10
Truecrypt in Multiuser-Umgebung
Hallo,
in der Fa. haben wir einen PC, der von ziemlich vielen Usern sowohl für private wie auch für berufliche Zwecke verwendet wird.
Ich habe natürlich die normalen Windows-Accounts eingerichtet, User-Rechte eingeschränkt usw.
Ich denke allerdings, dass die sinnvollste Idee wäre, wenn jeder User auf einer großen Festplatte seine verschlüsselte Partition hätte.
Es gäben also 10 User und 10 Truecrypt-Partitionen. Die 10 Partitionen wären mit Truemounter angedockt. Ich müsste allerdings irgendwie hinkriegen, dass die jeweilige TC-Partition zu dem jweiligen User zugeordnet wird, sonst bekommt jeder User 10 Dialogfenster mit der Frage nach dem Passwort.
Hat jemand eine Idee wie man das machen kann?
Danke für eure Tipps.
Gr. I.
in der Fa. haben wir einen PC, der von ziemlich vielen Usern sowohl für private wie auch für berufliche Zwecke verwendet wird.
Ich habe natürlich die normalen Windows-Accounts eingerichtet, User-Rechte eingeschränkt usw.
Ich denke allerdings, dass die sinnvollste Idee wäre, wenn jeder User auf einer großen Festplatte seine verschlüsselte Partition hätte.
Es gäben also 10 User und 10 Truecrypt-Partitionen. Die 10 Partitionen wären mit Truemounter angedockt. Ich müsste allerdings irgendwie hinkriegen, dass die jeweilige TC-Partition zu dem jweiligen User zugeordnet wird, sonst bekommt jeder User 10 Dialogfenster mit der Frage nach dem Passwort.
Hat jemand eine Idee wie man das machen kann?
Danke für eure Tipps.
Gr. I.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 128483
Url: https://administrator.de/contentid/128483
Printed on: April 19, 2024 at 07:04 o'clock
10 Comments
Latest comment
Truecrypt geht auch über die Kommandozeile, nimm ein Anmeldeskript und mounte so unter Verwendung der Variable %username% den passenden Container.
Ich würde jedoch eher EFS nehmen, das ist schneller eingerichtet.
Ich würde jedoch eher EFS nehmen, das ist schneller eingerichtet.
Hallo,
truecrypt lässt sich über Kommandozeilenparameter steuern -> du kannst ein Logonscript schreiben, dass jedem Nutzer sein individuelles Volume anbindet.
Gruß
Filipp
truecrypt lässt sich über Kommandozeilenparameter steuern -> du kannst ein Logonscript schreiben, dass jedem Nutzer sein individuelles Volume anbindet.
Gruß
Filipp
Danke sehr für den Tipp.
ich habe kurz gegooglt.
: EFS könnte prinzipiell wirklich eine Option sein, obwohl ich - bloß aus dem Bauchgefühl - behaupten würde, dass TC schon eine höhere Sicherheit bietet.
Na ja, neben Sicherheit haben wir auch andere Aspekte...
Wie kann man sonst EFS einrichten? Ich gehe mal davon aus, dass entsprechende Tools bereits von dem Betriebsystem zur Verfügung gestellt werden bzw. dass die Entschlüsselung sofort dann erfolgt, wenn der jeweilige User sich einloggt.
Was passiert dann, wenn ich als Admin versuche die Dateien der User zu lesen? Es wäre bei EFS wohl nicht möglich sein, oder?
Wenn ich richtig verstehe bietet Windows bestimmte Features für die Verwaltung der Schlüssel.
Wie wirkt die Verschlüsselung auf die Leistung des PCs aus?
Auf meiner mit TC verschlüsselte Windows /- Partition habe ich auf jeden Fall nicht den Eindruck, dass der Notebook langsamer geworden wäre. Wäre es bei EFS auch der Fall?
Danke für die Rückmeldung?
Gr. I.
ich habe kurz gegooglt.
: EFS könnte prinzipiell wirklich eine Option sein, obwohl ich - bloß aus dem Bauchgefühl - behaupten würde, dass TC schon eine höhere Sicherheit bietet.Na ja, neben Sicherheit haben wir auch andere Aspekte...
