134202
Sep 04, 2017
13351
27
0
VeraCrypt verschlüsselt unter W10 nicht das ganze Laufwerk
Hallo Community,
ich möchte mit einer Windows 10 Installation und VeraCrypt das gesamte Laufwerk der SSD verschlüsseln. Der Laptop hat natürlich ein UEFI und Windows 10 hat neben Laufwerk C: und D: auch seine eigenen Partitionen eingerichtet, wie es das eben so standardmäßig macht. Laut Versionshistory von VeraCrypt sollte dieses eigentlich schon seit einigen Versionen mit UEFI und GPT umgehen können. Ich wähle bei VeraCrypt System > Encrypt System Partition/Drive > Normal > Dort ist dann "Encrypt the whole drive" ausgegraut
Laptop: Acer Swift 3
OS: Windows 10 Home, V 1703, Build 15063.540
Veracrypt V 1.21 (x64)
Woran liegt das? Ich habe schon im UEFI ein paar Dinge umgestellt, das brachte aber alles keine Änderung. Das Secure Boot kann man ja leider nicht deaktivieren.
Natürlich könnte ich auch erst nur die Windows System-Partition verschlüsseln und dann Laufwerk D:, aber dann bekäme der Anwender ja nach dem Hochfahren von Windows eine weitere Passwort-Abfrage für Laufwerk D:. Außerdem sind auf D: auch ausführbare Programme installiert. Das könnte zu Verwirrungen führen.
Für Hilfe bin ich dankbar.
ich möchte mit einer Windows 10 Installation und VeraCrypt das gesamte Laufwerk der SSD verschlüsseln. Der Laptop hat natürlich ein UEFI und Windows 10 hat neben Laufwerk C: und D: auch seine eigenen Partitionen eingerichtet, wie es das eben so standardmäßig macht. Laut Versionshistory von VeraCrypt sollte dieses eigentlich schon seit einigen Versionen mit UEFI und GPT umgehen können. Ich wähle bei VeraCrypt System > Encrypt System Partition/Drive > Normal > Dort ist dann "Encrypt the whole drive" ausgegraut
Laptop: Acer Swift 3
OS: Windows 10 Home, V 1703, Build 15063.540
Veracrypt V 1.21 (x64)
Woran liegt das? Ich habe schon im UEFI ein paar Dinge umgestellt, das brachte aber alles keine Änderung. Das Secure Boot kann man ja leider nicht deaktivieren.
Natürlich könnte ich auch erst nur die Windows System-Partition verschlüsseln und dann Laufwerk D:, aber dann bekäme der Anwender ja nach dem Hochfahren von Windows eine weitere Passwort-Abfrage für Laufwerk D:. Außerdem sind auf D: auch ausführbare Programme installiert. Das könnte zu Verwirrungen führen.
Für Hilfe bin ich dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 348096
Url: https://administrator.de/contentid/348096
Printed on: April 25, 2024 at 02:04 o'clock
27 Comments
Latest comment
Hi.
1 Man kann d: nach c: verschlüsseln und dann das Unlocking automatisieren, so dass das Kennwort nur für c: eingegeben werden muss - nannte sich unter TrueCrypt "Favorite Volumes" und wurde unter Veracyrpt mit Sicherheit weitergeführt
2 Warum nicht Bitlocker?
3 Schon beim Herstellerforum gefragt?
1 Man kann d: nach c: verschlüsseln und dann das Unlocking automatisieren, so dass das Kennwort nur für c: eingegeben werden muss - nannte sich unter TrueCrypt "Favorite Volumes" und wurde unter Veracyrpt mit Sicherheit weitergeführt
2 Warum nicht Bitlocker?
3 Schon beim Herstellerforum gefragt?
Hi,
vielen Dank. Zu 1: Das Unlocking zu automatisieren ist mir bekannt, aber würde ja in diesem Fall nicht gehen, denn die erste Passwortabfrage kommt ja vom VC-Bootloader, um W10 booten zu können. Bei der zweiten Passwortabfrage zum Aufschließen von D: ist ja vermutlich das beim Bootloader eingegebene Passwort nicht mehr im Cache, oder doch? Glaube eher nicht.
