22
Festplattenverschlüsselung Windows
Suche dringend eine Methode um Festplatten automatisch zu verschlüsseln wenn ich den PC herunterfahre,
und auch automatisch zu entschlüsseln wenn ich den PC boote.
Ich habe auch schon die letzten 2 Tage gegoogelt aber nicht wirklich was gefunden 
.
Hallo ihr Lieben,
ich habe eine Frage, ich suche eine Methode um Festplatten automatisch zu verschlüsseln wenn ich den PC herunterfahre,
und auch automatisch zu entschlüsseln wenn ich den PC boote.
Wird die Festplatte an einen anderen PC angeschlossen, soll dies nicht möglich sein und soll verschlüsselt bleiben.
Ich habe schon die letzten 2 Tage gegoogelt aber nicht wirklich was gefunden.
Ich hoffe ihr könnt mir weiterhelfen.
vielen Dank im voraus Mit freundlichen Grüßen
Leet
ich habe eine Frage, ich suche eine Methode um Festplatten automatisch zu verschlüsseln wenn ich den PC herunterfahre,
und auch automatisch zu entschlüsseln wenn ich den PC boote.
Wird die Festplatte an einen anderen PC angeschlossen, soll dies nicht möglich sein und soll verschlüsselt bleiben.
Ich habe schon die letzten 2 Tage gegoogelt aber nicht wirklich was gefunden
.Ich hoffe ihr könnt mir weiterhelfen.
vielen Dank im voraus Mit freundlichen Grüßen
Leet
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 148273
Url: https://administrator.de/contentid/148273
Printed on: April 24, 2024 at 15:04 o'clock
22 Comments
Latest comment
Moin,
wieso nimmste nicht einfach TrueCrypt? Platten sind verschlüsselt und User müssen sich per Key validieren, bevor das System überhaupt bootet.
wieso nimmste nicht einfach TrueCrypt? Platten sind verschlüsselt und User müssen sich per Key validieren, bevor das System überhaupt bootet.
Hi,
dann hast Du irgendwie die falschen Wörter eingegeben...
erste Frage: Welches Betriebssystem?
sofern es sich um Windows Vista oder 7 in der Ultimate- oder Enterpriseversion (welche sich nur durch den Namen unterscheiden) handelt, ist BitLocker Dein Stichwort. Ist bei Windows dabei und recht einfach einzurichten.
Gruß, teaCHer
dann hast Du irgendwie die falschen Wörter eingegeben...
erste Frage: Welches Betriebssystem?
sofern es sich um Windows Vista oder 7 in der Ultimate- oder Enterpriseversion (welche sich nur durch den Namen unterscheiden) handelt, ist BitLocker Dein Stichwort. Ist bei Windows dabei und recht einfach einzurichten.
Gruß, teaCHer
Mit True Crypt habe ich es bereits versucht, das Problem ist, ich wollte die Festplatten auf dem Server so einstellen, das sobald der Server startet alles automatisch entschlüsselt wird und sobald ich den herunterfahre, alles verschlüsselt ist.
Windows Server Edition 2008 ist mein Betriebssystem.
Hi.
Zur Serververschlüsselung hab ich vor einiger Zeit einen Thread gestartet. Problem ist die automatische Kennworteingabe.
Deshalb zwei Möglichkeiten:
A Bitlocker mit TPM (Kennwort im TPM) - nicht sicher gegen cold boot attacks, aber diese wollen auch erstmal durchgeführt werden.
B Truecrypt oder Ähnliches mit Einsatz eines über Netzwerk erreichbaren Keyfiles als Schlüssel - ist der Keyfilerechner physikalisch ausreichend abgesichert, ist dies eine sichere Methode. Server bootet, holt sich das Keyfile und mountet dann die Datenpartition - Dienste werden ggf. erst danach per Batch gestartet. Funktioniert und nutzen wir auch. Nachteil: das OS-Laufwerk bleibt unverschlüsselt, dort liegen evtl. Kennworthashes oder Ähnliches.
Du kannst Dein Ziel also nicht vollständig erreichen.
Zur Serververschlüsselung hab ich vor einiger Zeit einen Thread gestartet. Problem ist die automatische Kennworteingabe.