Wie kann man sonst EFS einrichten? Ich gehe mal davon aus, dass entsprechende Tools bereits von dem Betriebsystem zur Verfügung gestellt werden bzw. dass die Entschlüsselung sofort dann erfolgt, wenn der jeweilige User sich einloggt.
Was passiert dann, wenn ich als Admin versuche die Dateien der User zu lesen? Es wäre bei EFS wohl nicht möglich sein, oder?
Wenn ich richtig verstehe bietet Windows bestimmte Features für die Verwaltung der Schlüssel.
Wie wirkt die Verschlüsselung auf die Leistung des PCs aus?
Auf meiner mit TC verschlüsselte Windows /- Partition habe ich auf jeden Fall nicht den Eindruck, dass der Notebook langsamer geworden wäre. Wäre es bei EFS auch der Fall?
Danke für die Rückmeldung?
Gr. I.
Und das Bauchgefühl ist, was im Leben zählt - seh ich auch so!
Zum EFS kannst Du jetzt viel lesen oder aber einfach voraussetzen, dass es kein Kernschrott sein kann, da es ja schon 10 Jahre existiert und immer noch daran entwickelt wird.
Nimm einen Ordner und rechtsklicke ihn - Eigenschaften - erweitert - und losverschlüsselt. Der Benutzer muss kein Kennwort einrichten, es reicht sein Nutzerkennwort - somit komfortabel.
Wiederherstellen durch den Domänenadmin ist möglich - Stichwort Recovery Agent. Performance ist ok.
Aber nimm gern Truecrypt, auch das kann man per Automount (Keyfile auf einer Freigabe im Netzwerk) komfortable nutzen, wenn das eine Rolle spielt. Oder nimm NTFS - warum eigentlich verschlüsseln, dies ist bloß interessant bei mehreren Admins auf dem System. Ist nur einer da und dem traut man, reicht NTFS in Standardeinstellungen. Dass da keiner mit einer Bootdisk kommt und Admin spielt, kann man verhindern, indem man syskey aktiviert.
PS:
Zum EFS kannst Du jetzt viel lesen oder aber einfach voraussetzen, dass es kein Kernschrott sein kann, da es ja schon 10 Jahre existiert und immer noch daran entwickelt wird.
Nimm einen Ordner und rechtsklicke ihn - Eigenschaften - erweitert - und losverschlüsselt. Der Benutzer muss kein Kennwort einrichten, es reicht sein Nutzerkennwort - somit komfortabel.
Wiederherstellen durch den Domänenadmin ist möglich - Stichwort Recovery Agent. Performance ist ok.
Aber nimm gern Truecrypt, auch das kann man per Automount (Keyfile auf einer Freigabe im Netzwerk) komfortable nutzen, wenn das eine Rolle spielt. Oder nimm NTFS - warum eigentlich verschlüsseln, dies ist bloß interessant bei mehreren Admins auf dem System. Ist nur einer da und dem traut man, reicht NTFS in Standardeinstellungen. Dass da keiner mit einer Bootdisk kommt und Admin spielt, kann man verhindern, indem man syskey aktiviert.
PS:
Danke für die Rückmeldung?
Bitte?
Hallo,
Und ich habe schlechte Erfahrungen mit EFS. Ich konnte auf einmal auf meine EFS-Verschlüsselten Ornder nicht mehr _schreibend_ zugreifen. An den NFTS-Rechten liegt es definitiv nicht. Die Verschlüsselung lässt sich auch nicht mehr aufheben. Glücklicherweise kann ich alle Daten noch lesen, aber ich habe keine Lust zu riskieren, dass es dann doch mal andersherum kommt.
Gruß
Filipp
Wiederherstellen durch den Domänenadmin ist möglich -
Stichwort Recovery Agent. Performance ist ok.
In der Standard-Konfiguration m.W. nach nicht.Stichwort Recovery Agent. Performance ist ok.
Und ich habe schlechte Erfahrungen mit EFS. Ich konnte auf einmal auf meine EFS-Verschlüsselten Ornder nicht mehr _schreibend_ zugreifen. An den NFTS-Rechten liegt es definitiv nicht. Die Verschlüsselung lässt sich auch nicht mehr aufheben. Glücklicherweise kann ich alle Daten noch lesen, aber ich habe keine Lust zu riskieren, dass es dann doch mal andersherum kommt.
