Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Truecrypt entschlüsseln des Platte sichern

Mitglied: Patrick-W

Patrick-W (Level 1) - Jetzt verbinden

16.10.2012 um 11:44 Uhr, 4746 Aufrufe, 18 Kommentare

Ich bin aktuell in der Testphase mit Truecrypt, vorher haeb wir immer Utimaco SafeGauard Easy bzw. später Sophos eingetzte.

Aktuell suche ich eine Möglichkeit um das Entschlüsseln der Festplatte zu verhindern, bzw. ein Kennwortschutz hier draufzulegen. Hintergrund ist der, dass die User, die die Notebooks von der EDV bekommen, die Fetsplatte nicht selber entschlüsseln dürfen.
Daher möchte ich, wenn es möglich ist Truecrypt soweit wie möglich auf dem System verstecken.

Kennt hiermit hier Lösungsansätze?

Vielen Dank bereits vorab für eure Unterstützung.

MFG
Patrick
Mitglied: Lochkartenstanzer
16.10.2012, aktualisiert um 12:04 Uhr
Zitat von Patrick-W:
... dass die User ... die Fetsplatte nicht selber entschlüsseln dürfen.
Daher möchte ich, wenn es möglich ist Truecrypt soweit wie möglich auf dem System verstecken.

OhneGruß

Was jetzt? Waschen oder nicht naßmachen?

Wie sollen die User mit einer nicht entschlüsselten Platte arbeiten? Oder soll da jedes mal einer von der IT vorbeikommen, um den Key einzugeben?

lks
Bitte warten ..
Mitglied: Patrick-W
16.10.2012 um 12:08 Uhr
Hallo IKS (sorry haben den Gruß vorher vergessen ;) )

die Platte so durch die PreBoot Authentifikation entschlüssel bzw. freigeschaltet werden. Was ich verhindern möchte, ich dass der User das Programm startet und dann die Festplatte über das Menü "System-Partition/Laufwerk dauerhaft entschlüsseln" kann.
Am besten würde es mir gefallen, wenn das gesamte TrueCrypt Menü noch mit einem weiteren seperaten Kennwort geschützt ist.

Hoffe das ich mich so etwas besser ausgedrückt habe. Sorry

Vielen Dank für die Unterstützung
Bitte warten ..
Mitglied: Lochkartenstanzer
16.10.2012, aktualisiert um 12:20 Uhr
Zitat von Patrick-W:
Hallo IKS (sorry haben den Gruß vorher vergessen ;) )

die Platte so durch die PreBoot Authentifikation entschlüssel bzw. freigeschaltet werden.

Und was ist der Sicherheitsgewinn dabei? Oder wollt Ihr nicht die Daten des Notebooks gegen Diebstahl des Notebooks sichern.

Wenn der Benutzer das Paßwort nicht eingeben muß/darf, muß die Platte automatisch entschlüsselt werden, so daß der key irgendwo auf dem Notebook abgelegt werden müßte (oder Stick). Dann kann man aber ohne Probleme den key extrahieren und die Platte entschlüsseln.

Oder der Benutzer muß den Key/die Passphrase manuell eingeben, dann kann er die Platte aber entschlüsseln. Wenn nicht mit dem truecrypt auf der Platte, so doch mit Portable-Truecrypt und Bootmedium und/oder zweitem Rechner.

Irgendwie sehe ich den Sinn dahinter nicht. Man könnte natürlich durch GPOs oder manuelle Änderugn der ACLs dem Benutzer verbieten, truecrypt aufzurufen, aber das wäre imho kein Sicherheitsgewinn.

lks


Nachtrag:

Beschreibe mal das Angriffsszenario, gegen das Euch truecrypt scützen soll. Denn vor dem Benutzer kann es nicht sein, wenn er mit der Platte arbeiten muß.
Bitte warten ..
Mitglied: Patrick-W
16.10.2012 um 12:30 Uhr
Hallo,

so wie es aussieht, habe ich schon bißchen was gefunden. Zwar noch nicht die Perfekte Lösung aber naja. Werde die Notebook einfach mit dem Programm Verschlüsseln (Mobil Version) und dann ist es gut. Dann ist das Programm nicht mehr auf dem PC vorhanden und die User können nicht mal ebend schnell das System entschlüssen.

