18
Truecrypt entschlüsseln des Platte sichern
Ich bin aktuell in der Testphase mit Truecrypt, vorher haeb wir immer Utimaco SafeGauard Easy bzw. später Sophos eingetzte.
Aktuell suche ich eine Möglichkeit um das Entschlüsseln der Festplatte zu verhindern, bzw. ein Kennwortschutz hier draufzulegen. Hintergrund ist der, dass die User, die die Notebooks von der EDV bekommen, die Fetsplatte nicht selber entschlüsseln dürfen.
Daher möchte ich, wenn es möglich ist Truecrypt soweit wie möglich auf dem System verstecken.
Kennt hiermit hier Lösungsansätze?
Vielen Dank bereits vorab für eure Unterstützung.
MFG
Patrick
Daher möchte ich, wenn es möglich ist Truecrypt soweit wie möglich auf dem System verstecken.
Kennt hiermit hier Lösungsansätze?
Vielen Dank bereits vorab für eure Unterstützung.
MFG
Patrick
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 192843
Url: https://administrator.de/contentid/192843
Printed on: April 25, 2024 at 05:04 o'clock
18 Comments
Latest comment
Zitat von @Patrick-W:
... dass die User ... die Fetsplatte nicht selber entschlüsseln dürfen.
Daher möchte ich, wenn es möglich ist Truecrypt soweit wie möglich auf dem System verstecken.
... dass die User ... die Fetsplatte nicht selber entschlüsseln dürfen.
Daher möchte ich, wenn es möglich ist Truecrypt soweit wie möglich auf dem System verstecken.
OhneGruß
Was jetzt? Waschen oder nicht naßmachen?
Wie sollen die User mit einer nicht entschlüsselten Platte arbeiten? Oder soll da jedes mal einer von der IT vorbeikommen, um den Key einzugeben?
lks
Hallo IKS (sorry haben den Gruß vorher vergessen ;) )
die Platte so durch die PreBoot Authentifikation entschlüssel bzw. freigeschaltet werden. Was ich verhindern möchte, ich dass der User das Programm startet und dann die Festplatte über das Menü "System-Partition/Laufwerk dauerhaft entschlüsseln" kann.
Am besten würde es mir gefallen, wenn das gesamte TrueCrypt Menü noch mit einem weiteren seperaten Kennwort geschützt ist.
Hoffe das ich mich so etwas besser ausgedrückt habe. Sorry
Vielen Dank für die Unterstützung
die Platte so durch die PreBoot Authentifikation entschlüssel bzw. freigeschaltet werden. Was ich verhindern möchte, ich dass der User das Programm startet und dann die Festplatte über das Menü "System-Partition/Laufwerk dauerhaft entschlüsseln" kann.
Am besten würde es mir gefallen, wenn das gesamte TrueCrypt Menü noch mit einem weiteren seperaten Kennwort geschützt ist.
Hoffe das ich mich so etwas besser ausgedrückt habe. Sorry
Vielen Dank für die Unterstützung
Zitat von @Patrick-W:
Hallo IKS (sorry haben den Gruß vorher vergessen ;) )
die Platte so durch die PreBoot Authentifikation entschlüssel bzw. freigeschaltet werden.
Hallo IKS (sorry haben den Gruß vorher vergessen ;) )
die Platte so durch die PreBoot Authentifikation entschlüssel bzw. freigeschaltet werden.
Und was ist der Sicherheitsgewinn dabei? Oder wollt Ihr nicht die Daten des Notebooks gegen Diebstahl des Notebooks sichern.
Wenn der Benutzer das Paßwort nicht eingeben muß/darf, muß die Platte automatisch entschlüsselt werden, so daß der key irgendwo auf dem Notebook abgelegt werden müßte (oder Stick). Dann kann man aber ohne Probleme den key extrahieren und die Platte entschlüsseln.
Oder der Benutzer muß den Key/die Passphrase manuell eingeben, dann kann er die Platte aber entschlüsseln. Wenn nicht mit dem truecrypt auf der Platte, so doch mit Portable-Truecrypt und Bootmedium und/oder zweitem Rechner.
