Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Festplattenverschlüsselung Windows

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: Leet1337

Leet1337 (Level 1) - Jetzt verbinden

04.08.2010 um 08:14 Uhr, 5982 Aufrufe, 22 Kommentare

Suche dringend eine Methode um Festplatten automatisch zu verschlüsseln wenn ich den PC herunterfahre,
und auch automatisch zu entschlüsseln wenn ich den PC boote.
Ich habe auch schon die letzten 2 Tage gegoogelt aber nicht wirklich was gefunden .

Hallo ihr Lieben,

ich habe eine Frage, ich suche eine Methode um Festplatten automatisch zu verschlüsseln wenn ich den PC herunterfahre,
und auch automatisch zu entschlüsseln wenn ich den PC boote.
Wird die Festplatte an einen anderen PC angeschlossen, soll dies nicht möglich sein und soll verschlüsselt bleiben.
Ich habe schon die letzten 2 Tage gegoogelt aber nicht wirklich was gefunden .
Ich hoffe ihr könnt mir weiterhelfen.

vielen Dank im voraus Mit freundlichen Grüßen

Leet
Mitglied: mkuchen
04.08.2010 um 08:20 Uhr
Moin,

wieso nimmste nicht einfach TrueCrypt? Platten sind verschlüsselt und User müssen sich per Key validieren, bevor das System überhaupt bootet.
Bitte warten ..
Mitglied: teaCHer
04.08.2010 um 08:22 Uhr
Hi,

dann hast Du irgendwie die falschen Wörter eingegeben...

erste Frage: Welches Betriebssystem?

sofern es sich um Windows Vista oder 7 in der Ultimate- oder Enterpriseversion (welche sich nur durch den Namen unterscheiden) handelt, ist BitLocker Dein Stichwort. Ist bei Windows dabei und recht einfach einzurichten.

Gruß, teaCHer
Bitte warten ..
Mitglied: Leet1337
04.08.2010 um 08:22 Uhr
Mit True Crypt habe ich es bereits versucht, das Problem ist, ich wollte die Festplatten auf dem Server so einstellen, das sobald der Server startet alles automatisch entschlüsselt wird und sobald ich den herunterfahre, alles verschlüsselt ist.
Bitte warten ..
Mitglied: Leet1337
04.08.2010 um 08:24 Uhr
Windows Server Edition 2008 ist mein Betriebssystem.
Bitte warten ..
Mitglied: DerWoWusste
04.08.2010 um 08:28 Uhr
Hi.
Zur Serververschlüsselung hab ich vor einiger Zeit einen Thread gestartet. Problem ist die automatische Kennworteingabe.
Deshalb zwei Möglichkeiten:
A Bitlocker mit TPM (Kennwort im TPM) - nicht sicher gegen cold boot attacks, aber diese wollen auch erstmal durchgeführt werden.
B Truecrypt oder Ähnliches mit Einsatz eines über Netzwerk erreichbaren Keyfiles als Schlüssel - ist der Keyfilerechner physikalisch ausreichend abgesichert, ist dies eine sichere Methode. Server bootet, holt sich das Keyfile und mountet dann die Datenpartition - Dienste werden ggf. erst danach per Batch gestartet. Funktioniert und nutzen wir auch. Nachteil: das OS-Laufwerk bleibt unverschlüsselt, dort liegen evtl. Kennworthashes oder Ähnliches.

Du kannst Dein Ziel also nicht vollständig erreichen.
Bitte warten ..
Mitglied: Leet1337
04.08.2010 um 08:32 Uhr
Vielen Dank für deine schnelle Antwort,
da ich mich mit Truecrypt nicht richtig auskenne hast, du dort evtl, eine Anleitung für mich?
Bitte warten ..
Mitglied: brammer
04.08.2010 um 08:45 Uhr
Hallo,

irgendwie mag mir ja das Verständnis dafür abgehen, aber was soll eine Verschlüsselung mit automatischer Entschlüsselung für einen Sinn machen?
Wenn der Server läuft sind die Daten unverschlüsselt,
Ist der Server, wieso auch immer, aus, sind die Daten verschlüsselt.
Für mich ergbit sich daraus das ich sobald ich die Platten in der Hand habe diese ohne weitere Problem durch einfaches booten des Servers entschlüssele.
Solange kein Kennwort eingegeben werden muss, und zwar bevor das OS startet, halte ich die Verschlüsselung für überflüssig! Oder ich verstehe hier was anderes nicht!

