Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Truecrypt in Multiuser-Umgebung

Frage Sicherheit Sicherheits-Tools

Mitglied: Istike

Istike (Level 1) - Jetzt verbinden

02.11.2009 um 21:07 Uhr, 6787 Aufrufe, 10 Kommentare

Hallo,


in der Fa. haben wir einen PC, der von ziemlich vielen Usern sowohl für private wie auch für berufliche Zwecke verwendet wird.

Ich habe natürlich die normalen Windows-Accounts eingerichtet, User-Rechte eingeschränkt usw.

Ich denke allerdings, dass die sinnvollste Idee wäre, wenn jeder User auf einer großen Festplatte seine verschlüsselte Partition hätte.

Es gäben also 10 User und 10 Truecrypt-Partitionen. Die 10 Partitionen wären mit Truemounter angedockt. Ich müsste allerdings irgendwie hinkriegen, dass die jeweilige TC-Partition zu dem jweiligen User zugeordnet wird, sonst bekommt jeder User 10 Dialogfenster mit der Frage nach dem Passwort.

Hat jemand eine Idee wie man das machen kann?


Danke für eure Tipps.

Gr. I.
Mitglied: DerWoWusste
02.11.2009 um 21:31 Uhr
Truecrypt geht auch über die Kommandozeile, nimm ein Anmeldeskript und mounte so unter Verwendung der Variable %username% den passenden Container.
Ich würde jedoch eher EFS nehmen, das ist schneller eingerichtet.
Bitte warten ..
Mitglied: filippg
02.11.2009 um 21:34 Uhr
Hallo,

truecrypt lässt sich über Kommandozeilenparameter steuern -> du kannst ein Logonscript schreiben, dass jedem Nutzer sein individuelles Volume anbindet.

Gruß

Filipp
Bitte warten ..
Mitglied: Istike
02.11.2009 um 22:27 Uhr
Danke sehr für den Tipp.


ich habe kurz gegooglt. : EFS könnte prinzipiell wirklich eine Option sein, obwohl ich - bloß aus dem Bauchgefühl - behaupten würde, dass TC schon eine höhere Sicherheit bietet.

Na ja, neben Sicherheit haben wir auch andere Aspekte...

Wie kann man sonst EFS einrichten? Ich gehe mal davon aus, dass entsprechende Tools bereits von dem Betriebsystem zur Verfügung gestellt werden bzw. dass die Entschlüsselung sofort dann erfolgt, wenn der jeweilige User sich einloggt.

Was passiert dann, wenn ich als Admin versuche die Dateien der User zu lesen? Es wäre bei EFS wohl nicht möglich sein, oder?

Wenn ich richtig verstehe bietet Windows bestimmte Features für die Verwaltung der Schlüssel.

Wie wirkt die Verschlüsselung auf die Leistung des PCs aus?

Auf meiner mit TC verschlüsselte Windows /- Partition habe ich auf jeden Fall nicht den Eindruck, dass der Notebook langsamer geworden wäre. Wäre es bei EFS auch der Fall?


Danke für die Rückmeldung?


Gr. I.
Bitte warten ..
Mitglied: DerWoWusste
02.11.2009 um 22:43 Uhr
Und das Bauchgefühl ist, was im Leben zählt - seh ich auch so!
Zum EFS kannst Du jetzt viel lesen oder aber einfach voraussetzen, dass es kein Kernschrott sein kann, da es ja schon 10 Jahre existiert und immer noch daran entwickelt wird.
Nimm einen Ordner und rechtsklicke ihn - Eigenschaften - erweitert - und losverschlüsselt. Der Benutzer muss kein Kennwort einrichten, es reicht sein Nutzerkennwort - somit komfortabel.
Wiederherstellen durch den Domänenadmin ist möglich - Stichwort Recovery Agent. Performance ist ok.
Aber nimm gern Truecrypt, auch das kann man per Automount (Keyfile auf einer Freigabe im Netzwerk) komfortable nutzen, wenn das eine Rolle spielt. Oder nimm NTFS - warum eigentlich verschlüsseln, dies ist bloß interessant bei mehreren Admins auf dem System. Ist nur einer da und dem traut man, reicht NTFS in Standardeinstellungen. Dass da keiner mit einer Bootdisk kommt und Admin spielt, kann man verhindern, indem man syskey aktiviert.
PS:
Danke für die Rückmeldung?
Bitte?
Bitte warten ..
Mitglied: filippg
02.11.2009 um 23:16 Uhr
Hallo,