Irgendwie sehe ich den Sinn dahinter nicht. Man könnte natürlich durch GPOs oder manuelle Änderugn der ACLs dem Benutzer verbieten, truecrypt aufzurufen, aber das wäre imho kein Sicherheitsgewinn.
lks
Nachtrag:
Beschreibe mal das Angriffsszenario, gegen das Euch truecrypt scützen soll. Denn vor dem Benutzer kann es nicht sein, wenn er mit der Platte arbeiten muß.
Hallo,
so wie es aussieht, habe ich schon bißchen was gefunden. Zwar noch nicht die Perfekte Lösung aber naja. Werde die Notebook einfach mit dem Programm Verschlüsseln (Mobil Version) und dann ist es gut. Dann ist das Programm nicht mehr auf dem PC vorhanden und die User können nicht mal ebend schnell das System entschlüssen.
Zum verständis erkläre trotzdem kurz den genau Hintergrund.
Alle Systeme sollen Verschlüsselt werden und mit einr Pre Boot Authentifiktion geschützt sein. Diese Kennwort bekommt der User natürlich. Was aber verhindet werden soll, ist das der User das System wieder entschlüsseln kann. Um sicher zu gehen, dass es wirklich verschlüsselt bleibt. Bei den Vorher genutzten Programmen war das Administrationstool Kennwort geschützt, sodass der User ohne das Kennwort, keine Chance hatte die Platte zu entschlüsseln. An sowas habe ich bei Truecrypt auch gedacht.
Vielleicht gibt es hier sowas ja trotzdem noch (Programmintern) und ich hab mich vorher nur schlecht ausgedrückt.
Gruß
so wie es aussieht, habe ich schon bißchen was gefunden. Zwar noch nicht die Perfekte Lösung aber naja. Werde die Notebook einfach mit dem Programm Verschlüsseln (Mobil Version) und dann ist es gut. Dann ist das Programm nicht mehr auf dem PC vorhanden und die User können nicht mal ebend schnell das System entschlüssen.
Zum verständis erkläre trotzdem kurz den genau Hintergrund.
Alle Systeme sollen Verschlüsselt werden und mit einr Pre Boot Authentifiktion geschützt sein. Diese Kennwort bekommt der User natürlich. Was aber verhindet werden soll, ist das der User das System wieder entschlüsseln kann. Um sicher zu gehen, dass es wirklich verschlüsselt bleibt. Bei den Vorher genutzten Programmen war das Administrationstool Kennwort geschützt, sodass der User ohne das Kennwort, keine Chance hatte die Platte zu entschlüsseln. An sowas habe ich bei Truecrypt auch gedacht.
Vielleicht gibt es hier sowas ja trotzdem noch (Programmintern) und ich hab mich vorher nur schlecht ausgedrückt.
Gruß
Zitat von @Patrick-W:
Was aber verhindet werden soll, ist das der User das System wieder entschlüsseln kann. Um sicher zu
gehen, dass es wirklich verschlüsselt bleibt.
Was aber verhindet werden soll, ist das der User das System wieder entschlüsseln kann. Um sicher zu
gehen, dass es wirklich verschlüsselt bleibt.
Was soll den User (außer seinem gewissen dem Arbeitsvertrag) daran hindern die Platte in einen zweiten Rechner zu stecken und per trucrypt wieder zu entschlüsseln?
Das schützt zwar vor Diebstahl des Notebooks, aber vor dem User, der das preebot-Paßwort weiß, schützt es nicht.
Versteh mich nicht falsch, Du kannst es so machen, um den Benutzer daran zu hindern mal schnell die Platte zu entschlüsseln aber ein Schutz gegen ihn ist das nicht. Da wären Betriebsvereinbarungen udn Arbeitsverträge besser geeignet.
lks
Klar der USer kann das noch machen. Dazu muss er aber wirklich die abischt haben. Hintergrund ist in erster Linie der Schutz beim diebstahl. Dieser ist natürlich nur gegeben, wenn die Platte auch verschlüsselt bleibt! Und dies möchte ich irgendwie zu einem gewissen maße sicherstellen.
