13
Eine Windowsinstallation im Multiboot verschlüsseln (UEFI)
Guten Tag die Damen und die Herren
ich habe die nächste Frage. Folgende Situation:
Mitarbeiter A hat einen Firmenlaptop, der bisweilen auch ohne Einschränkung privat genutzt werden durfte. Durch neue Richtlinien ist unter anderem der Zugriff von Aussen auf unser Netzwerk nur noch von speziell dafür eingerichtete Geräte erlaubt.
Mitarbeiter A möchte nun die bisherige Windows-Installation weiter nutzen.
Meiner Meinung nach langt es nun nicht aus, einfach eine weitere Windowsinstallation auf eine separate Partition zu installieren und per Multi Boot entweder "Privat" oder "Geschäftliches" Windows zu laden.
Sollte seine private Installation "verseucht sein" würde doch die Möglichkeit bestehen auch die "Geschäftliche" Installation zu manipulieren / "einzunehmen".
Daher die Idee, das geschäftliche Windows komplett zu verschlüsseln.
Die bisherige Installation wurde im UEFI Modus installiert.
Das geplante Vorgehen ist, nun das geschäftliche Windows zu installieren und anschliessend nur die Geschäftsliche Installation komplett zu verschlüsseln, dass vom privaten Windows keinerlei Zugriff auf die geschäftliche Installation möglich ist.
Nun meine Fragen:
a) Generell möglich? Ja oder?
b) Habe ich einen Denkfehler?
c) Gibt es eine andere, bessere Variante um die geschäftliche Installation zu schützen?
d) Macht UEFI hier Probleme?
e) Langt hierfür TrueCrypt noch aus, oder bessere Alternative?
Vielen lieben Dank für die Antworten.
ich habe die nächste Frage. Folgende Situation:
Mitarbeiter A hat einen Firmenlaptop, der bisweilen auch ohne Einschränkung privat genutzt werden durfte. Durch neue Richtlinien ist unter anderem der Zugriff von Aussen auf unser Netzwerk nur noch von speziell dafür eingerichtete Geräte erlaubt.
Mitarbeiter A möchte nun die bisherige Windows-Installation weiter nutzen.
Meiner Meinung nach langt es nun nicht aus, einfach eine weitere Windowsinstallation auf eine separate Partition zu installieren und per Multi Boot entweder "Privat" oder "Geschäftliches" Windows zu laden.
Sollte seine private Installation "verseucht sein" würde doch die Möglichkeit bestehen auch die "Geschäftliche" Installation zu manipulieren / "einzunehmen".
Daher die Idee, das geschäftliche Windows komplett zu verschlüsseln.
Die bisherige Installation wurde im UEFI Modus installiert.
Das geplante Vorgehen ist, nun das geschäftliche Windows zu installieren und anschliessend nur die Geschäftsliche Installation komplett zu verschlüsseln, dass vom privaten Windows keinerlei Zugriff auf die geschäftliche Installation möglich ist.
Nun meine Fragen:
a) Generell möglich? Ja oder?
b) Habe ich einen Denkfehler?
c) Gibt es eine andere, bessere Variante um die geschäftliche Installation zu schützen?
d) Macht UEFI hier Probleme?
e) Langt hierfür TrueCrypt noch aus, oder bessere Alternative?
Vielen lieben Dank für die Antworten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 262928
Url: https://administrator.de/contentid/262928
Printed on: April 20, 2024 at 00:04 o'clock
13 Comments
Latest comment
Hallo,
zu deinen fragen:
a) je, generell möglich
b) nein
c) solange ihr keine private Nutzung verbietet...nein...
d) keine Ahnung
e) ob Truecrypt noch zum Einsatz kommen solte müsst ihr intern selber abschätzen da die Weiterentwicklung ja eingestellt wurde...
brammer
zu deinen fragen:
a) je, generell möglich
b) nein
c) solange ihr keine private Nutzung verbietet...nein...
d) keine Ahnung
e) ob Truecrypt noch zum Einsatz kommen solte müsst ihr intern selber abschätzen da die Weiterentwicklung ja eingestellt wurde...
brammer
Danke für die Antwort
hast du eine einfache Lösung?