Deshalb zwei Möglichkeiten:
A Bitlocker mit TPM (Kennwort im TPM) - nicht sicher gegen cold boot attacks, aber diese wollen auch erstmal durchgeführt werden.
B Truecrypt oder Ähnliches mit Einsatz eines über Netzwerk erreichbaren Keyfiles als Schlüssel - ist der Keyfilerechner physikalisch ausreichend abgesichert, ist dies eine sichere Methode. Server bootet, holt sich das Keyfile und mountet dann die Datenpartition - Dienste werden ggf. erst danach per Batch gestartet. Funktioniert und nutzen wir auch. Nachteil: das OS-Laufwerk bleibt unverschlüsselt, dort liegen evtl. Kennworthashes oder Ähnliches.
Du kannst Dein Ziel also nicht vollständig erreichen.
Vielen Dank für deine schnelle Antwort,
da ich mich mit Truecrypt nicht richtig auskenne hast, du dort evtl, eine Anleitung für mich?
da ich mich mit Truecrypt nicht richtig auskenne hast, du dort evtl, eine Anleitung für mich?
Hallo,
irgendwie mag mir ja das Verständnis dafür abgehen, aber was soll eine Verschlüsselung mit automatischer Entschlüsselung für einen Sinn machen?
Wenn der Server läuft sind die Daten unverschlüsselt,
Ist der Server, wieso auch immer, aus, sind die Daten verschlüsselt.
Für mich ergbit sich daraus das ich sobald ich die Platten in der Hand habe diese ohne weitere Problem durch einfaches booten des Servers entschlüssele.
Solange kein Kennwort eingegeben werden muss, und zwar bevor das OS startet, halte ich die Verschlüsselung für überflüssig! Oder ich verstehe hier was anderes nicht!
brammer
irgendwie mag mir ja das Verständnis dafür abgehen, aber was soll eine Verschlüsselung mit automatischer Entschlüsselung für einen Sinn machen?
Wenn der Server läuft sind die Daten unverschlüsselt,
Ist der Server, wieso auch immer, aus, sind die Daten verschlüsselt.
Für mich ergbit sich daraus das ich sobald ich die Platten in der Hand habe diese ohne weitere Problem durch einfaches booten des Servers entschlüssele.
Solange kein Kennwort eingegeben werden muss, und zwar bevor das OS startet, halte ich die Verschlüsselung für überflüssig! Oder ich verstehe hier was anderes nicht!
brammer
Hi brammer! Dann erklär ich's Dir:
Da der Server nicht automatisch anmeldet (das Einbinden des Keyfiles und das Mounten geschieht per Startskript), hat ein Dieb keinen Zugang zu den Daten. Die Benutzer schon - denn die Freigaben sind zugänglich.
Da der Server nicht automatisch anmeldet (das Einbinden des Keyfiles und das Mounten geschieht per Startskript), hat ein Dieb keinen Zugang zu den Daten. Die Benutzer schon - denn die Freigaben sind zugänglich.
Du willst doch wohl nicht etwa deinen Server verschlüsseln? Wer bitte soll denn schon die Platten aus deinem Server klauen? Serverschrank kaufen, abschliessen und gut is das ....
Der Server steht in einem gesicherten Raum es geht nur darum, das wenn der Server mal herunterfährt, das alles gesichert ist. Und ich die Backup platten herrausziehe das diese Verschlüsselt sind und keiner dran kann...
Truecrypt hat eine Onlineanleitung. Suchbegriff ist keyfile.
Stell sicher, dass Du Dir wirklich die Mühe machen willst. Ist Euer Raum abgesichert, dann sehe ich keine Notwendigkeit.
Backups verschlüsselt man aus Prinzip niemals.
Stell sicher, dass Du Dir wirklich die Mühe machen willst. Ist Euer Raum abgesichert, dann sehe ich keine Notwendigkeit.
Backups verschlüsselt man aus Prinzip niemals.