Zu 2: Weil Bitlocker bei Windows 10 Home nicht mitgeliefert wird, aber einige Laptops mit Home vorhanden sind.
Zu 3. Nein, noch nicht :D
vielen Dank. Zu 1: Das Unlocking zu automatisieren ist mir bekannt, aber würde ja in diesem Fall nicht gehen, denn die erste Passwortabfrage kommt ja vom VC-Bootloader, um W10 booten zu können. Bei der zweiten Passwortabfrage zum Aufschließen von D: ist ja vermutlich das beim Bootloader eingegebene Passwort nicht mehr im Cache, oder doch? Glaube eher nicht.
Zu 2: Weil Bitlocker bei Windows 10 Home nicht mitgeliefert wird, aber einige Laptops mit Home vorhanden sind.
Zu 3. Nein, noch nicht :D
1 nein, nach dem Booten und der ersten Kennworteingabe musst Du nichts mehr machen. Lies mal nach: https://andryou.com/truecrypt/docs/system-favorites.php
2 möglich auch unter home! Siehe BitLocker mit Home-Windows?
2 möglich auch unter home! Siehe BitLocker mit Home-Windows?
Awa!
Hier möchte ich zu 1. ein selbstkritisches RTFM einfügen^^ Gut, das ist ein Wöack Äröünd. Trotzdem wäre es schön zu wissen, warum man mit W10 und VC nicht auf "Encrypt the whole drive" draufklicken kann. ;) Denn offiziell sollte VC doch auch das können. Zu 2. Bitlocker verwende ich aus Sicherheitsgründen lieber nicht.
Hier möchte ich zu 1. ein selbstkritisches RTFM einfügen^^ Gut, das ist ein Wöack Äröünd. Trotzdem wäre es schön zu wissen, warum man mit W10 und VC nicht auf "Encrypt the whole drive" draufklicken kann. ;) Denn offiziell sollte VC doch auch das können. Zu 2. Bitlocker verwende ich aus Sicherheitsgründen lieber nicht.
Moin,
zu 1: Das geht unter VC leider nicht mehr. habe aus historischen Gründen auf meinem Server mehrere Partitionen verschlüsselt, mit VC muss ich für jede das PW eingeben.
zu 1: Das geht unter VC leider nicht mehr. habe aus historischen Gründen auf meinem Server mehrere Partitionen verschlüsselt, mit VC muss ich für jede das PW eingeben.
"Zu 2. Bitlocker verwende ich aus Sicherheitsgründen lieber nicht." - dann sei konsequent und verwende auch Windows nicht. Wenn Du Internetzugang hast, wird Windows den Key eh lesen und senden können, wenn es das möchte.
@nobody: wirklich? Die Doku sagt, dass es noch geht: https://veracrypt.codeplex.com/wikipage?title=Favorite%20Volumes
"dann sei konsequent und verwende auch Windows nicht. Wenn Du Internetzugang hast, wird Windows den Key eh lesen und senden können, wenn es das möchte."
Das habe ich mir ja schon fast gedacht, dass so ein Kommentar kommen muss. Wie willst Du denn Deinem Kunden, ein grafischer Betrieb, verklickern, dass Windows 10 Unfug ist und bitte sofort alle seine Laptops auf Linux umstellen soll? Im Übrigen kann Windows so gut wie nichts mehr übertragen, falscher Proxy eingetragen und hosts-Datei manipuliert. Außerdem O&O ShutUp verwendet. So.