Zum verständis erkläre trotzdem kurz den genau Hintergrund.

Alle Systeme sollen Verschlüsselt werden und mit einr Pre Boot Authentifiktion geschützt sein. Diese Kennwort bekommt der User natürlich. Was aber verhindet werden soll, ist das der User das System wieder entschlüsseln kann. Um sicher zu gehen, dass es wirklich verschlüsselt bleibt. Bei den Vorher genutzten Programmen war das Administrationstool Kennwort geschützt, sodass der User ohne das Kennwort, keine Chance hatte die Platte zu entschlüsseln. An sowas habe ich bei Truecrypt auch gedacht.
Vielleicht gibt es hier sowas ja trotzdem noch (Programmintern) und ich hab mich vorher nur schlecht ausgedrückt.

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
16.10.2012, aktualisiert um 12:42 Uhr
Zitat von Patrick-W:
Was aber verhindet werden soll, ist das der User das System wieder entschlüsseln kann. Um sicher zu
gehen, dass es wirklich verschlüsselt bleibt.

Was soll den User (außer seinem gewissen dem Arbeitsvertrag) daran hindern die Platte in einen zweiten Rechner zu stecken und per trucrypt wieder zu entschlüsseln?

Das schützt zwar vor Diebstahl des Notebooks, aber vor dem User, der das preebot-Paßwort weiß, schützt es nicht.


Versteh mich nicht falsch, Du kannst es so machen, um den Benutzer daran zu hindern mal schnell die Platte zu entschlüsseln aber ein Schutz gegen ihn ist das nicht. Da wären Betriebsvereinbarungen udn Arbeitsverträge besser geeignet.

lks
Bitte warten ..
Mitglied: Patrick-W
16.10.2012 um 12:45 Uhr
Klar der USer kann das noch machen. Dazu muss er aber wirklich die abischt haben. Hintergrund ist in erster Linie der Schutz beim diebstahl. Dieser ist natürlich nur gegeben, wenn die Platte auch verschlüsselt bleibt! Und dies möchte ich irgendwie zu einem gewissen maße sicherstellen.
Bitte warten ..
Mitglied: 108012
16.10.2012 um 13:20 Uhr
Auch kein hallo Patrick-W ,

(sorry haben den Gruß vorher vergessen ;) )
Na dann mal schnell an der rechten Seite den "Bearbeiten" Knopf gefunden und einfach ein "Hallo" eingetippt.

Ich persönlich finde es gibt zwei praktikable Wege das ganze zu lösen.

1. Du kaufst eine sich selbst verschlüsselnde Festplatte von Intel oder Toshiba, wenn das Notebook im Bios
eine PreBoot Authentifizierung unterstützt!

Vorteil:
Die Verschlüsselung findet voll automatisch auf der HDD statt!
Bei einem s.g. BlueScreen kann kein Bit "kippen" und die Platte wird unbrauchbar, wie bei einer
Softwarelösung.

Nachteil:
Das Passwort muss immer eingegeben werden


2. Du benutzt dynamische TrueCrypt Container und einen externen Zertifikatsspeicher für den Schlüssel.

Vorteil:
Geräte unabhängige Verschlüsselung.
Der TC Container kann versteckt werden!
Bei Diebstahl befindet sich der Schlüssel nicht auf dem Gerät!
Der TC Container kann sehr einfach in die Backup Strategie mit einbezogen werden.