Also mir wäre dabei nicht wohl. Bedenke das wenn etwas passiert (keyfile gelöscht, Festplatten Crash etc.) das du unter Umständen auch nicht mehr an die Daten kommst. Nicht umsonst gibt es bei Utimaco ein eigenes Team das sich mit Server Verschlüsselung befasst.
Und wenn jemand an die Daten kommen will, dann kommt er auch dran ohne dafür den ganzen Server zu klauen (Stichwort Administrative Freigaben etc.).
Und wenn jemand an die Daten kommen will, dann kommt er auch dran ohne dafür den ganzen Server zu klauen (Stichwort Administrative Freigaben etc.).
Hi DerWoWusste,
hast du dafür evtl eine Anleitung?
hast du dafür evtl eine Anleitung?
@Neomatic:
Bei uns bleiben die Backups unverschlüsselt (dafür aber räumlich gesichert), somit keine Gefahr des Datenverlustes durch Verschlüsselungsprobleme.
Zudem: wenn man ein Keyfile nutzt, hat man das Problem eh nicht.
Bei uns bleiben die Backups unverschlüsselt (dafür aber räumlich gesichert), somit keine Gefahr des Datenverlustes durch Verschlüsselungsprobleme.
Und wenn jemand an die Daten kommen will, dann kommt er auch dran ohne dafür den ganzen Server zu klauen (Stichwort Administrative Freigaben etc.).
Die Freigaben erfordern A Zugangsdaten und B überhaupt Netzwerkzugriff. B ist auch nicht gegeben, wenn der Rechner nicht im Firmennetzwerk ist, springt die Firewall an (gesteuert durch network location awareness [NLA]). Wie überlistest Du NLA?Zudem: wenn man ein Keyfile nutzt, hat man das Problem eh nicht.
Hi !
Das liest sich aber echt lustig......Telefonklingel: "Firma Superhelden GmbH! Frau Susi Enigmeyr am Apparat! Grüss Godd Herr Müller! Naa, ob Ihre Bestellung raus is, konn ich Ihnen erst in vier Stunden sogn, da Server muss no entschlüssln.....und wartns mit dem Anruf dann bittscheen ned so lang, ab 15 Uhr duat da Server wieder verschlüssln..."
mrtux
Zitat von @Leet1337:
Mit True Crypt habe ich es bereits versucht, das Problem ist, ich wollte die Festplatten auf dem Server so einstellen, das sobald
der Server startet alles automatisch entschlüsselt wird und sobald ich den herunterfahre, alles verschlüsselt ist.
Mit True Crypt habe ich es bereits versucht, das Problem ist, ich wollte die Festplatten auf dem Server so einstellen, das sobald
der Server startet alles automatisch entschlüsselt wird und sobald ich den herunterfahre, alles verschlüsselt ist.
Das liest sich aber echt lustig......Telefonklingel: "Firma Superhelden GmbH! Frau Susi Enigmeyr am Apparat! Grüss Godd Herr Müller! Naa, ob Ihre Bestellung raus is, konn ich Ihnen erst in vier Stunden sogn, da Server muss no entschlüssln.....und wartns mit dem Anruf dann bittscheen ned so lang, ab 15 Uhr duat da Server wieder verschlüssln..."
mrtux
Zugangsdaten wären kein Problem, da gibt es Mittel und Wege. Zudem muss der Angriff ja nicht von einem fremden Rechner außerhalb des Netzwerkes laufen. Ich hab schon häufig auf irgendeinem Rechner bei einem Kunden so sachen wie Wireshark und Metasploit gefunden. 70% der Angriffe kommen von innen, nicht von außen.
Aber das ist eine andere Geschichte. OK Wenn die Backups nicht verschlüsselt sind, kommt man ja wieder an die Daten ran.
Aber das ist eine andere Geschichte. OK Wenn die Backups nicht verschlüsselt sind, kommt man ja wieder an die Daten ran.
@Neomatic
Und nochmal: bei Keyfiles (meine bevorzugte Lösung) hast Du das Problem eh nicht. Ist er gestohlen, gibt's kein Keyfile und er ist verschlüsselt.
