Vorbemerkung: Die hier angebotenen Programme WinAAM und ATASecSvc sollten unter allen NT-basierten Windows-Versionen funktionieren (NT4, 2000, XP, Server 2003). Für Windows 9x haben wir zurzeit keine Software parat.
Beide Programme unterstützen nur (Serial-)ATA-Hostadapter, deren Treiber das direkte Absetzen von ATA-Kommandos via ATA-Passthrough unterstützen. Sollte die Software auf Ihrem System keine ATA-Hostapter erkennen, so kann sie zwar keinen Schutz bieten, jedoch ist dies auch ein Indiz dafür, dass ein Schädling es auf Ihrem System deutlich schwieriger hätte, bösartige ATA-Kommandos abzusetzen.
Um Windows-Anwendern eine bequeme Möglichkeit zu geben, zu überprüfen, ob sie von dem Problem betroffen sind, haben wir das eigentlich zur Einstellung des Akustik-Management vorgesehene Programm WinAAM um Sicherheitsfunktionen erweitert. Es zeigt die Sicherheitseinstellungen aller gefundenen ATA-Festplatten an und bietet an, diese zu verriegeln. Dies hält nur bis zum nächsten Kaltstart an; für dauerhaften Schutz sollten Sie daher den Windows-Dienst installieren (s.u.).
Die Angabe NOT FROZEN bedeutet, dass die Sicherheitseinstellungen nicht verriegelt sind und die Festplatte somit gefährdet ist.
In diesem Beispiel sind die Sicherheitseinstellungen ordnungsgemäß eingefroren (Security frozen). Überprüfen Sie, ob dies auch nach einem Standby noch der Fall ist!
Der ATA Security Service verriegelt beim Systemstart die Sicherheitseinstellungen aller gefundenen ATA-Platten. Außerdem überwacht er den Rechner und verriegelt die Festplatten erneut, wenn der PC aus dem Standby aufwacht. Ob der Dienst korrekt funktioniert, können Sie mit WinAAM (s.o.) überprüfen. Außerdem dokumentiert er seine Arbeit im Ereignisprotokoll.
Download: ATA Security Service, Version 1.1
Starten Sie nach dem Entpacken der Zip-Datei das darin enthaltene ATASecSvc.exe. Nach Rückfrage kopiert es sich selbstständig ins System32-Verzeichnis Ihrer Windows-Installation und installiert sich als automatisch startenden Dienst. Ob es erfolgreich seinen Dienst tut, können Sie in der Ereignisanzeige überprüfen.
Zur Deinstalltion starten Sie dasselbe Programm einfach noch einmal: Es bemerkt dann, dass es bereits als Dienst läuft, und deinstalliert sich.
RSS