Zu Deinem Einwand, Windows könne den Veracrypt-Key lesen: Wie soll es das können? Das Passwort wird dem Bootloader übergeben. Dort ist wohl noch kein Keylogger aktiv. Oder kann Windows das Passwort aus irgendeinem Cache auslesen? Ist es dort im Klartext vorhanden?
Das habe ich mir ja schon fast gedacht, dass so ein Kommentar kommen muss. Wie willst Du denn Deinem Kunden, ein grafischer Betrieb, verklickern, dass Windows 10 Unfug ist und bitte sofort alle seine Laptops auf Linux umstellen soll? Im Übrigen kann Windows so gut wie nichts mehr übertragen, falscher Proxy eingetragen und hosts-Datei manipuliert. Außerdem O&O ShutUp verwendet. So.
Zu Deinem Einwand, Windows könne den Veracrypt-Key lesen: Wie soll es das können? Das Passwort wird dem Bootloader übergeben. Dort ist wohl noch kein Keylogger aktiv. Oder kann Windows das Passwort aus irgendeinem Cache auslesen? Ist es dort im Klartext vorhanden?
Ich habe es damals zumindest nicht hinbekommen, nachdem ich die Partitionen von TC convertiert hatte. Hab das aber auch nicht allzu intensiv recherchiert, weil es mich nicht sooooo stört.....
Wie willst Du denn Deinem Kunden, ein grafischer Betrieb, verklickern, dass Windows 10 Unfug ist und bitte sofort alle seine Laptops auf Linux umstellen soll?
Gar nicht. Wer Windows nutzt, kann auch Bitlocker nutzen (auch in Home), es sei denn, er hat Bedenken über die Funktionsweise. Sicherheitsbedenken zu haben, ist aus meiner Sicht widersinnig, denn auch bei Veracrypt tippst Du schon beim Verschlüsseln ein Kennwort ein und ein (/Verschwörungstheorie ein) in Windows eingebauter Keylogger kann es aufzeichnen.
Das sehe ich anders. Wer Datenschmutzbedenken gegenüber dem Betriebssystem hat, kann es zum Schweigen bringen. Bedenken gegenüber der Verschlüsselung kann man nur damit beantworten, indem man die Verschlüsselungssoftware eben nicht verwendet, sondern eine andere.
Im Übrigen sind bei der Fragestellung ein paar Konstanten zu Berücksichtigen, darunter das Betriebssystem und eine Grundsatzdiskussion ist da nicht zielführend.
Ihr versteht hoffentlich, dass das Thema noch nicht erledigt ist, da ich ja auf eine Antwort hoffe, warum ich in VC nicht das ganze Laufwerk verschlüsseln kann ("Encrypt the whole drive") und wie es doch geht.
Im Übrigen sind bei der Fragestellung ein paar Konstanten zu Berücksichtigen, darunter das Betriebssystem
und eine Grundsatzdiskussion ist da nicht zielführend.Ihr versteht hoffentlich, dass das Thema noch nicht erledigt ist, da ich ja auf eine Antwort hoffe, warum ich in VC nicht das ganze Laufwerk verschlüsseln kann ("Encrypt the whole drive") und wie es doch geht.
Der Regelfall ist: die PCs sind im Kontakt mit dem Internet - jedenfalls oft und lang genug, um kleine Mengen sensibler Daten zu übertragen. Man bedenke, dass auch KMS Server und WSUS-Server von Microsoft mitspielen könnten. Aber gut, deine reden nicht mit dem Internet - gut so, meine auch nicht. Ich wollte es nur angemerkt haben - es ist keine Grundsatzdiskussion und auch kein Zeitvertreib.
Gut. Zu Deinem Problem: Nimm mal eine Hyper-V-VM mit Gen1 (oder irgendeine andere VM oder Installation ohne UEFI) - da geht es.
Bei UEFI geht es nicht und der Punkt ist ausgegraut. Bei UEFI musst Du also die Favorite Volumes verwenden.