Nachteil:
Extra USB Stick muss angeschafft werden (Kosten)

Es ist doch so, dass man die Kosten, die Anforderungen, den Bedarf und vor allem anderen den Nutzen
sorgfältig mit und gegen einander abgleichen sollte und praktikabel sollte es auch noch sein.

Sind die Daten auf dem Laptop so wichtig oder Unternehmens kritisch dann sollte man vielleicht auch einmal darüber nachdenken ob es überhaupt Sinn macht den Mitarbeitern so etwas auszuhändigen, denn wenn Du, der die Leute vor ja kennt, denen schon nicht so richtig traust, was soll da denn noch sicher gemacht werden.

Fällt jemandem das Laptop in die Hände wenn es eingeschaltet ist sind die Daten auch futsch oder schnell kopiert. Einen TC Container kann man aber schnell schließen und "unmounten" und dann den USB Stick abziehen,
das war es dann erst einmal, denn wenn dieser versteckt ist und der Schlüssel nicht greifbar dann nützt
das Notebook niemandem etwas. Nur dafür sollte auch klar sein und zwar einem jeden Anwender/Mitarbeiter
das die wichtigen Daten nur dort abzulegen sind und nirgendwo anders.

Gruß
Dobby
Bitte warten ..
Mitglied: Haumiblau
16.10.2012 um 13:21 Uhr
Hallo,

Also so wie ich das jetzt verstanden habe, wollt ihr verhindern, dass ein User aus Bequemlichkeitsgründen die Platte wieder permanent entschlüßelt, damit er das Passwort nicht immer bei jedem Neustart eingeben muss. Ist das so richtig?

Grüße
Bitte warten ..
Mitglied: Patrick-W
16.10.2012 um 13:31 Uhr
Hallo,
Ja genau, das ist zum Beispiel auch ein Hintergrund.

Gruß
patrick
Bitte warten ..
Mitglied: Lochkartenstanzer
16.10.2012 um 14:06 Uhr
Zitat von Patrick-W:
Hallo,
Ja genau, das ist zum Beispiel auch ein Hintergrund.

Solange Dir bewußt ist, daß Die Benutzer könnten, wenn Sie wollten, ist das o.k.

haben die user lokale Admin-rechte, oder sind es nur einfache Benutzer? Im letzteren fall, kanns Du einfach die berechtigunen so setzen, daß sie das programm nciht benutzern dürfen.

Einem Admin higegen eine Programmbenutzung zu verwehren, ist faktisch fast unmöglich (nur mti großen Klöimmzügen).

lks
Bitte warten ..
Mitglied: nikoatit
16.10.2012, aktualisiert um 15:20 Uhr
Zitat von Patrick-W:
Hallo,
Moin,
so wie es aussieht, habe ich schon bißchen was gefunden. Zwar noch nicht die Perfekte Lösung aber naja. Werde die
Notebook einfach mit dem Programm Verschlüsseln (Mobil Version) und dann ist es gut. Dann ist das Programm nicht mehr auf dem
Mit der portablen Version kannst du die Platte nicht verschlüsseln!

Desweiteren sehe ich das wie Lochkartenstanzer und sehe da nicht sehr viel Sinn drin...
Gruß
Gruß zurück
Bitte warten ..
Mitglied: DerWoWusste
17.10.2012 um 20:27 Uhr
Moin.

Dein Anliegen wird mir nicht klar: Schutz gegen die Nutzung der installierten Truecrypt.exe kannst Du mit NTFS-Rechten machen, klar. Schutz gegen eine mobile Truecrypt.exe bietet das jedoch nicht: ein User der damit auf einem USB-Stick anrückt und das Kennwort hat, kann natürlich entschlüsseln... auszubauen braucht er dafür nicht, Adminrechte jedoch schon.