brammer
Bitte warten ..
Mitglied: DerWoWusste
04.08.2010 um 08:49 Uhr
Hi brammer! Dann erklär ich's Dir:
Da der Server nicht automatisch anmeldet (das Einbinden des Keyfiles und das Mounten geschieht per Startskript), hat ein Dieb keinen Zugang zu den Daten. Die Benutzer schon - denn die Freigaben sind zugänglich.
Bitte warten ..
Mitglied: mkuchen
04.08.2010 um 08:49 Uhr
Du willst doch wohl nicht etwa deinen Server verschlüsseln? Wer bitte soll denn schon die Platten aus deinem Server klauen? Serverschrank kaufen, abschliessen und gut is das ....
Bitte warten ..
Mitglied: Leet1337
04.08.2010 um 08:50 Uhr
Der Server steht in einem gesicherten Raum es geht nur darum, das wenn der Server mal herunterfährt, das alles gesichert ist. Und ich die Backup platten herrausziehe das diese Verschlüsselt sind und keiner dran kann...
Bitte warten ..
Mitglied: DerWoWusste
04.08.2010 um 08:56 Uhr
Truecrypt hat eine Onlineanleitung. Suchbegriff ist keyfile.
Stell sicher, dass Du Dir wirklich die Mühe machen willst. Ist Euer Raum abgesichert, dann sehe ich keine Notwendigkeit.
Backups verschlüsselt man aus Prinzip niemals.
Bitte warten ..
Mitglied: Neomatic
04.08.2010 um 08:56 Uhr
Also mir wäre dabei nicht wohl. Bedenke das wenn etwas passiert (keyfile gelöscht, Festplatten Crash etc.) das du unter Umständen auch nicht mehr an die Daten kommst. Nicht umsonst gibt es bei Utimaco ein eigenes Team das sich mit Server Verschlüsselung befasst.

Und wenn jemand an die Daten kommen will, dann kommt er auch dran ohne dafür den ganzen Server zu klauen (Stichwort Administrative Freigaben etc.).
Bitte warten ..
Mitglied: Leet1337
04.08.2010 um 08:57 Uhr
Hi DerWoWusste,

hast du dafür evtl eine Anleitung?
Bitte warten ..
Mitglied: DerWoWusste
04.08.2010 um 09:05 Uhr
@Neomatic:
Bei uns bleiben die Backups unverschlüsselt (dafür aber räumlich gesichert), somit keine Gefahr des Datenverlustes durch Verschlüsselungsprobleme.
Und wenn jemand an die Daten kommen will, dann kommt er auch dran ohne dafür den ganzen Server zu klauen (Stichwort Administrative Freigaben etc.).
Die Freigaben erfordern A Zugangsdaten und B überhaupt Netzwerkzugriff. B ist auch nicht gegeben, wenn der Rechner nicht im Firmennetzwerk ist, springt die Firewall an (gesteuert durch network location awareness [NLA]). Wie überlistest Du NLA?
Zudem: wenn man ein Keyfile nutzt, hat man das Problem eh nicht.
Bitte warten ..
Mitglied: mrtux
04.08.2010 um 10:02 Uhr
Hi !

Zitat von Leet1337:
Mit True Crypt habe ich es bereits versucht, das Problem ist, ich wollte die Festplatten auf dem Server so einstellen, das sobald
der Server startet alles automatisch entschlüsselt wird und sobald ich den herunterfahre, alles verschlüsselt ist.

Das liest sich aber echt lustig......Telefonklingel: "Firma Superhelden GmbH! Frau Susi Enigmeyr am Apparat! Grüss Godd Herr Müller! Naa, ob Ihre Bestellung raus is, konn ich Ihnen erst in vier Stunden sogn, da Server muss no entschlüssln.....und wartns mit dem Anruf dann bittscheen ned so lang, ab 15 Uhr duat da Server wieder verschlüssln..."

mrtux
Bitte warten ..
Mitglied: Neomatic
04.08.2010 um 10:13 Uhr
Zugangsdaten wären kein Problem, da gibt es Mittel und Wege. Zudem muss der Angriff ja nicht von einem fremden Rechner außerhalb des Netzwerkes laufen. Ich hab schon häufig auf irgendeinem Rechner bei einem Kunden so sachen wie Wireshark und Metasploit gefunden. 70% der Angriffe kommen von innen, nicht von außen.

Aber das ist eine andere Geschichte. OK Wenn die Backups nicht verschlüsselt sind, kommt man ja wieder an die Daten ran.
Bitte warten ..
Mitglied: DerWoWusste
04.08.2010 um 11:00 Uhr
@Neomatic
Zugangsdaten wären kein Problem
Du hast einen PC, der auf Netzwerkebene komplett dicht ist, keine Exploits greifen - wie willst Du denn die Zugangsdaten bekommen?
Und nochmal: bei Keyfiles (meine bevorzugte Lösung) hast Du das Problem eh nicht. Ist er gestohlen, gibt's kein Keyfile und er ist verschlüsselt.
Bitte warten ..
Mitglied: maretz
04.08.2010 um 11:27 Uhr
Moin,

selbst in dem Kontext halte ich das noch für zimlich "merkwürdig".