Es geht wirklich nur darum, dass die geschäftliche Partition verschlüsselt ist und kein Zugriff von der Privaten Installation möglich ist.
Von mir aus auch gerne mit "Windows-Hausmitteln" -
Ich dachte eben an TrueCrypt, auch wenn nicht mehr weiterentwickelt, weil ich im Netz gelesen habe, dass es damit auf jeden Fall funktionieren sollte.
Lg
hast du eine einfache Lösung?
Es geht wirklich nur darum, dass die geschäftliche Partition verschlüsselt ist und kein Zugriff von der Privaten Installation möglich ist.
Von mir aus auch gerne mit "Windows-Hausmitteln" -
Ich dachte eben an TrueCrypt, auch wenn nicht mehr weiterentwickelt, weil ich im Netz gelesen habe, dass es damit auf jeden Fall funktionieren sollte.
Lg
Einfach privaten und geschäftlichen Laptop trennen.
lks
Hallo,
https://veracrypt.codeplex.com/discussions/547604
der "Nachfolger" von Truecrypt ist Veracrypt und wie Trucrypt werden GPT Martitionen nicht unterstützt.
Gruß
Chonta
https://veracrypt.codeplex.com/discussions/547604
der "Nachfolger" von Truecrypt ist Veracrypt und wie Trucrypt werden GPT Martitionen nicht unterstützt.
Gruß
Chonta
Du hast dir letztes Mal schon bei meiner Frage sehr viel Mühe gegeben und auch sonst lese ich von dir immer sehr hilfreiche Antworten, das weiss ich ganz ehrlich sehr zu schätzen - doch in diesem Fall hilft mir deine Antwort leider nicht weiter.
Sicherlich ist deine Antwort objektiv betrachtet mit Sicherheit die einfachste und beste Lösung - da gebe ich dir Recht - wenn nicht anders lösbar läuft es auch darauf hinaus. Doch in unserem Kleinbetrieb mit 8 Mitarbeitern versucht man auch den Hausfrieden zu bewahren und für alle eine passende Lösung zu finden.
Liebe Grüsse
Sicherlich ist deine Antwort objektiv betrachtet mit Sicherheit die einfachste und beste Lösung - da gebe ich dir Recht - wenn nicht anders lösbar läuft es auch darauf hinaus. Doch in unserem Kleinbetrieb mit 8 Mitarbeitern versucht man auch den Hausfrieden zu bewahren und für alle eine passende Lösung zu finden.
Liebe Grüsse
Zitat von @madonischer:
Du hast dir letztes Mal schon bei meiner Frage sehr viel Mühe gegeben und auch sonst lese ich von dir immer sehr hilfreiche
Antworten, das weiss ich ganz ehrlich sehr zu schätzen - doch in diesem Fall hilft mir deine Antwort leider nicht weiter.
Sicherlich ist deine Antwort objektiv betrachtet mit Sicherheit die einfachste und beste Lösung - da gebe ich dir Recht -
wenn nicht anders lösbar läuft es auch darauf hinaus. Doch in unserem Kleinbetrieb mit 8 Mitarbeitern versucht man auch
den Hausfrieden zu bewahren und für alle eine passende Lösung zu finden.
Du hast dir letztes Mal schon bei meiner Frage sehr viel Mühe gegeben und auch sonst lese ich von dir immer sehr hilfreiche
Antworten, das weiss ich ganz ehrlich sehr zu schätzen - doch in diesem Fall hilft mir deine Antwort leider nicht weiter.
