5
Deinstallation der Hiberantion wegen Truecryptverschlüsselung
Hallo,
im Zusammenhang bei der Nutzung von Truecryptvolumens, ist ja eine mögliche Sicherheitslücke durch die Nutzung des Ruhezustandes möglich.
Wenn ein Mitarbeiter versehentlich den Ruhezustand bei gemounteten Truecryptvolumens aktiviert, ist es ja prinzipiell möglich über die erzeugte Hiberfil.sys die Passwörter/Keys ausgelesen werden.
Frage 1:
Wie kann ich für einen Benutzer (keine Adminrechte) diese Option effektiv abschalten?
Frage 2:
Wie kann ich selbst dem Administrator (bzw Nutzer mit Adminrechten) diesen Punkt verweigern bzw. die Hürde soweit vergrößern, dass es nicht einfach mal so eingerichtet werden kann.
Ja es handelt sich um eine recht paranoide Betrachtung, aber in Anbetracht der existierenden Daten auch zweckmäßig. Der Weg über eine Vollverschlüsselung kann nicht gegangen werden, da sich mehrere Mitarbeiter auf diesem Rechner anmelden müssen. Nicht jeder hat Zugriff auf die Volumes.
Gruß Miguel
im Zusammenhang bei der Nutzung von Truecryptvolumens, ist ja eine mögliche Sicherheitslücke durch die Nutzung des Ruhezustandes möglich.
Wenn ein Mitarbeiter versehentlich den Ruhezustand bei gemounteten Truecryptvolumens aktiviert, ist es ja prinzipiell möglich über die erzeugte Hiberfil.sys die Passwörter/Keys ausgelesen werden.
Frage 1:
Wie kann ich für einen Benutzer (keine Adminrechte) diese Option effektiv abschalten?
Frage 2:
Wie kann ich selbst dem Administrator (bzw Nutzer mit Adminrechten) diesen Punkt verweigern bzw. die Hürde soweit vergrößern, dass es nicht einfach mal so eingerichtet werden kann.
Ja es handelt sich um eine recht paranoide Betrachtung, aber in Anbetracht der existierenden Daten auch zweckmäßig. Der Weg über eine Vollverschlüsselung kann nicht gegangen werden, da sich mehrere Mitarbeiter auf diesem Rechner anmelden müssen. Nicht jeder hat Zugriff auf die Volumes.
Gruß Miguel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 105676
Url: https://administrator.de/contentid/105676
Printed on: April 19, 2024 at 22:04 o'clock
5 Comments
Latest comment
Wir haben ähnliche Betrachtungen hinter uns.
Zunächst: Warum keine Vollverschlüsselung? Nutzt Du TPM, brauchst Du noch nicht einmal ein Verschhlüsselungskennwort dazu. Habt Ihr in Euren Rechnern TPMs? Bitlocker zum Beispiel arbeitet so.
Dann zu eins und zwei: Du kannst über GPOs den Ruhezustand verbieten (auch für Admins), zumindest auf Vista. Bei xp müsstest Du mal schauen. Mittels der neu eingeführten Group Policy preferences kann man auch für xp Energieoptionen zentral managen.
Desweiteren: Habt Ihr schon über die Pagefile nachgedacht? Die kann man nicht abschalten, sie muss verschlüsselt werden. Dies kann nur Vista oder eine Vollverschlüsselung.
Zunächst: Warum keine Vollverschlüsselung? Nutzt Du TPM, brauchst Du noch nicht einmal ein Verschhlüsselungskennwort dazu. Habt Ihr in Euren Rechnern TPMs? Bitlocker zum Beispiel arbeitet so.
Dann zu eins und zwei: Du kannst über GPOs den Ruhezustand verbieten (auch für Admins), zumindest auf Vista. Bei xp müsstest Du mal schauen. Mittels der neu eingeführten Group Policy preferences kann man auch für xp Energieoptionen zentral managen.
Desweiteren: Habt Ihr schon über die Pagefile nachgedacht? Die kann man nicht abschalten, sie muss verschlüsselt werden. Dies kann nur Vista oder eine Vollverschlüsselung.
