Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Truecrypt entschlüsseln des Platte sichern

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: Patrick-W

Patrick-W (Level 1) - Jetzt verbinden

16.10.2012 um 11:44 Uhr, 4660 Aufrufe, 18 Kommentare

Ich bin aktuell in der Testphase mit Truecrypt, vorher haeb wir immer Utimaco SafeGauard Easy bzw. später Sophos eingetzte.

Aktuell suche ich eine Möglichkeit um das Entschlüsseln der Festplatte zu verhindern, bzw. ein Kennwortschutz hier draufzulegen. Hintergrund ist der, dass die User, die die Notebooks von der EDV bekommen, die Fetsplatte nicht selber entschlüsseln dürfen.
Daher möchte ich, wenn es möglich ist Truecrypt soweit wie möglich auf dem System verstecken.

Kennt hiermit hier Lösungsansätze?

Vielen Dank bereits vorab für eure Unterstützung.

Mit freundlichen Grüßen
Patrick
Mitglied: Lochkartenstanzer
16.10.2012, aktualisiert um 12:04 Uhr
Zitat von Patrick-W:
... dass die User ... die Fetsplatte nicht selber entschlüsseln dürfen.
Daher möchte ich, wenn es möglich ist Truecrypt soweit wie möglich auf dem System verstecken.

OhneGruß

Was jetzt? Waschen oder nicht naßmachen?

Wie sollen die User mit einer nicht entschlüsselten Platte arbeiten? Oder soll da jedes mal einer von der IT vorbeikommen, um den Key einzugeben?

lks
Bitte warten ..
Mitglied: Patrick-W
16.10.2012 um 12:08 Uhr
Hallo IKS (sorry haben den Gruß vorher vergessen ;) )

die Platte so durch die PreBoot Authentifikation entschlüssel bzw. freigeschaltet werden. Was ich verhindern möchte, ich dass der User das Programm startet und dann die Festplatte über das Menü "System-Partition/Laufwerk dauerhaft entschlüsseln" kann.
Am besten würde es mir gefallen, wenn das gesamte TrueCrypt Menü noch mit einem weiteren seperaten Kennwort geschützt ist.

Hoffe das ich mich so etwas besser ausgedrückt habe. Sorry

Vielen Dank für die Unterstützung
Bitte warten ..
Mitglied: Lochkartenstanzer
16.10.2012, aktualisiert um 12:20 Uhr
Zitat von Patrick-W:
Hallo IKS (sorry haben den Gruß vorher vergessen ;) )

die Platte so durch die PreBoot Authentifikation entschlüssel bzw. freigeschaltet werden.

Und was ist der Sicherheitsgewinn dabei? Oder wollt Ihr nicht die Daten des Notebooks gegen Diebstahl des Notebooks sichern.

Wenn der Benutzer das Paßwort nicht eingeben muß/darf, muß die Platte automatisch entschlüsselt werden, so daß der key irgendwo auf dem Notebook abgelegt werden müßte (oder Stick). Dann kann man aber ohne Probleme den key extrahieren und die Platte entschlüsseln.

Oder der Benutzer muß den Key/die Passphrase manuell eingeben, dann kann er die Platte aber entschlüsseln. Wenn nicht mit dem truecrypt auf der Platte, so doch mit Portable-Truecrypt und Bootmedium und/oder zweitem Rechner.

Irgendwie sehe ich den Sinn dahinter nicht. Man könnte natürlich durch GPOs oder manuelle Änderugn der ACLs dem Benutzer verbieten, truecrypt aufzurufen, aber das wäre imho kein Sicherheitsgewinn.

lks


Nachtrag:

Beschreibe mal das Angriffsszenario, gegen das Euch truecrypt scützen soll. Denn vor dem Benutzer kann es nicht sein, wenn er mit der Platte arbeiten muß.
Bitte warten ..
Mitglied: Patrick-W
16.10.2012 um 12:30 Uhr
Hallo,

so wie es aussieht, habe ich schon bißchen was gefunden. Zwar noch nicht die Perfekte Lösung aber naja. Werde die Notebook einfach mit dem Programm Verschlüsseln (Mobil Version) und dann ist es gut. Dann ist das Programm nicht mehr auf dem PC vorhanden und die User können nicht mal ebend schnell das System entschlüssen.

Zum verständis erkläre trotzdem kurz den genau Hintergrund.

Alle Systeme sollen Verschlüsselt werden und mit einr Pre Boot Authentifiktion geschützt sein. Diese Kennwort bekommt der User natürlich. Was aber verhindet werden soll, ist das der User das System wieder entschlüsseln kann. Um sicher zu gehen, dass es wirklich verschlüsselt bleibt. Bei den Vorher genutzten Programmen war das Administrationstool Kennwort geschützt, sodass der User ohne das Kennwort, keine Chance hatte die Platte zu entschlüsseln. An sowas habe ich bei Truecrypt auch gedacht.
Vielleicht gibt es hier sowas ja trotzdem noch (Programmintern) und ich hab mich vorher nur schlecht ausgedrückt.