Was mich jedoch stutzen lässt, ist der Satz "Hintergrund ist in erster Linie der Schutz beim Diebstahl" - Diebstahl durch wen, den Nutzer selbst? Wenn nicht, also ein Fremder stiehlt, der das Kennwort nicht hat, kann er auch nicht entschlüsseln. Oder was willst Du damit ausdrücken?
Bitte warten ..
Mitglied: Lochkartenstanzer
17.10.2012 um 22:05 Uhr
Moin,

wenn ich denn TO richtig verstanden habe, will er sich nur davor schützen, daß die benutzer allzueinfach die verschlüsselung der Platte wieder Rückgängig machen, um so eingie Umbequemlichkeiten loszuwerden (Paßworteinagbe, Performanceverluste, etc.).

Das ist so ähnlich wie der Schutz mit dem paßwortgeschpützten Bildschirmschoner von Win95, der zwar verhindert hat, daß die neugiereig Putzfrau da mal einen Blick draufgeworfen hat, aber den Kollegen, der zeit und Mußte hatte ncith abgehalten hat.

lks
Bitte warten ..
Mitglied: 108012
17.10.2012 um 22:38 Uhr
Hallöle,

Mal angenommen der TO würde jetzt sich selbst verschlüsselnde HDD einbauen und das Bios unterstützt diese
PreBoot Authentifikation mittels Passworteingabe, dann wäre doch alles erledigt.

Fertig ist der Lack und alles ist geregelt, sicher das kostet Geld, aber Sicherheit kostet halt immer
auch etwas.

Gruß
Dobby
Bitte warten ..
Mitglied: Patrick-W
18.10.2012 um 06:39 Uhr
Guten morgen,

vielen Dank für die vielen Tipps. Werd einfach selbst Verschlüsselnde Platten einsetzten und gut ist.

Gruß
Patrick-W
Bitte warten ..
Mitglied: DerWoWusste
18.10.2012 um 09:07 Uhr
Werd einfach selbst Verschlüsselnde Platten einsetzten und gut ist.
Wenn Du dann noch das Bios ausreichend schützt (wie?), damit der Nutzer dort das Kennwort nicht einfach entfernt...
Bitte warten ..
Mitglied: 108012
18.10.2012 um 12:18 Uhr
Hallo DWW,

wenn das der Fall ist ist das für mich das selbe, als wenn der Benutzer den Mail Account in der Personalabteilung "haxkt" um zu sehen was mit seiner Gehaltserhöhung ist, dann muss er eben gegangen werden oder einmal für den Schaden aufkommen, damit er sich das merkt!

Oder die Gratifikation am Ende das Jahres fehlt eben oder das freiwillig gezahlte Weihnachtsgeld oder was sonst richtig weh tut.

Gruß
Dobby
Bitte warten ..
Mitglied: DerWoWusste
18.10.2012 um 19:18 Uhr
Ich verstehe nicht, warum Adminrechte (die der User ja nicht hat) als Grenze nicht ausreichen.
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Locky entschluesseln ohne Ursprungs-Pc
Frage von Eldiabolo18Viren und Trojaner6 Kommentare

Hallo zusammen, meine Firma hat sich indirekt einen Verschluesslungstrojaner (Locky) eingefangen. Indirekt in dem Sinne, dass es nur ein ...

Windows Server

Windows Server sichern und auf neue Platten wiederherstellen

Frage von 2SeitenWindows Server8 Kommentare

Hallo Admins, Da mein Server (Windows Server 2008 R2 Enterprise) insgesamt zuwenig Speicher hat, will ich grössere Platten einbauen. ...

E-Mail

Kopfzeilen einer Mail entschlüsseln

Frage von maniacmacpainE-Mail4 Kommentare

Hallo alle zusammen, wir haben von einem Kunden die Info bekommen, dass er von uns eine Email erhalten hätte. ...

Entwicklung

PopCon Passwort entschlüsseln

gelöst Frage von lasterEntwicklung7 Kommentare

Hallo, muss eine Migration von PopCon und Exchange durchführen. Das neue System kann die POP-Postfächer selbst auslesen (braucht PopCon ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 16 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 22 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...