Hallo DerWoWusste,
danke für deine Antwort.
für die Pagefile und die Dumpfiles können ja einfach abgeschaltet werden (und sind es auch) und diese Einstellungen sind ja Benutzersicher.... Problem bei der Hibernation ist ja das dort der Inhalt des Speicher ist..
Thema Vollverschlüsselung:
Wir hatten auch angedacht ein HiddenSystem, dass parallel zum System installiert ist. Dummerweise befinden sich einige Truecryptdateien auf den Fileservern, was die Vollverschlüsselung ziemlich nutzlos macht.
Thema TPM:
Bisher wurde dieses Thema nur angeschnitten, die Umrüstung würde natürlich eine kleiner Kostenfaktor sein.
Wie habt Ihr das mit dem TPM gemacht? Bitlocker gibt es doch für Vista oder irre ich mich da.... Wir haben hauptsächlich XP am Laufen, 2 Linuxrechner sowie zwei Macs...
Gruß Miguel
danke für deine Antwort.
für die Pagefile und die Dumpfiles können ja einfach abgeschaltet werden (und sind es auch) und diese Einstellungen sind ja Benutzersicher.... Problem bei der Hibernation ist ja das dort der Inhalt des Speicher ist..
Thema Vollverschlüsselung:
Wir hatten auch angedacht ein HiddenSystem, dass parallel zum System installiert ist. Dummerweise befinden sich einige Truecryptdateien auf den Fileservern, was die Vollverschlüsselung ziemlich nutzlos macht.
Thema TPM:
Bisher wurde dieses Thema nur angeschnitten, die Umrüstung würde natürlich eine kleiner Kostenfaktor sein.
Wie habt Ihr das mit dem TPM gemacht? Bitlocker gibt es doch für Vista oder irre ich mich da.... Wir haben hauptsächlich XP am Laufen, 2 Linuxrechner sowie zwei Macs...
Gruß Miguel
Miguel, der Reihe nach: die Pagefile ist nicht abschaltbar. Schalt sie unter xp mal aus... zunächst meckert xp "Auslagerungsdatei zu klein oder nicht vorhanden - temporäre wird erstellt" und dann findet sich zudem noch weiterhin eine pagefile auf dem System - ich weiß selbst nicht, warum. In der Pagefile liegen jedoch auch plaintext-Kennwörter und Dateiinhalte.
Eigentlich brauche ich hier nicht weiterzuschreiben, daran wird Euer Konzept scheitern.
Bitlocker gibt es nur für Vista und 2008 Server, das ist richtig. Aber auch andere (PGP wholedisk encryption vielleicht) könnten sowas anbieten. Utimaco ist ein Anbieter (Safeguard easy/safeguard enterprise) und evtl. wird auch das freie TrueCrypt irgendwann TPM unterstützen.
Eigentlich brauche ich hier nicht weiterzuschreiben, daran wird Euer Konzept scheitern.
Dummerweise befinden sich einige Truecryptdateien auf den Fileservern, was die Vollverschlüsselung ziemlich nutzlos macht.
Erklär diesen Einwand genauer.Bitlocker gibt es nur für Vista und 2008 Server, das ist richtig. Aber auch andere (PGP wholedisk encryption vielleicht) könnten sowas anbieten. Utimaco ist ein Anbieter (Safeguard easy/safeguard enterprise) und evtl. wird auch das freie TrueCrypt irgendwann TPM unterstützen.
Hallo DerWoWusste,
erstmal die Pagefile läßt sich ausschalten und ist dann weg. Die Meldung, dass eine temporäre erstellt wird taucht nicht auf, manchmal löscht Windows die alte Pagefile.sys nicht, das passiert, diese kann man dann wie eine normale Datei löschen. Bei Windows 2000 kann man sie nicht entfernen. Wenn eine Meldung kommt, dann der Hinweis das kein Memory Dump erstellt werden kann und es empfohlen wird mindestens eine Pagefile zu haben die die Größe des Rams hat oder mind. 2 MB. (kann man ignorieren)
Zudem empfehlen die Truecryptentwickler, dass abschalten der Pagefile.sys. (http://www.truecrypt.org/docs/)
Aber jetzt wieder zu meiner Frage, ich hatte nicht gefragt, was mit der Pagefile ist sondern es geht um den Ruhezustand.
