Kann man sich nicht entscheiden oder nutzt einfach gerne beides, kann man Dual Boot einrichten, um beim Hochfahren des Computers auszuwählen, ob Windows oder Linux startet. In diesem Beitrag erkläre ich eine sichere Einrichtung von Dual Boot mit Windows und Linux Mint samt Verschlüsselung von Windows per VeraCrypt und LUKS bei Linux Mint. Das Ziel ist eine robuste, updatesichere Umgebung, die maximale Datensicherheit mit nahtloser Usability vereint. Voraussetzung ist ein Grundverständnis für die Installation, die Einrichtung und den Umgang von Windows sowie Linux.

Vorbereitung im BIOS

Zunächst wird im BIOS der Secure Boot deaktiviert. Das ist eine einstellig für die Betriebssysteme, noch bevor diese starten. Da die Verschlüsselung den Windows-Bootloader mit einem neuen ersetzt und dieser kein gültiges Zertifikat hat, kann es beim Starten zu Problemen führen.

Da das BIOS von jedem Hersteller anders zu erreichen und einzustellen ist, kann ich zum Deaktivieren dieser Funktion leider keine präzise Anleitung geben.

Die Tastenkombinationen für BIOS und Bootmenü

Installation von Windows

Installiere zunächst auf ganz normalen Wege Windows. Beispielsweise per ISO oder dem Media Creation Tool. Lösche am besten alle existierenden Partitionen, sodass das Laufwerk zunächst einmal komplett leer ist. Verwende dann zum Installieren das komplette Laufwerk und erstelle keine extra Partitionen. Die Home-Version von Windows ist ausreichend.

Windows 11 ohne TPM und Mindestanforderungen installieren – So geht’s!

Partition für Linux Mint erstellen

Nachdem Windows installiert wurde, öffnest du unter Windows die Datenträgerverwaltung und verkleinerst hier die Windows-Partition. Das ist die mit NTFS in der Bezeichnung. Rechtsklick auf diese Volume verkleinern.

Der zu verkleinernde Speicherplatz sollte etwa 25 - 50% von dem sein, was aktuell zur Verfügung steht. Je nachdem, wie viel Speicher du für Linux benötigst. Linux benötigt allgemein aber weniger Speicherplatz als Windows und daher kann die neue Partition gerne etwas kleiner werden als nur die Hälfte.

Die neue Partition bleibt unberührt und wird nicht formatiert.

Verschlüsselung Der Windows-Partition mit VeraCrypt

Installiere nun VeraCrypt für Windows: veracrypt.io/en/Downloads.html

Deaktiviere wie während des Setups empfohlen den Windows-Schnellstart.

Im Hauptmenü von VeraCrypt wählst du System Systempartition/Systemlaufwerk verschlüsseln aus und befolgst die weiteren Schritte. Wichtig ist im Laufe der Konfiguration die Auswahl von Mehrere Betriebssysteme.

Eine genaue Anleitung hierzu findest du im diesem Beitrag:

VeraCrypt: Komplettes Windows Betriebssystem verschlüsseln

Installation von Linux Mint mit LUKS

Erstelle dir für die Installation von Linux Mint einen bootfähigen USB-Stick mit beispielsweise Rufus. Lade dir dazu die ISO der Cinnamon Edition von der offiziellen Mint-Website herunter: linuxmint.com/download.php

Rufus gibt es hier: rufus.ie/de/

Bootfähigen USB-Stick erstellen mit Rufus – So geht’s!

Boote von diesem USB-Stick und starte Linux Mint. Starte die Installation über die Verknüpfung auf dem Desktop und gehe das Setup durch. Wähle als Installationsart Etwas Anderes aus.

Nun wird zunächst die Boot-Partition erstellt. Wähle die unter Windows erstellte freie Partition aus. Wähle + für eine neue Partition aus. Setze die Größe auf 1024 MB und wähle als Einbindungspunkt /boot aus.

Bestätige mit OK.

Nun wird die eigentliche Partition erstellt, und zwar mit LUKS Verschlüsselung. Dazu die große freie Partition erneut auswählen (sie ist nun 1 GB kleiner) und auf das + klicken. Der Wert für Benutzen als wird auf physikalisches Volume für Verschlüsselung festgelegt.

Vergib ein sicheres Passwort, welches für die Verschlüsselung der Partition verwendet wird. Du musst dieses bei jedem Hochfahren eingeben.

Bestätige mit OK.

Der Vorgang dauert einen Moment. Wähle nach der Verschlüsselung die verschlüsselte ext4-Partition aus und klicke auf Ändern. Wähle als Einbindungspunkt / aus.