Auch kein hallo Patrick-W ,
Ich persönlich finde es gibt zwei praktikable Wege das ganze zu lösen.
1. Du kaufst eine sich selbst verschlüsselnde Festplatte von Intel oder Toshiba, wenn das Notebook im Bios
eine PreBoot Authentifizierung unterstützt!
Vorteil:
Die Verschlüsselung findet voll automatisch auf der HDD statt!
Bei einem s.g. BlueScreen kann kein Bit "kippen" und die Platte wird unbrauchbar, wie bei einer
Softwarelösung.
Nachteil:
Das Passwort muss immer eingegeben werden
2. Du benutzt dynamische TrueCrypt Container und einen externen Zertifikatsspeicher für den Schlüssel.
Vorteil:
Geräte unabhängige Verschlüsselung.
Der TC Container kann versteckt werden!
Bei Diebstahl befindet sich der Schlüssel nicht auf dem Gerät!
Der TC Container kann sehr einfach in die Backup Strategie mit einbezogen werden.
Nachteil:
Extra USB Stick muss angeschafft werden (Kosten)
Es ist doch so, dass man die Kosten, die Anforderungen, den Bedarf und vor allem anderen den Nutzen
sorgfältig mit und gegen einander abgleichen sollte und praktikabel sollte es auch noch sein.
Sind die Daten auf dem Laptop so wichtig oder Unternehmens kritisch dann sollte man vielleicht auch einmal darüber nachdenken ob es überhaupt Sinn macht den Mitarbeitern so etwas auszuhändigen, denn wenn Du, der die Leute vor ja kennt, denen schon nicht so richtig traust, was soll da denn noch sicher gemacht werden.
Fällt jemandem das Laptop in die Hände wenn es eingeschaltet ist sind die Daten auch futsch oder schnell kopiert. Einen TC Container kann man aber schnell schließen und "unmounten" und dann den USB Stick abziehen,
das war es dann erst einmal, denn wenn dieser versteckt ist und der Schlüssel nicht greifbar dann nützt
das Notebook niemandem etwas. Nur dafür sollte auch klar sein und zwar einem jeden Anwender/Mitarbeiter
das die wichtigen Daten nur dort abzulegen sind und nirgendwo anders.
Gruß
Dobby
(sorry haben den Gruß vorher vergessen ;) )
Na dann mal schnell an der rechten Seite den "Bearbeiten" Knopf gefunden und einfach ein "Hallo" eingetippt.Ich persönlich finde es gibt zwei praktikable Wege das ganze zu lösen.
1. Du kaufst eine sich selbst verschlüsselnde Festplatte von Intel oder Toshiba, wenn das Notebook im Bios
eine PreBoot Authentifizierung unterstützt!
Vorteil:
Die Verschlüsselung findet voll automatisch auf der HDD statt!
Bei einem s.g. BlueScreen kann kein Bit "kippen" und die Platte wird unbrauchbar, wie bei einer
Softwarelösung.
Nachteil:
Das Passwort muss immer eingegeben werden
2. Du benutzt dynamische TrueCrypt Container und einen externen Zertifikatsspeicher für den Schlüssel.
Vorteil:
Geräte unabhängige Verschlüsselung.
Der TC Container kann versteckt werden!
Bei Diebstahl befindet sich der Schlüssel nicht auf dem Gerät!
Der TC Container kann sehr einfach in die Backup Strategie mit einbezogen werden.
Nachteil:
Extra USB Stick muss angeschafft werden (Kosten)
Es ist doch so, dass man die Kosten, die Anforderungen, den Bedarf und vor allem anderen den Nutzen
sorgfältig mit und gegen einander abgleichen sollte und praktikabel sollte es auch noch sein.
