Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Deinstallation der Hiberantion wegen Truecryptverschlüsselung

Frage Microsoft

Mitglied: gogoflash

gogoflash (Level 2) - Jetzt verbinden

10.01.2009, aktualisiert 18:39 Uhr, 4632 Aufrufe, 5 Kommentare

Hallo,

im Zusammenhang bei der Nutzung von Truecryptvolumens, ist ja eine mögliche Sicherheitslücke durch die Nutzung des Ruhezustandes möglich.
Wenn ein Mitarbeiter versehentlich den Ruhezustand bei gemounteten Truecryptvolumens aktiviert, ist es ja prinzipiell möglich über die erzeugte Hiberfil.sys die Passwörter/Keys ausgelesen werden.

Frage 1:
Wie kann ich für einen Benutzer (keine Adminrechte) diese Option effektiv abschalten?

Frage 2:
Wie kann ich selbst dem Administrator (bzw Nutzer mit Adminrechten) diesen Punkt verweigern bzw. die Hürde soweit vergrößern, dass es nicht einfach mal so eingerichtet werden kann.

Ja es handelt sich um eine recht paranoide Betrachtung, aber in Anbetracht der existierenden Daten auch zweckmäßig. Der Weg über eine Vollverschlüsselung kann nicht gegangen werden, da sich mehrere Mitarbeiter auf diesem Rechner anmelden müssen. Nicht jeder hat Zugriff auf die Volumes.

Gruß Miguel
Mitglied: DerWoWusste
10.01.2009 um 19:04 Uhr
Wir haben ähnliche Betrachtungen hinter uns.
Zunächst: Warum keine Vollverschlüsselung? Nutzt Du TPM, brauchst Du noch nicht einmal ein Verschhlüsselungskennwort dazu. Habt Ihr in Euren Rechnern TPMs? Bitlocker zum Beispiel arbeitet so.
Dann zu eins und zwei: Du kannst über GPOs den Ruhezustand verbieten (auch für Admins), zumindest auf Vista. Bei xp müsstest Du mal schauen. Mittels der neu eingeführten Group Policy preferences kann man auch für xp Energieoptionen zentral managen.

Desweiteren: Habt Ihr schon über die Pagefile nachgedacht? Die kann man nicht abschalten, sie muss verschlüsselt werden. Dies kann nur Vista oder eine Vollverschlüsselung.
Bitte warten ..
Mitglied: gogoflash
10.01.2009 um 19:18 Uhr
Hallo DerWoWusste,

danke für deine Antwort.
für die Pagefile und die Dumpfiles können ja einfach abgeschaltet werden (und sind es auch) und diese Einstellungen sind ja Benutzersicher.... Problem bei der Hibernation ist ja das dort der Inhalt des Speicher ist..

Thema Vollverschlüsselung:
Wir hatten auch angedacht ein HiddenSystem, dass parallel zum System installiert ist. Dummerweise befinden sich einige Truecryptdateien auf den Fileservern, was die Vollverschlüsselung ziemlich nutzlos macht.

Thema TPM:
Bisher wurde dieses Thema nur angeschnitten, die Umrüstung würde natürlich eine kleiner Kostenfaktor sein.

Wie habt Ihr das mit dem TPM gemacht? Bitlocker gibt es doch für Vista oder irre ich mich da.... Wir haben hauptsächlich XP am Laufen, 2 Linuxrechner sowie zwei Macs...

Gruß Miguel
Bitte warten ..
Mitglied: DerWoWusste
10.01.2009 um 19:24 Uhr
Miguel, der Reihe nach: die Pagefile ist nicht abschaltbar. Schalt sie unter xp mal aus... zunächst meckert xp "Auslagerungsdatei zu klein oder nicht vorhanden - temporäre wird erstellt" und dann findet sich zudem noch weiterhin eine pagefile auf dem System - ich weiß selbst nicht, warum. In der Pagefile liegen jedoch auch plaintext-Kennwörter und Dateiinhalte.
Eigentlich brauche ich hier nicht weiterzuschreiben, daran wird Euer Konzept scheitern.
Dummerweise befinden sich einige Truecryptdateien auf den Fileservern, was die Vollverschlüsselung ziemlich nutzlos macht.
Erklär diesen Einwand genauer.