Gruß
Filipp
Und ich habe schlechte Erfahrungen mit EFS
Tausende Leute haben schlechte Erfahrungen mit diverser Verschlüsselungssoftware, weil die eben manchmal doch so sicher ist, wie sie vorgibt, wenn man es gerade nicht gebrauchen kann oder sogar noch sicherer=defekt. Dafür gibt es Backups (entweder unverschlüsselt oder mit anderer Verschlüsselung).
Hallo,
ich werde mal versuchen aus TC das Bestmögliche rauszuholen.
Der Tipp mit dem Logonscript scheint umsetzbar zu sein. Ich denke, dass die Soft Truemounter auch so funktioniert.
Ich habe versucht einen Beispielscript zu finden. Bisher noch nichts sinnvolles.
Ich habe noch nie im Leben eine Script geschrieben Ich muss also noch weitersuchen bzw, muss ich noch die grundlegenen Parameter von TC finden.
Danke nochmals.
Gr. I.
ich werde mal versuchen aus TC das Bestmögliche rauszuholen.
Der Tipp mit dem Logonscript scheint umsetzbar zu sein. Ich denke, dass die Soft Truemounter auch so funktioniert.
Ich habe versucht einen Beispielscript zu finden. Bisher noch nichts sinnvolles.
Ich habe noch nie im Leben eine Script geschrieben
Ich muss also noch weitersuchen bzw, muss ich noch die grundlegenen Parameter von TC finden.Danke nochmals.
Gr. I.
"C:\Program Files (x86)\TrueCrypt\TrueCrypt.exe" /v \Device\Harddisk0\Partition5 /l n: /k "\\server\freigabe\Keyfile" /s /a
Ist ein Syntaxbeispiel. Es mountet die Partition 5 auf Harddisk 0 unter Verwendung des angegebenen Keyfiles von einem Server.
Ist ein Syntaxbeispiel. Es mountet die Partition 5 auf Harddisk 0 unter Verwendung des angegebenen Keyfiles von einem Server.
Hallo "DerWoWusste",
toll! Danke sehr.
Ich müsste also eine Datei z. B. "login.bat" erstellen, die so aussehen könnte:
"@echo off
D:\Programme\TrueCrypt\TrueCrypt.exe" /v \Device\Harddisk0\Partition5 /l n: /k "g:\Keyfile" /s /a"
Dies würde prinzipiell ausreichen.
Die Laufwerk "G" ist in diesem Fall nur ein USB-Stick. Die Verwaltung der Schlüssel auf dem Server kommt später.
Die Datei müsste ich dann in der "Systemsteuerung / Verwaltung" unter dem jeweiligen User-Profile eingeben, oder?
Fehlt noch etwas? Wie sieht es aus, wenn der User sich abmeldet? Wir die Container-Datei automatisch "demounted"?
Danke sehr nochmals für deine Hilfe.
Gr. I.
toll! Danke sehr.
Ich müsste also eine Datei z. B. "login.bat" erstellen, die so aussehen könnte:
"@echo off
D:\Programme\TrueCrypt\TrueCrypt.exe" /v \Device\Harddisk0\Partition5 /l n: /k "g:\Keyfile" /s /a"
Dies würde prinzipiell ausreichen.
Die Laufwerk "G" ist in diesem Fall nur ein USB-Stick. Die Verwaltung der Schlüssel auf dem Server kommt später.
Die Datei müsste ich dann in der "Systemsteuerung / Verwaltung" unter dem jeweiligen User-Profile eingeben, oder?
Fehlt noch etwas? Wie sieht es aus, wenn der User sich abmeldet? Wir die Container-Datei automatisch "demounted"?
Danke sehr nochmals für deine Hilfe.
Gr. I.
Ich muss gestehen, dass ich dies bisher nur auf Servern getestet habe, wo andere lokale Benutzer (und somit unmounten) keine Rolle spielten - ich glaube, dass es so war, dass andere nicht rankommen.
Du müsstest das Skript einbinden als Logonskript und könntest als Logoffskript wieder unmounten, musst mal die syntax anschauen ->Truecrypt.exe /?
Du müsstest das Skript einbinden als Logonskript und könntest als Logoffskript wieder unmounten, musst mal die syntax anschauen ->Truecrypt.exe /?