Sicherlich ist deine Antwort objektiv betrachtet mit Sicherheit die einfachste und beste Lösung - da gebe ich dir Recht -
wenn nicht anders lösbar läuft es auch darauf hinaus. Doch in unserem Kleinbetrieb mit 8 Mitarbeitern versucht man auch
den Hausfrieden zu bewahren und für alle eine passende Lösung zu finden.
Das ist das, was ich meinen Kunden auch immer rate:
Geschäftliches Gerät ausschließlich für den Betrieb und wenn man dem Mitarbeiter eine Gefallen tun will, kauft an ihm halt noch für dreifuffzich noch einen zweites Gerät.
Vor allem bietet das den Vorteil, daß man auf dem geschäftlchen genutzten Gerät als Admin nicht Gefahr läuft, irgendweche privaten Datein zu sehen. Und da kann man aus Versehen durchaus das ein oder andere sehen, was lieber privat bleiben sollte.
Ansonsten würde mir nur Bitlocker einfallen, aber das hilft bei dir aber auch nciht weiter.
lks
Also noch eine Frage, eventuell hat sich damit schon alles erledigt:
Aktuelles Windows ist im EFI Modus (GPT) installiert.
Besteht nun überhaupt technisch die Möglichkeit eine weitere Partition anzulegen die im MBR Modus installiert ist und diese dann mit veraCrypt zu verschlüsseln?
Kann man überhaupt "mischen"? Habe ich nun überhaupt eine technische Möglichkeit?
Hintergrund der ganzen Übung ist, dass der Mitarbeiter sich einen Laptop aussuchen durfte - schlau wie er ist wurde ein Gaming-Notebook gewählt (mit der Begründung, dass es ja eine Zeit lang halten soll), denn zu dieser Zeit durfte ja noch mit den PCs gemacht werden was man will.
Nun wird schön mit dem Geschäftslaptop BF4 gezockt.
In den nächsten Wochen wird alles umgestellt inkl. GPO und IT Richtlinien, die für jeden bindend sein sollen - das "geheule" ist nun gross, denn zu Hause würde nun der 2. Spielplatz wegfallen.
Wäre ich zu dieser Zeit schon im Unternehmen gewesen und das mitbekommen hätte, wäre mein Einwand gleich da gewesen, aber naja - es ist wie es ist.
Wenn alle Stricke reissen ist es mir auch egal, dann hat er eben Pech - wie gesagt des Hausfriedens willen suche ich nach einer Alternative - gibt es diese nicht - nicht mein Problem.
Lg
Aktuelles Windows ist im EFI Modus (GPT) installiert.
Besteht nun überhaupt technisch die Möglichkeit eine weitere Partition anzulegen die im MBR Modus installiert ist und diese dann mit veraCrypt zu verschlüsseln?
Kann man überhaupt "mischen"? Habe ich nun überhaupt eine technische Möglichkeit?
Hintergrund der ganzen Übung ist, dass der Mitarbeiter sich einen Laptop aussuchen durfte - schlau wie er ist wurde ein Gaming-Notebook gewählt (mit der Begründung, dass es ja eine Zeit lang halten soll), denn zu dieser Zeit durfte ja noch mit den PCs gemacht werden was man will.
Nun wird schön mit dem Geschäftslaptop BF4 gezockt.
In den nächsten Wochen wird alles umgestellt inkl. GPO und IT Richtlinien, die für jeden bindend sein sollen - das "geheule" ist nun gross, denn zu Hause würde nun der 2. Spielplatz wegfallen.
Wäre ich zu dieser Zeit schon im Unternehmen gewesen und das mitbekommen hätte, wäre mein Einwand gleich da gewesen, aber naja - es ist wie es ist.
Wenn alle Stricke reissen ist es mir auch egal, dann hat er eben Pech - wie gesagt des Hausfriedens willen suche ich nach einer Alternative - gibt es diese nicht - nicht mein Problem.