Gut. Zu Deinem Problem: Nimm mal eine Hyper-V-VM mit Gen1 (oder irgendeine andere VM oder Installation ohne UEFI) - da geht es.
Bei UEFI geht es nicht und der Punkt ist ausgegraut. Bei UEFI musst Du also die Favorite Volumes verwenden.
Wenn es mit den System Favourite Volumes klappt melde ich mich noch mal und markiere als gelöst.
Weiß denn jemand, warum es bei UEFI nicht klappt? Der Changelog von VeraCrypt sagt doch, dass alles gehen sollte, und das schon seit V 1.18 oder so.
Weiß denn jemand, warum es bei UEFI nicht klappt? Der Changelog von VeraCrypt sagt doch, dass alles gehen sollte, und das schon seit V 1.18 oder so.
Nachtrag:
Ich habe nun versucht, das Systemlaufwerk zu verschlüsseln. Die Vera macht ja zunächst einen Testlauf. Dieser schlägt aber fehl. Beim erneuten Hochfahren von W10 passiert einfach alles wie immer. Im UEFI ist als Boot Mode UEFI aktiviert. Ich habe Secure Boot abgeschaltet und es erneut versucht, wieder fehlgeschlagen. Das UEFI lässt noch zu, eine vertrauenswürdige EFI-Datei anzugeben.
Bald geb ich es auf.
Soll ich den Boot Mode auf Normal ändern?
Ich habe nun versucht, das Systemlaufwerk zu verschlüsseln. Die Vera macht ja zunächst einen Testlauf. Dieser schlägt aber fehl. Beim erneuten Hochfahren von W10 passiert einfach alles wie immer. Im UEFI ist als Boot Mode UEFI aktiviert. Ich habe Secure Boot abgeschaltet und es erneut versucht, wieder fehlgeschlagen. Das UEFI lässt noch zu, eine vertrauenswürdige EFI-Datei anzugeben.
Bald geb ich es auf.
Soll ich den Boot Mode auf Normal ändern?
Das der Test fehl schlug lag woran? Kennwort angeblich falsch? PIM auf was gesetzt? Wenn keine PIM gesetzt [default], bei der PIM-Abfrage einfach enter drücken. Es könnte auch daran liegen, dass VeraCrypt meines Wissens nicht das deutsche Tastaturlayout benutzt - siehe
the pre-boot password is typed using US keyboard layout
aus https://veracrypt.codeplex.com/wikipage?title=System%20Encryption Nimm mal "a" als Kennwort.
Woran es liegt, weiß ich nicht. Aber ich könnte vermuten, dass er seinen Bootloader gar nicht erst auf die SSD schreiben kann.
Es kommt halt keine Passwortabfrage. Der Bootvorgang ist wie immer ;)
PIM habe ich nicht verwendet.
Es kommt halt keine Passwortabfrage. Der Bootvorgang ist wie immer ;)
PIM habe ich nicht verwendet.
Hallo,
Solch eine Meldung hat Du nicht zufaellig weggeklickt?
BFF
Solch eine Meldung hat Du nicht zufaellig weggeklickt?
BFF
Nein, ganz sicher nicht. Nie gesehen, nicht aufgetaucht.
Außerdem ist die Windose ja auf dem Laufwerk installiert von dem gebootet wird.
Außerdem ist die Windose ja auf dem Laufwerk installiert von dem gebootet wird.
Zitat von @134202:
Hallo Community,
Laut Versionshistory von VeraCrypt sollte dieses eigentlich schon seit einigen Versionen mit UEFI und GPT umgehen können. Ich wähle bei VeraCrypt System > Encrypt System Partition/Drive > Normal > Dort ist dann "Encrypt the whole drive" ausgegraut
Hallo Community,
Laut Versionshistory von VeraCrypt sollte dieses eigentlich schon seit einigen Versionen mit UEFI und GPT umgehen können. Ich wähle bei VeraCrypt System > Encrypt System Partition/Drive > Normal > Dort ist dann "Encrypt the whole drive" ausgegraut
Hallo,
es kann schon damit umgehen, aber nur im Rahmen des Möglichen. Ein Systemlaufwerk mit Bootloader wurde noch nie "vollständig" verschlüsselt, weil ja irgendwo der Bootloader herkommen muss. Bei UEFI/GPT wird der aus einer Partition geladen, folglich ist die Verschlüsselung durch Partitionsgrenzen beschränkt.