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
16.10.2012, aktualisiert um 12:42 Uhr
Zitat von Patrick-W:
Was aber verhindet werden soll, ist das der User das System wieder entschlüsseln kann. Um sicher zu
gehen, dass es wirklich verschlüsselt bleibt.

Was soll den User (außer seinem gewissen dem Arbeitsvertrag) daran hindern die Platte in einen zweiten Rechner zu stecken und per trucrypt wieder zu entschlüsseln?

Das schützt zwar vor Diebstahl des Notebooks, aber vor dem User, der das preebot-Paßwort weiß, schützt es nicht.


Versteh mich nicht falsch, Du kannst es so machen, um den Benutzer daran zu hindern mal schnell die Platte zu entschlüsseln aber ein Schutz gegen ihn ist das nicht. Da wären Betriebsvereinbarungen udn Arbeitsverträge besser geeignet.

lks
Bitte warten ..
Mitglied: Patrick-W
16.10.2012 um 12:45 Uhr
Klar der USer kann das noch machen. Dazu muss er aber wirklich die abischt haben. Hintergrund ist in erster Linie der Schutz beim diebstahl. Dieser ist natürlich nur gegeben, wenn die Platte auch verschlüsselt bleibt! Und dies möchte ich irgendwie zu einem gewissen maße sicherstellen.
Bitte warten ..
Mitglied: Dobby
16.10.2012 um 13:20 Uhr
Auch kein hallo Patrick-W ,

(sorry haben den Gruß vorher vergessen ;) )
Na dann mal schnell an der rechten Seite den "Bearbeiten" Knopf gefunden und einfach ein "Hallo" eingetippt.

Ich persönlich finde es gibt zwei praktikable Wege das ganze zu lösen.

1. Du kaufst eine sich selbst verschlüsselnde Festplatte von Intel oder Toshiba, wenn das Notebook im Bios
eine PreBoot Authentifizierung unterstützt!

Vorteil:
Die Verschlüsselung findet voll automatisch auf der HDD statt!
Bei einem s.g. BlueScreen kann kein Bit "kippen" und die Platte wird unbrauchbar, wie bei einer
Softwarelösung.

Nachteil:
Das Passwort muss immer eingegeben werden


2. Du benutzt dynamische TrueCrypt Container und einen externen Zertifikatsspeicher für den Schlüssel.

Vorteil:
Geräte unabhängige Verschlüsselung.
Der TC Container kann versteckt werden!
Bei Diebstahl befindet sich der Schlüssel nicht auf dem Gerät!
Der TC Container kann sehr einfach in die Backup Strategie mit einbezogen werden.

Nachteil:
Extra USB Stick muss angeschafft werden (Kosten)

Es ist doch so, dass man die Kosten, die Anforderungen, den Bedarf und vor allem anderen den Nutzen
sorgfältig mit und gegen einander abgleichen sollte und praktikabel sollte es auch noch sein.

Sind die Daten auf dem Laptop so wichtig oder Unternehmens kritisch dann sollte man vielleicht auch einmal darüber nachdenken ob es überhaupt Sinn macht den Mitarbeitern so etwas auszuhändigen, denn wenn Du, der die Leute vor ja kennt, denen schon nicht so richtig traust, was soll da denn noch sicher gemacht werden.

Fällt jemandem das Laptop in die Hände wenn es eingeschaltet ist sind die Daten auch futsch oder schnell kopiert. Einen TC Container kann man aber schnell schließen und "unmounten" und dann den USB Stick abziehen,
das war es dann erst einmal, denn wenn dieser versteckt ist und der Schlüssel nicht greifbar dann nützt
das Notebook niemandem etwas. Nur dafür sollte auch klar sein und zwar einem jeden Anwender/Mitarbeiter
das die wichtigen Daten nur dort abzulegen sind und nirgendwo anders.

Gruß
Dobby
Bitte warten ..
Mitglied: Haumiblau
16.10.2012 um 13:21 Uhr
Hallo,

Also so wie ich das jetzt verstanden habe, wollt ihr verhindern, dass ein User aus Bequemlichkeitsgründen die Platte wieder permanent entschlüßelt, damit er das Passwort nicht immer bei jedem Neustart eingeben muss. Ist das so richtig?

Grüße
Bitte warten ..
Mitglied: Patrick-W
16.10.2012 um 13:31 Uhr
Hallo,
Ja genau, das ist zum Beispiel auch ein Hintergrund.

Gruß
patrick
Bitte warten ..
Mitglied: Lochkartenstanzer
16.10.2012 um 14:06 Uhr
Zitat von Patrick-W:
Hallo,
Ja genau, das ist zum Beispiel auch ein Hintergrund.

