3
Verständnisfrage - Verschlüsselung von Daten, die permanent in Gebrauch sind
Hallo,
für die Bürogemeinschaft eines Freunde suchen wir nach einer Möglichkeit, Daten auf dem Büroserver wirksam zu verschlüsseln.
Auf dem Server (mit Windows Home Server 2003) ist ein Ordner freigeben, auf den alle Bürorechner per LAN zugreifen dürfen. Der Server selbst ist 24 Stunden online (hinter Router-Firewall) um Updates für die gemeinsam genutzten Programme empfangen zu können. Ich administriere den Server nicht und weiß nicht, auf welchem Wege die Freigabe eingestellt wurde (Einfache Freigabe oder über komplizierte Wege).
Mich stört aber, dass die Daten unverschlüsselt auf dem Server liegen. Nun gibt es Hardwareverschlüsselung (z.B. auf diversen NAS-Geräten) und das wäre sicher auch auf einem Server möglich, aber ich verstehe nicht, wie die funktioniert. Handelt es sich dabei im typischen Fall lediglich um Ordner/Netzwerk-Freigaben, deren Daten die beim ausgeschaltetem Rechner verschlüsselt sind? Das entspräche ja gewissermaßen einer Lösung mit Truecrypt-Containern, die nach Gebrauch abgeschlossen werden (was für das Büro zu umständlich ist).
Wünschenwert wäre, spätestens mit dem letzten abgemeldeten Client-Rechner die Freigabe abzuschließen. Ist so etwas überhaupt möglich? Und hat jemand ggf. mehr Informationen über Hardwareverschlüsselung für mich?
Vielen Dank und Grüße,
KK
für die Bürogemeinschaft eines Freunde suchen wir nach einer Möglichkeit, Daten auf dem Büroserver wirksam zu verschlüsseln.
Auf dem Server (mit Windows Home Server 2003) ist ein Ordner freigeben, auf den alle Bürorechner per LAN zugreifen dürfen. Der Server selbst ist 24 Stunden online (hinter Router-Firewall) um Updates für die gemeinsam genutzten Programme empfangen zu können. Ich administriere den Server nicht und weiß nicht, auf welchem Wege die Freigabe eingestellt wurde (Einfache Freigabe oder über komplizierte Wege).
Mich stört aber, dass die Daten unverschlüsselt auf dem Server liegen. Nun gibt es Hardwareverschlüsselung (z.B. auf diversen NAS-Geräten) und das wäre sicher auch auf einem Server möglich, aber ich verstehe nicht, wie die funktioniert. Handelt es sich dabei im typischen Fall lediglich um Ordner/Netzwerk-Freigaben, deren Daten die beim ausgeschaltetem Rechner verschlüsselt sind? Das entspräche ja gewissermaßen einer Lösung mit Truecrypt-Containern, die nach Gebrauch abgeschlossen werden (was für das Büro zu umständlich ist).
Wünschenwert wäre, spätestens mit dem letzten abgemeldeten Client-Rechner die Freigabe abzuschließen. Ist so etwas überhaupt möglich? Und hat jemand ggf. mehr Informationen über Hardwareverschlüsselung für mich?
Vielen Dank und Grüße,
KK
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 175676
Url: https://administrator.de/contentid/175676
Printed on: April 20, 2024 at 01:04 o'clock
3 Comments
Latest comment
Hallo,
die Frage ist ein wenig, was du erwartest. Wovor willst du dich schützen?
Problem bei verschlüsselten Serverdaten ist, dass man oft entweder a) den Schlüssel auf dem Server "lagern" muss, oder b) den Schlüssel/Kennwort bei jedem Hochfahren des Servers eingeben muss. Dies trifft z.B. auf die TrueCrypt-Container zu, afaik auch auf alle NAS mit integrierter Verschlüsselung. Außerdem sind die Daten bei eingeschaltetem Server letztlich auch nur über die NTFS-Permissions geschützt. Wer diese am Server "umgehen" kann bekommt dann auc die verschlüsselten Daten vom Server entschlüsselt.
