weil unterdessen die Platte vollgelaufen ist. Ich habe versucht, die Überreste mit sudo port uninstall paketname zu entfernen, aber das bringt nichts. Was tun?
¶¢In den meisten Fällen genügt der Befehl sudo port clean paketname. Wenn aber die Platte voll ist, lohnt es sich, sämtliche geladenen Pakete bereinigen zu lassen. Vielleicht wird so auch genügend Platz frei, um die Installation des Pakets erfolgreich zu beenden.
Geben Sie dazu port clean --all all ein. Der Manager entfernt dann alle Arbeits- und Verwaltungsdateien, temporäre Archive sowie Protokolle und gibt im Verlauf den Namen des jeweils behandelten Pakets an. Falls Sie die Bereinigung aus der Ferne per SSH veranlassen: Der Befehl df -h gibt Auskunft über den belegten und freien Plattenplatz. (dz@ct.de)
Netzwerkdurchsatz WireGuard versus OpenVPN
#£Die in c’t 5/2019 beschriebene neue VPN-Technik WireGuard finde ich spannend. Leider ließ der Artikel konkrete Zahlen zum Durchsatz vermissen. Könnt Ihr da was nachliefern?
¶¢Gern! Inzwischen haben wir WireGuard und OpenVPN auf dem Mini-PC Zbox CI329nano verglichen. Dazu lief OpenWRT 18.06.2 als Router-Betriebssystem auf der Zbox (siehe c’t 4/2019, S. 142), weil man bei ihm beide VPN-Techniken leicht nachinstallieren kann. OpenWRT war mit PPPoE auf dem WAN-Port konfiguriert und arbeitete als Endpunkt für beide VPNs. Wir starteten iperf3 (ct.de/ypnb) auf einem Windows-10-Notebook als Client, das per Gigabit-Ethernet am LAN-Port des OpenWRT-Routers hing. Als iperf3-Server und PPPoE-Gegenstelle arbeitete ein Server mit Xeon E3-1240 unter Ubuntu 18.04 LTS.
In diesem Setup schaffte die Zbox mit OpenVPN (Version 2.4.4) 218 MBit/s Summendurchsatz bei 6 parallelen TCP-Datenströmen. WireGuard (0.0.20190123) trieb die Datenrate auf 877 MBit/s hoch. Dabei waren 2 der 4 CPU-Kerne auf der Zbox voll ausgelastet. Mit IPoE als WAN-Protokoll (DHCP in OpenWRT) kletterte der WireGuard-Durchsatz nochmal leicht auf 901 MBit/s. Die Datenraten sind der Mittelwert aus Down- und Upstream über jeweils 30 Sekunden; beide VPN-Systeme zeigten nur geringe Unterschiede zwischen den Richtungen. (ea@ct.de)
SSD lässt sich nicht als BitLocker-eDrive nutzen
#£Mir gelingt es einfach nicht, die Verschlüsselungsfunktion meiner PCIe-SSD für BitLocker zu benutzen. Ich habe Ihre Anleitung in c’t 1/2019 (S. 110) genau beachtet und meine SSD soll auch eDrive-kompatibel sein. Wo könnte das Problem liegen?
¶¢Das Problem trifft beispielsweise auch Samsung-SSDs mit Verschlüsselung wie die M.2-SSD 970 Evo. Laut Samsung-Support gibt es viele Desktop-PC-Mainboards, deren UEFI-BIOS nicht für Self-Encrypting Drives (SEDs) nach Microsofts eDrive-Spezifikation taugt. Vermutlich fehlt dem BIOS dieser Boards das seit der UEFI-Version 2.3.1a spezifizierte EFI_STORAGE_SECURITY_COMMAND_PROTOCOL.
Leider kennen wir keine Methode, mit der man prüfen könnte, ob ein bestimmtes Mainboard-BIOS dieses Protokoll beherrscht oder nicht. Uns sind auch keine Listen mit Mainboards oder Computern bekannt, die dieses Protokoll sicher unterstützen oder nicht.