Sind die Daten auf dem Laptop so wichtig oder Unternehmens kritisch dann sollte man vielleicht auch einmal darüber nachdenken ob es überhaupt Sinn macht den Mitarbeitern so etwas auszuhändigen, denn wenn Du, der die Leute vor ja kennt, denen schon nicht so richtig traust, was soll da denn noch sicher gemacht werden.
Fällt jemandem das Laptop in die Hände wenn es eingeschaltet ist sind die Daten auch futsch oder schnell kopiert. Einen TC Container kann man aber schnell schließen und "unmounten" und dann den USB Stick abziehen,
das war es dann erst einmal, denn wenn dieser versteckt ist und der Schlüssel nicht greifbar dann nützt
das Notebook niemandem etwas. Nur dafür sollte auch klar sein und zwar einem jeden Anwender/Mitarbeiter
das die wichtigen Daten nur dort abzulegen sind und nirgendwo anders.
Gruß
Dobby
Hallo,
Also so wie ich das jetzt verstanden habe, wollt ihr verhindern, dass ein User aus Bequemlichkeitsgründen die Platte wieder permanent entschlüßelt, damit er das Passwort nicht immer bei jedem Neustart eingeben muss. Ist das so richtig?
Grüße
Also so wie ich das jetzt verstanden habe, wollt ihr verhindern, dass ein User aus Bequemlichkeitsgründen die Platte wieder permanent entschlüßelt, damit er das Passwort nicht immer bei jedem Neustart eingeben muss. Ist das so richtig?
Grüße
Hallo,
Ja genau, das ist zum Beispiel auch ein Hintergrund.
Gruß
patrick
Ja genau, das ist zum Beispiel auch ein Hintergrund.
Gruß
patrick
Solange Dir bewußt ist, daß Die Benutzer könnten, wenn Sie wollten, ist das o.k.
haben die user lokale Admin-rechte, oder sind es nur einfache Benutzer? Im letzteren fall, kanns Du einfach die berechtigunen so setzen, daß sie das programm nciht benutzern dürfen.
Einem Admin higegen eine Programmbenutzung zu verwehren, ist faktisch fast unmöglich (nur mti großen Klöimmzügen).
lks
Moin,
Desweiteren sehe ich das wie Lochkartenstanzer und sehe da nicht sehr viel Sinn drin...
so wie es aussieht, habe ich schon bißchen was gefunden. Zwar noch nicht die Perfekte Lösung aber naja. Werde die
Notebook einfach mit dem Programm Verschlüsseln (Mobil Version) und dann ist es gut. Dann ist das Programm nicht mehr auf dem
Mit der portablen Version kannst du die Platte nicht verschlüsseln!Notebook einfach mit dem Programm Verschlüsseln (Mobil Version) und dann ist es gut. Dann ist das Programm nicht mehr auf dem
Desweiteren sehe ich das wie Lochkartenstanzer und sehe da nicht sehr viel Sinn drin...
Gruß
Gruß zurück
Moin.
Dein Anliegen wird mir nicht klar: Schutz gegen die Nutzung der installierten Truecrypt.exe kannst Du mit NTFS-Rechten machen, klar. Schutz gegen eine mobile Truecrypt.exe bietet das jedoch nicht: ein User der damit auf einem USB-Stick anrückt und das Kennwort hat, kann natürlich entschlüsseln... auszubauen braucht er dafür nicht, Adminrechte jedoch schon.
Was mich jedoch stutzen lässt, ist der Satz "Hintergrund ist in erster Linie der Schutz beim Diebstahl" - Diebstahl durch wen, den Nutzer selbst? Wenn nicht, also ein Fremder stiehlt, der das Kennwort nicht hat, kann er auch nicht entschlüsseln. Oder was willst Du damit ausdrücken?
Dein Anliegen wird mir nicht klar: Schutz gegen die Nutzung der installierten Truecrypt.exe kannst Du mit NTFS-Rechten machen, klar. Schutz gegen eine mobile Truecrypt.exe bietet das jedoch nicht: ein User der damit auf einem USB-Stick anrückt und das Kennwort hat, kann natürlich entschlüsseln... auszubauen braucht er dafür nicht, Adminrechte jedoch schon.