Klicke anschließend auf Jetzt installieren, um die Installation zu starten. Gehe noch die restlichen Konfigurationsschritte durch.

Linux Mint konfigurieren

Das Meiste ist nun schon erledigt. Jetzt werden innerhalb von Linux Mint noch ein paar Änderungen im GRUB-Bootloader vorgenommen. Beim Hochfahren wird dieser direkt angezeigt und du kannst bereits wählen, ob du Linux Mint oder Windows booten möchtest. Starte Linux Mint, entschlüssle das System und melde dich mit deinem User an.

Öffne das Terminal.

Editiere die Konfiguration von GRUB:

sudo nano /etc/default/grub

Die folgenden Werte sollten entsprechend angepasst werden. Die meisten Einträge sind bereits in der Konfiguration vorhanden und müssen lediglich geändert oder durch Entfernen des #-Zeichens aktiviert werden.

GRUB_DEFAULT=saved
GRUB_SAVEDEFAULT=true
GRUB_TIMEOUT_STYLE=countdown
GRUB_TIMEOUT=5
GRUB_DISABLE_OS_PROBER=true
GRUB_DISABLE_RECOVERY=true

Durch die ersten beiden Zeilen wird festgelegt, dass immer automatisch nach der festlegten Zeit von Zeile 4 das zuletzt verwendete Betriebssystem startet.

Jetzt die Änderungen noch GRUB mitteilen und das System einmal neu starten:

sudo update-grub

sudo reboot now

Du hast nun ein komplett verschlüsseltes System mit 2 Betriebssystemen. Wichtig ist natürlich, dass du deine Daten regelmäßig sicherst. Besonders aus dem Grund, dass das System verschlüsselt ist, ist das essenziell. Eine mögliche Datenrettung im Falle eines Datenverlustes ist hier ausgeschlossen. Im folgenden findest du einige Tipps zum Thema Backup und weitere nützliche Informationen.

Backup vom Benutzerordner unter Windows erstellen erstellen

Das Benutzerverzeichnis samt Dokumente, Konfiguration, etc. ist unter Windows unter C:\Users\Username gespeichert. Dieses sollte regelmäßig gesichert werden, falls es zu einem Datenverlust kommt. Egal ob Diebstahl des Gerätes, menschlicher Fehler oder in diesem Szenario ganz wichtig ein Problem mit der Verschlüsselung.

Hierfür eignet sich Kopia. Kopia ist ein kleines, kostenloses Open-Source Backup-Tool um Dateien zu sichern. Einen ausführlichen Beitrag für Kopia findest du hier:

Backups von Dateien und Ordnern mit Kopia unter Windows erstellen

Backup vom Home-Verzeichnis unter Linux Mint erstellen

Unter /home/username befinden sich die Nutzerdaten samt Dokumente, Konfigurationen, Profilen, SSH-Keys, etc. Dieses Verzeichnis sollte ebenfalls unbedingt regelmäßig gesichert werden.

Dazu Kopia mit UI herunterladen über die "kopia-ui_XXX_amd64.deb"-Version von GitHub herunterladen: https://github.com/kopia/kopia/releases/latest/

Und mit diesen Befehlen im Terminal ausführbar machen und installieren:

cd ~/Downloads

sudo chmod +x kopia-ui_XXX_amd64.deb

sudo apt install kopia-ui_XXX_amd64.deb

Nach der Installation findet man Kopia über die Suche im Startmenü. Hier legt man eine Repository an, das ist der Speicherort, wo das Backup liegt. Idealerweise eine externe Festplatte.

Unter Snapshots kann man jetzt das erste Backup anlegen. Dazu den Pfad /home/username angeben und eventuell noch Einstellungen wie beispielsweise für die Komprimierung vornehmen.

Backup des kompletten Laufwerkes von Windows und Linux Mint erstellen

Das Problem bei einer systemweiten Verschlüsselung ist, dass ein Backup nicht so einfach funktioniert wie bei einem normalen System. Bei normalen installationen muss lediglich der Anteil des Speicherplatzes gesichert werden, welches auch wirklich belegt ist. Wenn man ein Laufwerk mit 1 TB hat und das System lediglich 100 GB belegt, werden 100 GB an Daten gesichert.

In unseren Szenario sind aber die Partitionen von Windows und Linux Mint verschlüsselt. Möchte man also das komplette System sichern, sieht die Backup-Software nur einen Datenstrom, der wie Zufallsrauschen aussieht. Da sie nicht weiß, welcher Block eine echte Datei und welcher "freier Speicher" ist, muss sie die gesamten 1 TB sichern.