Grüße
Richard
Hallo Richard,
verstehe ich nicht. Warum macht VeraCrypt überhaupt nichts? Es macht ja noch nicht mal den Probelauf. Wie kann ich nun mit VeraCrypt überhaupt irgendwas verschlüsseln?
verstehe ich nicht. Warum macht VeraCrypt überhaupt nichts? Es macht ja noch nicht mal den Probelauf. Wie kann ich nun mit VeraCrypt überhaupt irgendwas verschlüsseln?
Du nimmst Dir eine Test-VM mit UEFI und eine ohne. Die mit UEFI graut die Option aus, die andere nicht. Beide werden dennoch funktionieren - mit den Favorites.
Dass es bei Dir gar nicht geht, hat nicht unbedingt mit VC zu tun. Dass kann auch Dein Setup sein, das einen Defekt hat oder eine Besonderheit - ändern wirst Du es ohne Neuinstallation evtl. nicht. Deshalb bleibt mein Rat: Nimm BItlocker.
Dass es bei Dir gar nicht geht, hat nicht unbedingt mit VC zu tun. Dass kann auch Dein Setup sein, das einen Defekt hat oder eine Besonderheit - ändern wirst Du es ohne Neuinstallation evtl. nicht. Deshalb bleibt mein Rat: Nimm BItlocker.
Test-VM nicht nötig. Dass ich ohne Full disk encryption leben kann, habe ich ja bereits geschrieben. Von mir aus verschlüssel ich erst die Systempartition und danach die zweite Partition und binde diese als System Favourite mit ein.
Meine Frage befasst sich mit VeraCrypt, nicht mit Bitlocker.
Warum macht VeraCrypt überhaupt nichts? Nicht mal der Testlauf ist erfolgreich. Es gibt überhaupt keine Passwortabfrage.
Kann es an den UEFI-Einstellungen liegen? Wenn ja, welche? Muss ich dem UEFI irgendeine vertrauenswürdige EFI-Datei angeben?
Meine Frage befasst sich mit VeraCrypt, nicht mit Bitlocker.
Warum macht VeraCrypt überhaupt nichts? Nicht mal der Testlauf ist erfolgreich. Es gibt überhaupt keine Passwortabfrage.
Kann es an den UEFI-Einstellungen liegen? Wenn ja, welche? Muss ich dem UEFI irgendeine vertrauenswürdige EFI-Datei angeben?
Zitat von @134202:
Hallo Richard,
verstehe ich nicht. Warum macht VeraCrypt überhaupt nichts? Es macht ja noch nicht mal den Probelauf. Wie kann ich nun mit VeraCrypt überhaupt irgendwas verschlüsseln?
Hallo Richard,
verstehe ich nicht. Warum macht VeraCrypt überhaupt nichts? Es macht ja noch nicht mal den Probelauf. Wie kann ich nun mit VeraCrypt überhaupt irgendwas verschlüsseln?
Es bootet im Probelauf normal? Ist der VeraCrypt-Loader beim Probe-Reboot im UEFI registriert? Du schreibst doch oben, du könntest EFI-Dateien eintragen. Entweder das manuell machen, oder evtl. wird er auch selbständig eingetragen, wenn du beim Probe-Reboot den Windows-UEFI-Loader hinter den Boot von der Festplatte (mit ihrer Hardware-Bezeichnung) verschiebst.
Es bootet im Probelauf normal?