Zugangsdaten wären kein Problem
Du hast einen PC, der auf Netzwerkebene komplett dicht ist, keine Exploits greifen - wie willst Du denn die Zugangsdaten bekommen?Und nochmal: bei Keyfiles (meine bevorzugte Lösung) hast Du das Problem eh nicht. Ist er gestohlen, gibt's kein Keyfile und er ist verschlüsselt.
Moin,
selbst in dem Kontext halte ich das noch für zimlich "merkwürdig".
Option 1: Die Platten entschlüsseln sich schon beim Booten (für eine Vollverschlüsselung ja nötig - damit das OS überhaupt weiss das es geladen werden kann). Dann hast du keinerlei sicherheit weil die Daten eben entschlüsselt vorhanden sind (ok, der Angriff dauert etwas länger aber ich denke mal das bekommt man dann auch noch hin). Denn man würde ja einfach gleich den ganzen Server klauen...
Option 2: Die Daten werden erst nach erfolgreicher Anmeldung entschlüsselt. Sicherlich ne gute Idee - erfordert aber das der Admin immer vor ort ist um den Server erstmal anzumelden. Dumm wenn der um 3 Uhr morgens ausfällt wo der normale Admin am Schlafen ist... Hier müsste man dann das Admin-PW auch einigen Usern geben -> was dazu führen kann das die erstmal selbst rumprobieren: Server macht nachts um 3 nicht was er soll - also was solls, angemeldet und rumprobieren bevor man den Admin weckt... DEN Weckt man dann erst wenn wirklich alles schon im Eimer is...
Beide Optionen sind nicht wirklich schön... Hier würde ich auf jeden Fall auf eine Hardware setzen (z.B. USB-Dongle). Sollte man wirklich die "ultimative" Sicherheit benötigen kann man sich immernoch nen Safe in die Mauer vom Serverraum einsetzen lassen und den USB-Dongle mit einer USB-Verlängerung da rausführen lassen... Zieht man den Dongle ab werden die Platten verschlüsselt -> Feierabend. Und ich glaub kaum ein Dieb hat grad mal nen Stemmeisen u.ä. Equipment zum Maueraufbruch zur Hand... Dies würde auch keine Anmeldung erfordern -> ich kann Nachts um 3 auch bei nem Reboot gepflegt weiterschlafen. Der Server wird selbst bei ner Vollverschlüsselung auf den Dongle zugreiffen können und wieder starten.
Alles andere halte ich persönlich für Halbherzig -> dann kann ich mir das auch gleich schenken...
selbst in dem Kontext halte ich das noch für zimlich "merkwürdig".
Option 1: Die Platten entschlüsseln sich schon beim Booten (für eine Vollverschlüsselung ja nötig - damit das OS überhaupt weiss das es geladen werden kann). Dann hast du keinerlei sicherheit weil die Daten eben entschlüsselt vorhanden sind (ok, der Angriff dauert etwas länger aber ich denke mal das bekommt man dann auch noch hin). Denn man würde ja einfach gleich den ganzen Server klauen...
Option 2: Die Daten werden erst nach erfolgreicher Anmeldung entschlüsselt. Sicherlich ne gute Idee - erfordert aber das der Admin immer vor ort ist um den Server erstmal anzumelden. Dumm wenn der um 3 Uhr morgens ausfällt wo der normale Admin am Schlafen ist... Hier müsste man dann das Admin-PW auch einigen Usern geben -> was dazu führen kann das die erstmal selbst rumprobieren: Server macht nachts um 3 nicht was er soll - also was solls, angemeldet und rumprobieren bevor man den Admin weckt... DEN Weckt man dann erst wenn wirklich alles schon im Eimer is...
Beide Optionen sind nicht wirklich schön... Hier würde ich auf jeden Fall auf eine Hardware setzen (z.B. USB-Dongle). Sollte man wirklich die "ultimative" Sicherheit benötigen kann man sich immernoch nen Safe in die Mauer vom Serverraum einsetzen lassen und den USB-Dongle mit einer USB-Verlängerung da rausführen lassen... Zieht man den Dongle ab werden die Platten verschlüsselt -> Feierabend. Und ich glaub kaum ein Dieb hat grad mal nen Stemmeisen u.ä. Equipment zum Maueraufbruch zur Hand... Dies würde auch keine Anmeldung erfordern -> ich kann Nachts um 3 auch bei nem Reboot gepflegt weiterschlafen. Der Server wird selbst bei ner Vollverschlüsselung auf den Dongle zugreiffen können und wieder starten.