Je nach gewählter SSD muss das EFI_STORAGE_SECURITY_COMMAND_PROTOCOL entweder via SATA oder via PCIe funktionieren; möglicherweise klappt also BitLocker mit Hardware-Verschlüsselung eher mit einer SATA-SSD als mit einer PCIe-SSD. Letztlich hilft nur Ausprobieren oder eine Anfrage beim Support des jeweiligen Mainboard-Herstellers. Ab und zu reichen die Firmen das Protokoll mit einem BIOS-Update nach; Intel verspricht das beispielsweise für den Mini-PC NUC6i7KYK. (ciw@ct.de)
Direktwahl fürs Handy
#£Auf meinem alten Festnetztelefon gab es Direktwahltasten für wichtige Telefonnummern. Gibt es so etwas auch für mein Huawei-Smartphone? Ich bin es leid, ständig einen Umweg über die Kontakte beziehungsweise die Anrufliste zu machen.
¶¢Bei Android-Smartphones ist dies vielfach mithilfe von Widgets möglich. Um eine Rufnummer als Direktwahl einzurichten, gehen Sie so vor: Drücken Sie auf dem Startbildschirm so lange auf das Display, bis Ihr Smartphone Sie fragt, ob Sie den Startbildschirm ändern wollen oder Dinge hinzufügen möchten. Wählen Sie „Widgets“ und unter „Kontakte“ die Direktwahl. Suchen Sie die gewünschte Rufnummer des Kontaktes und ziehen Sie das Icon auf den Startbildschirm. Zum Anrufen reicht es künftig, das Icon kurz anzutippen. (mil@ct.de)
Schreibschutz für Festplatte
#£Aus Sicherheitsgründen würde ich gerne meine Datenpartition mit einem Schreibschutz versehen – zum einen, um nicht versehentlich Daten zu löschen, und zum anderen als Schutz vor einem Trojanerbefall. Geht das und wenn ja, wie?
¶¢Dazu eignet sich das Windows-Tool diskpart. Starten Sie das Kommandozeilenprogramm mit Administratorrechten und lassen Sie sich mittels list volume die vorhandenen Partitionen anzeigen. Wählen Sie dann über select volume 1 zum Beispiel die Partition mit der Nummer 1 aus. attribute volume set readonly versetzt sie in den schreibgeschützten Modus.
Mittels attribute volume clear readonly entfernen Sie den Schreibschutz wieder. Statt einer Partition können Sie auch ganze Laufwerke mit einem Schreibschutz versehen, ersetzen Sie dazu volume durch disk.
Komfortabel wird die Umschaltung jedoch erst durch die Skripting-Fähigkeiten von diskpart. Erstellen Sie dazu zwei Dateien mit den passenden Befehlen, eine zum Setzen des Schreibschutzes (etwa schreibschutz-an.txt), eine zum Aufheben. Legen Sie sich dann zwei Verknüpfungen auf den Desktop, die Befehlssyntax dafür lautet diskpart /s schreibschutz-an.txt beziehungsweise diskpart /s schreibschutz-aus.txt. Bei den Eigenschaften der Verknüpfungen müssen Sie zudem noch angeben, dass diese im Administrator-Modus ausgeführt werden sollen. (ll@ct.de)
Virenscanner für Linux
#£Ich habe von einem Mining-Trojaner namens Linux.BtcMine.174 gehört, der seinem Namen nach Linux-Systeme befallen soll. Muss ich jetzt auch unter Linux einen Virenscanner einsetzen?
¶¢Trojaner für Linux werden immer mal wieder entdeckt, in der Praxis spielen sie jedoch keine nennenswerte Rolle. Das liegt nicht so sehr daran, dass Linux so sicher wäre, sondern an der geringen Verbreitung bei Desktop- und Notebook-Computern.
Mit Windows-Schädlingen können Cyber-Kriminelle mit dem gleichen Aufwand sehr viel mehr Geld verdienen. Die beiden wichtigsten Infektionswege sind für Linux nicht relevant: Weder über E-Mails noch durch Exploit-Kits auf Webseiten werden in nennenswertem Umfang Linux-Schädlinge verbreitet. Deshalb lohnt auch ein AV-Wächter für Linux nicht.
Etwas anders sieht das bei Linux-Servern aus. Dort kann sich ein Einbruch lohnen, etwa um einen Crypto-Miner zu installieren. Dagegen sollte man Vorkehrungen treffen. Dabei geht es jedoch weniger um Schutz vor Viren als vielmehr um eine ordentliche Absicherung des Servers.