Was mich jedoch stutzen lässt, ist der Satz "Hintergrund ist in erster Linie der Schutz beim Diebstahl" - Diebstahl durch wen, den Nutzer selbst? Wenn nicht, also ein Fremder stiehlt, der das Kennwort nicht hat, kann er auch nicht entschlüsseln. Oder was willst Du damit ausdrücken?
Moin,
wenn ich denn TO richtig verstanden habe, will er sich nur davor schützen, daß die benutzer allzueinfach die verschlüsselung der Platte wieder Rückgängig machen, um so eingie Umbequemlichkeiten loszuwerden (Paßworteinagbe, Performanceverluste, etc.).
Das ist so ähnlich wie der Schutz mit dem paßwortgeschpützten Bildschirmschoner von Win95, der zwar verhindert hat, daß die neugiereig Putzfrau da mal einen Blick draufgeworfen hat, aber den Kollegen, der zeit und Mußte hatte ncith abgehalten hat.
lks
wenn ich denn TO richtig verstanden habe, will er sich nur davor schützen, daß die benutzer allzueinfach die verschlüsselung der Platte wieder Rückgängig machen, um so eingie Umbequemlichkeiten loszuwerden (Paßworteinagbe, Performanceverluste, etc.).
Das ist so ähnlich wie der Schutz mit dem paßwortgeschpützten Bildschirmschoner von Win95, der zwar verhindert hat, daß die neugiereig Putzfrau da mal einen Blick draufgeworfen hat, aber den Kollegen, der zeit und Mußte hatte ncith abgehalten hat.
lks
Hallöle,
Mal angenommen der TO würde jetzt sich selbst verschlüsselnde HDD einbauen und das Bios unterstützt diese
PreBoot Authentifikation mittels Passworteingabe, dann wäre doch alles erledigt.
Fertig ist der Lack und alles ist geregelt, sicher das kostet Geld, aber Sicherheit kostet halt immer
auch etwas.
Gruß
Dobby
Mal angenommen der TO würde jetzt sich selbst verschlüsselnde HDD einbauen und das Bios unterstützt diese
PreBoot Authentifikation mittels Passworteingabe, dann wäre doch alles erledigt.
Fertig ist der Lack und alles ist geregelt, sicher das kostet Geld, aber Sicherheit kostet halt immer
auch etwas.
Gruß
Dobby
Guten morgen,
vielen Dank für die vielen Tipps. Werd einfach selbst Verschlüsselnde Platten einsetzten und gut ist.
Gruß
Patrick-W
vielen Dank für die vielen Tipps. Werd einfach selbst Verschlüsselnde Platten einsetzten und gut ist.
Gruß
Patrick-W
Werd einfach selbst Verschlüsselnde Platten einsetzten und gut ist.
Wenn Du dann noch das Bios ausreichend schützt (wie?), damit der Nutzer dort das Kennwort nicht einfach entfernt...
Hallo DWW,
wenn das der Fall ist ist das für mich das selbe, als wenn der Benutzer den Mail Account in der Personalabteilung "haxkt" um zu sehen was mit seiner Gehaltserhöhung ist, dann muss er eben gegangen werden oder einmal für den Schaden aufkommen, damit er sich das merkt!
Oder die Gratifikation am Ende das Jahres fehlt eben oder das freiwillig gezahlte Weihnachtsgeld oder was sonst richtig weh tut.
Gruß
Dobby
wenn das der Fall ist ist das für mich das selbe, als wenn der Benutzer den Mail Account in der Personalabteilung "haxkt" um zu sehen was mit seiner Gehaltserhöhung ist, dann muss er eben gegangen werden oder einmal für den Schaden aufkommen, damit er sich das merkt!
Oder die Gratifikation am Ende das Jahres fehlt eben oder das freiwillig gezahlte Weihnachtsgeld oder was sonst richtig weh tut.
Gruß
Dobby
Ich verstehe nicht, warum Adminrechte (die der User ja nicht hat) als Grenze nicht ausreichen.