Wenn es nur im FileShares geht gibt es teils Abhilfe. PGP NetShare z.B. speichert verschlüsselte Dateien auf dem Server, die sich aber nur mittels des PGP-Schlüssels am Client entschlüsseln lassen. Dafür muss man sich dann wieder Gedanken über Schlüsselaustausch machen.
Gruß
Filipp
die Frage ist ein wenig, was du erwartest. Wovor willst du dich schützen?
Problem bei verschlüsselten Serverdaten ist, dass man oft entweder a) den Schlüssel auf dem Server "lagern" muss, oder b) den Schlüssel/Kennwort bei jedem Hochfahren des Servers eingeben muss. Dies trifft z.B. auf die TrueCrypt-Container zu, afaik auch auf alle NAS mit integrierter Verschlüsselung. Außerdem sind die Daten bei eingeschaltetem Server letztlich auch nur über die NTFS-Permissions geschützt. Wer diese am Server "umgehen" kann bekommt dann auc die verschlüsselten Daten vom Server entschlüsselt.
Wenn es nur im FileShares geht gibt es teils Abhilfe. PGP NetShare z.B. speichert verschlüsselte Dateien auf dem Server, die sich aber nur mittels des PGP-Schlüssels am Client entschlüsseln lassen. Dafür muss man sich dann wieder Gedanken über Schlüsselaustausch machen.
Gruß
Filipp
Hallo,
mir ist kein handelsübliches NAS mit echter Hardware-Verschlüsselung bekannt. Synology greift bspw. auf eCryptfs zurück - man kann sich streiten, inwieweit dies dabei "Hardware-unterstützt" wird. Technisch ist das eine Dateisystemverschlüsselung, die auf einem Windows-Server naheliegend mit EFS nachzubilden wäre. Aufgrund der zwangsläufigen Angreifbarkeit durch die Anmeldedaten aller berechtigten Benutzer ergibt das aber nur bei Verwendung von Smartcards einen Sinn.
Die Lösungen, die Du vermutlich suchst, liegen von der Marketing-Bezeichnung her eher im Bereich der verschlüsselnden Data Loss Prevention als der typischen Datenträgerverschlüsselung, vielleicht hilft das bei der Recherche.
Grüße
Richard
mir ist kein handelsübliches NAS mit echter Hardware-Verschlüsselung bekannt. Synology greift bspw. auf eCryptfs zurück - man kann sich streiten, inwieweit dies dabei "Hardware-unterstützt" wird. Technisch ist das eine Dateisystemverschlüsselung, die auf einem Windows-Server naheliegend mit EFS nachzubilden wäre. Aufgrund der zwangsläufigen Angreifbarkeit durch die Anmeldedaten aller berechtigten Benutzer ergibt das aber nur bei Verwendung von Smartcards einen Sinn.
Die Lösungen, die Du vermutlich suchst, liegen von der Marketing-Bezeichnung her eher im Bereich der verschlüsselnden Data Loss Prevention als der typischen Datenträgerverschlüsselung, vielleicht hilft das bei der Recherche.
Grüße
Richard
Vielen Dank für die Antworten,
das hilft mir schon sehr. Weil ich weiß, dass die Daten prinzipbedingt offen liegen müssen und ein optimaler Schutz also vor allem an den
Client-Rechnern ansetzen muss.
Eine ordentliche Backup-Strategie existiert und wird noch weiter entwickelt.
Dank und Gruß,,
KK
das hilft mir schon sehr. Weil ich weiß, dass die Daten prinzipbedingt offen liegen müssen und ein optimaler Schutz also vor allem an den
Client-Rechnern ansetzen muss.
Eine ordentliche Backup-Strategie existiert und wird noch weiter entwickelt.
Dank und Gruß,,
KK