Ein Viren-Wächter für Linux macht nur in sehr speziellen Szenarien wirklich Sinn, etwa auf einem Dateiserver für Windows-Systeme. Der wichtigste Schutz für Linux-Systeme ist, Sicherheits-Updates zügig einzuspielen und auf Servern die installierten Dienste vernünftig, sprich sicher, einzurichten. (ju@ct.de)
Mac: Google-Drive-Ordner umbenennen
#£Ich habe auf meinem Mac Googles App „Backup & Sync“ für zwei Google-Drive Konten eingerichtet. Dafür hat mir die App wie erwartet zwei Synchronisierungsordner angelegt. Der erste lautet schlicht „Google Drive“, der zweite aber „Google Drive (name@mailadresse)“. Das ist mir zu lang. Wie kann ich diesen Ordner umbenennen? In Backup & Sync finde ich keine Option dafür.
¶¢Stellen Sie zuerst sicher, dass die App aktuell keine Daten synchronisiert; stoppen Sie gegebenenfalls laufende Synchronisierungen über das Einstellungsmenü und die Option „Anhalten“.
Öffnen Sie auf dem Desktop Ihren User-Ordner und klicken Sie auf den Google-Drive-Ordner, den Sie umbenennen möchten. Öffnen Sie das Kontextmenü und wählen Sie die Option „Umbenennen“. Ändern Sie den Ordnernamen wie es Ihnen beliebt und drücken Sie die Eingabetaste. Kurz danach sollte sich die App Backup & Sync beklagen, dass „Ein synchronisierter Ordner fehlt“. Klicken Sie auf „Suchen“ und wählen Sie den Ordner aus, dessen Namen Sie geändert haben. Schalten Sie anschließend die Synchronisierung wieder ein. (dz@ct.de)
Windows-Update-Einstellungen für Windows Server anpassen
#£Ich habe einen Windows Server 2016 Essential eingerichtet und festgestellt, dass man das Verhalten von Windows Update nicht über die Einstellungen ändern kann. Mit den Werkseinstellungen (Herunterladen, aber nicht installieren) gibt es deshalb täglich eine Warnung im Dashboard, dass ein Update nicht eingespielt wurde – nämlich das tägliche Signatur-Update für das integrierte Anti-Malware-Programm Windows Defender. Gibt es die Möglichkeit, Updates automatisch installieren zu lassen?
¶¢Die gewünschte Einstellung lässt sich über ein Kommandozeilenprogramm ändern. Starten Sie eine Kommandozeile mit Admin-Rechten, tippen Sie dort sconfig ein, gefolgt von der Eingabe-Taste. Im nun folgenden Text-Dialog, bei dem die Hintergrundfarbe der Kommandozeile auf Blau wechselt, wählen Sie Windows Update mit der Eingabe der Zahl „5“ aus und aktivieren die automatischen Updates mit „a“. Mit „15“ verlassen Sie sconfig; anschließend können Sie die Kommandozeile mit exit schließen.
Achtung: Durch das geänderte Windows-Update-Verhalten werden nicht nur die Signatur-Updates des Windows Defender, sondern sämtliche über Windows Update ausgespielten Patches unmittelbar installiert. Bei neustartfordernden Updates finden dann auch diese automatisch statt, und zwar außerhalb der eingestellten aktiven Nutzungszeiten des Servers. Je nach Einsatzfall müssen Sie also auch noch die Zeiten ändern oder generell abwägen, ob die Werkseinstellungen nicht doch das geringere Übel sind. (mue@ct.de)
Radeon VII ohne Secure Boot
#£Seit ich eine Radeon VII im System habe, funktioniert Secure Boot nicht mehr. Was kann ich tun?
¶¢Die erste Charge der High-End-Grafikkarten lieferte AMD ohne UEFI-taugliche Firmware (alias VGA-BIOS) aus. Das Mainboard-BIOS schaltet daraufhin das Compatibility Support Module (CSM) ein, mit dem wiederum der Secure Boot nicht funktioniert. AMD hat inzwischen ein Tool mit aktualisierter Firmware zum Download für 32- und 64-Bit-Windows bereitgestellt (ct.de/ysfk). Für Linux ist uns aktuell kein entsprechendes Programm bekannt.
Sie müssen das Archiv lediglich entpacken und die enthaltene Datei mit Administratorrechten ausführen – alles Weitere geschieht automatisch. (csp@ct.de)
Aktualisiertes vBIOS: ct.de/ysfk