Daher wird das Backup zwar größer als der tatsächlich verwendete Datenspeicher, aber es ist trotzdem möglich. Machbar ist das beispielsweise mit Rescuezilla, das die Partitionsstruktur und die verschlüsselten Blöcke versteht. Rescuezilla ist quasi Clonezilla mit grafischer Oberfläche. Es sichert das gesamte Laufwerk inklusive Partitionstabelle, GRUB, Windows-Bootloader und beider verschlüsselten Partitionen.

Lade dir die ISO-Datei von https://rescuezilla.com/download herunter. Verwende erneut Rufus, um einen bootfähigen USB-Stick mit Rescuezilla zu erzeugen. Ist dieser erstellt, bootest du von diesem Stick. Verwende beispielsweise eine externe Festplatte, welche für das Backup verwendet werden soll, und schließe diese an.

Im Hauptmenü von Rescuezilla wählst du die Option Sichern aus. Markiere das Laufwerk, auf welchem sich deine Betriebssysteme befinden. Klicke auf Weiter.

Lasse im nächsten Schritt alle Partitionen ausgewählt und klicke auf Weiter.

Wähle im nächsten Schritt das Ziel aus, wohin das Backup erstellt werden soll – also eine externe Festplatte beispielsweise.

Im nächsten Schritt kannst du jetzt über Durchsuchen noch einen neuen Ordner für das Backup erstellen.

Als nächstes vergibst du einen Namen für das Backup. Optional kannst du noch eine Beschreibung hinterlegen.

Als Komprimierung kannst du gzip belassen. Je nachdem, ob du Speicherplatz sparen möchtest oder ob das Backup schneller erstellt werden soll, kannst du hier eine andere Methode auswählen.

Klicke anschließend auf Weiter, um das Backup zu starten.

Rescuezilla-Backup wiederherstellen

Um ein mir Rescuezilla erstelltes Backup wiederherzustellen, wählst du im Hauptmenü der Software Wiederherstellen aus. Wähle aus, auf welchem Datenträger das Backup liegt und wähle dieses aus.

Sofern sich am System nichts groß geändert hat und du lediglich einen älteren Stand der Windows bzw. Linux-Instanz wiederherstellen möchtest, reicht es aus, die große Partition von Windows bzw. Linux wiederherstellen. Den Haken aller anderen Partitionen kannst du entfernen.

Möchtest du das komplette Laufwerk wiederherstellen, wenn etwas gar nicht mehr bootet oder funktioniert, lasse alle Partitionen ausgewählt. Beachte, dass alle Daten dabei gelöscht werden und der Stand des Backups wiederhergestellt wird.

Backup der EFI-Partition erstellen

lsblk -f

Suche nach "vfat", merke dir den Namen dieser Partition.

sudo dd if=/dev/ of=~/efi_backup.img

Das Backup liegt im Home-Verzeichnis des aktuellen Users.

Backup der EFI-Partition einspielen

lsblk -f

Suchen nach "vfat", merke dir den Namen der Partition.

sudo dd if=/Pfad/zur/efi_backup.img of=/dev/ status=progress

Backup des LUKS-Headers erstellen

lsblk -f

Suche nach "crypto_LUKS" in FSTYPE, merke dir den Namen der Partition.

sudo cryptsetup luksHeaderBackup /dev/PARTITION_HIER (z.B. nvme0n1p6) --header-backup-file ~/luks_header.bin

Das Backup liegt im Home-Verzeichnis des aktuellen Users.

Backup vom LUKS-Header einspielen

lsblk -f

Suche nach "crypto_LUKS" in FSTYPE, merke dir Namen der Partition.

sudo cryptsetup luksHeaderRestore /dev/PARTITION_HIER (z.B. nvme0n1p6) --header-backup-file /Pfad/zur/luks_header.bin

GRUB Bootloader neu installieren

sudo grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=ubuntu --recheck

sudo update-grub

LUKS-Passwort ändern

LUKS arbeitet mit "Slots" (insgesamt 8 Stück). Man kann ein neues Passwort hinzufügen und das alte danach löschen. Das ist sicherer, als das Passwort direkt zu "überschreiben", da man sich nicht aussperren kann, falls der Vorgang abbricht.

lsblk -f

Suche nach "crypto_LUKS" in FSTYPE, merke dir Namen der Partition.

sudo cryptsetup luksAddKey /dev/PARTITION_HIER (z.B. nvme0n1p6)

Vergib nun ein weiteres Passwort.

Optional kann jetzt noch das alte Passwort gelöscht werden. Zunächst sicherstellen, dass noch mindestens ein anderer Slot belegt ist:

sudo cryptsetup luksDump /dev/PARTITION_HIER (z.B. nvme0n1p6)

sudo cryptsetup luksRemoveKey /dev/PARTITION_HIER (z.B. nvme0n1p6)