Lg
Zitat von @madonischer:
Besteht nun überhaupt technisch die Möglichkeit eine weitere Partition anzulegen die im MBR Modus installiert ist und
diese dann mit veraCrypt zu verschlüsseln?
Kann man überhaupt "mischen"? Habe ich nun überhaupt eine technische Möglichkeit?
Besteht nun überhaupt technisch die Möglichkeit eine weitere Partition anzulegen die im MBR Modus installiert ist und
diese dann mit veraCrypt zu verschlüsseln?
Kann man überhaupt "mischen"? Habe ich nun überhaupt eine technische Möglichkeit?
Nope.
Wenn Du Glück hast udn das Notebook noch eien legacy-modus biete, machst du eine datensicher, paritionierst um, Sicherst zurück und biegst das Windows von UEFI auf MBR um.
Dann kannst du wie gehabt weitermachen.
Hintergrund der ganzen Übung ist, dass der Mitarbeiter sich einen Laptop aussuchen durfte - schlau wie er ist wurde ein
Gaming-Notebook gewählt (mit der Begründung, dass es ja eine Zeit lang halten soll), denn zu dieser Zeit durfte ja noch
mit den PCs gemacht werden was man will.
Dann würde ich ihm anbieten, den Laptop günstig abzukaufen und ihm dann für das Geld einen neuen zur Verfügung stellen.
Altermnativ wird die Kiste halt plattgemacht.
lks
Hallo,
andersrum wird für mich ein Schuh draus...
Ihm das Laptop überschreiben/kaufen lassen und ihm ein neues rein dienstliches zur Verfügung stellen.
brammer
Dann würde ich ihm anbieten, den Laptop günstuig abzukaufen udn ihm dann für das Geld einen neuen zur verfügugn stellen.
andersrum wird für mich ein Schuh draus...
Ihm das Laptop überschreiben/kaufen lassen und ihm ein neues rein dienstliches zur Verfügung stellen.
brammer
Zitat von @brammer:
Hallo,
> Dann würde ich ihm anbieten, den Laptop günstig abzukaufen udn ihm dann für das Geld einen neuen zur
verfügugn stellen.
andersrum wird für mich ein Schuh draus...
Ihm das Laptop überschreiben/kaufen lassen und ihm ein neues rein dienstliches zur Verfügung stellen.
Hallo,
> Dann würde ich ihm anbieten, den Laptop günstig abzukaufen udn ihm dann für das Geld einen neuen zur
verfügugn stellen.
andersrum wird für mich ein Schuh draus...
Ihm das Laptop überschreiben/kaufen lassen und ihm ein neues rein dienstliches zur Verfügung stellen.
Genau das meinte ich ja. Ihm Anbieten der Firma den Laptop abzukaufen.
lks
Hallo,
okay, falsch verstanden....
brammer
okay, falsch verstanden....
brammer
Hi.
Mal kurz zum Grundgedanken:
Willst Du unbedingt ein verschlüsseltes Multiboot, hier schrieb ich mal auf, wie das mit Bitlocker und Win8.x geht. Habe es nie mit Win7 getestet.
Bitlocker Dual Boot mit Win8.1
Mal kurz zum Grundgedanken:
Sollte seine private Installation "verseucht sein" würde doch die Möglichkeit bestehen auch die "Geschäftliche" Installation zu manipulieren / "einzunehmen".
Viren können Daten aller sichtbaren Partitionen einsehen und verändern, sofern sie darauf Zugriffsrechte haben. Ein bloßes Ausblenden der Partitionen des anderen System würde schon helfen, dieses abzusichern, also Entfernen der Laufwerksbuchstaben. Dies kann theoretisch umgangen werden, aber dafür sind Viren normalerweise nicht ausgelegt, die nehmen, was da ist.Willst Du unbedingt ein verschlüsseltes Multiboot, hier schrieb ich mal auf, wie das mit Bitlocker und Win8.x geht. Habe es nie mit Win7 getestet.
Bitlocker Dual Boot mit Win8.1