Bitlocker gibt es nur für Vista und 2008 Server, das ist richtig. Aber auch andere (PGP wholedisk encryption vielleicht) könnten sowas anbieten. Utimaco ist ein Anbieter (Safeguard easy/safeguard enterprise) und evtl. wird auch das freie TrueCrypt irgendwann TPM unterstützen.
Bitte warten ..
Mitglied: gogoflash
10.01.2009 um 22:27 Uhr
Hallo DerWoWusste,

erstmal die Pagefile läßt sich ausschalten und ist dann weg. Die Meldung, dass eine temporäre erstellt wird taucht nicht auf, manchmal löscht Windows die alte Pagefile.sys nicht, das passiert, diese kann man dann wie eine normale Datei löschen. Bei Windows 2000 kann man sie nicht entfernen. Wenn eine Meldung kommt, dann der Hinweis das kein Memory Dump erstellt werden kann und es empfohlen wird mindestens eine Pagefile zu haben die die Größe des Rams hat oder mind. 2 MB. (kann man ignorieren)
Zudem empfehlen die Truecryptentwickler, dass abschalten der Pagefile.sys. (http://www.truecrypt.org/docs/)

Aber jetzt wieder zu meiner Frage, ich hatte nicht gefragt, was mit der Pagefile ist sondern es geht um den Ruhezustand.

Nebenbei... Es handelt sich um eine Windowsdomäne und die Mitarbeiter wechseln häufiger die Arbeitsplatze. Soll ich jetzt jeden Rechner mit einer Prebootauthetifizierung ausstatten? Die Pflege von den einzelnen Passwörtern wird dann recht schwierig. Eine systemweite Verschlüsselung gesteuert durch das AD per EFS ist gekippt worden... Die Gründe muss ich nicht erläutern...

Gruß Miguel
Bitte warten ..
Mitglied: DerWoWusste
10.01.2009 um 22:55 Uhr
Also gut, was ist mit meinen Vorschlägen bzgl. Energieoptionen, hast Du sie schon angesehen?
Eins noch zur Pagefile: Selbst wenn Du sie abschalten könntest (klar, die Option gibt es offiziell in xp), Du willst das nicht, da es die Performance hart trifft, Es sei denn, die Leute haben extrem viel RAM (>3 GB schätze ich, wird es nicht mehr weh tun). Ob man das will und muss, ist die Frage. Ich hab mal auf einem 512 MB xp die Pagefile ausgeschaltet und neu gebootet, ein paar Programme gestartet und bald kam dann auch "Windows - Out of virtual memory. Your system is low on v.m. To ensure that windows runs properly, increase the size of you v.m. paging file"). Danach konntest Du das Arbeiten getrost vergessen. Das war xp. Richtig, nur bei 2000 geht es gar nicht, so kamen meine Erinnerungen zu Stande.
Soll ich jetzt jeden Rechner mit einer Prebootauthetifizierung ausstatten?
Nein. Deswegen die Frage nach TPM.
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Powershell Remote Deinstallation
Frage von BuggerBatch & Shell2 Kommentare

Hallo, mich würde interessieren ob es möglich ist, Remote Software zu deinstallieren. Folgenden Code habe ich: Was ich mir ...

Windows Update
WSUS kann nach Deinstallation nicht wieder installiert werden
gelöst Frage von Atti58Windows Update2 Kommentare

Hallo an das Forum, nach einem Bare Metal Recovery unseres SBS 2011 gestern waren die WSUS-Downloads nicht mehr vorhanden, ...

Batch & Shell
Batch zur Deinstallation von Windows OneDrive
gelöst Frage von Lannde1988Batch & Shell2 Kommentare

Hallo Leute, ich möchte gerne eine Batch zur Deinstallation von Windows OneDrive erstellen. Leider habe ich nur Anfänger Wissen ...

Windows 8
Programme vor Deinstallation schützen ?
gelöst Frage von frankballWindows 829 Kommentare

Hallo an alle Wir haben mittlerweile 40 Notebooks im Einsatz, Diese sind lediglich als Terminals für unsere Xen-Desktops im ...

Neue Wissensbeiträge
Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 15 MinutenWindows 10

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 3 StundenMicrosoft Office13 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 9 StundenErkennung und -Abwehr2 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office10 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

Batch & Shell
Dateien verschieben mit batch
gelöst Frage von michi-ffmBatch & Shell13 Kommentare

Hallo Zusammen hat jemand evtl eine Idee? Zunächst hier das Skript: Leider werden keine UNC-Pfade unterstüzt, kann mir jemand ...