Alles andere halte ich persönlich für Halbherzig -> dann kann ich mir das auch gleich schenken...
@maretz und neotropic
Wir haben das Konzept im Einsatz und haben es ausreichend überdacht. Bitte tut es nicht ab mit
Die Daten sind NIE entschlüsselt. Was der Beitragseröffner sich wünscht ist kompletter Mumpitz (mit Verlaub). Die Daten sind zugreifbar, aber dennoch verschlüsselt, sobald das Keyfile geladen ist. Entschlüsselt sind sie nie. Auf die Gefahr hin, mich zu wiederholen: Nimmt ein Dieb den Server mit, ist das Keyfile nicht verfügbar und die Datenpartition nicht zugreifbar. Die OS-Partition schon (klar, muss bei Servern automatisch geschehen), aber wie will sich das der Dieb zu nutze machen? Er hat kein Keyfile, selbst wenn er in Windows eindringt, was will er mit dem Truecrypt Container anstellen?
Fall zwei: Bitlocker mit TPM - hier ist sogar das OS verschlüsselt und dennoch fährt der Server automatisch hoch. Nachteil: cold boot attacks sind nun möglich, da sich der Schlüssel im RAM befindet.
Wir haben das Konzept im Einsatz und haben es ausreichend überdacht. Bitte tut es nicht ab mit
ok, der Angriff dauert etwas länger aber ich denke mal das bekommt man dann auch noch hin
sondern sagt, wie ihr Euch das vorstellt, dann gehe ich gerne darauf ein.Die Daten sind NIE entschlüsselt. Was der Beitragseröffner sich wünscht ist kompletter Mumpitz (mit Verlaub). Die Daten sind zugreifbar, aber dennoch verschlüsselt, sobald das Keyfile geladen ist. Entschlüsselt sind sie nie. Auf die Gefahr hin, mich zu wiederholen: Nimmt ein Dieb den Server mit, ist das Keyfile nicht verfügbar und die Datenpartition nicht zugreifbar. Die OS-Partition schon (klar, muss bei Servern automatisch geschehen), aber wie will sich das der Dieb zu nutze machen? Er hat kein Keyfile, selbst wenn er in Windows eindringt, was will er mit dem Truecrypt Container anstellen?
Fall zwei: Bitlocker mit TPM - hier ist sogar das OS verschlüsselt und dennoch fährt der Server automatisch hoch. Nachteil: cold boot attacks sind nun möglich, da sich der Schlüssel im RAM befindet.
So mien Problem ist gelöst ;)
Habe gestern eine kleine Batch Datei geschrieben,
die nach dem Booten ausgeführt wird und die die festplatte entschlüsselt
und beim runterfahren wird sie wieder verschlüsselt, das konnte man direkt über True Crypt einstellen.
Habe gestern eine kleine Batch Datei geschrieben,
die nach dem Booten ausgeführt wird und die die festplatte entschlüsselt
und beim runterfahren wird sie wieder verschlüsselt, das konnte man direkt über True Crypt einstellen.
Hi Leet.
Schön dass Du eine Lösung gefunden hast. Ich nannte Dein Ansinnen "Mumpitz", da es keinen Vorteil bietet. Die Daten sind IMMER verschlüsselt, sobald Du einmal verschlüsselt hast. Lediglich der Key ist im RAM, wenn Du Dein Kennwort eingegeben hast. Somit ist die Mühe vergeblich.
Schön dass Du eine Lösung gefunden hast. Ich nannte Dein Ansinnen "Mumpitz", da es keinen Vorteil bietet. Die Daten sind IMMER verschlüsselt, sobald Du einmal verschlüsselt hast. Lediglich der Key ist im RAM, wenn Du Dein Kennwort eingegeben hast. Somit ist die Mühe vergeblich.
Ich arbeite mit der Keyfile die auf einem USB Stick ist das heist ohne den ist die Platte Nutzlos.