Wiederherstellen durch den Domänenadmin ist möglich -
Stichwort Recovery Agent. Performance ist ok.
In der Standard-Konfiguration m.W. nach nicht.
Und ich habe schlechte Erfahrungen mit EFS. Ich konnte auf einmal auf meine EFS-Verschlüsselten Ornder nicht mehr _schreibend_ zugreifen. An den NFTS-Rechten liegt es definitiv nicht. Die Verschlüsselung lässt sich auch nicht mehr aufheben. Glücklicherweise kann ich alle Daten noch lesen, aber ich habe keine Lust zu riskieren, dass es dann doch mal andersherum kommt.

Gruß

Filipp
Bitte warten ..
Mitglied: DerWoWusste
02.11.2009 um 23:41 Uhr
Und ich habe schlechte Erfahrungen mit EFS
Tausende Leute haben schlechte Erfahrungen mit diverser Verschlüsselungssoftware, weil die eben manchmal doch so sicher ist, wie sie vorgibt, wenn man es gerade nicht gebrauchen kann oder sogar noch sicherer=defekt. Dafür gibt es Backups (entweder unverschlüsselt oder mit anderer Verschlüsselung).
Bitte warten ..
Mitglied: Istike
03.11.2009 um 22:06 Uhr
Hallo,

ich werde mal versuchen aus TC das Bestmögliche rauszuholen.

Der Tipp mit dem Logonscript scheint umsetzbar zu sein. Ich denke, dass die Soft Truemounter auch so funktioniert.

Ich habe versucht einen Beispielscript zu finden. Bisher noch nichts sinnvolles.

Ich habe noch nie im Leben eine Script geschrieben Ich muss also noch weitersuchen bzw, muss ich noch die grundlegenen Parameter von TC finden.

Danke nochmals.

Gr. I.
Bitte warten ..
Mitglied: DerWoWusste
04.11.2009 um 08:18 Uhr
"C:\Program Files (x86)\TrueCrypt\TrueCrypt.exe" /v \Device\Harddisk0\Partition5 /l n: /k "\\server\freigabe\Keyfile" /s /a
Ist ein Syntaxbeispiel. Es mountet die Partition 5 auf Harddisk 0 unter Verwendung des angegebenen Keyfiles von einem Server.
Bitte warten ..
Mitglied: Istike
04.11.2009 um 17:33 Uhr
Hallo "DerWoWusste",

toll! Danke sehr.

Ich müsste also eine Datei z. B. "login.bat" erstellen, die so aussehen könnte:

"@echo off
D:\Programme\TrueCrypt\TrueCrypt.exe" /v \Device\Harddisk0\Partition5 /l n: /k "g:\Keyfile" /s /a"

Dies würde prinzipiell ausreichen.

Die Laufwerk "G" ist in diesem Fall nur ein USB-Stick. Die Verwaltung der Schlüssel auf dem Server kommt später.

Die Datei müsste ich dann in der "Systemsteuerung / Verwaltung" unter dem jeweiligen User-Profile eingeben, oder?

Fehlt noch etwas? Wie sieht es aus, wenn der User sich abmeldet? Wir die Container-Datei automatisch "demounted"?


Danke sehr nochmals für deine Hilfe.

Gr. I.
Bitte warten ..
Mitglied: DerWoWusste
04.11.2009 um 22:39 Uhr
Ich muss gestehen, dass ich dies bisher nur auf Servern getestet habe, wo andere lokale Benutzer (und somit unmounten) keine Rolle spielten - ich glaube, dass es so war, dass andere nicht rankommen.
Du müsstest das Skript einbinden als Logonskript und könntest als Logoffskript wieder unmounten, musst mal die syntax anschauen ->Truecrypt.exe /?
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Hyper-V
gelöst Hardware und Lizenzfrage: Hyper-V Umgebung um Redundanz erweitern (10)

Frage von Knorkator zum Thema Hyper-V ...

Windows Server
Terminalserver 2012 R2 Umgebung (2)

Frage von Mr.White zum Thema Windows Server ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...