Option 1: Die Platten entschlüsseln sich schon beim Booten (für eine Vollverschlüsselung ja nötig - damit das OS überhaupt weiss das es geladen werden kann). Dann hast du keinerlei sicherheit weil die Daten eben entschlüsselt vorhanden sind (ok, der Angriff dauert etwas länger aber ich denke mal das bekommt man dann auch noch hin). Denn man würde ja einfach gleich den ganzen Server klauen...

Option 2: Die Daten werden erst nach erfolgreicher Anmeldung entschlüsselt. Sicherlich ne gute Idee - erfordert aber das der Admin immer vor ort ist um den Server erstmal anzumelden. Dumm wenn der um 3 Uhr morgens ausfällt wo der normale Admin am Schlafen ist... Hier müsste man dann das Admin-PW auch einigen Usern geben -> was dazu führen kann das die erstmal selbst rumprobieren: Server macht nachts um 3 nicht was er soll - also was solls, angemeldet und rumprobieren bevor man den Admin weckt... DEN Weckt man dann erst wenn wirklich alles schon im Eimer is...

Beide Optionen sind nicht wirklich schön... Hier würde ich auf jeden Fall auf eine Hardware setzen (z.B. USB-Dongle). Sollte man wirklich die "ultimative" Sicherheit benötigen kann man sich immernoch nen Safe in die Mauer vom Serverraum einsetzen lassen und den USB-Dongle mit einer USB-Verlängerung da rausführen lassen... Zieht man den Dongle ab werden die Platten verschlüsselt -> Feierabend. Und ich glaub kaum ein Dieb hat grad mal nen Stemmeisen u.ä. Equipment zum Maueraufbruch zur Hand... Dies würde auch keine Anmeldung erfordern -> ich kann Nachts um 3 auch bei nem Reboot gepflegt weiterschlafen. Der Server wird selbst bei ner Vollverschlüsselung auf den Dongle zugreiffen können und wieder starten.

Alles andere halte ich persönlich für Halbherzig -> dann kann ich mir das auch gleich schenken...
Bitte warten ..
Mitglied: DerWoWusste
04.08.2010 um 12:53 Uhr
@maretz und neotropic
Wir haben das Konzept im Einsatz und haben es ausreichend überdacht. Bitte tut es nicht ab mit
ok, der Angriff dauert etwas länger aber ich denke mal das bekommt man dann auch noch hin
sondern sagt, wie ihr Euch das vorstellt, dann gehe ich gerne darauf ein.

Die Daten sind NIE entschlüsselt. Was der Beitragseröffner sich wünscht ist kompletter Mumpitz (mit Verlaub). Die Daten sind zugreifbar, aber dennoch verschlüsselt, sobald das Keyfile geladen ist. Entschlüsselt sind sie nie. Auf die Gefahr hin, mich zu wiederholen: Nimmt ein Dieb den Server mit, ist das Keyfile nicht verfügbar und die Datenpartition nicht zugreifbar. Die OS-Partition schon (klar, muss bei Servern automatisch geschehen), aber wie will sich das der Dieb zu nutze machen? Er hat kein Keyfile, selbst wenn er in Windows eindringt, was will er mit dem Truecrypt Container anstellen?

Fall zwei: Bitlocker mit TPM - hier ist sogar das OS verschlüsselt und dennoch fährt der Server automatisch hoch. Nachteil: cold boot attacks sind nun möglich, da sich der Schlüssel im RAM befindet.
Bitte warten ..
Mitglied: Leet1337
05.08.2010 um 09:45 Uhr
So mien Problem ist gelöst ;)
Habe gestern eine kleine Batch Datei geschrieben,
die nach dem Booten ausgeführt wird und die die festplatte entschlüsselt
und beim runterfahren wird sie wieder verschlüsselt, das konnte man direkt über True Crypt einstellen.
Bitte warten ..
Mitglied: DerWoWusste
05.08.2010 um 10:45 Uhr
Hi Leet.
Schön dass Du eine Lösung gefunden hast. Ich nannte Dein Ansinnen "Mumpitz", da es keinen Vorteil bietet. Die Daten sind IMMER verschlüsselt, sobald Du einmal verschlüsselt hast. Lediglich der Key ist im RAM, wenn Du Dein Kennwort eingegeben hast. Somit ist die Mühe vergeblich.
Bitte warten ..
Mitglied: Leet1337
05.08.2010 um 11:08 Uhr
Ich arbeite mit der Keyfile die auf einem USB Stick ist das heist ohne den ist die Platte Nutzlos.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...