Solange Dir bewußt ist, daß Die Benutzer könnten, wenn Sie wollten, ist das o.k.

haben die user lokale Admin-rechte, oder sind es nur einfache Benutzer? Im letzteren fall, kanns Du einfach die berechtigunen so setzen, daß sie das programm nciht benutzern dürfen.

Einem Admin higegen eine Programmbenutzung zu verwehren, ist faktisch fast unmöglich (nur mti großen Klöimmzügen).

lks
Bitte warten ..
Mitglied: nikoatit
16.10.2012, aktualisiert um 15:20 Uhr
Zitat von Patrick-W:
Hallo,
Moin,
so wie es aussieht, habe ich schon bißchen was gefunden. Zwar noch nicht die Perfekte Lösung aber naja. Werde die
Notebook einfach mit dem Programm Verschlüsseln (Mobil Version) und dann ist es gut. Dann ist das Programm nicht mehr auf dem
Mit der portablen Version kannst du die Platte nicht verschlüsseln!

Desweiteren sehe ich das wie Lochkartenstanzer und sehe da nicht sehr viel Sinn drin...
Gruß
Gruß zurück
Bitte warten ..
Mitglied: DerWoWusste
17.10.2012 um 20:27 Uhr
Moin.

Dein Anliegen wird mir nicht klar: Schutz gegen die Nutzung der installierten Truecrypt.exe kannst Du mit NTFS-Rechten machen, klar. Schutz gegen eine mobile Truecrypt.exe bietet das jedoch nicht: ein User der damit auf einem USB-Stick anrückt und das Kennwort hat, kann natürlich entschlüsseln... auszubauen braucht er dafür nicht, Adminrechte jedoch schon.

Was mich jedoch stutzen lässt, ist der Satz "Hintergrund ist in erster Linie der Schutz beim Diebstahl" - Diebstahl durch wen, den Nutzer selbst? Wenn nicht, also ein Fremder stiehlt, der das Kennwort nicht hat, kann er auch nicht entschlüsseln. Oder was willst Du damit ausdrücken?
Bitte warten ..
Mitglied: Lochkartenstanzer
17.10.2012 um 22:05 Uhr
Moin,

wenn ich denn TO richtig verstanden habe, will er sich nur davor schützen, daß die benutzer allzueinfach die verschlüsselung der Platte wieder Rückgängig machen, um so eingie Umbequemlichkeiten loszuwerden (Paßworteinagbe, Performanceverluste, etc.).

Das ist so ähnlich wie der Schutz mit dem paßwortgeschpützten Bildschirmschoner von Win95, der zwar verhindert hat, daß die neugiereig Putzfrau da mal einen Blick draufgeworfen hat, aber den Kollegen, der zeit und Mußte hatte ncith abgehalten hat.

lks
Bitte warten ..
Mitglied: Dobby
17.10.2012 um 22:38 Uhr
Hallöle,

Mal angenommen der TO würde jetzt sich selbst verschlüsselnde HDD einbauen und das Bios unterstützt diese
PreBoot Authentifikation mittels Passworteingabe, dann wäre doch alles erledigt.

Fertig ist der Lack und alles ist geregelt, sicher das kostet Geld, aber Sicherheit kostet halt immer
auch etwas.

Gruß
Dobby
Bitte warten ..
Mitglied: Patrick-W
18.10.2012 um 06:39 Uhr
Guten morgen,

vielen Dank für die vielen Tipps. Werd einfach selbst Verschlüsselnde Platten einsetzten und gut ist.

Gruß
Patrick-W
Bitte warten ..
Mitglied: DerWoWusste
18.10.2012 um 09:07 Uhr
Werd einfach selbst Verschlüsselnde Platten einsetzten und gut ist.
Wenn Du dann noch das Bios ausreichend schützt (wie?), damit der Nutzer dort das Kennwort nicht einfach entfernt...
Bitte warten ..
Mitglied: Dobby
18.10.2012 um 12:18 Uhr
Hallo DWW,

wenn das der Fall ist ist das für mich das selbe, als wenn der Benutzer den Mail Account in der Personalabteilung "haxkt" um zu sehen was mit seiner Gehaltserhöhung ist, dann muss er eben gegangen werden oder einmal für den Schaden aufkommen, damit er sich das merkt!

Oder die Gratifikation am Ende das Jahres fehlt eben oder das freiwillig gezahlte Weihnachtsgeld oder was sonst richtig weh tut.

Gruß
Dobby
Bitte warten ..
Mitglied: DerWoWusste
18.10.2012 um 19:18 Uhr
Ich verstehe nicht, warum Adminrechte (die der User ja nicht hat) als Grenze nicht ausreichen.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Backup
gelöst Symantec Backup Exec 2015: Fehler beim Sichern der Exchange-Datenbanken (4)

Frage von 10TechFlo64 zum Thema Backup ...

Windows 10
gelöst RDP Verbindung zu Windows 10 Prof. mit Zertifikat sichern (2)

Frage von Windows11 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...