Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Deinstallation der Hiberantion wegen Truecryptverschlüsselung

Frage Microsoft

Mitglied: gogoflash

gogoflash (Level 2) - Jetzt verbinden

10.01.2009, aktualisiert 18:39 Uhr, 4517 Aufrufe, 5 Kommentare

Hallo,

im Zusammenhang bei der Nutzung von Truecryptvolumens, ist ja eine mögliche Sicherheitslücke durch die Nutzung des Ruhezustandes möglich.
Wenn ein Mitarbeiter versehentlich den Ruhezustand bei gemounteten Truecryptvolumens aktiviert, ist es ja prinzipiell möglich über die erzeugte Hiberfil.sys die Passwörter/Keys ausgelesen werden.

Frage 1:
Wie kann ich für einen Benutzer (keine Adminrechte) diese Option effektiv abschalten?

Frage 2:
Wie kann ich selbst dem Administrator (bzw Nutzer mit Adminrechten) diesen Punkt verweigern bzw. die Hürde soweit vergrößern, dass es nicht einfach mal so eingerichtet werden kann.

Ja es handelt sich um eine recht paranoide Betrachtung, aber in Anbetracht der existierenden Daten auch zweckmäßig. Der Weg über eine Vollverschlüsselung kann nicht gegangen werden, da sich mehrere Mitarbeiter auf diesem Rechner anmelden müssen. Nicht jeder hat Zugriff auf die Volumes.

Gruß Miguel
Mitglied: DerWoWusste
10.01.2009 um 19:04 Uhr
Wir haben ähnliche Betrachtungen hinter uns.
Zunächst: Warum keine Vollverschlüsselung? Nutzt Du TPM, brauchst Du noch nicht einmal ein Verschhlüsselungskennwort dazu. Habt Ihr in Euren Rechnern TPMs? Bitlocker zum Beispiel arbeitet so.
Dann zu eins und zwei: Du kannst über GPOs den Ruhezustand verbieten (auch für Admins), zumindest auf Vista. Bei xp müsstest Du mal schauen. Mittels der neu eingeführten Group Policy preferences kann man auch für xp Energieoptionen zentral managen.

Desweiteren: Habt Ihr schon über die Pagefile nachgedacht? Die kann man nicht abschalten, sie muss verschlüsselt werden. Dies kann nur Vista oder eine Vollverschlüsselung.
Bitte warten ..
Mitglied: gogoflash
10.01.2009 um 19:18 Uhr
Hallo DerWoWusste,

danke für deine Antwort.
für die Pagefile und die Dumpfiles können ja einfach abgeschaltet werden (und sind es auch) und diese Einstellungen sind ja Benutzersicher.... Problem bei der Hibernation ist ja das dort der Inhalt des Speicher ist..

Thema Vollverschlüsselung:
Wir hatten auch angedacht ein HiddenSystem, dass parallel zum System installiert ist. Dummerweise befinden sich einige Truecryptdateien auf den Fileservern, was die Vollverschlüsselung ziemlich nutzlos macht.

Thema TPM:
Bisher wurde dieses Thema nur angeschnitten, die Umrüstung würde natürlich eine kleiner Kostenfaktor sein.

Wie habt Ihr das mit dem TPM gemacht? Bitlocker gibt es doch für Vista oder irre ich mich da.... Wir haben hauptsächlich XP am Laufen, 2 Linuxrechner sowie zwei Macs...

Gruß Miguel
Bitte warten ..
Mitglied: DerWoWusste
10.01.2009 um 19:24 Uhr
Miguel, der Reihe nach: die Pagefile ist nicht abschaltbar. Schalt sie unter xp mal aus... zunächst meckert xp "Auslagerungsdatei zu klein oder nicht vorhanden - temporäre wird erstellt" und dann findet sich zudem noch weiterhin eine pagefile auf dem System - ich weiß selbst nicht, warum. In der Pagefile liegen jedoch auch plaintext-Kennwörter und Dateiinhalte.
Eigentlich brauche ich hier nicht weiterzuschreiben, daran wird Euer Konzept scheitern.
Dummerweise befinden sich einige Truecryptdateien auf den Fileservern, was die Vollverschlüsselung ziemlich nutzlos macht.
Erklär diesen Einwand genauer.

Bitlocker gibt es nur für Vista und 2008 Server, das ist richtig. Aber auch andere (PGP wholedisk encryption vielleicht) könnten sowas anbieten. Utimaco ist ein Anbieter (Safeguard easy/safeguard enterprise) und evtl. wird auch das freie TrueCrypt irgendwann TPM unterstützen.
Bitte warten ..
Mitglied: gogoflash
10.01.2009 um 22:27 Uhr
Hallo DerWoWusste,

erstmal die Pagefile läßt sich ausschalten und ist dann weg. Die Meldung, dass eine temporäre erstellt wird taucht nicht auf, manchmal löscht Windows die alte Pagefile.sys nicht, das passiert, diese kann man dann wie eine normale Datei löschen. Bei Windows 2000 kann man sie nicht entfernen. Wenn eine Meldung kommt, dann der Hinweis das kein Memory Dump erstellt werden kann und es empfohlen wird mindestens eine Pagefile zu haben die die Größe des Rams hat oder mind. 2 MB. (kann man ignorieren)
Zudem empfehlen die Truecryptentwickler, dass abschalten der Pagefile.sys. (http://www.truecrypt.org/docs/)

Aber jetzt wieder zu meiner Frage, ich hatte nicht gefragt, was mit der Pagefile ist sondern es geht um den Ruhezustand.

Nebenbei... Es handelt sich um eine Windowsdomäne und die Mitarbeiter wechseln häufiger die Arbeitsplatze. Soll ich jetzt jeden Rechner mit einer Prebootauthetifizierung ausstatten? Die Pflege von den einzelnen Passwörtern wird dann recht schwierig. Eine systemweite Verschlüsselung gesteuert durch das AD per EFS ist gekippt worden... Die Gründe muss ich nicht erläutern...

Gruß Miguel
Bitte warten ..
Mitglied: DerWoWusste
10.01.2009 um 22:55 Uhr
Also gut, was ist mit meinen Vorschlägen bzgl. Energieoptionen, hast Du sie schon angesehen?
Eins noch zur Pagefile: Selbst wenn Du sie abschalten könntest (klar, die Option gibt es offiziell in xp), Du willst das nicht, da es die Performance hart trifft, Es sei denn, die Leute haben extrem viel RAM (>3 GB schätze ich, wird es nicht mehr weh tun). Ob man das will und muss, ist die Frage. Ich hab mal auf einem 512 MB xp die Pagefile ausgeschaltet und neu gebootet, ein paar Programme gestartet und bald kam dann auch "Windows - Out of virtual memory. Your system is low on v.m. To ensure that windows runs properly, increase the size of you v.m. paging file"). Danach konntest Du das Arbeiten getrost vergessen. Das war xp. Richtig, nur bei 2000 geht es gar nicht, so kamen meine Erinnerungen zu Stande.
Soll ich jetzt jeden Rechner mit einer Prebootauthetifizierung ausstatten?
Nein. Deswegen die Frage nach TPM.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Update
gelöst WSUS kann nach Deinstallation nicht wieder installiert werden (2)

Frage von Atti58 zum Thema Windows Update ...

E-Mail
Lotus Notes 8.3.5 Deinstallation (5)

Frage von Hendrik2586 zum Thema E-Mail ...

Exchange Server
gelöst Probleme bei der Deinstallation eines Exchange auf einem SBS 2011 (19)

Frage von manuel1985 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...