Na es bootet halt wie immer.Ist der VeraCrypt-Loader beim Probe-Reboot im UEFI registriert?
Was muss da wo registriert sein?Du schreibst doch oben, du könntest EFI-Dateien eintragen.
Ja, im UEFI.Entweder das manuell machen
Wie???oder evtl. wird er auch selbständig eingetragen, wenn du beim Probe-Reboot den Windows-UEFI-Loader hinter den Boot von der Festplatte (mit ihrer Hardware-Bezeichnung) verschiebst.
Guck ich mir gleich mal an. Warum schiebt er sich denn nicht selbst an die erste Stelle?
Update:
Das ist ja mal wieder toll. Wie oben schon beschrieben, hilft es nicht, das Secure Boot zu deaktivieren. Nein. Man muss es eingeschaltet lassen UND dem UEFI mitteilen, dass der Bootloader von VeraCrypt authorisiert ist. Hierzu muss man ERST ein Passwort fürs UEFI festlegen (warum auch immer), und DANN muss man sich durch eine seltsame Verzeichnisstruktur navigieren, in der irgendwo auch eine Bootloader-Datei von Veracrypt zu finden ist. - Vermutlich hängt es auch vom UEFI ab.
Jetzt hat der Testlauf geklappt!
Warum weist VeraCrypt nirgendwo auf diese Hampelei hin? Warum gibts keine einfache Schritt-für-Schritt Anleitung dafür? Eine Liste mit zehn Stichpunkten würde doch ausreichen! Stattdessen behaupten sie im Changelog einfach platt, tut alles mit W10 und UEFI. Super! Wirklich.
Aber lieber so als Bitlocker.
Thema markiere ich gleich als erledigt.
Das ist ja mal wieder toll. Wie oben schon beschrieben, hilft es nicht, das Secure Boot zu deaktivieren. Nein. Man muss es eingeschaltet lassen UND dem UEFI mitteilen, dass der Bootloader von VeraCrypt authorisiert ist. Hierzu muss man ERST ein Passwort fürs UEFI festlegen (warum auch immer), und DANN muss man sich durch eine seltsame Verzeichnisstruktur navigieren, in der irgendwo auch eine Bootloader-Datei von Veracrypt zu finden ist. - Vermutlich hängt es auch vom UEFI ab.
Jetzt hat der Testlauf geklappt!
Warum weist VeraCrypt nirgendwo auf diese Hampelei hin? Warum gibts keine einfache Schritt-für-Schritt Anleitung dafür? Eine Liste mit zehn Stichpunkten würde doch ausreichen! Stattdessen behaupten sie im Changelog einfach platt, tut alles mit W10 und UEFI. Super! Wirklich.
Aber lieber so als Bitlocker.
Thema markiere ich gleich als erledigt.
Hmmmm ... Chiffrierung ist NICHT mal fix was zu verschlüsseln ... Punkt 1: SSD sind vom Prinzip her nicht für Chiffrierung wirklich brauchbar. Punkt 2: W10 ist generell für sensible Daten ungeeignet! Uwe
Danke Uwe,
warum sind SSD nicht brauchbar? Die Daten in den Speicherzellen werden verschlüsselt und mit meinem Passwort bastelt sich VeraCrypt den Schlüssel. Sind nach der Verschlüsselung noch Rückschlüsse auf die ursprünglichen Daten möglich? Punkt 2 hatte ich ja bereits schon früher kommentiert, da kommen wir vermutlich nicht auf einen Nenner.
warum sind SSD nicht brauchbar? Die Daten in den Speicherzellen werden verschlüsselt und mit meinem Passwort bastelt sich VeraCrypt den Schlüssel. Sind nach der Verschlüsselung noch Rückschlüsse auf die ursprünglichen Daten möglich? Punkt 2 hatte ich ja bereits schon früher kommentiert, da kommen wir vermutlich nicht auf einen Nenner.