Nebenbei... Es handelt sich um eine Windowsdomäne und die Mitarbeiter wechseln häufiger die Arbeitsplatze. Soll ich jetzt jeden Rechner mit einer Prebootauthetifizierung ausstatten? Die Pflege von den einzelnen Passwörtern wird dann recht schwierig. Eine systemweite Verschlüsselung gesteuert durch das AD per EFS ist gekippt worden... Die Gründe muss ich nicht erläutern...
Gruß Miguel
erstmal die Pagefile läßt sich ausschalten und ist dann weg. Die Meldung, dass eine temporäre erstellt wird taucht nicht auf, manchmal löscht Windows die alte Pagefile.sys nicht, das passiert, diese kann man dann wie eine normale Datei löschen. Bei Windows 2000 kann man sie nicht entfernen. Wenn eine Meldung kommt, dann der Hinweis das kein Memory Dump erstellt werden kann und es empfohlen wird mindestens eine Pagefile zu haben die die Größe des Rams hat oder mind. 2 MB. (kann man ignorieren)
Zudem empfehlen die Truecryptentwickler, dass abschalten der Pagefile.sys. (http://www.truecrypt.org/docs/)
Aber jetzt wieder zu meiner Frage, ich hatte nicht gefragt, was mit der Pagefile ist sondern es geht um den Ruhezustand.
Nebenbei... Es handelt sich um eine Windowsdomäne und die Mitarbeiter wechseln häufiger die Arbeitsplatze. Soll ich jetzt jeden Rechner mit einer Prebootauthetifizierung ausstatten? Die Pflege von den einzelnen Passwörtern wird dann recht schwierig. Eine systemweite Verschlüsselung gesteuert durch das AD per EFS ist gekippt worden... Die Gründe muss ich nicht erläutern...
Gruß Miguel
Also gut, was ist mit meinen Vorschlägen bzgl. Energieoptionen, hast Du sie schon angesehen?
Eins noch zur Pagefile: Selbst wenn Du sie abschalten könntest (klar, die Option gibt es offiziell in xp), Du willst das nicht, da es die Performance hart trifft, Es sei denn, die Leute haben extrem viel RAM (>3 GB schätze ich, wird es nicht mehr weh tun). Ob man das will und muss, ist die Frage. Ich hab mal auf einem 512 MB xp die Pagefile ausgeschaltet und neu gebootet, ein paar Programme gestartet und bald kam dann auch "Windows - Out of virtual memory. Your system is low on v.m. To ensure that windows runs properly, increase the size of you v.m. paging file"). Danach konntest Du das Arbeiten getrost vergessen. Das war xp. Richtig, nur bei 2000 geht es gar nicht, so kamen meine Erinnerungen zu Stande.
Eins noch zur Pagefile: Selbst wenn Du sie abschalten könntest (klar, die Option gibt es offiziell in xp), Du willst das nicht, da es die Performance hart trifft, Es sei denn, die Leute haben extrem viel RAM (>3 GB schätze ich, wird es nicht mehr weh tun). Ob man das will und muss, ist die Frage. Ich hab mal auf einem 512 MB xp die Pagefile ausgeschaltet und neu gebootet, ein paar Programme gestartet und bald kam dann auch "Windows - Out of virtual memory. Your system is low on v.m. To ensure that windows runs properly, increase the size of you v.m. paging file"). Danach konntest Du das Arbeiten getrost vergessen. Das war xp. Richtig, nur bei 2000 geht es gar nicht, so kamen meine Erinnerungen zu Stande.
Soll ich jetzt jeden Rechner mit einer Prebootauthetifizierung ausstatten?
Nein. Deswegen die Frage nach TPM.
